Tous les articles par Damien Bancal

Damien Bancal, expert reconnu en cybersécurité Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles. Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe. Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.

Mutuelle Française piratée

Un « groupe » de jeunes pirates informatiques du nom de Phenomenal a annoncé sur Internet le piratage du site Internet d’une mutuelle Française basée dans la région Centre. Les pirates, une fois dans le serveur, se sont empressés de télécharger la base de données qui peut laisser quelques sueurs froide dans le dos des clients de cette société. D’après les informations diffusées et que la rédaction de zataz.com a pu consulter, plus de 18000 clients se retrouvent avec leurs données dans la nature : login, mot de passe, …  Il est bon de rappeler que la loi française (Godfrain – 1988 et modifié lors de la refonte du Code Pénal Art. 323-1 et suivants) punit l’accès et le maintien frauduleux dans un système de traitement automatisé de données (STAD). Peine encourue : 2 ans de prison et 30 000€ d’amende. Cela peut monter jusqu’à 7 ans et 75 000€ dans certaines conditions (Etatique).

Pirater un iPhone, possible avec un simple chargeur.

Des universitaires chercheurs de l’université de George Institute of Technology ont trouvé le moyen de piéger un iPhone 5. Via un hack hardware, les étudiants ont mis au point un chargeur, baptisé Mactans, capable d’injecter un code, malveillant ou non. La découverte sera présentée à la veille du Defcon, lors de la conférence de sécurité Blackhat. Pour réussir le tour de passe-passe, les bidouilleurs ont utilisé une carte Texas Instruments BeagleBoard. Prix de l’arme … 45 dollars. « Malgré la pléthore de mécanismes de défense d’iOS, nous avons injecté avec succès le logiciel de notre choix dans les appareils Apple de la dernière génération et qui exécutent la dernière version de leur système d’exploitation … Tous les utilisateurs sont concernés, notre approche ne nécessite pas d’appareil jailbreaké, ni d’interaction de la part de l’utilisateur. » explique les hackers.

Cartouche underground pour la 3DS ?

Gateway 3DS, une cartouche underground annoncée pour la portable 3D de Nintendo. XavBox, la référence francophone dans tout ce qui concerne le bidouillage d’une console de jeu, vient d’annoncer la probable arrivée de la Gateway 3DS. Cette cartouche n’est rien d’autre qu’une possibilité underground de lancer des copies de sauvegarde de roms de jeux 3DS (voir la vidéo ci-dessous). Pour le moment, des cartouches « linker » fonctionnaient sur la 3DS de Nintendo, sans pour autant pouvoir lancer des jeux 3D. Avec la Gateway 3DS, cela deviendrait possible.


Gateway-3DS par xavbox

Le spam reprend sa marche en avant

Le spam reprend sa marche en avant avec une part de 72,2% du trafic de messagerie selon Kaspersky Lab. DataSecurityBreach.fr vient de recevoir le rapport trimestriel de Kaspersky Lab sur l’ambiance malveillante de l’Internet, vue par cette société commerciale de vente de produits de sécurité informatique. Un bilan de la part du spam dans le trafic e-mail global. Celui-ci reprend sa marche en avant (+2,1% en avril) après une baisse significative en 2012 avec un niveau le plus bas depuis 5 ans.

Spams et escroqueries : Pâques et Boston exploités

Le calendrier et l’actualité sont propices à l’augmentation de spams et d’escroqueries à la nigériane. Les derniers en date ont exploité Pâques et les événements tragiques de Boston et du Texas. Les sites internet d’informations CNN et BBC ont été imités dans le but d’infiltrer l’ordinateur de leurs victimes en leur injectant des programmes malveillants. Pâques a également inspiré les escrocs avec la création de faux sites de loteries ou de faux mails de personnalités politiques tels que Barack Obama afin de soutirer de l’argent aux victimes.

Répartition géographique des sources de spam

Le trio de tête des pays sources de courrier indésirable diffusé dans le monde a évolué depuis fin 2012 avec l’apparition d’un nouvel acteur. La Corée du Sud fait son entrée dans le Top 3. Data Security Breach a pu remarquer une part de responsabilité de 11,4% sur l’émission globale de courrier indésirable. Le classement de ce pays contraste avec celui de 2012 puisque à l’époque, la Corée du Sud n’atteignait que 3.6% et se plaçait en 6ème position. Par contre, pour la deuxième année consécutive, la Chine conserve sa place de numéro 1 avec 23.9% des e-mails non sollicités. Les Etats-Unis gardent également leur deuxième position avec une part de 16,8% malgré une baisse enregistrée par rapport à 2012 (19,5%). Ces deux derniers pays représentent tout de même à eux deux 41% du courrier indésirable envoyé à travers le monde.

Pays, source de courrier indésirable

Si on observe l’origine des spams reçus par les européens, le classement est sensiblement différent. En effet, la Corée du Sud se hisse en première position avec 43,4% des mails envoyés suivie de loin par les Etats-Unis et du Vietnam avec successivement 6,7% et 3,4%. La Chine quitte le trio de tête pour la 5ème position soit 3,7%.

Pièces jointes malveillantes dans le courrier

La part de pièces jointes malveillantes dans le courrier atteint 2,4% du trafic de messagerie. 3 programmes malveillants restent particulièrement actifs : – Trojan-Spy.HTML.Fraud, cheval de Troie récupérant des informations personnelles des utilisations, en tête avec 7,85% des pièces jointes infectées – Email.Worm.Win32.Bagle, ver capable d’envoyer des copies aux entrées du carnet d’adresses de l’utilisateur, à 3,58% – Backdoor.Win32.Androm.pta qui administre un ordinateur infecté à l’insu de son propriétaire, en troisième position avec 3,11%

Piratage de l’Université de Ziguinchor

L’université Sénégalaise de Ziguinchor piratée. Identifiants de connexion des étudiants dérobés. Le groupe Phenomenal vient de faire parler de lui lors du piratage d’un site universitaire basé au Sénégal. D’après les informations collectées par Data Securit Breach, les pirates ayant diffusé dans un espace privé les données volées, plusieurs dizaines d’identifiants de connexion ont été dérobés.

Dans les informations détournées lors de ce piratage, une trentaine d’emails, logins et mot de passe, ainsi qu’un annuaire comprenant l’identités des professeurs et leurs numéros de téléphone. A première vue, il est fort probable que d’autres données ont pu être copiées par les pirates.

Un site libertin Belge piraté : 9000 membres à poil

Un important site belge dédié aux rencontres coquines piratés. Les visiteurs ont ponctionné les données de plus de 9000 membres. Voilà qui met à mal la vie privée, très privée même, de plus de 9000 membres du site Internet Belge annonce-libertine.be. La rédaction de ZATAZ.COM et Datasecuritybreach.fr ont été informés que ce portail dédié aux rencontres libertines entre adultes consentants avait été piraté par plusieurs pirates informatiques différents.

Dans tous les cas, les intrusions ont offert la possibilité aux « visiteurs » de mettre la main sur les données privées des « clients » de ce portail pour adulte. Parmi les informations que Data Security Breach a pu consulter, les pirates ayant diffusé sur Internet les données dans un espace « privé », un extrait des données, 8.728 emails, logins et mots de passe.

A noter que les identifiants de connexion ne sont pas chiffrés, laissant apercevoir des password particulièrement ridicule allant de la date de naissance (sic!), le numéro de téléphone portable (double sic!) ou le vrai prénom de l’anonyme caché derrière le pseudonyme employé sur le site. Ok, les participants ne sont pas au fait de la sécurité informatique, mais la pénétration du portail par au moins trois groupes de pirates (Phenomenal, AB, …) met clairement à mal la vie privée des intéressés. Le site a été alerté voilà 15 jours. Aucune réponse de leur part.

Internet : le consentement explicite

Quand vous naviguez sur Internet, pouvez-vous dire qui collecte des informations à votre sujet, quelle est la nature de ces informations et qui peut y avoir accès ? Pouvez-vous contrôler qui peut savoir quoi de vous ? La Commission européenne a proposé de vous en donner le pouvoir, mais le Parlement européen, sous la pression des lobbies de l’industrie, risque de voter autrement.

Avec le développement du commerce des données, le contrôle des citoyens sur leurs données personnelles a progressivement diminué, alors même que leur droit fondamental à la vie privée ne peut être défendu s’ils n’ont pas eux-mêmes les moyens de le protéger. Mais la protection de notre vie privée n’est pas le seul enjeu lié à cette question : ce manque de contrôle entraîne un manque de confiance aux conséquences négatives tant pour la liberté d’expression [1] que pour le développement économique des services en ligne [2].

Pour faire face à cette situation critique, la Commission européenne propose de donner aux citoyens un véritable contrôle sur leurs données personnelles en établissant un principe clair : que les utilisateurs aient à donner un consentement explicite pour toute collecte, traitement ou échange d’informations les concernant.

L’enjeu

Pour mieux comprendre le sens de la proposition de la Commission européenne, il faut revenir à l’actuelle législation européenne – la directive de 1995 obsolète – qui n’exige pas que le consentement soit donné « explicitement » mais « indubitablement » [3]. Qu’est-ce qu’un consentement « indubitablement donné » ? Le sens d’une notion si vague « est souvent mal interprété ou simplement ignoré », comme le déplore le groupe de travail « Article 29 » [4] – l’organe européen réunissant l’ensemble des autorités nationales européennes de protection des données personnelles.

Un consentement peut être considéré comme « indubitablement donné » lorsqu’une personne informée du traitement de ses données ne s’y oppose pas. Cependant, la législation actuelle n’obligeant pas les entreprises à s’assurer que ces personnes soient effectivement informées, la plupart de ces entreprises ne sont pas vraiment enclines à exposer de façon claire, pratique et visible la nature ou le but des traitements de données qu’elles réalisent.

Par conséquent, les citoyens ignorent la plupart des traitements que leurs données subissent : en pratique, ils ne pourraient pas s’y opposer s’ils le désireraient.

Prenons l’exemple d’Amazon. Lorsque vous consultez un article sur ce site, votre navigation est enregistrée pour vous suggérer des produits similaires. Bien que la formule « inspirés par votre historique de navigation » vous indique que certaines de vos données personnelles sont traitées, elle n’indique pas qu’Amazon collecte en réalité bien plus de données que la simple liste d’articles que vous avez consultés et, ce même s’il s’agit de votre première visite et que vous n’êtes pas inscrit sur ce site. Ces informations ne sont accessibles qu’à la toute fin des pages du site Internet. Google, quant à lui, ne prend même pas la peine d’indiquer qu’il collecte, stocke et traite l’ensemble des informations liées à toutes vos requêtes et visites de site Internet. Le seul moyen de le savoir est de rechercher puis de lire ses règles de confidentialité.

La proposition de la Commission La proposition élaborée par la Commission européenne changerait radicalement cette situation en posant le principe d’un consentement explicite de l’utilisateur. Le consentement des utilisateurs devraient alors être exprimé « par une déclaration ou par un acte positif univoque » [5], et ce pour chacune des finalités pour lesquelles une entreprise souhaiterait collecter leurs données. Le « silence informé » ne serait plus considéré comme un consentement valide.

Les entreprises devraient alors activement rechercher le consentement de leurs utilisateurs, assurant ainsi qu’aucune donnée personnelle ne puisse plus être traitée sans que les utilisateurs n’en aient été véritablement et directement informés. Adoptée, cette proposition assurerait que rien ne se passe hors de vue ou de contrôle des utilisateurs. À cet égard, de bonnes pratiques existent déjà et constituent des exemples concrets de ce que serait un consentement explicitement donné sur Internet. Des navigateurs tels que Firefox et Chrome requièrent déjà votre consentement explicite avant d’envoyer des informations concernant votre géolocalisation à un site Internet.

Ceci permet de garantir que, pour tout traitement, vous êtes réellement informé de la nature des données collectées et, ainsi, que vous puissiez véritablement y consentir. Ensuite, si vous le souhaitez, vous pouvez aussi simplement choisir de « toujours accepter » que le site que vous visitez puisse collecter votre position géographique sans avoir à chaque fois à obtenir votre consentement. Même si le concept de cette « boîte de requête » est largement perfectible – en ce qu’elle n’indique pas comment vos données seront traitées ni qui pourra y accéder – cela nous montre, au moins, le type de contrôle que nous pourrions exercer si l’exigence d’un consentement explicite était adoptée.

Les recommandations des géants de l’Internet

Le contrôle des utilisateurs semble être problématique pour les géants de l’Internet, Datasecuritybreach.fr vous en parle souvent, dont les bénéfices reposent largement sur la quantité de données personnelles qu’ils collectent. Ils redoutent qu’un plus grand contrôle donné aux utilisateurs amoindrisse les quantités de données qu’ils traitent. Ceci nous montre bien comment notre vie privée est considérée par ces entreprises : si leurs activités respectaient véritablement notre vie privée, pourquoi craindraient-elles que nous n’y consentions pas ? Exiger un consentement explicite ne porterait atteinte qu’aux entreprises qui ne respectent pas notre vie privée. Les autres, en revanche, ne pourraient que bénéficier du gain de confiance résultant du véritable contrôle donné aux utilisateurs.

Google, Facebook, Microsoft, Amazon et eBay ont unanimement demandé aux députés européens de retirer du règlement le consentement explicite [6]. Leur principal argument est que les utilisateurs « veulent des services Internet qui soient rapides, simples d’accès et efficaces [et que rechercher systématiquement leur consentement explicite] les conduirait à le donner automatiquement, par habitude », « étant surchargés de demandes de consentement » (traduits par nos soins).

Dès lors que rechercher le consentement explicite des utilisateurs est le seul moyen de garantir qu’ils seront veritablement avertis de chacun des traitements réalisés sur leurs données personnelles, ces demandes ne peuvent pas représenter une « surcharge ». Quiconque choisirait de consentir « automatiquement, par habitude », serait tout de même averti de ces traitements, alors que nous ne le sommes que rarement aujourd’hui.

De plus, une fois qu’ils auraient accepté qu’une entreprise puisse traiter certaines de leurs données pour une finalité claire et spécifique, les utilisateurs n’auraient pas à consentir aux nouveaux traitements qui poursuivraient exactement cette même finalité [7]. Ainsi, déclarer qu’ils seraient « surchargés de demandes de consentement » est simplement faux. En pratique, les utilisateurs n’auraient généralement à consentir, tout au plus, qu’une seule fois : en visitant un site Internet pour la première fois ou en utilisant pour la première fois une nouvelle fonctionnalité de ce site.

Les propositions des députés européens Les commissions « consommateurs » (IMCO) et « industrie » (ITRE) ont suivi les recommandations des géants de l’Internet et ont voté contre l’exigence d’un consentement explicite. IMCO a proposé de subordonner cette exigence au « contexte », ce qui est aussi vague et dangereux que d’exiger un consentement « indubitablement donné » [8] ; alors que la commission ITRE a suggéré que le consentement ait simplement à être donné « sans équivoque », d’une façon similaire à ce que prévoit déjà la directive de 1995 [9]. Ces deux avis semblent avoir véritablement influencé le débat, de sorte que sept amendements ont été déposés dans la commission « libertés civiles » (LIBE), par dix-sept députés européens, proposant de retirer l’exigence d’un consentement explicite du règlement [10]. Ce qui démontre que ces membres de LIBE, principalement libéraux et conservateurs, ne souhaitent pas conférer aux utilisateurs le contrôle sur leurs données.

Aujourd’hui, il apparaît que la plupart des députés européens sont opposés au principe d’un consentement explicite, dupés par des centaines de lobbyistes, et ne changeront pas de position si nous ne nous mobilisons pas et n’agissons pas dès maintenant.

Ce que vous pouvez faire

Tout d’abord, Datasecuritybreach.fr vous conseille de n’utiliser que des logiciels et des services dans lesquels vous pouvez avoir confiance. Préférez des logiciels libres et hébergez vos propres services autant que possible. De nombreux outils, tels que Tor [11] [12], DuckDuckGo [13] [14] ou des extensions de navigateurs, tels que NoScript [15] ou HTTPS Everywhere [16], vous permettent de remplacer, contourner ou bloquer certains services Internet essayant de collecter vos données personnelles.

Malheureusement, ces solutions ne suffiront jamais à protéger pleinement votre vie privée en ce qu’elles ne sont pas installées par défaut, demandent un certain effort et sont parfois perçues comme complexes à utiliser. Ainsi, nous devons agir afin de nous assurer que le futur règlement protégera véritablement la vie privée des citoyens européens : appelez ou écrivez [17] à vos représentants dès maintenant – les inquiétudes de leurs électeurs et la défense des libertés fondamentales devraient toujours primer sur les intérêts économiques des géants de l’Internet –, partagez cette analyse, écrivez-en afin de donner votre opinion sur le sujet, parlez-en autour de vous ou inventez quelque chose à base d’image, de vidéo, de son, etc. C’est maintenant que nous devons agir !

Les membres de LIBE [18] des différents groupes politiques ont déjà commencé à chercher des compromis sur ce sujet précis : nous devons les contacter avant qu’ils ne tombent d’accord sur les pires amendements.

Références

1. L’UNESCO a publié en 2012 une étude mondiale sur le respect de la vie privée sur l’internet et la liberté d’expression [en], qui commence ainsi : « Le droit au respect de la vie privée sous-tend d’autres droits et libertés, dont la liberté d’expression, la liberté d’association et la liberté de conviction. L’aptitude à communiquer anonymement sans que les gouvernements connaissent notre identité, par exemple, a joué historiquement un grand rôle dans la sauvegarde de la libre expression et le renforcement de la responsabilisation politique, les individus étant plus enclins à s’exprimer sur les questions d’intérêt public s’ils peuvent le faire sans crainte de représailles. » Ce qui a toujours été vrai pour la surveillance gouvernementale se vérifie probablement aujourd’hui pour la surveillance privée. Pouvons-nous vraiment nous exprimer librement si toute entreprise, ou même toute personne, peut connaître notre identité et quantité d’autres informations sensibles à notre sujet ?

2. Une étude [en] du Boston Consulting Group montre que « la valeur créée par l’identité digitale peut en effet s’avérer considérable : un milliard d’euro en Europe d’ici 2020 [mais] deux tiers de la valeur totale liée à l’identité numérique ne se réalisera pas si les acteurs n’arrivent pas à établir un climat de confiance pour la circulation des données personnelles » (traduit par nos soins).

3. Directive de 1995 : Article 2 – Définitions Aux fins de la présente directive, on entend par: h) «consentement de la personne concernée»: toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement. Article 7 Les États membres prévoient que le traitement de données à caractère personnel ne peut être effectué que si: a) la personne concernée a indubitablement donné son consentement

4. Opinion of the Article 29 Data Protection Working Party on the Definition of Consent [en] : « Cet avis est en partie rendu en réponse à une requête de la Commission dans le cadre de la révision en cours de la directive concernant la protection des données personnelles. Elle contient donc des recommandations à prendre en compte dans cette révision. Ces recommandations comprennent : (i) clarifier la définition de consentement « indubitablement donné » et expliquer que seul un consentement basé sur des actions ou déclarations faites pour signifier un accord constitue un consentement valable ; (ii) exiger que les responsables de traitement mettent en place des mécanismes pour démontrer le consentement (dans le cadre d’une obligation générale de responsabilité) ; (iii) ajouter une exigence explicite concernant l’accessibilité et la qualité de l’information sur laquelle se fonde le consentement, et (iv) un certain nombre de suggestions concernant les mineurs et autres personnes dépourvues de leur capacité juridique. »

« La notion de consentement « indubitablement donné » est utile pour mettre en place un système qui, sans être trop rigide, permet une protection forte. Alors qu’il pourrait potentiellement conduire à un système raisonnable, malheureusement, son sens est souvent mal interprété ou simplement ignoré. »

« La clarification doit se concentrer sur le fait qu’un consentement « indubitablement donné » requiert l’utilisation de mécanismes qui ne laissent aucun doute sur l’intention de la personne concernée de donner son consentement. Cependant, il doit être clair que l’utilisation de paramétrage par défaut exigeant que la personne concernée les modifient afin de signifier son désaccord (un consentement fondé sur le silence) ne peut constituer en soi un consentement « indubitablement donné ». Ceci est particulièrement vrai dans l’environnement en ligne. »

« La position commune 10 du Conseil de 1995 a introduit la définition (actuelle) du consentement. Il a été défini comme « toute indication donnée de façon spécifique, libre et informée de ses souhaits par laquelle la personne concernée signifie son accord au traitement de données personnelles le concernant ». La principale modification apportée à la position de la Commission de 1992 ayant été d’effacer le mot « expresse » qui qualifiait le mot « indication ». En même temps, le terme « indubitablement » a été rajouté à l’article 7(a) qui devenait ainsi : « la personne concernée a indubitablement donné son consentement ». » (traduit par nos soins)

5. Proposition de Règlement pour la protection des données Article 4 – Définitions Aux fins du présent règlement, on entend par: 8. «consentement de la personne concernée»: toute manifestation de volonté, libre, spécifique, informée et explicite par laquelle la personne concernée accepte, par une déclaration ou par un acte positif univoque, que des données à caractère personnel la concernant fassent l’objet d’un traitement;

6. Lire les recommandations contre le consentement explicite envoyées aux députés européens par les géants de l’Internet [en] sur le wiki de la Quadrature. Vous pouvez également lire bien d’autres documents envoyés par les lobbies [en] aux députés européens, sur d’autres sujets concernant la protection des données personnelles.

7. La Quadrature du Net publiera bientôt une analyse de Privacy Alert abordant précisément ce point.

8. Voir la réaction de La Quadrature du Net au vote de IMCO du 23 janvier. Avis de IMCO : amendement 63 Article 4 – Définitions (8) « consentement de la personne concernée »: toute manifestation de volonté libre, ++qui doit être++ spécifique, informée et ++aussi++ explicite ++que possible selon le contexte,++ par laquelle la personne concernée accepte, par une déclaration ou par un acte positif univoque ++, et de manière explicite lorsque les données visées à l’article 9, paragraphe 1, doivent être traitées,++ que des données à caractère personnel la concernant fassent l’objet d’un traitement; (Comment lire un amendement : ++ajouté au texte initial++ / –supprimé du texte initial–)

9. Voir la réaction de La Quadrature du Net au vote de ITRE du 21 février. Avis de ITRE : amendement 82 Article 4 – Définitions (8) « consentement de la personne concernée »: toute manifestation de volonté, libre, spécifique, informée et –explicite– ++sans équivoque++ par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement. ++Le silence ou l’inaction n’équivalent pas en soi à un consentement++; (Comment lire un amendement : ++ajouté au texte initial++ / –supprimé du texte initial–)

10. Amendements 757, 758, 760, 762, 764, 765 et 766, déposés en LIBE par : Lidia Joanna Geringer de Oedenberg (S&D – Pologne) Adina-Ioana Valean (ALDE – Roumanie) Jens Rohde (ALDE – Danemark) Louis Michel (ALDE – Belgique) Sarah Ludford (ALDE – Royaume-Uni) Charles Tannock (ECR – Royaume-Uni) Timothy Kirkhope (ECR – Royaume-Uni) Axel Voss (EPP – Allemagne) Seán Kelly (EPP – Irlande) Wim van de Camp (EPP – Pays-Bas) Hubert Pirker (EPP – Autriche) Monika Hohlmeier (EPP – Allemagne) Georgios Papanikolaou (EPP – Grèce) Véronique Mathieu Houillon (EPP – France) Anna Maria Corazza Bildt (EPP – Suède) Agustín Díaz de Mera García Consuegra (EPP – Espagne) Teresa Jiménez-Becerril Barrio (EPP – Espagne)

11. https://www.torproject.org/

12. Tor est un logiciel libre et un réseau ouvert qui vous aide à vous protéger d’une forme de surveillance du réseau, telle que l’analyse du trafic réalisée par certains gouvernements, menaçant nos libertés individuelles et notre vie privée.

13. https://duckduckgo.com/html/

14. DuckDuckGo est un moteur de recherche utilisant des informations récoltées sur des sites web participatifs, tel que Wikipédia, afin de répondre à vos requêtes. Le  moteur de recherche déclare protéger votre vie privée et ne pas enregistrer d’information vous concernant. https://duckduckgo.com/html/

15. https://fr.wikipedia.org/wiki/NoScript

16. https://www.eff.org/https-everywhere

17. https://www.laquadrature.net/wiki/Comment_contacter_un_d%C3%A9put%C3%A9_europ%C3%A9en

18. https://memopol.lqdn.fr/search/?q=committees%3ALIBE%20is_active%3A1

Atlantic Bank Group piraté

L’entreprise financière africaine Atlantic Bank Group piraté. Base de données corrompue. Il y a quelques jours, la rédaction de DataSecurityBreach.fr a appris le piratage d’une entreprise financière africaine d’importance. Le site de l’Atlantic Bank Group a été visitée par un groupe de pirates informatiques. La structure n’est pas anodine, le Groupe Banque Atlantique est un conglomérat de services financiers d’Afrique de l’Ouest, dont le siège est à Lomé (Togo). Le groupe est composé de banques et autres sociétés de services financiers localisés en Côte d’Ivoire, Bénin, Niger, Burkina Faso, Mali, Sénégal et Cameroun. D’après les informations que data security breach a pu consulter, les pirates ont diffusé des informations sur un espace web privé, la base de données du site banqueatlantique.net a pu être consultée, et très certainement ponctionnée, par les pirates. A première vue, parmi les actions malveillantes possibles : usurpation d’identité et diffusion de fausses informations économiques.

Social engineering et cheval de Troie, vos meilleurs ennemis

Une série d’attaques particulièrement préparées, basées sur un mécanisme d’ingénierie sociale et d’infection par cheval de Troie, et ciblant des entreprises françaises a été porté à la lecture de datasecuritybreach.fr. En avril 2013, l’éditeur Symantec a été alerté d’une série d’attaques dont l’élément le plus distinctif est l’appel téléphonique que la victime de la part de l’attaquant se faisant passer pour un employé ou un partenaire de l’organisation, en français, et demandant à la victime de traiter une facture qu’il va recevoir par email. Le courriel piégé contient soit un lien malveillant soit une pièce jointe, qui se révèle être une variante de W32.Shadesrat, un cheval de Troie.

Ces attaques ont commencé en février 2013. Cependant, ce n’est que récemment, en avril, que des appels téléphoniques ont commencé à accompagner l’envoi des emails. Pour le moment, les attaques ont concerné des entreprises françaises, ainsi que certaines de leurs filiales basées à l’étranger (Roumanie et Luxembourg). L’attaquant est bien préparé et il a, bien sûr, obtenu l’adresse email et le numéro de téléphone de sa victime avant l’opération. Les victimes de ces attaques sont le plus souvent des employés des départements comptables ou financiers de ces entreprises. Comme le traitement des factures fait partie de leurs tâches quotidiennes, ce leurre s’avère plutôt convaincant. Chaque élément de cette attaque requiert une soigneuse préparation qui contribue au taux de réussite général de l’attaque.

Il semble que la motivation de l’attaquant soit pour le moment purement financière. Cibler des employés des départements comptables et financiers des entreprises concernées lui assure un paiement ou une transaction en ligne rapide, ainsi qu’un accès facilité aux informations bancaires et comptables des entreprises attaquées qu’il pourra utiliser ultérieurement.  Mais le cheval de troie permet également un accès aux documents de l’entreprise. W32.Shadesrat est en effet un Trojan d’accès à distance (RAT : Remote Access Trojan), connu et documenté dans les solutions de sécurité Symantec, déjà utilisé par une grande variété d’attaquants, et toujours actif dans différents pays.

Recommandations à destination des entreprises :

–          Informer le personnel des services concernés de ces attaques ;

–          Disposer d’une solution de sécurité de dernière génération sur chacun de ses postes de travail et la mettre à jour ;

–          Stocker les informations sensibles de l’entreprise dans un espace sécurisé, et les chiffrer ;

–          Vérifier l’identité des prestataires émettant une facture urgente avec les différents services ayant pu faire appel à leurs services, ainsi que leurs coordonnées bancaires.

Operation Hangover : La plus grande activité de cyber-espionnage jamais connue originaire d’Inde

 Norman Shark, fournisseur leadeur mondial de solutions d’analyse malware pour entreprises, fournisseurs de services et gouvernements, a communiqué à Datasecuritybreach.fr un rapport détaillant l’infrastructure d’une vaste cyber-attaque sophistiquée qui serait originaire d’Inde. Les attaques, menées par des pirates privés depuis 3 ans, ne semblent pas avoir l’appui d’un État, mais le but principal du réseau C2 (Commande/Contrôle) mondial aurait été de cibler à la fois la sécurité nationale et les entreprises du secteur privé.

« Les données que nous avons indiquent que ces attaques ont été menées par un groupe d’attaqueurs basés en Inde, avec plusieurs développeurs ayant pour tâche de livrer des malwares spécifiques. » commente à datasecuritybreach.fr Snorre Fagerland, chef des recherches dans les laboratoires de Norman Shark à Oslo en Norvège. « Ce groupe semble avoir les ressources et les relations nécessaires en Inde permettant aux attaques d’être surveillées de n’importe où dans le monde. La grande diversité des secteurs touchés est toutefois très surprenante : il s’agit des secteurs des ressources naturelles, des télécommunications, de la restauration mais aussi des secteurs alimentaire, juridique, et industriel. Il est vraiment peu probable que cette organisation fasse de l’espionnage industriel pour son propre usage uniquement, ce qui est vraiment inquiétant. »

L’enquête a présenté des preuves de pratiques professionnelles au niveau de la gestion de projet, utilisées pour concevoir des systèmes, des modules et des sous-composants. Il semblerait que les auteurs des attaques malware aient assigné certaines tâches et certains composants à des programmeurs freelances. « Il n’y avait encore jamais eu de preuves de ce genre d’attaques » ajoute à data security beach magazine M.Fagerland.

Les autorités nationales et internationales enquêtent toujours sur cette découverte. La découverte de cette affaire a débuté le 17 mars lorsque les journaux norvégiens ont publié des articles sur Telenor, un des plus gros opérateurs téléphoniques au monde, faisant partie du top 500 mondial, et considéré comme l’une des entreprises de télécommunications leader en Norvège. Cette entreprise a porté plainte pour avoir été victime d’une intrusion informatique illégale. La source de cette infection proviendrait d’emails phishing ciblant la haute direction de l’entreprise.

Grâce à la structure et au type de comportement des fichiers malware, les analystes en sécurité de Norman Shark ont pu rechercher des cas similaires dans des bases de données internes et publiques, en utilisant les systèmes d’analyse automatique du Malware Analyzer G2 de Norman. Le nombre de malwares trouvé par les analystes de Norman et de ses partenaires était étonnamment grand. Il était donc évident que l’attaque de Telenor n’était pas isolée : elle fait partie d’un effort continu cherchant à mettre en danger les entreprises et les gouvernements du monde entier.

D’après les analyses des adresses IP collectées sur les banques de données criminelles découvertes pendant l’enquête, les victimes ciblées par ces attaques seraient répertoriées dans plus de 12 pays différents. Les cibles précises de ces attaques sont les gouvernements, les organisations militaires et les entreprises. C’est grâce à une analyse détaillée des adresses IP, des enregistrements de nom de domaine, et des identifiants texte contenus au sein même des codes malveillants que les malwares ont pu être attribués.

Malgré la récente attention médiatique portée sur l’exploitation de failles de type zero day , qui utilisent les toutes dernières méthodes d’attaques, Operation Hangover semble avoir exploité les failles déjà connues et identifiées dans Java, les documents Word et les navigateurs internet. « Ces dernières années, ce type d’activité était avant tout associé à la Chine, mais à notre connaissance, c’est la première fois qu’une activité de cyber-espionnage est originaire d’Inde », conclut à datasecuritybreach.fr M.Fagerland.