Tous les articles par Damien Bancal

Damien Bancal, expert reconnu en cybersécurité Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles. Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe. Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.
Entreprise

Le 26 juin : 11ème édition des Big Brothers Awards

Privacy France présente la 11ème édition des Big Brothers Awards le 26 juin 2013 à la Parole Errante à à Montreuil. Les Big Brother Awards sont de retour ! Après deux années d’absence, les césars du monde sécuritaire seront à nouveau décernés le 26 juin 2013, à partir de 19h, à la Parole Errante, à Montreuil. Douze ans après la première édition française, l’impertinente cérémonie, nommée d’après le personnage de fiction du roman 1984 de George Orwell, reprend du service pour récompenser les acteurs de la société de contrôle et de surveillance. Créés en 1998 au Royaume-Uni, puis repris dans près d’une vingtaine de pays, les Big Brother Awards (BBA) dénoncent, depuis lors, les « surveillants qui nous surveillent ». Au vu de la perte progressive de nos libertés individuelles, par le détournement de nos données personnelles, au travers de la prolifération des fichiers, par le durcissement sécuritaire des cadres législatifs et par la multiplication des dispositifs de surveillance dans nos villes, les tristement célèbres prix Orwell seront dépoussiérés, afin de mettre un coup de projecteur sur notre réalité sous surveillance.

L’objectif reste le même : « surveiller les surveillants » par un ciblage sélectif des dignes représentants de l’idéologie sécuritaire, notre jury étant, comme à son habitude, composé de défenseurs des droits, philosophes des libertés, journalistes, juristes, etc. ayant produit des analyses critiques sur le sujet. Toute institution, entreprise ou personne s’étant distinguée par son mépris du droit à la vie privée et/ou par sa promotion de la surveillance et du contrôle des individus peut être suggérée comme candidate. L’équipe des BBA vous invite donc à participer à cette grande traque en proposant vos candidats via le formulaire de nomination en ligne ou par mail (date butoir le 31 mai).

Pas d’attaques gratuites, il faut rapporter des faits avérés, accompagnés de sources identifiées. Rappelons que pour être éligibles, les candidatures doivent être basées sur des faits avérés et étayées par des sources publiques.

Cloud, Entreprise, Sauvegarde

Big Data

Le Big data, c’est aussi une question de sécurité ! Christophe Auberger, Responsable Technique chez Fortinet pour DataSecurityBreach.fr

Sécuriser le Big Data dans les Entreprises Nécessite la Mise en Application de Politiques Intelligentes ainsi que des Outils Analytiques Complets et Performants. Aborder la question de sécurité lorsque l’on parle de Big Data suscite souvent deux courants de pensées divergents de la part des professionnels de l’IT – le refus catégorique que le Big Data devrait être traité différemment de l’infrastructure réseau existante, et une réponse inverse se tournant vers une sur-ingénierie de la solution à adopter compte tenu de la valeur actuelle (ou perçue) des données impliquées.

Le Big Data, selon la définition de Gartner, représente des données informatives de gros volumes, d’une vélocité élevée et/ou d’une grande variété qui nécessitent de nouvelles formes de traitement pour permettre une meilleure prise de décision, conception d’idées et optimisation des processus. Le Big Data augmente les défis de sécurité dans les réseaux de données existants.

Voici les quatre aspects du Big Data, définis par IDC, qui suscitent des défis mais aussi des opportunités:

·        Le Volume: Le volume des données est passé de téraoctets à zettaoctets (1 zettaoctet représente 1021 octets ou 1 000 000 000  téraoctets) et au-delà

·        La Vélocité: La vitesse des données (entrée et sortie) passant d’ensembles de données statiques, créées une seule fois, à des flux de données en continu

·        La Diversité: La gamme de types et sources de données – structurées, non/semi-structurées ou brutes

·        La Valeur: L’importance des données dans leur contexte

Alors que le Big Data présente de nouveaux défis de sécurité, le point initial pour les résoudre est le même que pour toute autre stratégie de protection de données: celui qui consiste à déterminer les niveaux de confidentialité des données, à identifier et classifier les données les plus sensibles, à décider où les données critiques devraient être localisées, et à établir des modèles d’accès sécurisés tant pour les données que pour les analyses.

Planifier autour du cycle de vie du Big Data Protéger correctement le Big Data exige la définition de besoins spécifiques de sécurité autour du cycle de vie du Big Data. Généralement, cela commence par la sécurisation de la collecte des données suivi par celle de l’accès aux données. Comme la plupart des politiques de sécurité, une bonne évaluation des menaces du Big Data de l’organisation doit se faire en continu et viser à garantir l’intégrité des données stockées et sous analyse.

La performance est un élément clé lorsqu’on sécurise les données collectées et les réseaux. Les pare-feux et autres dispositifs de sécurité réseau, tels que ceux pour l’encryption, doivent être ultra performants pour pouvoir supporter de plus en plus de débit, de connexions et d’applications. Dans un environnement Big Data, la création et la mise en application des politiques de sécurité sont essentielles du fait de l’importance du volume de données et du nombre de personnes qui auront besoin d’y accéder.

La quantité de données accroit également la nécessité de prévenir les fuites de données. Les technologies de Prévention des Pertes de Données devraient être utilisées pour s’assurer que l’information n’est pas divulguée à des tiers non autorisés. Les systèmes d’intégrité des données et de détection d’intrusions internes doivent être utilisés pour détecter les attaques ciblées avancées qui contournent les mécanismes de protection traditionnels, par exemple, la détection d’anomalies dans les couches d’agrégation et de collectes. Tous les paquets de données, tous les flux de données, toutes les sessions et transactions devraient être inspectés de près.

Parce que le Big Data couvre des informations qui se trouvent dans une zone étendue provenant de sources multiples, les organisations doivent aussi pouvoir protéger les données  là où elles se trouvent. A cet égard, les systèmes de sécurité virtualisés fournissant une gamme complète de fonctionnalités de sécurité doivent être positionnées aux endroits stratégiques des architectures cloud hybrides, privées et publiques, fréquemment trouvées dans les environnements Big Data. Les ressources doivent être connectées de manière sécurisées et les données transportées depuis les sources de stockage du Big Data doivent également être sécurisées, typiquement via un tunnel IPSec.

Le Big Data, oui, mais avec les Bons Outils ! Alors que le Big Data présente des défis, il offre également des opportunités. Avec les bons outils, d’importantes quantités d’informations pourront être analysées, ce qui permettra à une organisation de comprendre et de comparer les activités dites normales. Si cette organisation peut alors surveiller les utilisateurs qui s’écartent de cette norme, cela permettra de devancer de manière proactive les potentielles fuites de données et systèmes.

Cet effort doit être soutenu par un personnel IT compétent et le déploiement efficace d’outils de sécurité appropriés. Ces outils sont des appliances dédiées de collecte de logs, d’analyse et de reporting qui peuvent en toute sécurité rassembler les données provenant des  dispositifs de sécurité et autres systèmes compatibles syslog. Ces appliances vont également analyser, rapporter et archiver les événements de sécurité, le trafic réseau, le contenu Web, et les données de messagerie. Ceci permet de facilement mesurer le respect des politiques et de produire des rapports personnalisés.

La difficulté à saisir, gérer et traiter les informations rapidement dans les environnements Big Data va continuer à rendre la sécurité un élément de second plan pour de nombreuses entreprises. Alors que la bande passante et le stockage continuent de croitre, la mobilité de ces gros ensembles de données augmente également, provoquant des brèches et la divulgation d’ensembles de données sensibles. Les menaces viendront probablement d’intrus manipulant le Big Data de manière à ce que les outils de business analytics et de business intelligence génèrent des résultats erronés et conduisent à des décisions de gestion qui pourraient être profitables aux intrus.

Même de petits changements dans le Big Data peuvent avoir un impact important sur les résultats. Les organisations ne doivent donc pas ignorer la nécessité de protéger les actifs du Big Data – pour des raisons de sécurité, de business intelligence ou autre. Elles doivent répondre aux principaux besoins du Big Data en termes d’authentification, d’autorisation, de contrôle d’accès basé sur les rôles, d’audit, de contrôle, de sauvegarde et de récupération. A plus long terme, l’analytique du Big Data impliquant l’évaluation et la surveillance comportementale deviendra également de plus en plus capitale pour répondre à la nouvelle génération de défis de sécurité IT.

BOX STORY 1: le SIEM, un Problème pour le Big Data Pour améliorer leur sécurité, certaines organisations ont des solutions SIEM (Security Information and Event Management ou de Gestion des événements et informations de sécurité) pour les aider à collecter et analyser les alertes de sécurité et les systèmes de logging. Cela peut, par inadvertance, toutefois, créer un problème pour le Big Data – dans le cas où chaque log et alerte sont collectés.

Pour éviter ce problème, les organisations devraient arrêter de considérer la sécurité comme un système purement défensif et plutôt penser à ajouter une couche d’abstraction au-dessus de toutes les données pertinentes de l’entreprise. Elles doivent se demander quelles sont les données pertinentes dans un contexte de sécurité. Evidemment, les logs au niveau du réseau (c’est-à-dire le pare-feu, IPS, etc.) et les logs d’accès utilisateurs restent nécessaires. Cependant, les logs de sécurité des terminaux, les logs liés au proxy et même les données d’inspection approfondie des paquets risquent de ne plus être pertinents.

BOX STORY 2

– Exemples de Big Data

·        Logs Web

·        Données RFID

·        Réseaux de capteurs

·        Données des réseaux sociaux

·        Documents  et textes Internet

·        Indexation des recherches Internet

·        Archivage des détails d’appels

·        Dossiers médicaux

·        Archives de photos

Banque, Entreprise

Un ancien pirate de CB invente un anti skimmer

Après son arrestation et un séjour en prison, un pirate informatique invente un nouveau système contre le piratage de données bancaires. Un ancien pirate informatique roumain, spécialisé dans le piratage de données bancaires via des skimmeurs, vient de mettre sur le marché une invention de son cru. L’outil est un système de protection contre le skimming, le piratage de votre carte bancaire via un distributeur de billets piégé.

Valentin Boanta, 33 ans, avait été arrêté en 2009. Il vient d’inventé un nouveau dispositif qui empêche les vols de données bancaires via un GAB, un guichet automatique de billets. Valentin Boanta a déclaré à l’agence de presse Reuters que son arrestation le rendait heureux parce qu’il avait pu se soigner de son addiction au piratage informatique « C’était comme une drogue pour moi« .

Le système inventé par l’ancien skimmeur, baptisé Secure Revolving System-SRS, est financé par une société de Bugarest, MB Telecom. A noter que cette société roumaine, connue aussi sous le nom de MB technology, est spécialisée dans les scanners. En 2012, MB a remporté un prix pour un scanner d’avion. En 2009, elle remportait le même prix pour un scanner à camion.

Selon l’ambassade américaine basée à Bucarest, les pirates roumains auraient volé environ 1 milliard de dollars aux américains en 2012. A noter que l’ancien pirate est toujours en prison. Il a écopé de 5 ans pour avoir créé et revendu des skimmeurs à la mafia locale.

Argent, Banque, Cyber-attaque, Entreprise, Fuite de données

13 Comptes en banque bloqués après le piratage de RPG

Le compte en banque de l’entreprise de télécommunication RPG piraté. Plus de 32.000 euros transférés. Des pirates informatiques ont réussi, en 3 heures, à pirater l’un des comptes bancaires de l’entreprise de télécommunication indienne RPG et à transférer 32.640 euros. Un compte courant basé dans la ville de Mumbai. L’attaque a été détectée le 11 mai dernier. L’argent détourné a été placé dans 13 comptes bancaires différents à Chennai, Coimbatore, Tirunelveli, Bangalore, Hyderabad, … Les comptes bancaires ouverts par les pirates ont été bloqués, mais les e.voleurs ont déjà mis la main sur l’argent liquide. La police a arrêté trois présumés membres de ce groupe de pirates qui retiraient des billets verts dans des banques de Coimbatore et Hyderabad. Les pirates ont réussi ce piratage via un courriel piégé. Un employé aurait ouvert un fichier joint dans un email. Dans le document numérique piégé, un cheval de Troie. (TI)

Cyber-attaque, Virus

Cyber-attaque orientée vers le Pakistan à travers de faux documents PDF

Datasecuritybreach.fr a appris d’ESET, pionnier en matière de sécurité proactive depuis 25 ans, la découverte d’une cyber-attaque ciblée qui tente de voler des informations sensibles provenant de différentes organisations, notamment au Pakistan (avec une portée limitée dans le monde).

Au cours de cette investigation, plusieurs pistes ont été découvertes qui indiquent que la menace est d’origine indienne et qu’elle sévit depuis au moins deux ans. Cette attaque ciblée a utilisé un certificat de signatures de code délivré par une société apparemment légitime qui aurait produit des signatures binaires malveillantes et favorisé leur potentiel de propagation. La société est basée à New Delhi et le certificat a été délivré en 2011. Le malware se diffuse à travers des pièces jointes aux e-mails.

« Nous avons identifié plusieurs documents différents qui évoquent plusieurs thèmes susceptibles d’être attractifs pour les bénéficiaires. L’un d’eux concerne les forces armées indiennes. Nous n’avons pas d’informations précises quant aux personnes ou organisations qui ont été plus particulièrement touchées par ces fichiers, mais sur la base de nos enquêtes, nous formulons l’hypothèse que des personnes et des institutions au Pakistan ont été ciblées », a déclaré à Datasecuritybreach.fr Jean-Ian Boutin, chercheur en malware chez ESET. Par exemple, l’un des fichiers PDF frauduleux a été diffusé par une archive auto-extractible appelée « pakistandefencetoindiantopmiltrysecreat.exe », et le système de supervision d’ESET montre que le Pakistan est fortement affecté par cette campagne avec 79 % des détections repérées dans ce pays.

Le premier vecteur de l’infection exploite une vulnérabilité largement utilisée et connue sous le nom CVE-2012-0158. Cette vulnérabilité peut être exploitée par des documents Microsoft ® Office spécialement conçus qui permettent l’exécution de code arbitraire. Les documents ont été transmis par email et le code malveillant s’exécute dès que le document est ouvert, sans que l’utilisateur de l’ordinateur attaqué s’en aperçoive. L’autre vecteur d’infection s’effectue via les fichiers exécutables Windows qui apparaissent comme des documents Word ou PDF diffusés par la messagerie. Dans les deux cas, pour échapper à la suspicion de la victime, de faux documents sont présentés à l’utilisateur lors de l’exécution.

Le malware a volé des données sensibles à partir d’ordinateurs infectés et les a envoyées vers les serveurs des attaquants. Il a utilisé différentes techniques de vols de données, parmi elles un keylogger, réalisant des captures d’écran et envoyant des documents de l’ordinateur infecté vers le serveur de l’attaquant. Fait intéressant, les informations volées à partir d’un ordinateur infecté ont été téléchargées vers le serveur de l’attaquant sans cryptage. « La décision de ne pas utiliser de cryptage est étonnante dans la mesure où cette opération est relativement simple  à utiliser et aurait pu masquer davantage l’opération», ajoute Jean-Ian Boutin.

Une analyse technique complète est disponible sur le site WeLiveSecurity.com – la nouvelle  plate-forme d’ESET dédiée à l’analyse des  cyber-menaces et aux conseils de sécurité.

Noms de détection

C’est une menace multi-partie et multi-vectorielle, dont les noms des menaces attribués par ESET sont les suivants :

Win32/Agent.NLD worm

Win32/Spy.Agent.NZD Trojan

Win32/Spy.Agent.OBF Trojan

Win32/Spy.Agent.OBV Trojan

Win32/Spy.KeyLogger.NZL

Trojan Win32/Spy.KeyLogger.NZN

Trojan Win32/Spy.VB.NOF

Trojan Win32/Spy.VB.NRP

Trojan Win32/TrojanDownloader.Agent.RNT

Trojan Win32/TrojanDownloader.Agent.RNV

Trojan Win32/TrojanDownloader.Agent.RNW

Trojan Win32/VB.NTC

Trojan Win32/VB.NVM

Trojan Win32/VB.NWB

Trojan Win32/VB.QPK

Trojan Win32/VB.QTV

Trojan Win32/VB.QTY

Trojan Win32/Spy.Agent.NVL

Trojan Win32/Spy.Agent.OAZ trojan

Argent, Arnaque, Cyber-attaque, escroquerie, Piratage

Augmentation de faux services de paiement en ligne au mois de juin

Les achats en ligne de voitures, motos et produits électroniques sont les plus risqués pour les acheteurs, comme pour les vendeurs !

Bitdefender, éditeur de solutions de sécurité, a indiqué à Datasecuritybreach.fr une étude sur les arnaques de services de paiement en ligne, pour la vente de particulier à particulier, dont le nombre et l’ampleur augmentent avant les vacances. Ces arnaques concernent de faux sites de paiement en ligne, créés par des pirates se présentant comme des tiers de confiance, censés assurer une transaction sécurisée entre vendeur et acquéreur et ainsi leur éviter les déconvenues d’une transaction en direct (non-réception de la marchandise ou non paiement). Bitdefender prévoit une augmentation de ce type d’arnaque au mois de juin, avant le début des vacances d’été, particulièrement pour la vente de voitures, de motos et de produits électroniques.

Après 10 mois de recherche, cette étude révèle que 16.8 % des arnaques de ce type, enregistrées ces 12 derniers mois, ont été créées au mois de juin. Les scammeurs sont, en effet, plutôt actifs dans la création de faux sites de paiement en ligne avant les périodes de vacances. Après une diminution stable de juillet à octobre, le nombre de ces faux sites commence ainsi à augmenter avant les vacances d’hiver, et plus particulièrement en décembre. Une recrudescence est ensuite notée en février, avec un pic à plus de 17% des arnaques détectées.

Cette étude de Bitdefender, réalisée sur plus de 2 000 faux sites Web de paiement en ligne, montre aussi que les voitures, les motos et les produits électroniques sont en tête de liste des articles utilisés par les scammeurs pour escroquer les clients en ligne. Les scammeurs se font généralement passer pour des vendeurs légitimes, sur de vrais sites de vente en ligne, et redirigent ensuite les acheteurs sur le faux site de paiement qu’ils contrôlent. Les scammeurs récupèrent ainsi l’argent et ne livrent bien entendu jamais les marchandises.

Top 5 des articles utilisés dans les arnaques de faux paiements en ligne :    Les voitures ;    Les motos ;    Les produits électroniques  ;   Les articles de valeur ;    Les vélos. Parmi les services également pris en charge par les scammeurs, via de fausses transactions, Bitdefender dénombre : les dépôts bancaires (versements), le transfert de dossiers médicaux ou encore d’échantillons liés à des analyses médicales.

« Les scammeurs peuvent être tout à fait convaincants – c’est précisément comme cela qu’ils gagnent de l’argent » déclare à Datasecuritybreach.fr Catalin Cosoi, Responsable des stratégies de sécurité chez Bitdefender. « Ils se donnent beaucoup de mal pour donner l’impression d’être légitimes, au point même de conseiller à leurs cibles de se protéger contre la fraude à la carte bancaire. Afin de rassurer leurs victimes, l’usage classique est qu’ils ne demandent jamais d’informations bancaires, ce qui au final ne change rien dans le cas de cette arnaque, puisque les escrocs reçoivent directement un transfert d’argent. »

Datasecuritybreach.fr conseille vivement aux utilisateurs de vérifier les informations WHOIS (enregistrement de domaine, hébergement, activité en ligne) avant tout paiement en ligne ou utilisation d’un service de transfert d’argent, censé sécuriser la transaction. En effet, contrairement aux vrais sites, plus de 90% des faux sites de paiement en ligne sont enregistrés seulement pour un an.

De plus, les vrais sites de paiement en ligne utilisent des serveurs de connexions sécurisées (SSL) pour protéger les clients. Ces derniers doivent donc voir apparaître une adresse commençant par « https:// » dans la barre de leur navigateur. Malgré tout, les sites frauduleux peuvent « emprunter » le logo des services de vérification SSL, les utilisateurs sont donc invités à vérifier que le site est bien identifié par la société d’authentification et à effectuer quelques vérifications en ligne concernant ce tiers de confiance. Bien souvent, une simple recherche Web permet d’éventer le piège en tombant par exemple sur des témoignages d’utilisateurs, victimes de ce type d’arnaque.

Android, Cyber-attaque, Sécurité, Smartphone

Une nouvelle donne pour les malware Android ?

Le dernier Rapport sur les Menaces Mobiles de F-Secure que Datasecuritybreach.fr a pu consulter rapporte une série de nouveaux malware Android, qui utilisent par exemple la messagerie en plus des applications pour se propager et infecter les appareils.

Le premier trimestre 2013 a été marqué par des nouveautés du côté des  malware Android, qui se veulent de plus en plus complexes. Le Rapport sur les Menaces Mobiles de F-Secure du premier trimestre 2013 présente la première offensive dont la diffusion s’est faite hors des applications, (via des e-mails de spam), les premières attaques Android ciblées, et la première escroquerie prétextant une avance de frais. En parallèle, les revendeurs de malware Android se multiplient sur le web.

Le nombre de familles et variantes de menaces mobiles est en  augmentation de 49 % par rapport au trimestre dernier, passant de 100 à 149. Parmi celles-ci, 136 (soit 91,3% d’entre elles) visaient Android et 13 (soit 8,7%),, étaient conçues pour Symbian. Pour rappel, 61 familles et variantes de menaces avaient été découvertes au premier trimestre 2012… cette croissance est donc à l’image de celle des parts de marché d’Android : exponentielle.

« Les nouvelles techniques utilisées par les cybercriminels pour attaquer Android sont inquiétantes », déclare à Data Security Breach Sean Sullivan, Security Advisor du Lab F-Secure. « A titre d’exemple : jusqu’à présent, je ne me suis jamais inquiété pour ma mère et son mobile Android, car elle n’utilise pas d’applications. Aujourd’hui, j’ai des raisons de m’inquiéter : avec des menaces comme Stels, des malware Android se propagent dans des spams, et ma mère consulte ses e-mails avec son mobile. ».

Ce cheval de Troie Android, plus connu sous le nom de Stels, a commencé à se répandre via un email falsifié de « l’U.S Internal Revenue Services », transportant un logiciel malveillant vendu sur Internet, conçu pour voler des informations confidentielles présentes dans les appareils Android et faire de l’argent en passant des appels à des numéros surtaxés. D’après Sean Sullivan, cet exemple de banalisation des malware « pourrait changer la donne ».

Le premier trimestre a été le théâtre des premières attaques ciblées utilisant des logiciels malveillants Android. Ainsi, des militants des droits de l’homme Tibétains ont été la cible d’emails contenants des pièces jointes infectées par des malware Android. De même, et un soi-disant «  coupon de réduction » pour une chaine de café très populaire a permis de soutirer des informations à des téléphones localisés en Corée du Sud.

Des mobiles indiens ont été spécifiquement pris pour cible, avec ce qui constitue la première escroquerie Android prétextant une avance de frais. Dans ce cas, une fausse application Android « d’offres d’emploi » en Inde, informe son utilisateur qu’il est retenu pour un poste au sein de TATA Group, une multinationale indienne. Pour organiser l’entretien d’embauche, l’application demande un dépôt de garantie remboursable.

BYOD, Fuite de données, Logiciels, Sauvegarde

Comment rester conforme lorsque tout change ?

Par Thierry Karsenti, Directeur Technique Europe Check Point pour DatasecurityBreach.fr.

Nous voulons tous croire que nos réseaux sont entièrement protégés, que nos procédures et politiques sont totalement conformes avec les législations qui gouvernent nos secteurs. Malheureusement, croire en quelque chose ne signifie pas toujours que c’est réel. En réalité, le paysage de la sécurité évolue trop rapidement pour que les entreprises puissent rester protégées en permanence contre toutes les menaces. Nous avons réalisé en 2012 des audits de sécurité approfondis auprès de 900 entreprises à travers le monde, et avons constaté que 63% d’entre-elles étaient infectées à leur insu par des bots. Ces bots communiquent avec leurs centres de contrôle externes au moins une fois toutes les 2 heures et siphonnent activement les données des entreprises infectées.

Toutes ces entreprises sont équipées de multiples technologies de protection, telles que pare-feux, antivirus, etc., mais sont pourtant infectées, parce que leurs solutions de sécurité ne sont pas mises à jour régulièrement, ou bien parce que des changements intervenus dans leur réseau ont introduit des vulnérabilités. Dans de nombreux cas, ces infections sont la conséquence de messages de phishing ou de pièces jointes infectées ciblant les employés.

Les mails ne sont pas tous vos amis De plus, les problèmes de sécurité ne sont pas uniquement limités aux réseaux. 54% des entreprises ont subi des pertes de données suite à l’envoi d’emails à des destinataires externes par erreur ou à la publication d’informations en ligne par erreur. Il n’est donc pas surprenant qu’en mars dernier, l’Agence européenne pour la sécurité informatique et la sécurité des réseaux (ENISA) ait appelé à des actions urgentes pour lutter contre les nouvelles tendances des cyberattaques. L’ENISA est également allée plus loin en recommandant aux gouvernements et aux entreprises d’étudier des alternatives au courrier électronique, offrant une meilleure protection aux utilisateurs, ce qui confirme bien que la tâche de protéger la messagerie d’entreprise et la maintenir conforme devient insurmontable pour de nombreuses entreprises.

Ajoutez à cela la récente législation édictée par la Commission européenne sur la cybersécurité, qui élargit considérablement l’obligation de signaler les fuites de données. En conséquence, les entreprises sont confrontées à des défis croissants en matière de sécurité et de conformité.

Tout change Le défi de conformité est double. Comme nous l’avons évoqué plus tôt, la gestion courante d’un réseau introduit des changements quotidiens au niveau des équipements et des topologies. Chaque changement effectué, peu importe son ampleur, peut affecter la conformité de l’entreprise. Pour les entreprises possédant plusieurs sites en particulier, il peut être difficile pour les équipes informatiques de savoir précisément ce qui se passe sur chaque site.

Deuxièmement, la conformité n’est pas uniquement une question informatique. Il s’agit également des actions et des comportements humains, qui sont enclin à changer aussi souvent que le réseau, même si les employés reçoivent régulièrement des formations sur l’utilisation appropriée des ressources. Comme les entreprises ont de plus en plus besoin de se conformer à plusieurs réglementations (des études montrent que les entreprises de la liste Fortune 1000 doivent obéir à plus de 30 réglementations différentes), la mise en œuvre des contrôles et des politiques de sécurité pour répondre à ces exigences est devenue un sérieux défi.

Ce n’est cependant que la première étape. Les systèmes doivent également être supervisés et contrôlés régulièrement pour assurer leur conformité permanente, et il est nécessaire de présenter une analyse de la conformité en vue de rapports et d’audits. Comment les équipes informatiques des entreprises peuvent-elles répondre à ces demandes complexes et changeantes, lorsqu’elles n’ont ni les ressources ni la main-d’œuvre pour éplucher continuellement les journaux d’événements système ?

L’automatisation est la solution Pour suivre le rythme de ces demandes, il est nécessaire de pouvoir superviser automatiquement et en temps réel le réseau, les règles de sécurité et la configuration des produits de sécurité, et pouvoir mesurer l’impact des changements sur la sécurité et la conformité de l’entreprise. Une visibilité sur l’état du réseau via un tableau de bord unifié permet aux équipes informatiques de traquer et identifier les problèmes potentiels de connectivité et de trafic, et mettre en évidence les zones à risque en matière de sécurité – telles que la manière dont les différents pare-feux du réseau sont configurés, et quelles règles de sécurité sont actives sur ces équipements.

L’automatisation peut apporter aux équipes informatiques la visibilité et la réactivité dont elles ont besoin pour traiter rapidement les problèmes réseau avant qu’ils ne se transforment en risques graves. Comment les équipes informatiques peuvent-elles exactement connaître l’état de leur conformité à tout moment, au niveau des réglementations qui touchent leur secteur ? C’est à ce niveau que des outils de conformité appropriés peuvent faire une réelle différence.

En plus de permettre un management avancé du réseau et de la sécurité, un outil efficace de conformité doit être en mesure de comparer l’état de conformité des passerelles et autres équipements de sécurité avec une vaste bibliothèque de bonnes pratiques, de réglementations et de directives de sécurité. La solution doit alors superviser automatiquement les changements apportés aux règles et aux configurations, alerter les équipes informatiques de l’impact de ces changements, et suggérer des corrections pour maintenir le niveau de sécurité et de conformité. Il est également presque aussi important de pouvoir repérer et résoudre les problèmes, et documenter l’état de la sécurité de l’entreprise – pour démontrer la conformité à la direction et à des auditeurs externes.

L’automatisation aide les entreprises à regagner le contrôle de leur conformité. La solution appropriée doit aider les équipes informatiques à traquer les problèmes potentiels, à mettre en évidence les zones à risque, à comparer l’état actuel de la conformité avec les meilleures pratiques et les réglementations en vigueur, et faire des recommandations adéquates pour maintenir le niveau de sécurité et de conformité. Même si des changements sont inévitables, leur impact sur la conformité et la sécurité d’une entreprise peut être minimisés.

Justice, Particuliers, Twitter

Twitter obligé de fournir les infos d’un utilisateur Français

La justice Française oblige Twitter à fournir les données d’identification d’un usurpateur. Il y a quelques jours, le Tribunal de Grande Instance de Paris, a fait une injonction à Twitter de fournir les données d’identification d’un usurpateur ayant utilisé le système de micro blogging. La société américaine est menacée de 500€ d’amende, par jour, en cas de non fourniture des informations réclamée par la justice. Des données qui doivent permettre de remonter à l’usurpateur. On se souvient que Twitter avait refusé de fournir des informations sur des diffuseurs de messages racistes. On doute que 500€ par jour face plier le géant américain. (Legalis)

Sécurité, Smartphone

Tenter de cadrer les Adwares

Les Adwares, DataSecurityBreach.fr vous parle très souvent de ces programmes publicitaires associés à des réseaux publicitaires présentent des risques pour la confidentialité des utilisateurs et nuisent à leur expérience de navigation. Si la majorité des publicités apparaissent en toute légitimité sur les appareils mobiles, une poignée de réseaux publicitaires présentent clairement un risque pour les utilisateurs. Comme les annonceurs, les réseaux publicitaires ont accès à d’énormes volumes de données personnelles et jouent un rôle clé au cœur de l’écosystème de la mobilité. Il est donc crucial qu’ils assurent la confidentialité des données des utilisateurs. Il n’existe pour le moment pas de système de classification formel et normalisé au sein de l’industrie de la mobilité pour les publicités mobiles. Un manque de clarté qui est pénalisant pour les utilisateurs.

De nouvelles règles et standards C’est la raison pour laquelle Lookout a dévoilé à Data Security Breach de nouvelles règles et standards qui définissent les pratiques acceptables en matière de publicité, garantes d’une expérience utilisateur agréable et d’un respect réel de la confidentialité. L’éditeur laissera suffisamment de temps aux différents acteurs de l’industrie – régies publicitaires, annonceurs, développeurs d’applications –  pour qu’ils puissent revoir leurs pratiques. A compter du 13 juin, les publicités qui ne se conforment pas à ces bonnes pratiques et règles seront placées dans la catégorie des programmes publicitaires. Par ailleurs, dans 45 jours Lookout considérera comme logiciels publicitaires les réseaux publicitaires qui ne sollicitent pas ouvertement le consentement de l’utilisateur avant d’effectuer les actions suivantes :

· affichage de publicité en dehors du périmètre de l’application ;

· collecte insolite d’informations permettant d’identifier l’utilisateur ;

· exécution d’actions inattendues suite au clic sur une publicité.

Protéger avant tout les utilisateurs

Pour l’éditeur, l’utilisateur doit pouvoir donner son consentement après avoir reçu une alerte claire et lisible, qui le prévient que l’application inclut un réseau publicitaire capable d’effectuer au moins une des actions citées ci-dessus. L’utilisateur doit se voir offrir la possibilité d’accepter ou de refuser. L’alerte doit être mise en avant, sans être noyée au milieu des conditions d’utilisation ; tous les développeurs d’applications ont l’obligation de la prévoir dans leur code. Tout réseau publicitaire qui effectue les actions listées ci-dessous, sans demander au préalable l’accord de l’utilisateur, sera considéré comme un logiciel publicitaire à compter du 13 juin 2013.   Les réseaux publicitaires qui affichent leurs publicités en dehors du périmètre de l’application, doivent demander au préalable le consentement de l’utilisateur avant d’effectuer les actions suivantes :

· affichage de publicités dans la barre de notification du système (il s’agit des publicités en mode « push ») ;

· affichage de nouvelles icônes ou de nouveaux raccourcis sur le bureau mobile ;

· modification des paramètres du navigateur, tels que les favoris, sur la page d’accueil par défaut ;

· modification des paramètres de numérotation du téléphone, comme par exemple la sonnerie.

Collecte insolite d’informations

d’identification Lookout estime que les réseaux publicitaires n’ont pas besoin, dans la plupart des cas, de collecter des informations permettant d’identifier une personne s’ils n’ont pas obtenu son accord préalable. Lorsque l’application qui les contient est exécutée pour la première fois, ces réseaux doivent solliciter le consentement de l’utilisateur pour collecter les éléments suivants :

· numéro MSISDN de l’utilisateur (numéro de téléphone) ;

· adresse email de l’utilisateur ;

· historique de navigation de l’utilisateur, ou de ses appels et SMS ;

· numéro IMSI de l’utilisateur (sauf si utilisé à des fins autres que publicitaires comme par exemple par l’opérateur pour la facturation).

Actions inattenduesconsécutives à un clic

Si, pour quelque raison que ce soit, un réseau publicitaire émet des appels téléphoniques ou envoie des SMS dès qu’un utilisateur clique sur une publicité, ou pour toute autre action, il doit lui demander au préalable son consentement et ceci à chaque fois.