Damien Bancal, expert reconnu en cybersécurité
Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles.
Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe.
Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.
L’application Bing de Microsoft sous Android permettait de pirater un smartphone en 10 secondes. Microsoft a corrigé la faille. Faut-il encore que les utilisateurs de smartphones sous Android, utilisateurs de l’application de Microsoft, pensent à faire la mise à jour de leur outil. Un hacker a découvert, il y a quelques jours, comment il était possible de pirate un smartphone via l’application fuiteuse. Il fallait 10 secondes pour réussir le tour de passe-passe. Le chercheur de chez Trustlook a motivié Microsoft à passer son application en version 4.2.1.
L’attaque était simple : connecté en WiFi, sur une connexion non sécurisée, l’application permettait une prise de contrôle des informations de votre « précieux ». La société de sécurité informatique indique qu’il y aurait près d’un milliard de propriétaires de smartphones visés par cette potentialité malveillante.
Bref, après Snapchat, Microsoft démontre que les applications pour smartphone sont réalisées à la va vite et que les utilisateurs installent, sans le savoir, de véritable mouchard. ZATAZWeb.tv de janvier vous montre, d’ailleurs, un de ces logiciels espions, capable de lire vos SMS, de photographier, filmer ou enregistrer des sons avoisinant le smartphone. Sans parler d’un suivi, en temps réel, de votre situation géographique.
L’industrie des jeux en ligne, et notamment celle des éditeurs européens et américains qui accueillent des millions de joueurs sur leurs sites comme Origin, Steam, League of Legends, Battle.net, SOE, Arena.net, est fragilisée par les attaques répétées d’une bande organisée de pirates.
Plusieurs éditeurs de jeux viennent d’être confrontés à ce problème. Les joueurs ne pouvaient plus se connecter à leurs services en ligne ou subissaient des interruptions ou des ralentissements de connexion. Leurs serveurs ont été visés et parfois sévèrement touchés ces derniers jours, tout comme le Playstation Network. Il semble que ce soit le même groupe de hackers qui ait coordonné les attaques. Pourquoi en quelques jours ces attaques DDoS ont-elles pris pour cible la plupart des gros services de jeux en lignes européens et nord-américains ? On ne connait pas réellement les motivations des pirates. Voulaient-ils faire part de leur mécontentement ? Préparer un chantage au déni de service ? Si les raisons sont assez peu claires, les faits sont là, des attaques avérées, avec de fortes perturbations de services allant jusqu’à l’arrêt des serveurs de jeu. Il semble bien que les systèmes de sécurité en place étaient insuffisants et manquaient de capacité de détection et de protection efficaces.
Les éditeurs concernés doivent faire face à une perte financière directe non négligeable, mais aussi assumer un déficit d’image, ce qui est toujours difficile à corriger, avec des répercussions sur le long terme. Ces actes de sabotage de plus en plus courants pénalisent en effet les joueurs, les empêchent de poursuivre une partie en cours, les privent de leur passe-temps favori et déstructurent des groupes de joueurs qui existent depuis longtemps. Et les joueurs, ce sont les clients… L’impact pour l’éditeur peut être désastreux.
Méthode d’attaque
Derrière la force des attaques DDoS qui ont secoué l’industrie du jeu vidéo se cachait une nouvelle méthode de hacking, dont les gestionnaires vont devoir tenir compte à l’avenir. Comment les hackers ont-ils pu faire chuter autant de cibles, aussi rapidement et avec autant de conséquences ? Pour parvenir à leurs fins, les pirates n’auraient pas submergé les cibles de requêtes, selon la méthode habituelle, mais les auraient attaquées indirectement en passant par le Network Time Protocol. Le NTP est utilisé par les serveurs de jeu pour synchroniser leur horloge. En adressant des flots de demandes dont les identifiants ont été manipulés pour sembler provenir de l’entreprise, la force de l’assaut est multipliée. Chaque envoi de 8 bits se répercute par une réponse de 468 bits vers les services de jeu concernés. Les pare-feu n’ont pas été conçus pour la détection de ce genre d’attaques, pas plus que les antivirus ou les systèmes traditionnels. Une fois la brèche ouverte, les serveurs sont inondés et incapables de faire face. Pour l’utilisateur, c’est l’arrêt, la déconnexion, la partie en cours bloquée et l’impossibilité d’enregistrer ses performances. Pour les passionnés, c’est l’angoisse totale !
Placer les attaques sous contrôle
En attendant que la lumière soit faite sur les auteurs, on ne peut que conseiller aux éditeurs de jeux en ligne de se prémunir contre le risque de rupture de la continuité de service de leur portail de jeux avec une solution active 24 heures sur 24 et 7 jours sur 7. L’idéal est une solution technologique de prévention d’intrusion et de défense anti-DDoS, située en périphérie du SI, afin de contrer, avant qu’elles n’y pénètrent, les attaques destinées à perturber le jeu en ligne. Cette première ligne, outre la lutte contre les DDoS, permet de lutter contre les intrusions sur le réseau, en détectant et bloquant de nombreuses autres attaques, comme des injections SQL ou un cross-site scripting, dont le but est d’exploiter les applications de jeux et compromettre les bases de données. Une Première Ligne de Défense met aussi un terme à toutes sortes de hacks exécutés par certains joueurs pour tricher en ligne, tout en assurant la fluidité de jeu indispensable. Une réelle qualité de service doit être assurée ! Cette disponibilité permanente, cette réactivité totale est le cœur de métier de ces prestataires. Pour ce faire, il faut disposer d’une prévention totale contre les intrusions par attaque malveillante utilisant le contenu comme vecteur. Il faut aussi éviter que des données personnelles soient compromises au cours des attaques. C’est tout l’intérêt d’une Première Ligne de Défense qui protégera les actifs tout en assurant la continuité des activités. Au-delà du service lui-même, c’est en effet le contenu et l’activité des serveurs (gestion, paiement, archives…) qui peut se trouver affecté, volé ou détruit. Pour une entreprise de jeu en ligne, c’est la mort annoncée. (Par Adrian Bisaz, Vice President Sales EMEA de Corero Network Security)
Andre Durand, CEO de Ping Identity, le leader de la gestion sécurisée de l’identité, partage ses prédictions avec les lecteurs de DataSecurityBreach.fr pour l’année 2014. Si l’on se fie à l’évolution des 12 derniers mois, 2014 va connaître d’autres avancées en matière de gestion des identités. En 2013, l’évolution a revêtu de multiples facettes. Les acronymes ont gagné en notoriété : MFA, IoE, API, REST, JSON et JWT. La norme OAuth a été approuvée et OpenID Connect approche de son terme. Le duo forme la base qui va agir sur l’évolution de l’identité numérique en 2014 : mobile, cloud, contrôle d’accès, fédération, infrastructure et plates-formes d’identité. « Le vol de millions de mots de passe en 2013 sur des sites allant d’Adobe à Facebook et GitHub peut avoir ébranlé suffisamment les utilisateurs, les fournisseurs de services et les commerçants en ligne pour que la question de la sécurité supplante finalement celle du confort d’utilisation ». Conscient de tous ces changements, voici une liste de six prédictions pour 2014 :
1. Le MFA (Multi-Factor Authentification) pour la facilité d’utilisation
Le MFA pour les terminaux mobiles va se répandre de plus en plus et gagner en qualité. Chacun possède un système différent pour s’authentifier sur son terminal mobile (mot de passe, code chiffré, etc.) mais en 2014, les plus fondamentaux vont prévaloir. Cet intérêt à l’égard du MFA marque le début d’une tendance plus vaste qui va finir par en engendrer une autre : les objets comme facteur d’authentification. Par exemple, votre bracelet Fitbit Flex pourra probablement vous permettre de déverrouiller votre smartphone…
2. L’essor du BYOI (Bring Your Own Identity)
La connexion aux applications d’entreprise se fera de plus en plus via nos identifiants et mots de passe personnels utilisés pour les réseaux sociaux. La mise en place du MFA permettra notamment de généraliser cet usage. Toutefois, les exigences en matière de sécurité ne seront pas à négliger pour autant. Ce mode d’identification conviendra pour les ressources demandant un degré minimal de sécurité, mais un autre type d’identification (fourni ou approuvé par l’entreprise) sera requis en cas d’exigences plus strictes.
3. L’authentification continue : un seul couple identifiant/mot de passe pour un accès à des milliers d’applications en toute sécurité
Le dispositif d’authentification continue renforce le degré de sécurité lors d’une ouverture de session sur un terminal, mais aussi pendant toute la durée d’utilisation du terminal. Les entreprises vont tendre de plus en plus à adopter ce dispositif d’authentification continue. Conjuguée à des solutions de gestion des identités et d’authentification biométrique, l’authentification continue va permettre de réduire les coûts et améliorer la facilité d’utilisation. Il ne sera plus nécessaire de rentrer son identifiant et son mot de passe pour accéder à une application. En revanche, la procédure de connexion à l’ouverture de cession sera plus lourde.
4. La fédération des identités évolutive
Les entreprises utilisant des solutions classiques de fédération des identités, et souhaitant multiplier par cent voire milles leur nombre de partenaires, et donc ajouter plus d’identités à leur solution de fédération, devront faire face à des limitations fonctionnelles ou technologiques. C’est là qu’intervient la fédération évolutive. Elle va permettre d’intégrer des technologies comme Trust Frameworks, Multi-Party Federation (comme par exemple InCommon), des architectures de Centralized Proxy ou encore du Metadata Peering. La fédération évolutive va demander de combiner tous ces éléments, ou une partie.
5. Le nombre de fournisseurs de solutions de gestion des identités se réduit au profit d’une meilleure qualité de prestation
La liste des fournisseurs en solutions IAM (Identity Access Management) n’a cessé de s’agrandir. Cependant, elle va se réduire en 2014. Certains d’entre eux seront sous le contrôle d’autres plus dynamiques ou mieux établis. Les solutions d’authentification sur les terminaux mobiles, la gestion des mots de passe et le SSO (Single Sign-On) en mode cloud figurent parmi les domaines d’activités où la concurrence s’avère intense car c’est là où la demande est la plus forte.
6. La gestion des identités devient un aspect fondamental de la sécurité du cloud
L’importance des solutions IAM devient de plus en plus une évidence pour les entreprises. De ce fait, ces solutions vont désormais être reconnues parmi les références en matière de gestion sécurisée des identités notamment pour l’accès au cloud. La RSA Conference en février, le Cloud Identity Summit en juillet et le Cloud Security Alliance Congress en décembre vont assoir ce statut. (Andre Durand, CEO de Ping Identity)
Fin de règne pour les produits magiques de sécurité – Retour aux travaux manuels ? Les 15 dernières années ont vu fleurir un nombre incroyable de produits « magiques » de sécurité informatique. Leur point commun étant leur capacité à opérer sans ou avec très peu de ressources humaines impliquées. Le meilleur exemple de cette évolution est probablement l’avènement de l’IPS, pensé pour remplacer le bon vieil outil IDS trop consommateur de ressources dans l’analyse des évènements de sécurité. « Si on peut détecter, autant décider de bloquer automatiquement ! ».
Seulement, de nos jours, la majorité des attaques sérieuses et ciblées, commanditées et réalisées sur mesure sont détectées à posteriori par l’entreprise et souvent grâce à un signal faible, voire même un coup de chance (comportement étrange, remontée utilisateur, nouveau flux détecté, etc.). Ces attaques ne peuvent donc pas être bloquées à priori car elles sont pensées pour passer au travers (ou à coté) des outils de détection classiques. Ces outils continuent de détecter et de stopper une majorité d’attaques non ciblées ou non sophistiquées générant des signaux forts (exploit frontal de vulnérabilités réseau par exemple).
Pour adresser le risque lié aux attaques ciblées commanditées et hautement financées, il est nécessaire de changer de posture de défense et de repositionner l’humain au centre des décisions.
Ainsi, on demande aujourd’hui aux IPS de nouvelle génération (NGIPS) d’être capables de remonter des Indicateurs de Compromission. Ceux-ci sont des évènements de sécurité qui, une fois corrélés et enrichis par le contexte local du réseau, font apparaître des soupçons forts de compromission pour telle ou telle machine du réseau. Comme il s’agit de soupçons et uniquement de soupçons, l’IPS Next-Generation ne peut pas décider de bloquer sans l’avis expert d’un analyste de sécurité.
Ne serait-ce pas un retour à la détection d’intrusion ? Quoi qu’il en soit, les Indicateurs de Compromission et l’expertise de l’équipe qui analyse ces indicateurs sont clés dans la capacité de détection de la présence d’une attaque ciblée sur un réseau.
Un nouveau métier pour les analystes et un besoin pour de nouveaux processus et outils : le Forensic et la remédiation
La découverte d’une attaque ciblée ouvre un chantier nouveau et ardu qui doit faire partie intégrante de la nouvelle posture de défense de l’entreprise. L’attaque est réelle, il faut être capable d’en définir le scope, d’en comprendre la dynamique complète avant de décider de se découvrir en reprenant le contrôle et en l’annihilant.
De nouveaux processus et outils sont nécessaires à cette tâche. Il faut de réelles capacités de Forensic et de retour en arrière. La capacité de remonter le temps pour comprendre le scénario d’attaque et son niveau de déploiement est nécessaire pour décider de la « bascule » (reprise du contrôle et suppression des codes ennemis déployés).
Pour la « bascule » également, il faut adopter de nouvelles capacités techniques et opérationnelles. Souvent, une telle attaque a permis de déployer un écosystème de malwares avancés sur un grand nombre de machines du réseau. Une bascule efficace doit être brutale et globale. Or, ces capacités n’étaient que très rarement intégrées dans les postures de sécurité historiquement adoptées dans les entreprises.
Encore une fois, que ce soit sur les tâches de recherche et de compréhension de l’attaque ciblée sophistiquée et sur les tâches de « bascule » et de reprise de contrôle, la compétence des ingénieurs sécurité en charge du sujet est la clé pour le succès de l’opération. (Par Cyrille Badeau, Directeur Europe du Sud, Sourcefire pour DataSecurityBreach.fr)
À l’occasion de l’examen du projet de loi relatif à la géolocalisation [1] par la commission des lois de l’Assemblée nationale, les députés Sergio Coronado et Lionel Tardy proposent de revenir sur certains points de l’article 20 de la loi de programmation militaire [2]. La Quadrature du Net appelle l’ensemble des parlementaires à saisir cette opportunité de revenir sur les dispositions adoptées au mois de décembre, et ce afin de répondre aux nombreuses inquiétudes exprimées par les citoyens et d’en protéger les droits fondamentaux.
Déposé dans l’urgence en décembre 2013 par Christiane Taubira, ministre de la Justice, le projet de loi sur la géocalisation a pour objectif d’encadrer plus rigoureusement la procédure de géolocalisation judiciaire, considérée [3] par la Cour de cassation comme une ingérence illicite dans la vie privée des citoyens. Adoptée dans sa version actuelle, cette loi limiterait le recours à la géolocalisation par les services de police aux seules enquêtes et instructions portant sur des infractions punies d’au moins trois ans d’emprisonnement [4], et la soumettrait à l’autorisation du procureur de la République, ou à celle d’un juge si ces mesures durent plus de huit jours.
Bien que perfectible, ce texte est surtout l’occasion d’ouvrir un débat plus urgent, sur les dangereuses ambiguïtés de la loi de programmation militaire, puisqu’il porte précisément sur l’encadrement des procédures de géolocalisation. Les députés Sergio Coronado (ECOLO) et Lionel Tardy (UMP) ont ainsi déposé deux amendements (n°CL16 [5] et n°CL1 [6]) proposant de corriger la définition trop vague des données visées par l’article 20 de la loi de programmation militaire, portant justement sur les mesures administratives de géolocalisation. Actuellement, la rédaction de cet article [7] autorise l’administration à intercepter les données de connexion (identité des correspondants, lieux, date et durée) des communications, leur contenu, ainsi que tout document stocké en ligne, et ce pour des finalités très larges et avec un contrôle bien trop faible.
L’amendement déposé par Sergio Coronado propose de lever toute ambiguïté sur cette définition afin qu’elle ne recouvre plus que les données de connexion. En effet, Jean-Jacques Urvoas, président de la commission de lois de l’Assemblée nationale [8] et membre de la CNCIS [9], avait vigoureusement défendu la loi de programmation militaire, en répondant aux nombreuses critiques exprimées par la société civile que l’article 20 ne concernait que les données de connexion [10]. Cet amendement sera débattu aujourd’hui au sein de la commission des lois de l’Assemblée nationale, lors de l’examen du projet de loi géolocalisation. La Quadrature du Net invite l’ensemble de la commission à se saisir de cette opportunité pour corriger l’ambiguïté de l’article 20, et s’assurer que la lettre de la loi corresponde sans équivoque à l’intention du législateur, telle que l’a définie à plusieurs reprises le président de cette commission Jean-Jacques Urvoas.
« Au cours des débats sur la loi de programmation militaire, le président Urvoas n’a eu de cesse d’affirmer que seule l’interception de données de connexion était en jeu. Il a aujourd’hui l’occasion de corriger certains points ambigüs de cette loi, afin de la faire correspondre aux intentions qu’il a régulièrement exprimées. Mais au-delà de cette question, l’ensemble des parlementaires devrait considérer ce projet de loi comme une opportunité de revenir sur les nombreuses autres dérives de l’article 20 de la loi de programmation militaire, qu’il s’agisse de ses finalités trop nombreuses et trop vagues, ou de l’absence d’encadrement satisfaisant à la surveillance administrative » déclare Benjamin Sonntag, cofondateur de La Quadrature du Net.
La Syrian Electronic Army s’empare quelques minutes du Twitter de CNN. Qu’on le veuille ou non, les actions de la SEA, la Syrian Electronic Army, sont particuliérement impressionnantes. Après les Twitters, Facebook blogs de Microsoft, du New-York Times, voici venir le compte communautaire de CNN.
Jeudi, des espaces communautaires Twitter, mais aussi des blogs et Facebook de la chaîne d’information américaine CNN ont été compromis par les hacktivistes pro gouvernement syrien. Les comptes affectés : le Facebook de CNN, le compte politique Facebook et Twitter et une dizaine d’autres espaces. « L’armée électronique syrienne est ici … Arrêtez de mentir … Tous vos reportages sont faux! » indiquait l’un des messages sur le compte Twitter de CNN comptant plus de 11 millions d’abonnés.
Le groupe affirme avoir piraté d’autres grands organes de presse américains et britanniques, ainsi que le groupe de l’Université de Columbia et de l’association des droits de l’homme : Human Rights Watch. ZATAZWeb.tv propose une interview de la SEA dans son émission de septembre 2013.
Plusieurs entreprises françaises ponctionnées de centaines de milliers d’euros via des pirates informatiques adeptes du social engineering. Le social engineering est vieux comme le monde. L’étude sociale d’une cible permet de tout connaitre sur sa vie afin de réussir à lui extraire des informations, des secrets ou tout simplement de l’argent.
Plusieurs entreprises du sud de la France viennent de vivre cette mauvaise aventure. Elles ont été ponctionnées de 800.000 à … 17 millions d’euros. Toujours la même méthode. Les escrocs récoltent des centaines d’informations sur l’entreprise, les collaborateurs : adresses, emails, photos, … L’idée, faire une parfaite cartographie de la cible. Dans la police, cette technique est baptisé « faire l’environnement ».
Une fois les informations en main, Google, Facebook et le web sont de précieux alliés dans ce genre d’escroquerie, les voleurs n’ont plus qu’à faire croire à une transaction qui doit rester secrète. Un mensonge qui peut prendre plusieurs semaines, mais qui semble payant !
La juridiction interrégionale spécialisée de Bordeaux (Jirs) est sur les dents et tente de remonter la piste. Le journal Sud-Ouest indique que les voyous font virer l’argent sur des comptes de transit, à Chypre, au Danemark ou en Lettonie. Ensuite, des petites mains, des « mules », retirent l’argent pour le renvoyer en Chine et en Israël. La Jirs, quand elle est alertée à temps, semble pouvoir bloquer l’attaque. Dans l’affaire des 17 millions, une partie de la somme a pu être récupérée.
Des phishings web permettent de piéger le système 3D Secure et Avast perturbe le système de validation de paiement. Les pirates informatiques viennent de trouver une méthode assez étonnante pour piéger le système 3D Secure mis en place dans les banques. Pour rappel, le système de sécurité 3D Secure permet de confirmer une transaction financière, entre vous et une boutique par exemple, qu’à la condition ou vous confirmiez l’action par l’introduction d’un code, en plus de vos identifiants de base, reçu par SMS. Bref, une double authentification rassurante et efficace.
Seulement c’était oublier l’ingéniosité malveillante des professionnels de l’escroquerie numérique. Il a été rapporté à la connaissance de la rédaction une méthode non négligeable employée par des pirates. De plus en plus de banque permettent aux clients de joindre par messagerie privée, directement via le site de la banque, le conseiller financier. Le client, pour accéder à cette option proposée dans son espace bancaire privé numérique, doit fournir : son login, mot de passe et la plupart du temps, un code secret supplémentaire de connexion tiré soit d’une application, soit d’une carte papier comportant une série unique de chiffres. Série qui ne peut s’employer qu’une fois, pour une seule connexion. Les suivantes réclament de nouveaux codes.
Des attaques phishing ont été lancées dernièrement permettant aux pirates d’exploiter les comptes bancaires. Pour pallier la sécurité 3D Secure, ils font changer le numéro de téléphone du client piégé, directement via le service online de messagerie privée client/conseiller. Bilan, le pirate possède le moyen de récupérer de l’argent, tout en confirmant l’action via le code 3d secure détourné. Le nouveau numéro de téléphone renvoyant le 3d secure sur un combiné (volé ou à usage unique) utilisé par le voleur.
Pendant ce temps, et depuis le 12 décembre, de nombreux e-marchands se plaignent d’un taux d’échec important sur les paiements au moment du 3D Secure. Après de longues investigations, le service technique de la société Payzen a enfin trouvé la cause : La dernière mise à jour de l’antivirus Avast 2014.
Tous les e-commerçants sont concernés par ce problème quelques soient leur plateforme de paiement. Lors d’un paiement 3D Secure, l’internaute est dirigé depuis la plateforme de paiement vers un ACS afin de s’authentifier. Cet ACS reçoit un PAReq (Payment Authentication Request) et émet en suivant un PARes (Payment Authentication Response) à destination de la plateforme de paiement. Ce PARes informe du succès ou de l’échec de l’authentification. Or tout ceci se fait évidement via le navigateur de l’internaute. La dernière version d’Avast « à l’évidence buggée, indique Payzentronque le code en supprimant des octets. La plateforme de paiement n’a plus toutes les informations et donc ne peut pas savoir si l’authentification est valide ou non« .
De grands cadres de banques et de sociétés de cartes de crédit ont présenté leur démission ce lundi dû à la fuite massive des données personnelles d’au moins 20 millions d’utilisateurs de cartes bancaires et de crédit. Les craintes que ces informations soient tombées dans les mains d’escrocs ont pris de l’ampleur après que certains clients se sont plaints de transactions financières suspectes et inattendues, malgré l’annonce antérieure par les compagnies concernées que les coupables avaient été appréhendés avant qu’ils n’aient distribué les informations.
L’Agence de supervision financière (FSS) avait promis quelques heures avant ces démissions qu’elle infligerait des sanctions sévères aux institutions financières et à leurs hauts responsables si l’enquête conclut que le piratage est le résultat d’une négligence de leur part.
Des sources du secteur bancaire ont indiqué hier que des informations privées, dont des numéros de compte et adresses, d’une vingtaine de millions de clients ont été volées. Une partie de ces fuites se seraient déroulées lors de l’envoi de données par des banques à leur filiale cartes de crédit. Pour les clients et les autorités, la question est maintenant de savoir si cet incident entraînera des dommages financiers.
«Les sociétés mères semblent s’éloigner (de la question) et ne pas montrer d’attitude responsable», estime Choi Soo-hyun, à la tête du gendarme financier. «Elles seront tenues pour responsables des fuites de données si le partage d’informations sur les clients entre filiales en est la cause.»
Le mois dernier, les données personnelles d’environ 130.000 clients de Standard Chartered Bank Korea et Citi Bank Korea ont été subtilisées, un chiffre qui n’avait encore jamais été atteint en Corée. Depuis ces derniers temps, la FSS fait l’objet de vives critiques en étant accusée de laxisme à l’égard des firmes financières.
Shim Jae-oh, le PDG de KB Kookmin Card Co. (4e à partir de la gauche), et des responsables de la société présentent des excuses pour les fuites de données de clients Shim Jae-oh, le PDG de KB Kookmin Card Co. (4e à partir de la gauche), et des responsables de la société présentent des excuses pour les fuites de données de clients
Les sociétés de cartes de crédit ont assuré de leur côté qu’elles prendraient la responsabilité de toutes les fraudes liées à ces fuites. «Nous assumerons l’entière responsabilité juridique et morale pour les cas de fuites de données personnelles», ont-elles déclaré dans un communiqué commun.
Ce matin, l’Agence des consommateurs financiers (FCA) avait fait savoir qu’elle demanderait le mois prochain à la FSS une enquête sur six banques et sociétés de cartes de crédit : Standard Chartered Bank Korea, Citi Bank Korea, Kookmin Bank, NongHyup Bank, KB Kookmin Card et Lotte Card. (Agence Yonhap)
Voici la première partie des réponses concernant les épreuves du challenge Forensic proposé par les étudiants de la licence CDAISI lors du Forum International de la Cybersécurité 2014. Les 21 et 22 janvier derniers, la ville de Lille a reçu le 6ème Forum de la CyberSécurité. Pour la première fois, un Challenge Forensic (recherche de trace, Ndr) a été proposé. Le mardi 21, les étudiants de la licence CDAISI (Collaborateur pour la Défense et l’Anti-intrusion des Systèmes Informatiques) de l’Université de Valencienne (Antenne de Maubeuge) ont proposé une vingtaine d’épreuves. Étant l’animateur de ce rendez-vous, et que vous avez été très nombreux (et le mot est un doux euphémisme, Ndr) à demander les réponses aux épreuves, voici la première partie du Challenge Forensic FIC 2014. Le challenge FIC a eu pour objectifs, en distinguant quelques profils prometteurs, d’encourager et de valoriser chaque année, les métiers liés au Forensic et à la lutte informatique défensive. Vous allez comprendre pourquoi des étudiants, mais aussi des professionnels de chez Google, Thalès, … sont venus tâter du bit à la sauce ethical hacking [Voir]. Les premières épreuves que nous vous présentons ici sont signées par Lucas R., Florian E., Julien G.. Ils étaient encadrés par Thibaut Salut. Retrouvez les réponses de la première partie de ce challenge sur zataz.com. La suite sera diffusée lundi prochain, le 27 janvier.
L’épreuve du Morse
Un exécutable, codé en python, reposait sur l’exécution de print et de sleep. Chaque participant récupérait un exécutable qui, une fois lancé, affichait des lignes en hexadécimal. Ils devaient découvrir deux intervalles différents lors de l’affichage des lignes. Un court intervalle court qui correspondait à un point et un intervalle long qui correspondait à un tiret. En faisant la correspondance avec un tableau morse, on obtenait alors les coordonnées géographiques d’un toit dans un parc d’attraction, en Australie, sur lequel est écrit Big Brother. Big Brother était la clé qui permettait de passer à l’épreuve suivante.
Epreuve Scapy
L’idée de cette épreuve, dissimuler la clé dans les paquets ICMP. Pour cela, il a été utilisé un framework python spécialisé réseau nommé Scapy. Un petit script a envoyé les paquets ICMP modifiés à l’adresse voulue. Il suffisait d’exécuter le script et faire une capture Wireshark. Les participants recevaient une capture Wireshark contenant plusieurs milliers de trames. Parmi toutes ces trames, se trouvaient des trames ICMP dont le champ ID avait été modifié. Les candidats devaient alors, soit écrire un script permettant de récupérer le champ ID, soit le faire à la main en regardant le détail de chaque trame avec Wireshark.
Epreuve Windows
Pour créer l’épreuve, il a été utilisé une machine virtuelle Windows sous Virtual box. Pour modifier les shellbags, juste brancher une clé USB avec le dossier voulu, et attendre un peu que les shellbags soient modifiés. Chaque participant avait à sa disposition une machine virtuelle Windows. Son but était de retrouver le nom d’un dossier stocké sur une clé USB qui auparavant avait été branchée sur la fameuse machine virtuelle. Il suffisait d’utiliser des logiciels comme Windows ShellBag Parser (sbag) afin de remonter aux traces.
Epreuve de l’icône
Dans cette première étape, 2 fichiers : un fichier texte et un fichier ReadMe dans lequel se trouvait le sujet de l’épreuve. La partie 1 consistait à retrouver le mot de passe de l’épreuve 1. Il était dissimulé dans le fichier epreuve1.txt. Ce dernier est en réalité non pas dans le contenu du fichier texte mais dans l’icône de celui-ci. Le mot de passe était : funnyh4ck.
Epreuve archive
Les participants recevaient une archive contenant un dossier contenant lui-même un certain nombre d’images, un fichier ReadMe.txt (dans lequel se trouvait le sujet de l’épreuve) et un fichier chiffré comportant l’extension .axx. Il fallait donc, dans un premier temps, savoir ce qu’était un fichier .axx. Après une brève recherche, on s’apercevait que ce fichier était chiffré à l’aide de l’outil AxCrypt. Les challengers devaient ensuite déduire qu’il fallait un mot de passe, ou un fichier clé, pour lire le .axx. Etant donné qu’un dossier rempli d’images était donné aux candidats, ils devaient en déduire qu’un fichier avait été caché parmi elles. Cacher un fichier dans un autre est le principe même de la stéganographie. Ils devaient alors récupérer à l’aide de l’outil de leur choix (steghide par exemple), un éventuel fichier dans l’une des images fournies. Pour retrouver la passphrase, il suffisait de regarder les commentaires de l’archive : cdaisi. Une fois le fichier clé retrouvé, il suffisait de lancer AxCrypt, préciser le fichier clé et lancer le déchiffrement.
Epreuve Blowfish
Il fallait que le candidat déduise que le fichier proposé était crypté en blowfish-cbc. Dans le fichier ReadMe qui lui avait été proposé, il y avait des informations importantes. Il suffisait de regarder quel genre de chiffrement prenait deux paramètres. Blowfish prends 2 paramètres en hexadécimal, cependant les éléments donnés sont en ASCII et en base64. Il fallait donc les convertir. La commande pour le déchiffrer était la même que pour chiffrer sauf qu’il suffisait d’ajouter -d à la commande pour préciser l’action de déchiffrement. Une fois le fichier déchiffré, on obtenait un fichier texte contenant une suite de chiffre qui, à première vue, n’a rien de spécial. Sauf qu’il y avait un message caché : « Le Losc ira en champions league l’année prochaine. Félicitation : Vous avez réussi l’épreuve =) » Il ne restait plus qu’à tester cette phrase avec le fichier testEXE.!
La suite des solutions, le 27 janvier.
Petites entreprises, grandes menaces : restez informés, restez protégés
