Tous les articles par Damien Bancal

Damien Bancal, expert reconnu en cybersécurité Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles. Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe. Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.
Logiciels

Cisco ajoute Advanced Malware Protection de SourceFire à ses outils

Cisco va annoncer ce mardi 25 février qu’il a ajouté Advanced Malware Protection (AMP), soit la protection contre les malwares avancés, développé à l’origine par Sourcefire, à sa gamme de produits de sécurité de contenu, soit les appliances de sécurité Email et Web  et la solution Cloud Web Security. Cette intégration offre à l’ensemble des clients des fonctionnalités complètes pour combattre les malwares : la détection et le blocage, la remise en état du réseau de manière rétrospective et l’analyse en continu des menaces avancées. Cette nouvelle offre représente l’un des premiers efforts d’intégration des technologies respectives de Cisco et Sourcefire et permet d’étendre la protection contre les malwares avancés à plus de 60 millions d’utilisateurs déjà protégés avec les solutions de sécurité de contenu de Cisco.

La technologie Advanced Malware Protection utilise l’important réseau de données de sécurité dans le Cloud de Cisco et de Sourcefire (appartenant désormais à Cisco). Basé sur les attaques d’aujourd’hui, il est spécifiquement conçu pour se protéger contre celles-ci ; AMP évolue pour assurer une surveillance et une analyse en continu au travers du réseau étendu et tout au long du continuum d’attaque – avant, pendant et après une attaque. En associant la connaissance approfondie des menaces avancées de Sourcefire et l’expertise analytique de Cisco, le leader de l’industrie des solutions de sécurité Web et Email, les entreprises bénéficient d’une visibilité et d’un contrôle inégalés, avec une approche intégrée la plus rentable du marché pour résoudre les problèmes liés aux logiciels malveillants perfectionnés.

Cisco a également ajouté Cognitive Threat Analytics, acquis l’année dernière via Cognitive Security, et proposé en option aux clients Cloud Web Security de Cisco®. Cognitive Threats Analytics est un système très intuitif et autodidacte, qui utilise la modélisation comportementale et la détection des anomalies pour identifier les activités malveillantes et réduire le temps dédié à la découverte des menaces qui agissent dans le réseau. Cognitive Threats Analytics et AMP sont toutes deux disponibles en option sur la plateforme Cisco Cloud Web Security.

L’intégration des technologies dédiées à la détection de malwares avancés aux solutions de sécurité Web et Email de Cisco et celle de Cognitive Threat Analytics à la plateforme Cloud Web Security de Cisco, étendent la capacité de Cisco à fournir plus de solutions de sécurité centrée sur la menace pour ses clients en élargissant le spectre de l’environnement protégé et en fournissant une protection contre les malwares avancés « partout » où une menace peut se manifester. Grâce à cette intégration, Cisco répond au plus large éventail de vecteurs d’attaque au travers du réseau étendu.

« Epsilon System Solutions adopte une position proactive contre les attaques sophistiquées et s’est tourné vers FireAMP pour s’assurer que nous faisions tout notre possible pour identifier, arrêter et supprimer les menaces sur le poste de travail aussi rapidement que possible », explique Damon Rouse, Directeur Informatique d’Epsilon System Solutions. « Ajouter la technologie AMP aux appliances de sécurité Web et Email et aux services de sécurité Web dans le Cloud est une initiative intelligente qui va grandement profiter aux clients dans leurs efforts pour se protéger contre les menaces désormais en constante évolution. AMP est l’unique solution que nous ayons vu qui puisse associer la puissance du sandboxing avec l’innovation de la sécurité rétrospective ; cela a contribué à nous mettre dans une meilleure position pour réduire davantage l’impact des attaques potentielles ».

Au lieu de s’appuyer sur les signatures de malwares, ce qui peut prendre des semaines ou des mois à créer pour chaque nouveau malware, AMP combine des fonctionnalités de File reputation et de sandboxing, et une analyse rétrospective pour identifier et arrêter les menaces tout au long du continuum d’attaque.

–    Les fonctionnalités de File reputation vérifient la réputation de chaque fichier en temps réel, fournissant aux utilisateurs les connaissances nécessaires pour bloquer automatiquement les fichiers malicieux et appliquer les règles définies par l’administrateur en utilisant l’interface de la solution de sécurité Web ou Email de Cisco.

–    L’analyse sandboxing utilise un environnement sécurisé pour analyser et comprendre le comportement réel des fichiers inconnus qui passent sur le réseau. Cela permet à AMP de récupérer plus d’informations basées sur le comportement du fichier et d’associer ces données avec les analyses humaines détaillées et celles de la machine pour mesurer le niveau de la menace d’un fichier.

–    L’analyse rétrospective résout les problèmes liés aux fichiers malicieux qui passent au travers des défenses périmétriques, mais qui s’avèrent ensuite être une menace. Plutôt que d’agir à un moment donné, l’analyse rétrospective est continue, en utilisant les mises à jour en temps réel d’AMP basée dans le Cloud et ainsi être informé de l’évolution du niveau de la menace. Ainsi, AMP aide à identifier et à traiter rapidement une attaque, avant qu’il y ait un risque de propagation.

Christopher Young, Vice-Président Senior, Cisco Security Business Group, précise « les menaces avancées d’aujourd’hui peuvent hacker les systèmes d’information grâce à une combinaison de plusieurs vecteurs qui requièrent une sécurité continue à défaut de solutions ajoutées les unes aux autres dans le temps. Les passerelles de sécurité Web et Email font une grosse partie du travail de protection dans le procédé de défense contre la menace, en bloquant l’arrivée de contenu malveillant. En réunissant la protection contre les malwares et l’analyse des menaces avec nos passerelles de sécurité Web et Email, y compris en mode Cloud, nous offrons à nos clients la meilleure protection contre les malwares avancés depuis le Cloud jusqu’au réseau, en passant par le poste de travail ».

La protection contre les malwares avancés sur le réseau
Sur le réseau, AMP est une fonctionnalité intégrée à FirePOWER dans les appliances Next-Generation IPS ou Next-Generation Firewall, ou disponible sous forme d’appliance seule. Aussi, les solutions FireAMP offrent une protection des postes de travail, des périphériques mobiles et des environnements virtuels, en fonctionnant grâce au FirePOWER ou de manière autonome grâce à un connecteur.

Comme la vitesse du réseau continue d’augmenter, le besoin en haute performance des appliances capables d’assurer une protection contre les malwares perfectionnés augmente. Pour répondre à ce besoin, Cisco annonce également le lancement de 4 dernières appliances FirePOWER plus rapides, toutes compatibles avec AMP. Les modèles 8350 (15Gbps), 8360 (30 Gbps), 8370 (45 Gbps) et 8390 (60 Gbps) viennent compléter la gamme FirePOWER et fonctionneront avec tous les NetMods existants pour permettre une modularité et un support mixtes. La série FirePOWER 8300 permet une augmentation de 50 % du débit contrôlé et peut offrir jusqu’à 120+ Gbps de débit.

Entreprise, Fuite de données, Social engineering

Quand l’escroc informatique se prend pour un mentaliste

Le CERT-FR, cellule gouvernementale en charge de la sécurité informatique des infrastructures étatiques, a constaté une recrudescence de techniques d’ingénierie sociale (Social Engineering) où un escroc se fait passer pour un agent appartenant à un service de support technique.

Comme le rappel le CERT France, deux méthodes principales sont employées pour contacter une victime potentielle. D’abord l’appel à froid « cold call ». L’escroc appelle directement sa victime en prétendant être le technicien d’un service de support informatique. Il utilise alors des techniques d’ingénierie sociale en expliquant à la victime que son ordinateur est sujet à des comportements suspects. Une technique vieille comme le monde. Kevin Mitnick, hacker mythique, s’en était fait une spécialité dans les années 80. En janvier dernier, une société du sud de la France se voyait « détourner » pas moins de 17 millions d’euros via l’ingénierie sociale.

Autre possibilité, la publicité en ligne. Certains pirates utilisent les moteurs de recherche pour référencer de fausses entreprises de support informatique. Un utilisateur à la recherche d’une solution à un problème technique pourra être tenté de rentrer en contact avec ces fausses sociétés. La victime mise en confiance est incitée à payer pour une assistance ou un produit. Dans certains cas, le prétendu technicien peut faire installer à l’utilisateur ciblé des logiciels de prise de contrôle à distance (tel que LogMeIn) sur ses équipements.

Depuis peu, le même type d’escroquerie a été constaté pour les terminaux mobiles. Le manque de connaissances, de formations, d’informations et la naïveté des victimes permet aux voleurs de prendre le contrôle de l’ordinateur, de la connexion ou d’un terminal. Nous vous parlions, l’année dernière, de faux antivirus commercialisés en Belgique. « Un technicien de support informatique légitime, explique le CERT France, n’est pas censé amener l’utilisateur à installer un quelconque outil supplémentaire sur un poste de travail, ni à lui demander d’identifiants et de mots de passe d’authentification« .

Pour s’en protéger, il suffit de faire preuve de la plus grande prudence vis-à-vis des appels téléphoniques provenant de services de support alors que ceux-ci n’ont pas été sollicités. Ne pas hésiter à être « paranoïaque et solliciter, dans un cadre professionnel, uniquement les services de supports internes à l’entreprise ou à l’organisation.

 

 

Cyber-attaque, Cybersécurité, Fuite de données, Leak, Mise à jour, Patch

Failles pour Internet Explorer et Chrome

Microsoft confronté à une faille dans ses navigateurs 9 et 10. Google en profite pour corriger 29 « bugs » pour Chrome. Les dernières attaques ayant visé des entreprises françaises et étrangères ont mis Microsoft en alerte. Les intrus ont exploité une faille 0Day pour lancer des codes malveillants à partir d’une vulnérabilité visant Internet Explorer 9 et 10. Comme l’indique le CERT FR, la faille permet l’exécution de code arbitraire à distance. Dans l’attente de la publication du correctif, il est recommandé d’appliquer le patch provisoire mis en ligne par Microsoft sur les navigateurs Internet Explorer à jour de leurs derniers correctifs de sécurité. Mission, bloquer la majorité des attaques connues ; de mettre à jour, lorsque cela est possible vers Internet Explorer version 11 (Sous Windows 8, seule la version pro 8.1 accepte IE 11) ; d’installer et de configurer l’outil de sécurité EMET sur les applications sensibles (dont Microsoft Internet Explorer) afin de limiter les risques connus d’exploitation.

Pour Chrome, Google a corrigé 29 possibilités pirates allant de l’exécution de code arbitraire à distance, de déni de service, de contournement de la politique de sécurité ou encore d’atteinte à la confidentialité des données. Bref, des failles très sérieuses qui touchent Google Chrome versions antérieures à 33.0.1750.117.

Logiciels, Mise à jour

Snort prend du poil de la bête avec une annonce de Cisco

Cisco, lors du rachat de Snort en 2012, avait annoncé continuer à soutenir les projets Open Source. Le géant américain va annoncer, ce mardi, qu’il mettait les petits plats dans les grands avec la détection et le contrôle d’accès applicatif Open Source via le langage OpenAppID. Une annonce qui va permettre un développement rapide des contrôles applicatifs grâce à la communauté. « OpenAppID permet de donner aux utilisateurs de Sourcefire toute la flexibilité attendue pour gérer la détection d’application, la corrélation temps réel et le contrôle d’accès applicatif (NGFW) sur des applications spécifiques ou sensibles. » explique à Data Security Breach Cyrille Badeau, Directeur Europe du Sud de Sourcefire. En s’appuyant sur la puissance de l’open source et de sa communauté, Cisco annoncera demain mardi qu’elle offrira désormais la possibilité de créer et d’intégrer de nouvelles fonctionnalités d’accès applicatif open source dans son moteur Snort grâce à OpenAppID. »Un message fort pour la communauté OpenSource et c’est dans la ligne tracée par Marty Roesch (créateur de Snort, ndr) depuis 12 ans. » confirme Cyrille Badeau à DataSecurityBreach.fr.

La détection et le contrôle d’accès applicatif open source est activé par le nouveau langage OpenAppID de Cisco centré sur la couche applicative. OpenAppID fournit une visibilité sur les applications, accélère le développement de systèmes de détection des applications, contrôle et offre à la communauté la possibilité de partager les systèmes de détection pour une meilleure protection. Comme de nouvelles applications sont développées et introduites dans les systèmes d’information des entreprises à un rythme sans précédent, ce nouveau langage permet aux utilisateurs, grâce à une flexibilité accrue, de contrôler les nouvelles applications sur le réseau. OpenAppID est particulièrement intéressant pour les entreprises qui utilisent des applications propres ou personnalisées et pour celles qui évoluent dans des secteurs réglementés qui exigent les plus hauts niveaux de contrôle et d’accès. « L’ouverture de l’OpenAppID va donner au NGFW de CISCO ce que SNORT a donné et donne au NGIPS historique de Sourcefire, indique Cyrille Badeau à Data Security Breach France. Pour ce dernier, le succès de la solution est très liée au caractère OpenSource du moteur de détection. Les clients sensibles vont pouvoir utiliser le NGFW SF-CISCO en gardant le contrôle et la confidentialité nécessaire sur leurs applications maisons et sensibles. »

Snort est le système de détection et de prévention d’intrusions open source et gratuit, créé par Martin Roesch en 1998. La détection et le contrôle applicatif open source permet aux utilisateurs de créer, partager et mettre en place une détection des applications personnalisée pour répondre aux nouvelles menaces qui visent les applications, aussi rapidement que possible.

Martin Roesch, créateur de Snort, Vice-Président et Directeur technique de Cisco Security Business Group précise que « l’open source est très important car il permet de créer une véritable collaboration et une confiance entre les éditeurs et les experts chargés de lutter contre les menaces persistantes et avancées. En plaçant le contrôle applicatif et la visibilité en mode open source, Cisco offre à la communauté une autonomie pour lui permettre de créer des solutions techniquement supérieures afin de répondre aux enjeux de sécurité les plus complexes« .

Dans le cadre de cette annonce, Cisco livre également une nouvelle version du moteur Snort qui inclut les nouveaux préprocesseurs OpenAppID. La communauté Snort a ainsi la possibilité de commencer à utiliser le langage OpenAppID pour créer des systèmes de détection d’applications. En outre, une bibliothèque de plus de 1000 règles OpenAppID sera disponible gratuitement avec la communauté Snort sur http://www.snort.org. Chaque membre de la communauté pourra ajouter des règles, y compris les entreprises qui disposent d’applications propres et qui ne sont pas commercialement disponibles. « Utiliser le NGFW de CSICO – SF sur des applications non connues et spécifiques, termine Cyrille Badeau. Dans beaucoup de cas, ces applications ne peuvent être partagées avec l’éditeur par le client (trop sensible, ndr). Avec OpenAppID, ce partage n est plus nécessaire car l’écriture du détecteur d’application se fait chez le client. (tout comme les règles spécifiques snort, ndr) »

 

 

Emploi, Entreprise, Paiement en ligne, Propriété Industrielle

Les entreprises françaises négligent Internet

Un commentaire

Les résultats du nouveau baromètre d’Email-Brokers, le leader ouest-européen du database management et du marketing interactif, sont sans appel : les entreprises françaises négligent Internet et manquent des opportunités de développement. Pour le spécialise du web, la France un futur désert numérique ?  80 % des entreprises qui ont fait faillite en 2013 n’avaient pas de site web. « En outre, sans garde-fou, formation, accompagnement et soutien, l’explosion de la présence de nos sociétés en ligne risque bien vite de s’apparenter davantage à un effet de ‘pétard mouillé » souligne William Vande Wiele, PDG d’Email-Brokers. Si les chiffres apparaissent comme satifaisants ils montrent que la France décroche par rapport aux autres pays européens : sur Facebook, 16,09 % d’entreprises françaises ont une page contre 25,03 % en Espagne. Plus de 300.000 sites usurpent des adresses en .fr. L’e-commerce (+14%) constitue une valeur ajoutée économique et un outil de choix lorsqu’il est pleinement maîtrisé et à même d’inspirer la confiance des consommateurs. Pourtant, globalement, l’étude relève une hausse de 31 % des sites  qui ne sont pas conformes aux obligations légales, 428.800 des sites actifs ne contiennent même pas de coordonnées de contact.

Cyber-attaque, DDoS, Entreprise, Fuite de données, Leak

Les principales menaces de sécurité qui pèsent sur les entreprises

HP vient de publier son rapport Cyber Risk Report 2013, où sont identifiées les principales vulnérabilités qui touchent les entreprises dans le domaine de la sécurité. Cette étude propose par ailleurs une analyse du paysage des menaces, actuellement en pleine expansion.

Réalisée par le laboratoire de la recherche en sécurité HP Security Research, cette étude annuelle fournit des données complètes et une analyse approfondies des questions de sécurité les plus pressantes pour les entreprises. Cette édition dévoile les facteurs qui ont le plus contribué à élargir la surface d’attaque en 2013 – à savoir l’utilisation croissante des terminaux mobiles, la prolifération des logiciels non sécurisés et l’utilisation croissante de Java – tout en proposant aux entreprises des mesures appropriées pour réduire les risques de sécurité, ainsi que l’impact global des attaques.

« Les hackers sont plus performants que jamais et ils collaborent plus efficacement entre eux dans le but d’exploiter au mieux les vulnérabilités sur une surface d’attaque en expansion permanente », a déclaré Jacob West, directeur de la technologie, Enterprise Security Products, HP. « L’industrie doit par conséquent faire preuve de proactivité et partager les renseignements et les tactiques de sécurité pour lutter contre les activités malveillantes entraînées par un marché du cybercrime en plein essor. »

Faits marquants et principales conclusions de l’étude Cyber Risk 2013
·  Si les recherches consacrées aux vulnérabilités ont continué à susciter un vif intérêt, le nombre total de vulnérabilités annoncées officiellement a baissé de 6 % en un an, tandis que le nombre de vulnérabilités importantes a diminué pour la quatrième année consécutive (-9 %). Bien que non quantifiable, ce déclin peut être l’indication d’une forte augmentation des vulnérabilités qui ne sont pas annoncées officiellement mais, au contraire, qui sont transmises au « marché noir » en vue d’une utilisation privée et/ou malveillante.

·  Près de 80 %(2) des applications examinées contenaient des vulnérabilités dont l’origine se situe à l’extérieur du code source. Même un logiciel développé avec rigueur peut s’avérer particulièrement vulnérable s’il est mal configuré.

·  Les définitions variables et incohérentes du terme « malware » compliquent l’analyse des risques. Dans un examen portant sur plus de 500 000 applications mobiles pour Android, HP a constaté des écarts importants entre la façon dont les moteurs antivirus et les fournisseurs de plateformes mobiles classent les logiciels malveillants.(3)

·  46 %(2) des applications mobiles étudiées utilisent le chiffrement de manière inappropriée. L’étude de HP montre que les développeurs d’applications mobiles font rarement appel aux techniques de chiffrement pour stocker des données sensibles sur les appareils mobiles, s’appuient au contraire sur des algorithmes faibles, ou utilisent de façon inappropriée des outils de chiffrement plus forts, ce qui les rend inefficaces.

·  En 2013, Internet Explorer était l’application la plus ciblée par les spécialistes en vulnérabilités de la HP Zero Day Initiative (ZDI) avec plus de 50 %(4) des vulnérabilités acquises par le programme. Cette attention est liée au fait que les forces du marché [officielles et illégales] concentrent leurs recherches sur les vulnérabilités de Microsoft, ce qui ne reflète pas le niveau de sécurité global d’Internet Explorer.

·  Les vulnérabilités liées au contournement de la « sandbox » des applications sont les plus fréquentes et les plus graves pour les utilisateurs de Java(2). Les hackers ont considérablement haussé le niveau des agressions contre Java en ciblant simultanément plusieurs vulnérabilités connues (et « jour zéro ») dans des attaques combinées menées contre des objectifs spécifiques.

Principales recommandations
Dans un environnement où les cyberattaques sont de plus en plus nombreuses et la demande en logiciels sécurisés de plus en plus forte, il est impératif d’éliminer les possibilités de révéler involontairement des informations pouvant être exploitées par des pirates informatiques. Les entreprises comme les développeurs doivent rester au fait des failles de sécurité dans les frameworks et autres codes tierce partie, tout particulièrement dans le cas des plates-formes de développement mobile hybrides. Des directives de sécurité robustes doivent être appliquées pour protéger l’intégrité des applications et la confidentialité des utilisateurs. S’il est impossible d’éliminer la surface d’attaque sans pénaliser les fonctionnalités, une bonne combinaison des personnes, des processus et des technologies peut permettre aux entreprises de minimiser efficacement les vulnérabilités alentour pour réduire considérablement les risques globaux. La collaboration et le partage de renseignements sur les menaces entre les professionnels de la sécurité informatique permet de connaître de façon plus approfondie la tactique des adversaires, avec à la clé des stratégies de défense davantage proactives, l’incorporation de protections renforcées dans les solutions de sécurité proposées, et un environnement globalement plus sûr.

HP publie son étude Cyber Risk chaque année depuis 2009. Le laboratoire HP Security Research s’appuie sur un certain nombre de sources internes et externes pour réaliser cette étude, parmi lesquelles la HP Zero Day Initiative, les évaluations de sécurité HP Fortify on Demand, les études de sécurité HP Fortify Software Security Research, les laboratoires ReversingLabs et le référentiel de vulnérabilités du gouvernement américain (National Vulnerability Database). La méthodologie complète est présentée en détail dans le rapport.

Hacking

SecureLine pour Android et iOS

Les zones d’accès sans fil gratuites sont omniprésentes et fournissent des points de connexion pratiques  pour les personnes en déplacement. Malheureusement, elles ne fournissent pas la sécurité nécessaire pour une connexion sans danger. Les pirates informatiques peuvent facilement accéder aux données personnelles des utilisateurs connectés à ces réseaux non protégés et les dérober. AVAST a résolu ce problème avec le VPN avast! SecureLine pour les smartphones et les tablettes Android. La version de SecureLine pour iPhone et iPad a également été mise à jour. En chiffrant les données utilisateur, SecureLine se comporte comme un tunnel, formant ainsi un bouclier virtuel qui rend les activités de l’utilisateur invisibles au monde extérieur. Les utilisateurs du VPN avast! SecureLine peuvent naviguer sur le web de façon complètement anonyme, se protégeant ainsi des pirates informatiques et des espions.

Selon une étude effectuée auprès de plus de 340,000 répondants, près de la moitié des possesseurs de smartphones du monde entier se connectent à un Wi-Fi ouvert chaque mois, 52 % d’entre eux le faisant tous les jours ou toutes les semaines. Que ce soit dans un aéroport, un café ou un parc local, le Wi-Fi non sécurisé permet aux utilisateurs d’accéder à Internet sans entrer de mot de passe. Environ un tiers de ces utilisateurs effectuent des transactions sensibles sur un Wi-Fi public, comme des achats en lignes, des transactions bancaires et d’autres activités qui nécessitent la saisie de mots de passe et de données personnelles. « Les pirates informatiques ciblent les zones d’accès sans fil publiques, où il est facile de suivre chaque mouvement des utilisateurs de connexion Wi-Fi. Les pirates ont ainsi accès aux e-mails, mots de passe, documents et comportement de navigation. » a déclaré Vincent Steckler, président-directeur général d’AVAST Software. « Le Wi-Fi ouvert ne va pas disparaître, nous devons simplement faire en sorte qu’il y ait une façon plus sécurisée de s’y connecter. C’est pourquoi nous proposons le VPN SecureLine pour PC, iPad, iPhone et les appareils Android. »

En plus de protéger les utilisateurs lorsqu’ils utilisent un Wi-Fi non sécurisé, le VPN avast! SecureLine donne aux utilisateurs la possibilité de changer de lieu lorsqu’ils surfent. Cette fonctionnalité est particulièrement utile pour les voyageurs fréquents, qui doivent contourner les restrictions régionales pour accéder aux contenus : le VPN avast! SecureLine permet aux voyageurs de se connecter avec des serveurs de leur pays d’origine pour accéder aux services auxquels ils sont abonnés.

Fonctionnement du VPN
Une fois le VPN avast! SecureLine installé sur un smartphone ou une tablette, il avertit automatiquement les utilisateurs des dangers d’un Wi-Fi non sécurisé. L’utilisateur a alors la possibilité de se connecter au VPN sécurisé d’AVAST. Le VPN peut être activé volontairement par l’utilisateur, ou être configuré pour établir une connexion chiffrée sécurisée à chaque connexion de l’appareil mobile à un Wi-Fi ouvert. Par défaut, l’application sélectionnera automatiquement le serveur le plus proche pour fournir un niveau de performance optimal. L’utilisateur peut également choisir de changer le lieu virtuel à partir duquel il souhaite accéder à Internet, par exemple New York, Seattle, Singapour ou Londres. Lorsque le VPN est activé, toutes les activités de l’utilisateur effectuées sur Internet sont rendues anonymes et protégées des pirates informatiques.

« Malheureusement, le piratage n’est pas un processus compliqué : il y a des outils disponibles en ligne que n’importe qui peut utiliser facilement pour voler des données personnelles. », déclare Ondrej Vlcek, directeur technique d’AVAST. « Nous avons créé le VPN avast! SecureLine pour permettre aux utilisateurs de naviguer de façon anonyme et en toute sécurité sur le web, particulièrement lorsqu’ils utilisent un Wi-Fi ouvert. » Petit bémol cependant, l’application consomme énormément de batterie et se permet d’utiliser votre compte Google Play (l’email qui est utilisé pour se connecter, ndr) pour vous envoyer un courriel commercial.

Ce VPN est disponible sous la forme d’un abonnement mensuel pour 2,59 € par mois ou d’un abonnement annuel de 19,99 € par mois pour Android sur Google Play ; de 2,69 € par mois ou 17,99 € par an pour iOS dans l’Apple App Store. A noter qu’il existe d’autres solutions, comme VyprVPN. Si Avast propose 11 VPN (6 américains, 1 britannique, 1 allemand, 1 Pays-bas, 1 à singapoure et un à Prague), VyprVPn propose des VPN dans plus d’une quarantaine de pays.

Arnaque, Cybersécurité, Fuite de données, Identité numérique, Social engineering, Vie privée

Méfiez-vous de l’ingénierie sociale, l’outil préféré des escrocs

L’ingénierie sociale est sournoise car elle exploite notre tendance naturelle à vouloir nous rendre utile. Les escrocs peuvent également jouer sur les émotions humaines, telles que la peur et la compassion. Voici quelques astuces employées par les escrocs pour soutirer des informations confidentielles, et comment vous en protéger. Vous êtes au bureau et un électricien vient résoudre un problème, ou votre téléphone sonne et c’est votre FAI qui vous informe d’un problème avec votre compte.

C’est dans la nature humaine de coopérer, non ? Vous laissez l’électricien entrer et le laissez faire ce qu’il doit faire. Vous répondez aux questions posées par le représentant du service clientèle afin de vérifier votre identité. Malheureusement, au lieu de vous rendre utile, vous êtes désormais victime de l’ingénierie sociale. L’électricien a installé un routeur pirate ou des caméras de surveillance dans votre bureau. Le faux représentant du service clientèle connaît vos données personnelles, les informations de votre compte ou encore votre numéro de carte bancaire.

L’ingénierie sociale désigne les techniques utilisées par des individus pour conduire d’autres individus à effectuer certaines tâches ou révéler certains types d’information. Les cybercriminels et les voleurs profitent du désir humain naturel de se rendre utile et de croire ce que les gens disent. Ces escrocs n’ont pas besoin d’employer de techniques de piratage sophistiquées ni de logiciels malveillants exploitant une vulnérabilité logicielle, quand il leur suffit simplement d’envoyer une pièce jointe malveillante par email et demander au destinataire d’ouvrir le fichier.

L’ingénierie sociale n’est pas quelque chose de nouveau ; les escrocs et leurs escroqueries élaborées ont existé de tout temps. Ce qui est nouveau, c’est la quantité d’information que les escrocs peuvent recueillir sur leurs victimes ciblées avant même d’attaquer. Grâce aux réseaux sociaux, ils peuvent trouver toutes sortes d’information, par exemple le lieu de travail de leurs victimes ciblées, les noms de leurs collègues, l’école où elles ont étudié, et même le dernier endroit où elles sont parties en vacances. Ils peuvent déterminer l’organigramme de l’entreprise ou les types de logiciels qu’elle utilise. Ils peuvent exploiter toutes ces informations pour convaincre une victime qu’ils disent la vérité.

Il est dans la nature humaine d’aider
Defcon, la plus grande conférence de pirates, organise tous les ans une compétition de type « capture du drapeau » en s’aidant de l’ingénierie sociale. Les participants ont quelques semaines pour étudier une société ciblée. De grandes entreprises telles qu’Apple, Johnson & Johnson et d’autres, ont été ciblées les années précédentes. Le jour de la compétition, les concurrents entrent dans une cabine, appellent une personne de la société, et tentent de lui faire révéler des « drapeaux », tels que la version du navigateur utilisé dans l’entreprise ou le type de logiciel installé sur son ordinateur. Les candidats prétendent généralement être des collègues d’un autre bureau essayant de recueillir des informations pour le PDG, et avoir vraiment besoin d’aide parce qu’ils sont complètement dépassés. La plupart du temps, les gens veulent aider et proposent librement des informations.

La peur est lucrative
Les escrocs sont passés maîtres de l’alarmisme. Une escroquerie courante consiste à appeler de la part d’un service d’assistance technique ou similaire en raison d’un problème sur l’ordinateur de l’utilisateur. L’appelant demande à l’utilisateur de taper quelques commandes standard sur l’ordinateur et explique que le résultat obtenu témoigne de la présence de programmes malveillants ou d’autres problèmes graves. À ce stade, l’utilisateur est convaincu que quelque chose ne va pas bien et communique son numéro de carte bancaire au « représentant » pour résoudre le problème.

Vérifiez vérifiez, et vérifiez encore
Si quelqu’un appelle en prétendant être d’une qualité officielle, demandez des preuves. Demandez un numéro de poste afin de pouvoir rappeler cette personne. Si la personne prétend être un employé d’un autre bureau ou d’un fournisseur, demandez une information vous permettant de confirmer son identité. S’il s’agit d’un policier, demandez son numéro de badge. Si ces personnes sont légitimes, elles vous fourniront les informations demandées sans hésitation. Ne cédez pas à la pression « vous avez quelques minutes pour agir ». Vous avez toujours le temps de réfléchir et de vérifier.

Méfiez-vous toujours des situations dans laquelle vous êtes activement contacté au sujet d’un problème. Aucune entreprise légitime ne vous demandera votre mot de passe, et le gouvernement enverra toujours une lettre pour les communications officielles. Et si vous recevez soudainement un appel d’un ami ou d’un parent prétendant être bloqué dans un pays étranger et ayant besoin que vous leur envoyez de l’argent au plus vite, ne leur faite pas simplement confiance parce qu’il ou elle connaît le nom de vos frères et sœurs ou le nom de votre chien.

Soyez conscient de ce que vous communiquez en ligne, et réglez les paramètres de contrôle de votre confidentialité. Il existe certaines informations que vous ne devriez jamais communiquer en ligne, telles que votre mot de passe, les réponses aux questions de sécurité (comme le nom de jeune fille de votre mère) ou votre numéro de sécurité sociale. Vous pouvez toujours vous rendre utile, mais prenez le temps de douter et de tout évaluer. Une petite dose de scepticisme n’a jamais fait de mal, et peut faire une énorme différence lorsqu’il s’agit de cybercriminalité. (Par Thierry Karsenti, Directeur Technique Europe – Check Point Software Technologies)

 

Cyber-attaque, DDoS, Leak, Piratage

The Mask : nouvelle campagnes de cyber-espionnage

L’équipe de recherche en sécurité de Kaspersky Lab a annoncé la découverte de « The Mask » (alias « Careto »), une menace avancée, en langue espagnole, incluse dans des opérations de cyber-espionnage actives depuis au moins 2007. La particularité de « The Mask » réside dans la complexité des outils employés par les auteurs des attaques. Il s’agit de malwares extrêmement élaborés, notamment un rootkit, un bootkit, des versions Mac OS X et Linux, voire des versions pour Android et iOS (iPad/iPhone). Les principales cibles sont des administrations, des représentations diplomatiques et des ambassades, des compagnies pétrolières, gazières et énergétiques, des laboratoires de recherche et des activistes. Les victimes de ces attaques ciblées se répartissent dans 31 pays à travers le monde, allant du Moyen-Orient à l’Europe, de l’Afrique au continent américain. La France, la Belgique, le Maroc, l’Algérie, la Tunisie font partis de la liste.

Les auteurs des attaques ont essentiellement pour objectif de collecter des données sensibles auprès des systèmes infectés : documents de travail mais aussi diverses clés de cryptage, configurations VPN, clés SSH (permettant d’identifier un utilisateur sur un serveur SSH) et fichiers RDP (utilisés par le logiciel Remote Desktop Client pour ouvrir automatiquement une connexion avec un ordinateur réservé).

« Plusieurs raisons nous amènent à penser que cette campagne pourrait être commanditée par certains Etats. Avant tout, nous avons observé un très haut degré de professionnalisme dans les procédures opérationnelles du groupe qui se cache derrière cette attaque, depuis la gestion des infrastructures, la clôture de l’opération, la dissimulation au moyen de règles d’accès et l’effacement du contenu des fichiers journaux au lieu de leur suppression. Tout cela contribue à rendre cette menace persistante avancée (APT) encore plus complexe que Duqu et à en faire l’une des menaces les plus évoluées du moment », commente à Data Security Breach Costin Raiu, directeur de l’équipe internationale de chercheurs et d’analystes (GReAT) de Kaspersky Lab. « Un tel niveau de sécurité opérationnelle n’est pas courant chez les groupes de cybercriminels. »

Les chercheurs ont pris pour la première fois conscience de l’existence de Careto, l’an passé, lorsqu’ils ont observé des tentatives d’exploitation d’une vulnérabilité qui avait été corrigée depuis cinq ans dans les produits de la société. Cette faille permettait au malware d’éviter toute détection. Ce constat a naturellement éveillé l’intérêt des chercheurs et déclenché leur enquête. Pour les victimes, une infection par Careto peut se révéler désastreuse, car celui-ci intercepte toutes les communications et recueille les informations les plus vitales sur les machines ciblées. Sa détection est extrêmement difficile en raison de ses capacités de rootkit furtif, de ses fonctionnalités intégrées et de ses modules additionnels de cyber-espionnage.

Les auteurs semblent avoir pour langue maternelle l’espagnol, ce qui est très rare dans le cas d’attaques APT. Cla ne prouve cependant pas qu’ils sont hispaniques. La campagne a été active pendant au moins cinq ans jusqu’à janvier 2014 (certains échantillons de Careto ont été compilés en 2007). Plus de 380 victimes uniques ont été répertoriées sur plus de 1000 adresses IP. Les pays suivants ont été infectés : Algérie, Argentine, Belgique, Bolivie, Brésil, Chine, Colombie, Costa Rica, Cuba, Egypte, France, Allemagne, Gibraltar, Guatemala, Iran, Iraq, Libye, Malaisie, Mexique, Maroc, Norvège, Pakistan, Pologne, Afrique du Sud, Espagne, Suisse, Tunisie, Turquie, Royaume-Uni, Etats-Unis et Venezuela. Cette opération de cyber-espionnage est atypique par la complexité et l’universalité des outils utilisés par les criminels. Ces outils incluent notamment des exploits haut-de-gamme, un bout malware extrêmement sophistiqué, un rootkit, un bootkit, des versions Mac OS X et Linux et potentiellement des versions pour Android et iPad/iPhone (iOS). The Mask a également utilisé une attaque spécialement conçue pour cibler les produits Kaspersky Lab.

Fonctionnalités & méthodes d’infection
Selon le rapport d’analyse, la campagne The Mask repose sur des emails de spear-phishing qui contiennent des liens vers un site web malicieux. Ce site web contient un certain nombre d’exploits conçus pour infecter les visiteurs, en fonction de la configuration du système. Lorsqu’un utilisateur a été infecté, le site web le redirige vers le site web bénin qui a été référencé dans l’email d’origine, qui peut être par exemple une vidéo Youtube ou un portail d’actualités. Il est important de noter que les sites web malicieux n’infectent pas automatiquement le visiteur. En effet, les cybercriminels hébergent leurs exploits sur le site dans des dossiers spécifiques qui ne sont pas directement référencés, excepté dans l’email d’origine. Parfois, les criminels utilisent des sous-domaines sur les sites web en question, pour accentuer le réalisme des sites web. Ces sous-domaines simulent l’existence de sous-sections des principaux journaux quotidiens espagnols et quelques journaux internationaux comme « The Guardian » ou « Washington Post ».

Le malware intercepte tous les canaux de communication et collecte les informations vitales du système infecté. Il est extrêmement difficile à détecter en raison d’un rootkit furtif. Careto est un système hautement modulaire, qui supporte des plugins et des dossiers de configuration. Cela lui permet d’exécuter de nombreuses fonctions. D’autre part, en plus des fonctionnalités intégrées, les opérateurs de Careto pourraient ajouter des modules complémentaires capables d’effectuer n’importe quelle attaque.

Fuite de données, Identité numérique, Particuliers, Vie privée

IP-tracking: Le Parlement européen demande une enquête à la Commission européenne

Une semaine après le rapport de la CNIL et de la DGCCRF, les eurodéputés demandent à la Commission européenne d’agir. Le Parlement européen a adopté aujourd’hui à une large majorité une résolution sur l’application de la directive 2005/29/CE sur les pratiques commerciales déloyales. Dans cette résolution, les eurodéputés « s’inquiètent du nombre croissant de plaintes concernant des usagers de sites d’achat de billets en ligne qui ont été victimes d’IP tracking »[1] ;

Les parlementaires demandent à la Commission européenne d’enquêter sur la fréquence de cette pratique « qui génère une concurrence déloyale et qui constitue un détournement des données personnelles des utilisateurs, et, le cas échéant, de proposer une législation adéquate pour protéger les consommateurs[2]« ;

Françoise Castex, qui avait reproché à l’enquête de la CNIL et de la DGCCRF, rendue publique le 27 janvier dernier, de ne pas lever pas le doute sur les tarifs obscurs pratiqués par les grands opérateurs de transports sur la toile, s’est félicitée de ce vote: « C’est la preuve que les usagers ne sont pas paranoïaques et que l’IP-tracking n’est pas qu’une préoccupation franco-française« .

« Nous demandons à la Commission européenne de protéger comme il se doit les millions de consommateurs victimes d’espionnage, notamment via l’utilisation de leur historique de navigation, » poursuit l’eurodéputée du Gers. « Le consentement explicite de l’utilisateur doit être la règle, et non l’exception!« , conclut Françoise Castex, qui presse le Conseil d’adopter le nouveau règlement européen sur les données personnelles.

[1] Pratique qui vise à retenir le nombre de connections d’un internaute via la même adresse IP puis à faire monter artificiellement les prix d’un bien en fonction de l’intérêt démontré par plusieurs recherches similaires

[2] Article 18