Tous les articles par Damien Bancal

Damien Bancal, expert reconnu en cybersécurité Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles. Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe. Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.
Arnaque, escroquerie, Facebook, Piratage

Un malware trop poli pour être honnête

Un code malveillant s’adresse aux utilisateurs de manière courtoise et crypte une partie de son code avec des versets de la Bible, pour être le plus indétectable possible par les antivirus. Les Laboratoires antivirus Bitdefender mettent en garde les utilisateurs de Facebook et de Yahoo qu’un cheval de Troie se diffuse actuellement via les messageries instantanées. Le malware est détecté par Bitdefender sous le nom Gen:Variant.Downloader.167 et sévit déjà en France, aux États-Unis, au Royaume-Uni, en Allemagne, au Canada, au Danemark et en Roumanie.

Sa méthode d’action est peu banale : il s’adresse aux utilisateurs de Facebook et Yahoo de manière extrêmement polie (« I want to post these pictures on Facebook, do you think it’s ok ? » – j’aimerais poster ces photos sur Facebook, tu penses que c’est ok ?) et ajoute une URL vers les photos en question, sous forme de liens Dropbox ou Fileswap, des plateformes populaires pour l’échange de photos et vidéos.

Une fois le malware exécuté sur la machine, où il crée un dossier avec un nom aléatoire se terminant par .exe, il se propage sur Facebook et Yahoo! via la liste des contacts, et affiche une boite de dialogue sur l’écran de la victime lors de son installation : « Cette application n’est pas compatible avec votre version de Windows. Vérifiez les informations système de votre ordinateur pour déterminer si vous avez besoin du programme en version 32-bits ou 64-bits, puis contactez l’éditeur du logiciel ».

Un autre piège concernant Facebook remonte au mois de mars 2014, où l’on proposait de voir des vidéos de ses amis nus qui résultait en téléchargement d’un faux player Flash et infectait votre ordinateur.

Fuite de données, Identité numérique, Vie privée

Formulaire d’oubli de Google, oui mais…

Reputation VIP, l’un des leaders français de l’e-réputation, réagit de manière très positive à la mise en ligne du formulaire d’oubli de Google suite à la décision de la Cour de justice Européenne. Le droit à l’oubli sur Internet est un réel sujet de société, auquel la startup lyonnaise est confrontée quotidiennement. Bertrand Girin, PDG de Réputation VIP indique « que toute l’équipe est impressionnée par la rapidité d’action de Google, qui a mis en ligne rapidement le formulaire pour que certaines personnes physiques puissent soumettre leurs demandes de suppression de résultats ».

Mais de nombreuses questions se posent. Google cite comme critère de décision l’obsolescence, la pertinence ou encore l’excès. Ces termes ne sont-ils pas de parfaits exemples de notions subjectives ? Comment Google peut-il juger de cela ? N’est-ce pas aussi une dangereuse façon de renforcer davantage la toute-puissance du géant américain ? Que fera Google en cas d’homonymie ? Comment départager Jean Dupont le criminel de Jean Dupont le bon père de famille ? Qui devra occuper la page des résultats Google ? Et surtout comment Google saura-t-il qui est le Jean Dupont qui fait la demande de suppression ?

La CJUE demande que les personnalités publiques n’aient pas la même facilité que le citoyen lambda à faire supprimer les informations, mais à partir de quand devient-on une personnalité publique ? Le maire d’une petite commune n’est peut-être pas une personnalité publique pour vous, mais pour ses habitants ? Le chef d’entreprise qui passe régulièrement dans les médias sera-t-il considéré comme une personne publique ?

Enfin, on peut se poser la question du champ d’action de ce formulaire. Faut-il être citoyen européen ? Le formulaire parle actuellement de « certains utilisateurs », mais qui sont-ils ? De plus, le champ des suppressions reste-il borné aux moteurs de recherche européens ? Ou vos amis à New-York et Tokyo pourront-ils encore voir ce que vous ne verrez plus ?

Google a annoncé la mise en place d’un comité consultatif d’experts, mais là aussi une question se pose inévitablement, celle de la gouvernance. De quel type de personnes sera t’il composé ? Ces dernières seront-elles intégrées à Google ou indépendantes ? Bertrand Girin PDG de Réputation VIP : « Nous avions tout de suite compris que ce comité était indispensable, l’e-réputation est un sujet trop sensible pour que l’on puisse la juger sans en discuter. On touche à la vie des gens, à leurs opinions, et surtout à l’opinion que les autres ont d’eux. L’opinion est un sujet trop subjectif pour que l’on puisse la ranger dans des cases et automatiser nos jugements sur les comportements d’autrui »

Emploi, Entreprise

Hack4France

Le 1er Hackathon en ligne 100% Made in France. Pendant que le Ministre Arnaud  Montebourg annonce vouloir un OS 100% Français, faut-il lui rappeler que l’hexagone avait déjà, dès 1998, son OS baptisé Mandrake Linux, l’école privée d’informatique Epitech lance le 1er Hackathon dédiée aux start-ups françaises.

L’idée, inscrire votre API sur Hack4France, et montrez la puissance de votre concept et de vos données. Jusqu’au 22 juin, les développeurs du monde entier sont invités à se constituer en équipes de compétences complémentaires. Ils choisissent une des 10 APIs du challenge et commencent à coder on-line sur la plateforme du Hackathon. Les 5 applications les plus innovantes, toutes API confondues, seront présélectionnées pour participer à la finale qui se déroulera du 19 juin et 8 juillet.

Un concours sponsorisé par Microsoft, Bouygues Telecom et Total. Ce premier challenge d’innovation en ligne dédié aux start-ups françaises est organisé avec le soutien du ministère de l’Economie, du Redressement productif et du Numérique.

Android, ios, Logiciels, Sécurité

Renforcer la sécurité de l’Internet des Objets

Un commentaire

Wind River, éditeur de logiciels pour systèmes connectés intelligents, annonce un profil sécurité pour Wind River Linux, un logiciel certifiable selon le profil de protection GPOS (General Purpose Operating System) des Critères Communs, et ce, jusqu’au niveau d’assurance EAL 4.

Grâce à une connectivité plus importante entre les différents équipements, l’adoption d’une approche de développement bien établie et s’appuyant sur des normes telles que celles des Critères Communs peut aider à dissiper les inquiétudes en matière de sécurité autour de l’Internet des Objets (IdO). En outre, Wind River publie également la dernière version de Carrier Grade Profile for Wind River Linux, une plate-forme clé en main qui permet aux clients de bénéficier d’une distribution Linux de classe opérateur (Carrier Grade Linux CGL).

Ce profil sécurité se présente sous la forme d’un module logiciel à haute valeur ajoutée pour Wind River Linux. Il fournit de nouvelles fonctionnalités de sécurité permettant aux développeurs de faire face aux futures menaces liées à la montée en puissance de l’IdO. Ses principales fonctionnalités (un noyau renforcé, un démarrage sécurisé, un espace utilisateur axé sur la sécurité, ainsi que la base Wind River Linux compatible avec le Yocto Project) s’intègrent parfaitement avec les outils de validation, la documentation et les spécifications de prise en charge matérielle.

« Avec l’Internet des Objets, les besoins en matière de connectivité et de sécurité des équipements se complexifient ; malgré cela, les entreprises sont obligées de respecter des calendriers et des budgets de développement restreints, commente Dinyar Dastoor, vice-président en charge de la gestion des produits chez Wind River. Notre nouveau profil sécurité pour Wind River Linux fournit une plate-forme informatique sécurisée et fiable conforme aux normes de l’industrie. Elle permet aux clients de réduire leurs cycles de développement et de commercialiser plus rapidement leurs produits en proposant la sécurité, les performances et l’expérience utilisateur nécessaires pour les équipements d’aujourd’hui, de plus en plus intelligents et connectés, tous secteurs confondus. »

Avec l’effervescence résultant de tendances telles que l’Internet des Objets, les développeurs sont confrontés à de nouvelles problématiques de complexité pour gérer des projets nécessitant davantage de sécurité, d’informations, et de meilleures performances. Avec ce profil sécurité, les clients peuvent tirer parti des meilleures pratiques de sécurité appliquées dans de nombreuses industries et intégrées au profil de protection des Critères Communs. En outre, en cas d’évaluation nécessaire, il réduit les coûts et les délais de développement, de certification et de maintenance d’une distribution Linux complète en respectant le système d’évaluation des Critères Communs. Le profil sécurité fournit également un kit de certification afin de pouvoir certifier la conformité aux exigences fonctionnelles avec le niveau d’assurance requis. En démontrant que leurs produits fonctionnent sur une plate-forme de certification Wind River, les développeurs peuvent progresser bien plus rapidement au sein du processus de certification, habituellement complexe et coûteux. Avec l’aide de Wind River, les clients peuvent commercialiser leurs produits bien plus rapidement et répondre aux exigences de sécurité d’une variété de secteurs, tels que l’aérospatiale, la défense, l’automobile, l’industrie ou les réseaux.

D’autre part, la nouvelle version du profil Carrier Grade fournit la prise en charge du dernier noyau Linux 3.10 LTSIet de la prise en charge étendue d’une variété d’architectures matérielles. Ce profil inclut également la virtualisation des fonctions de routage et de transfert (VRF — Virtual Routing and Forwarding) avec des conteneurs permettant de fournir de manière transparente des fonctionnalités de niveau opérateur au sein d’un environnement virtualisé. À l’heure où le trafic de données repousse les limites des réseaux des opérateurs, et où l’industrie évolue vers des fonctions de virtualisation des fonctions réseau (NFV), il est essentiel de conserver une fiabilité de niveau opérateur et de se conformer aux exigences strictes en matière de performances et de sécurité définies par les accords de niveaux de services (SLA) garantis par les opérateurs à leurs clients aujourd’hui.

Wind River Linux offre une plate-forme Linux de classe commerciale ainsi qu’une expérience utilisateur aisée grâce à un ensemble riche de fonctionnalités basées sur les toutes dernières technologies open source, à des outils de développement totalement intégrés, à une équipe d’assistance présente dans le monde entier et à des services d’experts. Développé sur l’infrastructure de développement Yocto Project, Wind River Linux améliore la compatibilité entre les différentes plates-formes et l’interopérabilité des composants.

 

Banque, Cybersécurité

Le Maroc s’allie au Qatar contre les pirates informatiques

Le secrétariat général du gouvernement marocain vient d’annoncer un accord entre le Royaume du Maroc et le Qatar. Ce protocole couvre, en plus de la lutte contre les trafics d’armes, d’êtres humains, d’immigration clandestine, de contrebande, de drogues, d’argent, des actions et coopérations pour contrer les piratage informatiques, les adeptes du skimming (piratage de distributeur de billets) et du vol de données électroniques. L’accord institue également une collaboration maroco-qatarie dans les domaines de lutte contre les crimes financiers et les violations des droits de propriété intellectuelle. Un accord signé jusqu’en 2018. Un accord intéressant quelques jours après l’arrestation d’un pirate informatique Marocain, présumé proche d’Al Qaida. Un voleur de données bancaires qui aurait détourné de l’argent qu’il aurait envoyé ensuite en Syrie.

Entreprise

RSSIA 2014

Les Rencontres de la Sécurité des Systèmes d’Information Aquitaine se tiendront le 20 juin 2014 à Talence (région de Bordeaux).

Pour cette 6ième édition des RSSIA, le CLUSIR propose comme thématique : « La confiance numérique au cœur des nouveaux usages digitaux« . Avec entre autres sujets : la vie numérique, le numérique en Aquitaine, le Le SIEM, le NFC, la Cybercriminalité avec La gendarmerie de la Gironde ( Le NTECH ), Les Lanceurs d’alerte / Full Disclosure ou comment rompre le silence avec Olivier Laurelli (Bluetouff) et Damien Bancal (Zataz), Les objets connectés, Heartbleed le bug qui fait trembler l’IT, l’ OWASP , Les normes ISO 29000 avec la CNIL.Comme chaque année, Le Panorama de la Cybercriminalité sera présenté avec le CLUSIF.

Entrée libre et gratuite, sur inscription.

 

Cybersécurité, Facebook, Particuliers

Page Facebook contre le harcèlement

Un commentaire

Facebook s’est associé aux Drs Marc Brackett et Robin Stern du Centre pour l’intelligence émotionnelle de l’université Yale afin de fournir les ressources et outils permettant de faire face au harcèlement et à ses conséquences.

Voilà une excellente idée. On parle de harcèlement quand tous types de comportements continuellement agressifs, impliquant des pressions d’ordre social ou sur la taille physique, sont constatés. Les agressions physiques ou verbales, ainsi que les menaces, les rumeurs ou l’exclusion délibérée d’une personne d’un groupe sont toutes considérées comme du harcèlement.

La meilleure manière de répondre au harcèlement est d’aider les garçons et les filles à trouver leurs propres moyens de l’affronter. Seuls des efforts concertés entre les jeunes, les parents, les écoles, les institutions et les entreprises peuvent conduire à des résultats durables et efficaces. » indique Jon Kristian Lange, conseiller en chef du projet.

32 associations participent à l’opération dont PrevNet au Canada, l’ADL américain ou encore l’italien Save the Children et l’e-Enfance Français. L’espace dédié se trouve à l’adresse https://www.facebook.com/safety/bullying

Cybersécurité, Entreprise, Phishing

Les utilisateurs de services Google ciblés par une attaque de phishing difficile à détecter

Un commentaire

Les pirates récupèrent les mots de passe de comptes Google via une attaque de phishing particulièrement difficile à détecter par une analyse heuristique classique.

Selon les Laboratoires antivirus Bitdefender, des cybercriminels récupèrent les mots de passe d’utilisateurs de comptes Google grâce à une attaque de phishing difficile à détecter par une analyse heuristique, en raison du mode spécifique d’affichage des données utilisé par Google Chrome. En effet, les URI (identifiant uniforme de ressource) rendent les utilisateurs de Chrome plus vulnérables, même si ce phishing cible aussi les utilisateurs de Mozilla Firefox.

En récupérant les mots de passe de comptes Google, les pirates peuvent potentiellement acheter des applications sur le Google Play, pirater le compte Google+ ou encore accéder aux documents personnels stockés sur Google Drive. Cette arnaque commence par un e-mail prétendument envoyé par Google avec pour objet « Mail Notice » ou «  New Lockout Notice ». Ce message dit : « Pour rappel, votre compte e-mail sera bloqué dans 24h en raison de l’impossibilité d’augmenter votre espace de stockage. Cliquez sur « INSTANT INCREASE » pour augmenter automatiquement votre espace de stockage. »

Si l’utilisateur clique sur le lien “INSTANT INCREASE”, il est alors redirigé vers une fausse page de connexion Google, identique à l’originale, afin de renseigner son identifiant et son mot de passe. « La caractéristique de cette attaque de phishing est que la barre d’adresse de navigation n’affiche pas une URL habituelle mais une URI, en l’occurrence ici ‘data :’ » explique Catalin Cosoi, Responsable de la stratégie de sécurité chez Bitdefender.

Ce schéma de données URI permet aux pirates d’intégrer les données correspondantes aux pages Web comme si elles étaient des ressources extérieures. Le modèle utilise le codage Base64 pour représenter les contenus des fichiers. Dans ce cas présent, les pirates fournissent le contenu des fausses pages Web dans une chaîne codée dans les données URI. Et, dans la mesure où Google Chrome n’affiche pas toute cette chaîne, il est difficile pour l’utilisateur, même habitué, de comprendre qu’il est victime d’une attaque par phishing.

Il est habituel pour les cybercriminels de se faire passer pour des prestataires de services envoyant des messages ou notifications prétendument issus d’organismes tels que Google, Facebook, eBay, d’opérateurs téléphoniques ou de banques, qui figurent parmi les « déguisements » favoris des spécialistes du phishing pour envahir les boites mail du monde entier. Une attaque similaire avait récemment ciblé la page d’accueil Google Drive afin de récupérer les identifiants Gmail. Afin de se prémunir contre des arnaques en ligne, Bitdefender préconise également aux internautes de toujours utiliser une solution de sécurité à jour.

 

Cyber-attaque, Entreprise, Espionnae, Fuite de données, Leak, Propriété Industrielle

8 incidents informatiques sur 10 seraient dus au facteur humain

84 % des incidents de sécurité informatique sont liés au facteur humain, alors que seulement la moitié des budgets est consacrée à ce type de menaces.

Voilà les premiers chiffres de l’étude menée lors de la RSA Conference et présentée lors du Gartner Identity & Access Management Summit 2014 par BalaBit. L’étude eCSI de BalaBit souligne le fait qu’il est désormais nécessaire d’ajuster le budget sécurité à hauteur des menaces liées au facteur humain.

BalaBit IT Security, acteur sur le marché des solutions dédiées à la gestion de logs et à la surveillance des comptes à privilèges, a présenté les résultats de son dernier rapport eCSI lors du Gartner Identity & Access Management Summit 2014. L’étude a été menée auprès de 300 participants lors de la récente RSA Conference à San Francisco. Les résultats de cette enquête montrent que 84 % des incidents de sécurité informatique sont liés au facteur humain (erreur humaine, attaques sophistiquées internes ou externes, etc.). En terme de budget, l’étude souligne également que les dépenses sont assez équilibrées entre : les 55 % du budget consacrés à la gestion du risque humain et les 45 % consacrés à l’infrastructure.

Ainsi, les entreprises concentrent toujours leurs ressources dédiées à la sécurité informatique à la sécurité des infrastructures et aux facteurs de risque externe. Les personnes interrogées ont classé les principaux facteurs de risque, en fonction du budget consacré : 30 % privilégient la menace externe, au-dessus de tous les autres risques ; 28 % ont déclaré que les dysfonctionnements du système sont parmi les risques les plus importants ; 17 % ont cité les attaques automatiques (injection SQL, DDoS, …) Alors que la protection dédiée aux erreurs humaines et aux hackers internes est une priorité budgétaire absolue pour seulement une petite minorité des personnes interrogées : respectivement 13 % et 12 %. Pourtant, en terme d’évaluation du coût potentiel de la menace, les résultats sont différents : 51 % des personnes interrogées ont déclaré que les erreurs humaines provoquent la plus grande perte financière ; Seulement 18 % pour la menace externe ; 15 % pour la menace interne et 9 % pour les dysfonctionnements du système et 7 % pour les attaques automatiques.

« La plus grande incohérence que notre étude ai permis de révéler est que les professionnels de l’IT savent clairement que les erreurs humaines causent 51 % de leurs pertes alors qu’en terme de budget, seulement 13 % d’entre eux placent le risque lié au facteur humain en haut de la liste et 40 % des personnes interrogées placent les erreurs humaines comme la menace la moins importante. Si les entreprises souhaitent dépenser leur budget de sécurité informatique de manière logique, il est temps de palier à cette contradiction », commente Zoltán Györko, CEO de BalaBit IT Security. BalaBit a également demandé aux participants de la RSA Conference d’estimer, jusqu’à combien le niveau de la sécurité informatique de leur entreprise pouvait être réduit pour satisfaire les besoins des utilisateurs à privilèges : 83 % des personnes interrogées ont répondu que leur niveau de sécurité était réduit (19 % fortement, notablement à 32 % et modérément à 32 %), pour satisfaire les utilisateurs privilégiés.

« En raison de leur manque de flexibilité, les solutions de contrôle d’accès ne sont souvent pas en mesure de prévenir les incidents mais empêchent les utilisateurs de travailler efficacement. La surveillance peut être un outil efficace contre les risques de sécurité liés au facteur humain, que la source soit interne ou externe. Les risques liés au facteur humain peuvent être considérablement diminués par la détection et le blocage des activités suspicieuses des utilisateurs. Les alertes et la surveillance en temps réel sont inévitables pour les comptes à privilèges, qui disposent de droits d’accès, de modification ou de suppression des informations sensibles de l’entreprise. Il n’est pas étonnant que leurs profils soient la cible principale des hackers. Un taux plus élevé de détection est plus dissuasif que le contrôle passif et plus favorable aux entreprises  », ajoute Zoltán Györko.

Banque, escroquerie, Phishing, Social engineering

Prudence au Phone phishing

Un commentaire

Des pirates informatiques, se faisant passer pour votre banque, n’hésite pas à vous appeler au téléphone pour se faire passer pour votre conseiller financier.

Deux personnes âgées, basées dans le centre-ouest de la France, viennent de faire les frais d’une technique bien rodée, le voice phishing ou phone phishing. Les deux victimes vivent à Thouars et à Nueil-les-Aubiers dans le 79. Étonnamment, les escrocs ont attaqué deux clients de la même agence bancaire. Les pirates, dans ce cas, ne se sont pas fait passer pour la banque mais pour l’opérateur Orange. L’excuse, une mise à jour des informations bancaires des interlocuteurs.

Attention, Data Security Breach des preuves de la même attaque sous forme d’appel de conseillers financiers. La technique est la suivante. Une personne vous contacte en expliquant qu’il vous reste de l’argent sur un compte bancaire. Le pirate indique alors que cet argent peut vous être transféré. Malin, l’escroc connait l’identité et le téléphone de sa victime. Si ce dernier a repéré la banque du « poisson », un jeu d’enfant pour continuer son piège. Il indique, au téléphone, les 4 chiffres qui seraient les premiers nombre de la carte bancaire de la personne contactée par téléphone. Ici, le piège se referme sur la potentielle victime.

Les 4 premiers chiffres, tout le monde peut les connaitre. D’abord, la carte, une Visa ou une MasterCard ? Si le premier chiffre est 5, vous n’avez pas le propriétaire d’une carte Visa (4), mais d’une MasterCard. Les trois chiffres suivants correspondent à la « marque » de l’entreprise bancaire éditrice de la CB : BNPParibas : 974 ; Caisse d’épargne : 978/927 ; La Poste : 970 ; Crédit lyonnais : 972 ; Sofinco : 976 ; La Bred : 975 ; Société Générale 973 ; Auchan/Accord : 032 ; Crédit Mutuel : 132. Si le premier chiffre est 5, vous n’avez pas une carte Visa (4), mais MasterCard.

Bref, vous comprenez ainsi le tour de passe-passe qui pourrait en bluffer plus d’un. Prudence donc et retenez une seule chose : On ne donne aucune information par téléphone.