Tous les articles par Damien Bancal

Damien Bancal, expert reconnu en cybersécurité Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles. Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe. Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.
Fuite de données, Justice, Leak, Particuliers

La justice protège l’inventeur d’une fuite de données

Si un administrateur d’un système informatique ne protège pas ses données, le « découvreur » de la fuite ne risque plus d’être poursuivi pour piratage. Voilà qui devient intéressant. Legalis annonce un jugement qui va attirer l’œil de plus d’un internaute. Si le responsable d’un système d’information ne sécurise pas son réseau, serveur, … contre les intrusions, la justice ne poursuivra pas l’Internaute qui aura pu accéder aux dites données.

Pour le tribunal correctionnel de Créteil, via son jugement du 23 avril, le délit d’accès et de maintien frauduleux n’est pas constitué. Un jugement rendu après la relaxe d’un internaute qui s’était « introduit » dans l’extranet de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail. Le surfeur, un internaute journaliste, y avait récupéré des documents accessibles, car non protégés par un code d’accès et un mot de passe.

Ce jugement va dans le sens de la jurisprudence Kitetoa de 2002 et impose ‘enfin » au responsable d’un traitement d’information une obligation de sécurité. L’internaute poursuivi avait découvert les fichiers via Google. Google ayant aspiré liens et les données (dans son cache, ndlr), considérant ces derniers comme une source ouverte. Le tribunal indique que s’il n’y pas eu soustraction matérielle des documents, que ces derniers sont toujours à disposition du propriétaire, il n’y a pas « piratage ».

Un détail, de taille, surtout pour les amateurs de logiciels d’injections SQL : ne pensez pas que cette décision vous protège, bien au contraire. Le tribunal correctionnel de Créteil protège les personnes qui cliquent sur des documents, via Google, pendant pouvoir le faire, pas des pirates qui utilisent un logiciel Internet, via une action clairement illicites, et qui tombe sous le coup de la loi Godfrain. (Legalis)

Cyber-attaque, Entreprise, Fuite de données, Leak

Piratage de CNN : de faux articles diffusés ?

Un pirate informatique aurait découvert comment diffuser de faux articles sur le site américain CNN. Le pirate informatique Reckz0r, 25 ans, originaire d’Arabie Saoudite, vient d’annoncer le piratage du site CNN et plus précisément de son espace Edition. Quatre faux articles, dont une version très personnelle de Bill Gates, le fondateur de Microsoft, en train d’empoisonner de jeunes africains. Le pirate explique avoir découvert une injection SQL dans le portail américain d’information. Neuf comptes utilisateurs, 5 administrateurs et 4 journalistes ont été diffusés sur la toile. L’un des comptes, celui Kate Gosling, aurait été utilisé pour ces fausses diffusions sur Edition.cnn.com.

Le fichier diffusé par le pirate sur Pastbin en dit peu sur la faille. Un lien vers edition.cnn.com et les comptes interceptés. Une capture écran tente de prouver une fausse diffusion (sur les 4) d’article, celle de Bill Gates. Un article signé Kate Gosling. La même Kate que l’on retrouve dans les 9 administrateurs. Sauf qu’il y a un problème. Kate Gosling n’existe pas chez CNN. Un nettoyage total dans le serveur des américains pour faire disparaitre se compte ou un moyen pour ce pirate saoudien de faire parler de lui et de sa cause ?

Reckz0r explique avoir attaqué CNN pour le punir des fausses informations diffusées dans ses pages et antennes. Le bidouilleur reproche à la chaîne d’information d’être trop proche d’Israël et ne pas suffisamment soutenir les palestiniens. Ce pirate était apparu sur la toile en 2012 avant de disparaitre, voilà un an, quasiment jour pour jour. A-t-il connu une prison du royaume durant cette période ? En 2012, le pirate avait fait un passage remarqué chez Visa et Mastercard. Ancien membre d’UGNazi, il indiquait le 12 juin 2012 devenir un « White Hat ». Voilà qui est raté !

Banque, Cybersécurité, Phishing

Le printemps : période la plus propice au phishing

Datasecuritybreach.fr vient d’apprendre qu’avec une augmentation des attaques de 11% entre Février et Mars 2013, et de 27% d’une année sur l’autre, les pirates informatiques semblent attendre les beaux jours pour reprendre leur activité.

En Avril, ne dévoile pas tes impôts d’un fil ! Et en mai, fais ce qu’il te plait ? Rien n’est moins sûr. En effet, les « phishers » semblent reprendre du service une fois le premier trimestre de l’année écoulé. Les mails malveillants se multiplient et les pièces jointes vérolées bourgeonnent !

La cause : l’arrivée des déclarations fiscales en ligne. Les fraudeurs envoient ainsi des mails en provenance des autorités et demandent aux particuliers de fournir certaines informations. Ici, la ruse est de jouer sur la crédibilité et la peur de la majoration. Les impôts en ligne sont également une technique employée pour récolter vos informations personnelles et bancaires.

D’après le dernier rapport Anti-Fraude de RSA, plus de 24000 attaques de phishing ont été lancées en Mars, soit une augmentation de 27% par rapport à l’année dernière à la même période.

Pour se protéger :

o   Attention aux fautes d’orthographe ! Une simple erreur peut être le signe de la fausseté d’un site

o   Un lien peut en cacher un autre ! Ne cliquez pas sur les liens URL sensés vous permettre de modifier vos informations bancaires, surtout quand ils ne sont pas visibles et cachez derrière une image

o   Cadenassez vos informations ! Tout site officiel se doit de proposer à ses utilisateurs une interface sécurisée sur laquelle ils pourront fournir leurs informations sans risques qu’elles soient utilisées à mauvais escient. La présence d’un cadenas dans la barre des tâches est un signe de cette sécurité. Prudence, le HTTPS n’est pas obligatoirement signe de sécurité totale. Un pirate peut glisser une fausse page via une faille de type XSS, par exemple.

Fuite de données, Leak, Piratage

Yahoo piraté : 22 millions d’identifiants peuvent avoir été volés

Suite à la nouvelle de la toute récente acquisition de Tumblr pour 1,1 milliard de dollars, Yahoo est devenue une cible privilégiée des pirates informatiques. L’annonce d’une intrusion sur les serveurs de Yahoo Japon, indique que 22 millions d’identifiants de connexion – soit environ un dixième des abonnés de Yahoo au niveau mondial – pourraient avoir été volés par les pirates. Bien que l’envergure de l’attaque n’ait pas été confirmée, Yahoo Japon a admis son infrastructure avait été compromise et la société a déclaré qu’elle ne pouvait pas « nier la possibilité » qu’un fichier contenant 22 millions de nom d’utilisateurs ait pu être dérobés. Jean-Pierre Carlin, Directeur régional pour l’Europe du Sud chez LogRhythm, commente à datasecuritybreach.fr : « Si 22 millions d’identifiants utilisateur ont été volés, nous pouvons considéré cela comme un piratage à grande échelle. Malheureusement, il n’est plus rare d’entendre parler de ce type d’attaques d’envergure, et Yahoo est simplement la dernière société d’’une longue liste de grandes marques qui se rend compte que la question n’est plus de savoir « si » la société est attaquée, mais « quand » elle le sera.« 

Cependant, à porter à son crédit, Yahoo n’a pas tardé à communiquer à propos de cette attaque, et la société devrait également être félicitée pour avoir fourni à ses membres des conseils concrets sur la façon d’empêcher les pirates de compromettre leurs comptes individuels. Toutefois, à la suite d’une violation, quelle qu’en soit la sorte, il est aussi absolument vital d’étudier la manière dont les pirates ont réussi à s’introduire, pour ensuite à utiliser ces informations afin de renforcer les défenses de sécurité à l’avenir. Les indices seront contenus dans les messages d’activité. En analysant les millions – voire des milliards – de logs que chaque infrastructure informatique génère quotidiennement, les organisations peuvent recueillir des indications essentielles sur la façon dont les pirates sont capables d’infiltrer leurs réseaux, de cibler les fichiers de grande valeur ou les bases de données pour ensuite extraire ces informations à des fins de profit personnel.

C’est seulement à ce niveau d’intelligence réseau qu’une organisation peut améliorer sa stratégie de sécurité globale et être ainsi en meilleure position de contrecarrer les futures attaques. En effet, avec l’analyse en temps réel des données contenues dans les messages d’activité, les entreprises peuvent identifier les attaques ainsi que d’autres incidents inattendus au moment même où ils se produisent, permettant de stopper les pirates et d’éviter les gros titres médiatiques embarrassants qui accompagnent toute violation de données au sein d’une organisation. A noter que le protocole d’alerte de zataz.com, qui permet d’aider bénévolement des entreprises à se protéger face à une fuite, un piratage, … a alerté Yahoo! de plusieurs failles. des XSS et injection SQL.

Facebook, Particuliers, Twitter

Les enfants regardent du porno en ligne dès l’âge de six ans et flirtent sur Internet dès huit ans

2 commentaires

Selon une étude de Bitdefender que DataSecurityBreach.fr a pu consulter, recherche menée auprès de plus de 19.000 parents et enfants à travers le monde (États-Unis, France, Allemagne, Grande-Bretagne, Australie, Espagne et Roumanie), les enfants agissent aujourd’hui comme de jeunes adultes sur Internet.

Bien avant les réseaux sociaux (8.84 %) ou les sites de partage (9.71 %), les enfants s’intéressent en premier lieu à la pornographie en ligne (11.35 %).

Data Security Breach a pu lire que les enfants regardent du porno en ligne dès l’âge de six ans et flirtent virtuellement sur Internet à partir de huit ans. De plus, les enfants qui chattent avec leurs amis sur les messageries instantanées et jouent en ligne sont de plus en plus jeunes. En effet, 3.45 % des enfants qui chattent et 2% des addicts du jeu en ligne sont seulement âgés de cinq ans. Bitdefender révèle aussi que les enfants mentent sur leur âge lorsqu’ils créent leur profil sur les réseaux sociaux, notamment sur Facebook où l’âge minimum d’inscription est de 13 ans. En effet, près d’un quart des enfants interrogés dans le cadre de cette étude avaient au moins un compte sur les réseaux sociaux à l’âge de 12 ans tandis que 17% utilisaient déjà les réseaux sociaux à 10 ans.

Les adolescents, quant à eux, laissent les messageries instantanées aux plus jeunes et préfèrent pour certains d’entre eux se rendre sur des sites à caractère haineux, pour partager ce qu’ils détestent et utiliser un langage inapproprié. Plus de 17% des enfants qui lisent ou postent des messages haineux ont 14 ans, 16.52% ont 15 ans et 12.05% en ont 16.

TOP 10 Catégories Web qui intéressent le plus les enfants

Pornographie – 11.35%

Boutiques en ligne – 10.49%

Sites de partage – 9.71%

Réseaux sociaux – 8.84%

Actualités – 7.13%

Jeux – 5.91%

Rencontres en ligne – 5.77%

Business – 4.58%

Jeux – 3.14%

Sites haineux – 2.91%

Autres – 30.17%

« De nos jours, les enfants agissent comme de jeunes adultes sur Internet – donnez-leur un appareil connecté et ils trouveront le moyen d’avoir une activité totalement interdite par leurs parents. »,  Déclare à datasecuritybreach.fr Catalin Cosoi, Responsable des stratégies de sécurité chez Bitdefender. « Les dangers sur Internet ne sont pas seulement liés à la pornographie mais aussi au piratage informatique et aux sites Web qui incitent les enfants au suicide. Les parents doivent donc protéger à la fois la vie réelle et virtuelle de leurs enfants ».

Hacking

Anonymous s’attaque à la police

Pour commémorer la mort de 34 mineurs décédés sous les tirs des forces de l’ordre, Anonymous s’attaque au site officiel de la police sud-africaine. L’information n’est pas restée bien longtemps sur Internet. Une base de données contenant plus de 800 emails, identités, mots de passe (chiffrés en MD5), numéros de téléphone, appartenant au site Internet de la police d’Afrique du Sud saps.gov.za, a été diffusée vendredi 17 mai.

Derrière cette divulgation, des pirates informatiques signant sous le pseudonyme Anonymous. Les hacktivistes ont voulu manifester leur souvenir à l’encontre des 34 mineurs abattus lors d’une manifestation à Marikana, en août 2012. Les ouvriers d’une mine de platine s’étaient mis en grève.

Anonymous a voulu rappeler qu’aucun officier de policie n’avait été jugé. « Cette situation ne sera pas tolérée » indique les hacktivistes. Dans le document que la rédaction de datasecuritybreach.fr à reçu le week-end dernier, un fichier de 13Mo baptisé Emails.csv.

Cyber-attaque, Leak, Piratage

L’université de Moscou piratée

Suffisamment rare pour être noté, des pirates s’attaquent à la Russie et à l’université de Moscou. Voilà une attaque informatique qui intrigue sur plusieurs points. L’université de Moscou (Lomonosov Moscow State University – msu.ru) a été piratée par des hacktivistes turques. Il est très rare de voir un important site Russe finir dans les mains de pirates informatiques. D’abord en raison d’un manque de communication sur le sujet, communication « légèrement » contrôlée par l’état et des sociétés locales spécialisées dans la sécurité informatique qui n’hésitent pas à contacter les defaceurs et autres « fouineurs ». Ensuite, la législation locale ne laisse que peu de chance aux intrus locaux.

Sauf que dans ce cas, se sont des pirates du groupe 1923Turkz, sorte d’Anonymous politique du pays, à s’être énervés sur l’espace universitaire russe. Les « visiteurs » ont diffusé un extrait de la base de données qu’ils ont ponctionné à partir d’une bête SQL.

Une autre attaque turque, cette fois à l’encontre du site officiel du gouvernement d’Istanbul (istanbul.gov.tr) par la RedHack Team. Une défiguration pour commémorer le mort d’un homme, Yusuf Huseyin pendu le 6 mai 1972.

Cyber-attaque, Fuite de données, Leak, Piratage

Le ministére de la défense d’Arabie Saoudite infiltré

Un commentaire

Un compte email du ministère de la défense d’Arabie Saoudite infiltré par des pirates Syriens. Le groupe de pirates Syrian Electronic Army a délaissé, un peu, les attaques à l’encontre des comptes Twitter de grands medias. Le groupe de pirates pro gouvernement Syrien vient d’annoncer, avec preuves, l’infiltration d’un compte mails appartenant au ministère de la défense d’Arabie Saoudite. Le SEA indique bientôt diffuser des informations secrètes trouvées dans l’espace électronique. Le groupe a déclaré que cette fuite « comprend de la correspondance et des informations secrètes du ministère saoudien de la Défense … Elles ont été transmises au gouvernement syrien. » Ce même groupe avait déjà attaqué plusieurs sociétés pétrolières du royaume saoudien.

Justice

Vie privée et Google

Des internautes européennes encouragent l’Autorité de régulation à  « contrôler Google » sur les problématiques de vie privée. DataSecuritBreach.fr vient d’être informé que des internautes ont mandaté des avocats afin d’encourager vivement les autorités de régulation européennes, comprenant la Commission nationale de l’informatique et des libertés (CNIL), afin de mener des actions vigoureuses pour répondre une fois pour toutes aux violations répétées de la vie privée par Google et pour veiller à ce que Google se conforme pour l’avenir aux lois européennes.

Le cabinet d’avocats anglais Olswang collabore avec plusieurs avocats européens, comprenant HUGOTAVOCATS à Paris, pour écrire aux autorités de régulation en leur exposant les problématiques des consommateurs relatives à la consolidation par Google des données à caractère personnel. Le géant de l’internet centralise les données de l’ensemble de ses produits lui fournissant un enregistrement exhaustif des préférences de chaque internaute.

Olivier Hugot, Associé chez HUGOTAVOCATS, soutient à DataSecuritBreach.fr que les autorités de régulation doivent agir davantage pour s’assurer que les sociétés respectent la loi. « Toutes les sociétés doivent se conformer aux lois sur les données à caractère personnel lorsqu’elles collectent les données des utilisateurs, et Google n’est pas exempté. Malgré la réception de recommandations circonstanciées des autorités européennes de régulation relatives à ses traitements de données à caractère personnel, Google semble déterminé à les ignorer et à maintenir ses objectifs de créer des fichiers complets sur les consommateurs, rassemblant les données provenant d’origines variées. Les amendes des autorités de régulation telle que la CNIL ne semblent pas modifier l’approche institutionnalisée de Google » lancer tout de suite, réparer plus tard « en matière de vie privée des utilisateurs. Google recouvre ces amendes en très peu de temps. La seule manière de modifier le comportement de Google est, pour les autorités de régulation, d’imposer des sanctions coordonnées et effectives« .

Au Royaume-Uni, les consommateurs ont déjà engagé une action en justice contre Google pour violation de leur vie privée par l’installation de cookies pour suivre leurs activités en ligne malgré leur refus spécifique d’être suivis. Aux Etats-Unis, la société a accepté de payer 22,5 millions de dollars à la  » Commission Fédérale des Echanges  » (US Federal Trade Commission) pour mettre un terme à une action connexe. La société a essuyé de lourdes critiques pour d’autres violations, y compris la collecte illicite de données telles que des données bancaires provenant d’ordinateurs domestiques dans le cadre du développement de son produit Street View. Les militants comme Marc Bradshaw disent – ça suffit – « Je ne fais pas confiance à Google sur la vie privée. Il semble penser qu’il peut agir comme il le souhaite parce qu’il n’a rien à craindre des autorités de régulation. Les autorités de régulation doivent prendre une mesure exemplaire pour gérer une société déterminée à ignorer les droits des internautes. Ils doivent avec le gouvernement s’interroger sur la raison pour laquelle Google agit de la sorte de façon si fréquente et pour quelle raison il ignore les lois de ce pays. Quelque chose doit être fait pour contrôler Google et nous croyons que nos sanctions proposées pour les violations passées et actuelles de la vie privée devraient être exécutées « .

Les sanctions proposées par les militants comprennent :

– Avertissements clairs et simples sur la page d’accueil de Google expliquant comment et pourquoi les données sont collectées et tracées ;

– De revenir sur la fusion par Google de toutes les données de ses services ou, si cela n’est pas possible, de supprimer toutes les données illégalement fusionnées, avec une vérification indépendante de la suppression ; et

– Des excuses publiques mises en ligne sur la page d’accueil de Google.

Marc Bradshaw termine auprès de DataSecuritBreach.fr :  » Google est l’une des plus importantes sociétés au monde disposant d’immenses ressources financières et ayant accès aux meilleurs avocats au monde. Il ne devrait réellement pas revenir aux gens ordinaires d’avoir à combattre pour s’assurer que Google se conforme à la loi. Les autorités de régulation doivent relever ce défi et contrôler Google. S’ils échouent, chaque internaute dans ce pays en souffrira et le droit à la vie privée sur l’internet pourrait disparaître pour toujours « .

Android, RFID, Smartphone

Hack de badges Mifare Classic avec son smartphone

MIFARE est une technologie de carte à puce sans contact. Badge d’entreprise et autres moyens d’identification sans contact exploitent cette belle technologie installée dans plus 3,5 milliards de cartes dans le monde.

La plupart des smartphones NFC sont équipés d’une puce permettant l’émulation de cette carte. L’application pour Android NFC Mifare Classic Scanner, réalisé par Touf un informaticien chercheur Français, vient d’apparaitre dans sa seconde et nouvelle monture. Parmi les nouveautés de cet outil, la possibilités d’ajouter les clefs obtenues par d’autres moyens (libnfc, mfoc…) ; réalisation de scan très rapides en créant un template de la cible (quels secteurs doivent être lus, avec quelle clef…). Une possibilité offrant comme résultat le scan à la volée avec le téléphone en moins d’une seconde.

Export des résultats par mail au format .mfd (compatible libnfc et carte mifare chinoise) ou encore l’édition, modification de données lues pour réinjectées les données modifiées dans le badge. L’outil permet donc pas mal de manipulations techniques et légales. Il démontre aussi le danger de cette technologie. L’application ne fonctionne que pour les badges Mifare Classic mais permet de prouver la facilité de sauvegarder l’état d’un badge pour ensuite le remettre a zero (paiement à une machine à boisson, photocopieuse…) ; modification pour apparaitre comme un autre utilisateur.

« L’utilisation principale est de comprendre le fonctionnement des différents systèmes exploitant des cartes mifare classic » explique à DataSecurityBreach.fr l’auteur. Avec cette application, vous pouvez scanner le tag de vos badges aprés chaque utilisation et ensuite analyser les modifications. Pour les autres technologies autres que Mifare classic, l’outil ne qu’une identification de la technologie employée et un enregistrement de l’uid. (GooglePlay)