Tous les articles par Damien Bancal

Damien Bancal, expert reconnu en cybersécurité Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles. Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe. Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.

Android, Chiffrement, cryptage, Cybersécurité, Fuite de données, ios, Leak, Sécurité, Vie privée

Sécurisons tablettes et smartphones

23 décembre 2013 Damien Bancal Un commentaire

Sacré Père Noël, il a cassé sa tirelire pour offrir l’objet high-tech à la mode. Une tablette, un smartphone, une montre connectée. Les « vendeurs », les « commerciaux » des marques ont sorti la grosse artillerie pour vanter du matériel qui, avouons-le, fait briller les yeux. Sauf qu’il y a un petit détail loin d’être négligeable que nous avons pu constater lors de 43 rencontres effectuées entre le 17 et le 24 décembre 2013 : seuls 3 souriants vendeurs de rêves nous ont parlé, naturellement, de sécurité.

Le Béaba
Un PC, une tablette sortis de leur carton ne sont pas propres, attendez par là qu’il faudra penser, lors de votre première connexion à mettre à jour vos machines. Des mises à jour de sécurité, d’applications. Indispensable. Prenons l’exemple de l’iPhone 5 (et là) ou des derniers Samsung. Évitez de voir votre données s’envoler en raison de « faille » usine. Pour les PC, comme pour les MAC, les « updates » concerneront surtout des corrections liées à des vulnérabilités. Pour vous donner une petite idée, regardez la date de fabrication de votre matériel. Si nous prenons un PC fabriqué en septembre, sous Windows 8, plus de 40 mises à jour. Même son de cloche pour un MAC. Pour les tablettes, sous Android, la dernière importante, date de mi-décembre, avec une correction interdisant l’interception possible, en clair par le wifi, des informations de connexion d’un utilisateur.

Le matos
Que le veuille ou non, un antivirus devient indispensable sur PC/MAC, mais aussi tablette et smartphone. Il en existe plusieurs dizaines, gratuites et payantes. Nous nous pencherons plus concrètement, dans quelques instants, sur ceux proposés pour les mobiles. Mais avant ça, revenons sur une option loin d’être négligeable dans la majorité des nouveaux matériels sortis pour Noël : le chiffrement des machines. Certes cela prend un peu de temps, certes cela semble fastidieux d’être obligé de retenir le mot de passe imposé. Mais c’est quelques minutes valent mieux que les heures, voir les jours à courir pour bloquer l’ensemble des comptes (PayPal, DropBox, emails, forums, sites…) que vous aurez enregistré dans le matériel que vous aurez perdu, ou que l’on vous aura volé, piraté. Pour les possesseurs des téléphones le plus vendus du moment, Samsung, il suffit de se rendre dans l’option « Paramètres » > « Sécurité » > « Crypter« . N’oubliez pas, si vous équipez votre machine d’une carte sd, de chiffrer cette dernière. Récupérer cette dernière et la copier est un jeu d’enfant. Chiffrer le contenu rendra inutilisable les informations sauvegardées.

Passons ensuite, comme indiqué plus haut, aux outils de sécurité à installer dans vos précieux. Les antivirus proposés par G Data, McAfee, BitDefender, … font l’affaire. Il détecte les applications pouvant être piégés. Loin d’être négligeable, cette menace est annoncée comme étant la 1ere des malveillances en 2014. Vient ensuite la crainte de la perte/vol de votre matos. La version proposée par Avast! Permet aussi de recevoir une notification quand votre carte SIM a été changée. Pour le contrôle des fichiers que vous auriez à récupérer/stocker dans le Cloud (ce que nous trouvons aberrant et vous invitons à ne pas faire, Ndr) des outils comme VirusBarrier permettent de scanner les documents sauvegardés sur DropBox, iDisk, et WebDAV.

Lookout Mobile Security est une application gratuite qui protège vos appareils iOS ou Android. Il permet de protéger son matériel et, en version payante, de sauvegarder vos contacts en programmant des sauvegardes automatiques. Si vous perdez votre téléphone, Lookout permet de le localiser sur une carte Google – même si le GPS est désactivé. L’application permet aussi d’activer une alarme sonore – même si votre téléphone est en mode silencieux. La fonctionnalité qui permet de verrouiller à distance le matériel est un plus non négligeable. L’outil BullGuard Mobile Security propose le même type de service. Pour les smartphone, le chien de garde propose aussi une protection pour la carte SIM. IHound propose, lui aussi, de suivre l’appareil à distance. Il permet de verrouiller le téléphone ou la tablette. IHound utilise le GPS de votre téléphone pour le suivi de l’appareil. Il comprend une alarme qui peut être déclenchée par une notification push. Fonctionne même quand le silencieux est enclenché. Sur un appareil Android, vous pouvez également effacer à distance les données et verrouiller votre machine. Application payante.

Les anti-vols

Face à une attaque « physique » de votre téléphone, il existe aussi des parades. Quelqu’un tente de rentrer dans vos données. Pour cela il tombe nez-à-nez avec votre clavier dédié au mot de passe. Les applications GadgetTrak (iOS) et LockWatch (Android) vous enverrons, par eMail, la photo de votre « curieux » et sa position géographique, via une carte Google.

Je finirai par deux outils indispensables pour la sécurité de votre vie numérique: Authy et Google Authenticator. Deux applications qui permettent de générer des clés demandées lors d’une double authentification pour Google, Facebook, Twitter, et même vos sites web (sous WordPress). Sans les chiffres fournis par l’un de ces outils de validation, même votre mot de passe demandé ne servira à rien. Parfait en cas de vol de ce dernier. Nous vous expliquons, pour votre compte Facebook, l’intérêt de la double identification.

Pour finir, pensez aussi à vos connexion web hors vos murs. Une protection VPN est loin d’être négligeable. Elle permet, quand vous êtes en déplacement, de chiffrer, de rendre illisible à une potentielle interception, vos informations (emails, mots de passe, téléchargement, …). Il existe des applications VPN simples et efficaces pour tablettes, smartphones et ordinateurs.

Cette liste est loin d’être exhaustive, elle a surtout pour mission de vous faire tendre l’oreille, de vous inciter à vous pencher sur vos doubles numériques, sur leur sécurité et la maitrise de ces matériels qui n’étaient encore que de la science-fiction, voilà 10 ans. N’oubliez jamais que vous devez contrôler vos machines… et pas le contraire !

Android, Cyber-attaque, Espionnae, Particuliers, Vie privée

Espion et webcam ? Explication

19 décembre 2013 Damien Bancal Un commentaire

Début décembre dernier, le Washington Post faisait parler un ancien agent du FBI au sujet de l’espionnage numérique pratiqué par les services d’enquêtes étatiques de l’Oncle Sam. Le papier du journal américain indiquait que le FBI était capable de déclencher à distance la webcam intégrée à l’ordinateur d’un suspect. Une cybersurveillance « sans allumer le la diode de connexion qui indique l’état de marche de ma caméra« . Une révélation qui n’en est pas une. La pratique est connue depuis… 20 ans.

Comment est-ce possible ?

Il y a une vingtaine d’année sortait sur le web, par le biais d’un groupe de hacker nommé The Cult of the Dead Cow (Le culte de la vache morte) un logiciel d’espionnage baptisée Back Orifice. Cet « outil », que l’on nomme aujourd’hui RAT, Rootkit, permettait de prendre la main sur un ordinateur connecté et préalablement piégé par Back Orifice. Bref, un cheval de Troie. Nous sommes alors en 1998.

Si B.O. se voit, aujourd’hui, comme un gros bouton sur le nez, il utilise de base le port 31337 (elite), de très nombreux autres espiongiciels exploitent et utilisent des fonctions d’espionnages allant de la capture de votre écran (selon une durée données, ndr), enregistre le son tiré du micro connecté, de la webcam, des frappes effectuées sur le clavier, les actions de la souris. D’autres options permettent d’activer un téléchargement de certains fichiers (doc, excel, …). Les options sont plétoriques. Pour cela il faut, cependant, que la machine de la « cible » soit piégée. Qu’un « client » du rootkit soit installé dans le PC, le mac, la tablette, le téléphone de la personne à espionner.

Comment s’en protéger ?
Aujourd’hui, la majorité des ordinateurs, des téléphones portables smartphones, des tablettes sont équipés de base d’une webcam et d’un micro. Pour les activer à distance, il faut cependant piéger le matériel. Des chercheurs de l’Université Johns Hopkins ont démontré le « truc » en exploitant la webcam d’un MacBook. Sur PC/MAC, plus besoin aujourd’hui d’un Rootkit d’un trojan à la Back Orifice. Un plug-in dans un navigateur suffit. Il faut pour cela convaincre la victime de l’installer, chose, soyons très honnête, simple comme bonjour. Les fausses mises à jour Java, Flash, vidéo, … les choix pour les espions sont nombreux. Les fausses mise à jour d’application, comme les publicités piégées, peuvent aussi suffire.

Protégé sur MAC ? En 2012, le trojan FlashBack faisait ses emplettes sur la toile à partir de 550.000 machines. Sur tablettes et smartphones, le danger est encore plus grand. Les « mobiles » sont greffés à nos mains. Les téléchargements malveillants peuvent être facilités par des outils que ne maitrisent pas les utilisateurs. Selon Trend Micro, en 2014, les applications malveillantes pour Android franchiront le cap des 3 millions. Se protéger, déjà, en mettant à jour ses outils ; en ne téléchargeant pas tout et n’importe quoi. En ne gardant pas des logiciels obsolètes. Pour rappel, l’arrêt du support de logiciels répandus tels que Java 6 et Windows XP rendra des millions de PC vulnérables aux cyber-attaques l’année prochaines. 76% des entreprises sont encore sous Windows XP (9 machines sur 10 pour les machines de bureaux, et 6 sur 10 pour les portables – Spiceworks).

Connexion ou pas !
Comment un malware peut-il voler des données d’un système infecté qui n’a pas de connexion à l’Internet ? Impossible ? Des chercheurs allemands de l’Institut Fraunhofer ont mis pourtant au point un « code » capable de transmettre des données en utilisant des sons inaudibles à l’oreille humaine. Le « Trojan » peut voler des données ou des frappes confidentielles en utilisant un haut-parleur et un microphone de base. Si la sécurité est de ne pas connecter un ordinateur aux contenus sensibles sur le web, voilà une méthode d’infiltration qui remet à plat l’idée de confidentialité. Pour s’en protéger, couper les enceintes de votre ordinateur. Si vous couplez cela au « mouchard » légal de Google qui se cache dans votre smartphone [voir], la cyber surveillance est globale.

Bref, vous l’aurez compris, la cyber surveillance par webcam, ou autres « options » de nos machines ne date pas d’hier. Et le FBI, la DCRCI, le GCQH britannique ne sont pas les plus gros utilisateurs. A moins que vous soyez un terroriste en devenir, un cybercriminel officiant dans une bande organisée, peu de risque d’être filmé, fliqué, espionné. En France, faut-il le rappeler, les policiers, gendarmes, ont la possibilité (article 57 du code de procédure pénale) d’analyser les données d’un ordinateur saisi lors d’une visite des « amis du petit déjeuner ». Avec l’accord d’un juge, depuis la loi Loppsi 2, les policiers peuvent aussi piéger l’ordinateur d’une cible. La police judiciaire peut « mettre en place un dispositif technique ayant pour objet, sans le consentement des intéressés, d’accéder à des données informatiques, de les enregistrer, les conserver et les transmettre, telles qu’elles s’affichent sur un écran » explique l’article 706-102-1.

Il faut craindre, car gros consommateurs de ce genre d’outil, les escrocs du web. Ils n’ont aucune régle législative à respecter. Le FBI à le 4ème amendement ; la France, les lois, les députés, … Comme le montre ZATAZWeb.tv dans son émission du mois de juin dernier S2E6, les espions et maîtres chanteurs de l’Internet exploitent les outils d’espionnage pour rançonner toutes les personnes qui leur passent entre les mains. Avec des dégâts humains, financiers et psychologiques bien plus graves qu’un potentiel espionnage de 007.

Espionnae, Justice, Particuliers, Vie privée

Le Parti Pirate dénonce la surveillance généralisée

19 décembre 2013 Damien Bancal

Le Parti Pirate s’inquiète fortement de l’adoption mardi 10 décembre par le Sénat de la loi de programmation militaire et en particulier des articles 13 et suivants, relatifs à la surveillance. Il appelle à manifester samedi 21 décembre à 15h place de la République à Paris pour dénoncer les dérives des démocraties et honorer les lanceurs d’alertes et tous celles et ceux qui résistent.

La loi de programmation militaire contient en effet pour nous Pirates une atteinte grave aux libertés individuelles en France, qui n’est pas sans rappeler les mesures « d’exceptions » votées aux États-Unis qui durent depuis plus de douze ans. Elle élargit sensiblement les pouvoirs des services de renseignement en omettant sciemment toute garantie démocratique et juridique.

En effet, les administrations pourront désormais surveiller n’importe qui sans autre prétexte qu’une vague suspicion de délit, se permettant ainsi d’écouter les conversations, de surveiller les déplacements et de manière générale, d’épier et d’enregistrer sans limite nos moindres mots, faits et gestes sans même la consultation d’un magistrat. Délibérément flou, ce texte permet au gouvernement de placer tout citoyen dans un état de surveillance permanent.

Cette loi s’inscrit dans la continuité des lois LOPPSI, grâce auxquelles l’État a pu mettre en place en France, de vastes réseaux de vidéosurveillance dont de récentes affaires nous ont largement démontré l’inutilité en matière de sécurité du public. Ainsi, sacrifiant les libertés individuelles sur l’autel de la paranoïa sécuritaire, le gouvernement français suspecte les citoyens qu’il a le devoir de protéger. Cette loi en rend caduque une autre qui, pourtant, a été si fondamentale qu’elle est longtemps aller « sans dire » : Article 9 du code civil : « Chacun a droit au respect de sa vie privée. »

« Pour qu’on ne puisse abuser du pouvoir, il faut que, par la disposition des choses, le pouvoir arrête le pouvoir. […] Tout serait perdu, si le même homme, ou le même corps des principaux, ou des nobles, ou du peuple, exerçaient ces trois pouvoirs : celui de faire des lois, celui d’exécuter les résolutions publiques, et celui de juger les crimes ou les différends des particuliers. » Montesquieu, L’Esprit des Lois.

Même son de cloche pour la Quadrature du net. Une grave atteinte aux libertés et aux droits fondamentaux entérinée au Parlement. Malgré l’importante mobilisation citoyenne et les nombreuses critiques [1] exprimées à son encontre, le Sénat vient d’adopter le projet de loi [2] relatif à la programmation militaire et ses dangereuses dispositions sans aucune modification. Cette adoption conforme par les sénateurs met un terme au travail parlementaire sur ce texte : seul le Conseil constitutionnel peut à présent empêcher l’application de ces dispositions attentatoires aux libertés fondamentales des citoyens. La Quadrature du Net appelle solennellement les parlementaires à déposer une saisine du Conseil constitutionnel pour que ce dernier se prononce sur la conformité de cette loi à la Constitution. ***

En adoptant le projet de loi relatif à la programmation militaire pour les années 2014 à 2019 sans aucune modification, les sénateurs viennent de mettre un terme aux travaux législatifs du Parlement sur ce dossier. Malgré les nombreux avertissements exprimés tant par les organisations citoyennes [3] que par des autorités publiques [4], le texte adopté aujourd’hui permet :
– la capture en temps réel d’informations et de documents (qui « peuvent être recueillis sur sollicitation du réseau et transmis en temps réel par les opérateurs aux agents mentionnés ») auprès aussi bien des hébergeurs que des fournisseurs de service.
– de requérir ou capturer des « informations ou documents traités ou conservés par leurs réseaux ou services », et non plus seulement des données de connexion.
– l’élargissement de la liste des administrations qui peuvent requérir ces interceptions ou captures, par exemple au ministère de l’économie et du budget.
– l’élargissement des finalités de ces mesures à la sauvegarde du « potentiel scientifique et économique de la France » et à la prévention « de la criminalité ou de la délinquance organisées ».

À ce stade de la procédure, seul le Conseil constitutionnel peut encore empêcher l’application de ces mesures ouvrant la porte à une surveillance généralisée des informations et communications sur Internet. Celui-ci ne pourra examiner la constitutionnalité du texte adopté cet après-midi qu’avec une saisine de 60 parlementaires, du Premier Ministre, ou du Président de la République. La Quadrature du Net appelle solennellement les élus des deux chambres du Parlement à entendre l’appel des citoyens, et à déposer au plus vite une demande de contrôle de constitutionnalité.

« Dans le contexte des révélations d’Edward Snowden sur l’espionnage massif et généralisé des citoyens, il est choquant de voir le Parlement adopter un texte qui entérine l’état d’exception et permet de violer la vie privée des citoyens. Les élus doivent entendre l’appel de la société civile et saisir le Conseil constitutionnel avant l’application de ces mesures attentatoires aux libertés fondamentales » déclare Philippe Aigrain, cofondateur de La Quadrature du Net.

* Références *
1. https://www.laquadrature.net/fr/pcinpact-surveillance-du-net-deluge-de-contestations-contre-le-patriot-act-francais
2. http://www.assemblee-nationale.fr/14/ta/ta0251.asp
3. Par exemple par l’AFDEL, la Fédération internationale des droits de l’Homme, ou La Quadrature du Net.
4. Notamment par le Conseil National du Numérique et la CNIL.

Android, Cybersécurité, Espionnae, Fuite de données, Vie privée

Un mouchard dans votre poche… la preuve

19 décembre 2013 Damien Bancal 4 commentaires

Vous avez un smartphone dans votre poche ? Voici comment vous suivre à la trace… et avec votre consentement ! Google cache dans ses services une option aussi dingue qu’effrayante. Elle permet de suivre n’importe quel internaute, à la trace. Pour cela, rien de plus simple. Avoir un smartphone, si possible sous Android, et un compte gMail (ou Youtube, ou tout simplement chez Google). Le materiel dans votre poche fait le reste.

Comme le montre ma capture écran ci-dessous, on peut suivre les déplacements, jour par jour, heure par heure. Comme l’indique Google dans sa page dédiée : « L’accès aux données de localisation dans l’application Paramètres Google est disponible sur les appareils équipés de la version 4.1 à 4.3 d’Android. L’historique des positions et la mise à jour de la position sont disponibles dans l’application Paramètres Google sur les appareils équipés d’Android 4.0 ou version ultérieure sur lesquels l’application Google Maps pour mobile version 7.0 ou ultérieure est installée. » Le plus fou est que cette page existe depuis longtemps comme le confirme Telcrunch.

Comment se prémunir ?
Pour faire disparaitre ce mouchard, vous pouvez contrôler la manière dont les applications Google utilisent votre position à l’aide d’un simple paramètre, sans que cela ait un impact sur l’accès des applications tierces. Pour ce faire, procédez comme suit : D’abord dans le menu des applications de votre appareil, sélectionnez Paramètres Google ; puis dans un second temps vous appuyez sur la case à côté de l’option Données de localisation. Le paramètre est désactivé lorsque la coche disparaît. Attention, ce paramètre n’a d’incidence que sur les applications Google. Si vous le désactivez, les services Google proposés en dehors des applications et les applications autres que Google pourront déterminer votre position via votre appareil. Vous souhaitez regarder ce que possède Google sur vous, vos adresses, vos balades … (et la NSA aussi) ? direction Location History.

Effacer les traces ?
Data Security Breach a cherché comment effacer cet historique. Heureusement, il est possible de le supprimer. Direction l’application « Paramètres Google » accessible depuis le menu des applications de votre appareil, ou sur le site Web correspondant. Dans le menu des applications de votre appareil, ouvrez l’application Paramètres Google : Appareils équipés d’Android 4.3 ou version antérieure : appuyez sur Position > Historique des positions. Appareils équipés d’Android 4.4 : appuyez sur Position > Services de localisation > Mise à jour de la position Google > Historique des positions.Appuyez sur Supprimer l’historique des positions en bas de l’écran.

Sur le site web, sélectionnez une date pour laquelle vous disposez d’un historique. Ensuite, pour l’historique complet : sélectionnez Supprimer tout l’historique pour supprimer l’intégralité de l’historique enregistré. Par date : sélectionnez Supprimer l’historique de ce jour pour supprimer l’historique correspondant à la date sélectionnée. Sélectionnez une plage de dates, puis l’option Supprimer l’historique enregistré pour cette période, pour supprimer l’historique correspondant à l’ensemble des jours sélectionnés. Par position : sélectionnez un lieu dans la liste ou sur la carte. L’info-bulle vous permet de supprimer cette position de votre historique.

Android, Sécurité, Smartphone

MisoSMS : LE malware Android ?

15 décembre 2013 Damien Bancal

Le code malveillant MisoSMS, pour Android, serait le plus virulent des malwares du moment. Les chercheurs en sécurité de FireEye ont découvert ce qu’ils nomment comme étant l’un des plus utilisé botnet Android. Baptisé MisoSMS, le malware a été exploité dans 64 campagnes de spywares. Selon le rapport des experts de l’entreprise, le malware est déguisé en une application dédiée aux « Paramétrages Android« .

Le logiciel pirate est conçu pour voler les messages (SMS) sauvegardés dans les smartphones. Les informations sont ensuite envoyées en Chine. FireEye explique qu’il collabore avec la justice et le webmail chinois qui permet aux pirates d’exploiter les données afin de perturber le botnet. Il y a eu du boulot, plus de 450 comptes emails étaient exploités dans cet espionnage. La majorité des victimes sont Coréennes.

Arnaque, Cybersécurité, escroquerie, Facebook, Vie privée

Protéger, concrètement, son Facebook

12 décembre 2013 Damien Bancal Un commentaire

Voici quelques conseils techniques et de bon sen pour éviter de voir partir son compte Facebook dans les mains d’un malveillant. Des techniques efficaces et simples à mettre en place. L’intérêt pour un pirate de mettre la main sur votre compte Facebook est multiple. La rédaction de DataSecurityBreach.fr a pu en recenser 10.

D’abord, la curiosité pure et simple. Que se cache-t-il dans les messages privés que vous pouvez diffuser à vos amis. Pas bien méchant, mais malsain. Ensuite, le malveillant classique, celui qui va usurper votre identité pour ventre de faux crédits à la consommation. Il diffuse, via votre compte, de fausse proposition financière.

Vient ensuite le vendeur de médicaments, de fausses marques, de faux comptes pour console de jeux (la grande mode en ce moment est de vous offrir, pour du faux, des accès au PSN de Sony). Mettre la main sur votre compte Facebook peut aussi servir à de vrais escrocs, celui qui expliquera à vos abonnés que vous êtes perdus au fin fond de l’Afrique, de l’Asie ou de l’Amérique du Sud et que de vous (lui) envoyer de l’argent, via Paypal, vous (lui) permettra de rentrer chez vous.

Les trois derniers cas, et pas des moindres, sont les plus nocifs. Le premier, diffuse des informations à vos amis (photos, fausses informations, …) Si vous souhaitez que cela cesse, le maître chanteur réclame de l’argent. Le second, des achats sous votre identité. N’oubliez pas qu’en prenant la main sur votre compte, le pirate connait tout de vous, du moins ce que vous avez pu sauvegarder dans l’administration de votre compte Facebook. Le pirate peut ainsi converser avec ses cibles, via votre adresse XXXX@facebook.fr. Je finirai par le compte servant de rebond à une attaque plus fine, plus pointue, comme la diffusion d’un virus, d’une page phishing, comme ce fût le cas pour l’Elysée ou d’une agence américaine. Ne pensez pas n’être qu’un anonyme sur la toile. Pour un pirate, nous sommes une star en devenir !

Comment se protéger
Première chose, évitez de cliquer sur n’importe quel lien qui vous passe sous la souris. Regardez bien les adresses web qui vous sont proposées. Si https://www.facebook.com ne débute pas l’url proposé, passez votre chemin. Autre élément important, votre mot de passe. On ne cesse de le répéter, mais il doit contenir au moins 12 signes : lettres (minuscules, majuscules), signes de ponctuations et chiffres.

Dans la partie « Sécurité » que vous trouverez en cliquant sur l’icône, en haut à droite, de votre page Facebook (puis sur compte), sélectionnez : « Navigation sécurisée ». Personne ne pourra plus intercepter votre mot de passe entre – Vous et Facebook -. Cela se traduit par le S du https de l’url indiqué plus haut dans cet article. N’hésitez pas à cocher l’option « Notification lors des connexions« . Cela vous permet d’être averti, par courriel, d’une connexion « pirate ». Loin d’être négligeable pour agir vite en cas de pépin.

Autres options indispensables, l’approbation de connexion et le générateur de code. Dans ce premier cas, votre smartphone vous offre une sécurité supplémentaire. Par SMS vous pourrez recevoir le code secret de secours qui vous rendra votre Facebook. La seconde option, le générateur de code, vous propose une série de chiffres uniques, toutes les 30 secondes, pour accéder à votre Facebook. En plus de votre mot de passe, le deuxième code devient indispensable pour vous connecter. Sans ces deux « sésames », le pirate ne pourra rien faire.

Je finirai avec les contacts de confiance. Je ne l’utilise pas, mais l’idée est intéressante. Elle permet de définir les amis qui peuvent vous aider à récupérer votre compte auprès de Facebook. S’ils vous connaissent, Facebook vous rendra votre bien… ou pas ! En cas de problème, il est toujours possible de contacter Facebook via la page dédiée : Compte piraté.

Cybersécurité, Espionnae, Vie privée

La NSA dans World Of Wacraft et le Xbox Live

10 décembre 2013 Damien Bancal Un commentaire

Le service secret américain aurait espionné à grande échelle les jeux vidéo en ligne tels World of Warcarft et le réseau Xbox Live. Edward Snowden n’en finit pas de sortir des documents tous plus fous les uns que les autres. Le dernier « truc » en date, diffusé par le journal britannique The Guardian, indique que la NSA aurait mis la main sur des millions d’informations de jeux en ligne. World of Warcarft et Second Life ont été montrés du doigt.

A noter que le Xbox Live serait aussi concerné. Il parait que la NSA aurait tenté de recruter des joueurs afin que ces derniers veillent aux discussions bizarres. Des propos de terroristes. Vue les commentaires tenus dans des jeux tels que Call of Duty, autant dire que la NSA a du se tirer une balle dans le e.pied. Enfin du moins si les informations de Snowden s’avérent vraies. Nous rappelons tout de même qu’il est l’unique source traitant des fuites de la NSA.

Cela expliquerait peut-être aussi la grande mode des jeux en ligne en mode cloud. Les informations sont ainsi sauvegardées hors PC et consoles, donc plus facilement accessibles. Alors, possible ? Il serait marrant de découvrir que la grande majorité des phishing World of Warcraft soient signés NSA ! En attendant, nous conseillons aux 007 locaux de surveiller MineCraft, nous y avons vu d’étranges constructions, en forme de cube !

Android, ios, Sécurité, Smartphone, Téléphonie

Les fausses bonnes idées sécurité pour votre smartphone

10 décembre 2013 Damien Bancal

À l’heure où les ministres sont rappelés à l’ordre quant à l’usage de leurs smartphones, voici 13 conseils À NE PAS SUIVRE pour assurer la sécurité de vos téléphones mobiles. Par Jean-François Beuze, Président et fondateur de Sifaris

1. Conservez le code PIN par défaut. Ainsi, si vous perdez votre mobile ou qu’on vous le vole, la personne qui le « retrouve » pourra profiter pleinement de votre forfait téléphonique.

2. N’utilisez pas de mot de passe lors de son utilisation courante. C’est vrai : pourquoi protéger son mobile contre une utilisation malveillante alors qu’il est dans votre poche ?

3. Laissez votre mobile à la portée de tous, afin qu’un « ami qui vous veut du bien » puisse vous mettre sur écoute, pour vous protéger évidemment. Comment ? Simplement en téléchargeant les applications adéquates depuis votre téléphone.

4. Stockez les données sensibles sur votre téléphone, sans les crypter. À quoi cela pourrait-il bien servir ? Et puis c’est agaçant tous ces codes à retenir.

5. Activez en permanence la fonction Location Tracking, celle qui permet de suivre vos déplacements. Elle est très utile pour qui voudrait suivre tous vos faits et gestes depuis Internet. Vous avez peur de vous perdre ?!

6. Connectez-vous aux Wifi des lieux publics sans précautions, dans un aéroport, un café ou un hôtel. Et profitez-en pour accéder à votre compte bancaire ou pour effectuer des transactions financières. Un peu de charité ne fait pas de mal.

7. Stockez les données confidentielles de votre entreprise sur votre mobile et synchronisez-les sur le Cloud. Pensez à vos concurrents qui ont besoin d’information stratégiques.

8. N’utilisez pas d’antivirus ou autres applications de protection, cela pourrait nuire à l’action des pirates. Tout le monde a le droit de travailler, non ?

9. Flashez tous les QR Code que vous croisez, quel que soit le support. C’est tellement pratique ces petits machins. Et puis les programmes malveillants ne sont pas partout quand même !

10. Effectuez vos paiements depuis votre mobile sans vous préoccuper de rien. Votre banque vous a fait signer une bonne assurance. Enfin, peut-être…

11. Acceptez tous les messages commerciaux envoyés par SMS ou MMS, pour vous proposer de faux services. Ça ne coûte que quelques centimes d’euros. Ce n’est pas grand chose.

12. Téléchargez des applications de sources inconnues avec votre téléphone jaibreaké. Il n’y a aucun risque. Aucun.

13. Installez sans discernement toute application qui vous semble utile. Oui, même celle pour connaître l’horoscope de votre orchidée. Si, elle est très utile. Et puis c’est impossible que des pirates l’utilisent pour contrôler votre mobile, gérer et voir vos contenus, lire vos messages, consulter vos informations bancaires…

Argent, backdoor, Cyber-attaque, Fuite de données, Paiement en ligne, Virus

Neverquest, un trojan qui pourrait bien gâcher les fêtes de Noël

10 décembre 2013 Damien Bancal

L’éditeur de solutions de sécurité informatique Kaspersky Lab vient d’identifier un programme malicieux « capable d’attaquer n’importe quelle banque dans le monde », selon ses créateurs. D’après les experts Kaspersky Lab, plusieurs milliers de tentatives d’infection ont déjà été enregistrées et 28 sites bancaires sont pour le moment concernés, y compris en Allemagne, en Italie et en Turquie. C’est au mois de juillet de cette année que les chercheurs ont découvert l’existence de ce cheval de Troie bancaire après avoir vu une annonce pour la vente d’un nouveau cheval de Troie sur un forum clandestin. Le vendeur le présentait comme un bot privé capable d’attaquer près de 100 banques américaines via l’insertion d’un code dans les pages de leur site pendant le chargement dans différents navigateurs.

Baptisé Neverquest, ce trojan prend en charge pratiquement toutes les techniques connues et utilisées pour passer outre les systèmes de sécurité des banques en ligne : injection Web, accès système à distance, social engineering, etc. Au regard de sa capacité à se dupliquer, une augmentation rapide des attaques Neverquest est à prévoir, avec donc de nombreux préjudices financiers.

Serge Golovanov, expert chez Kaspersky Lab, signale que « ce programme malveillant est relativement récent et les individus malintentionnés ne l’utilisent pas encore à pleine capacité. Les individus malintentionnés peuvent obtenir le nom d’utilisateur et le mot de passe saisis par l’utilisateur et modifier le contenu de la page Internet. Toutes les données que l’utilisateur saisit sur cette page modifiée sont également transmises aux individus malintentionnés.«

L’argent volé est transféré sur un compte contrôlé par les individus malintentionnés ou, pour brouiller les pistes, sur le compte d’autres victimes. Vu les capacités de Neverquest en terme de diffusion automatique, le nombre d’utilisateurs attaqués pourrait augmenter sensiblement en un bref laps de temps.

Hacking

HackNowLedge Contest : direction Las Vegas

8 décembre 2013 Damien Bancal

Les 48 meilleurs hackers d’Espagne, de France, du Benelux, du Maroc, de Tunisie, de Côte d’Ivoire se sont retrouvés, ce week-end à Jeumont (59), à l’occasion de la grande finale du HackNowLedge Contest. Après un an de compétition, à sillonner l’Europe et l’Afrique, les bénévoles de l’association Maubeugeoise de l’ACISSI, instigatrice de l’idée et des 70 épreuves d’Hacking Ethique, ont invité les gagnants de chaque compétition nationale pour la grande finale qui s’est tenue dans les locaux de la Gare Numérique de Jeumont. But ultime, finir sur la première marche du podium pour remporter un séjour à Las Vegas, au mois d’août prochain, lors de la Def Con XXI. La mission des concurrents, durant 10 heures, est de cracker des clés de chiffrement, taquiner de la biométrie, jongler avec de la sténographie, des digits codes, des téléphones portables, des serrures et des dizaines d’autres « épreuves » numériques. L’idée, mettre en avant ses compétences techniques au service du hacking éthique.

Conférences d’avant match
Avant le lancement de la compétition, plusieurs conférences ont été proposées dans l’espace de la Gare Numérique. Etat des lieux de la sécurité informatique au Maroc, en Belgique ou encore des infrastructures informatiques industrielles, en passant par l’évolution de la loi française face aux amateurs de failles, les « brouteurs » (scammeurs – Arnaque Nigériane – 419) en Côte d’Ivoire ou encore un retour sur l’action des « Anonymous » lors de la révolution de Jasmin, en Tunisie. « Il va être très compliqué de combattre le scam, souligne Serge Didikouko, spécialiste local en sécurité informatique. Les jeunes peuvent gagner jusqu’à un an de salaire d’un fonctionnaire en une seule journée. Dans notre pays, les cyber-cafés s’ouvrent un peu partout. La connexion coute entre 0.50€ et 0.75€. Beaucoup de personnes gagnent de l’argent grâce aux brouteurs. Du gamin de 10 ans qui surfe toute la journée en passant par l’agent de change qui peut toucher jusqu’à 10% sur chaque réception d’argent ». Les arnaques se multiplient : fausses ventes, faux amants, faux fils de président décédé. Le but, soutirer de l’argent aux pigeons piégés sur la toile.

Du côté de l’hexagone, Maître Raphaël Rault, du cabinet d’Avocats BRM est revenu sur comment tester la sécurité en toute légalité ? « Il faut rappeler, indique l’homme de loi, qu’un test d’intrusion ne peut se faire sans l’accord du propriétaire ; lui rappeler que tous ses partenaires sont susceptibles d’être directement ou indirectement impactés par l’audit. Ils doivent être signataires du contrat passé avec le propriétaire de l’espace à auditer ». Des obligations qu’il ne faut pas prendre à la légère. Aucune intervention sur le système d’information visé, sans un accord écrit sous peine de se voir appliquer les dispositions pénales spécifiques « sans parler du risque d’atteinte aux traitements de données à caractère personnel. » Bref, hacker n’est pas jouer.