Tous les articles par Damien Bancal

Damien Bancal, expert reconnu en cybersécurité Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles. Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe. Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.
Patch

Oracle Critical Patch Update – Avril 2013

Oracle a publié deux mises à jour de sécurité critiques. Tout d’abord, une nouvelle version de Java corrige 42 vulnérabilités, dont 19 ayant le score CVSS le plus élevé (10) qui permet à un attaquant de prendre le contrôle total de la machine. Cette mise à jour corrige également les vulnérabilités découvertes lors de la compétition PWN2OWN à CanSecWest, en mars, où Java a été exploité par trois chercheurs en sécurité différents. Oracle a également modifié les alertes qui surgissent lorsque l’on exécute une applet Java, en introduisant des états distincts donnant plus d’informations sur la nature de l’applet. Les nouvelles versions sont Java v7 update 21et Java v6 update 45.

Dans l’ensemble, le CPU d’avril 2013 corrige plus de 120 vulnérabilités dans 13 gammes de produits. Une cartographie précise des logiciels installés sera cruciale dans l’application de ces correctifs en raison du grand nombre de produits couverts. Nous recommandons de commencer par les services exposés sur Internet, puis de mettre à jour en priorité les produits contenant des vulnérabilités avec un score CVSS élevé.

Le SGBDR d’Oracle dispose de quatre mises à jour pour des vulnérabilités ayant un score CVSS de 10. Les organisations doivent s’assurer en priorité que leurs bases de données Oracle ne sont pas exposées et appliquer les correctifs en conséquence.

La base de données MySQL dispose de 25 vulnérabilités corrigées, avec un score CVSS maximum de 6.9. Un score de niveau moyen qui donnent plus de temps aux administrateurs informatiques pour réagir.

Les solutions Oracle Fusion ont 29 vulnérabilités corrigées, avec un score CVSS de 10. Nous recommandons d’appliquer les patchs aussi rapidement que possible. Une des vulnérabilités se trouve dans le produit Oracle Outside-In, qui est utilisé par Microsoft Exchange Server. Il est noté 6.8, ce qui signifie que nous aurons une mise à jour d’Exchange très bientôt.

Oracle Solaris est affecté par 16 failles avec un score de 6.4, dont deux vulnérabilités exploitables à distance. Les administrateurs informatiques doivent se concentrer dans un premier temps sur ces deux vulnérabilités.

Les autres produits mis à jour comprennent Peoplesoft, Supply-Chain, E-Business, CRM.

En complément des mises à jour d’Oracle, Apple a également publié deux mises à jour de sécurité. La première adresse Java 6 qui est maintenu par Apple sur Mac OS X. La seconde corrige une vulnérabilité dans Webkit, le moteur de rendu HTML de Safari. La vulnérabilité dans Webkit a également été découverte lors de la compétition PWN2OWN, mais en l’occurrence dans le navigateur Chrome de Google. Google a corrigé cette vulnérabilité le mois dernier. (Wolfgang Kandek, CTO de Qualys pour Datasecuritybreach.fr)

Cybersécurité

L’Institut Léonard de Vinci ouvre un MBA « Sécurité des réseaux numériques ».

Un commentaire

Lutter contre les cyber-attaques et prévenir la menace numérique L’Institut Léonard de Vinci ouvre un MBA « Sécurité des réseaux numériques ». Au moment où les cyber attaques contre les entreprises ou les états sont monnaie courante et où de nouveaux besoins en compétences émergent, Data Security Breach revient sur ce nouveau MBA  « Sécurité des réseaux numériques » de L’Institut Léonard de Vinci. Un MBA qui aura pour mission de former des experts et des stratèges du management de la sécurité des réseaux numérique dans tous les secteurs de l’économie mondialisée, arrive à point nommé.

En effet, selon le rapport du sénateur Jean-Marie Bockel sur la cyberdéfense (juillet 2012), les formations dédiées ne couvriraient qu’un quart des besoins de recrutement, estimés actuellement à 1000 par an (200 pour les administrations et 800 pour le secteur privé). Ce MBA qui combine 6 mois de formation à l’université et 6 mois de formation en entreprise, traite donc des problématiques pratiques et actuelles sous l’angle de la sécurité globale, telles que le cloud, le big data, la sécurité des réseaux, la mobilité dans les réseaux sans fil, le multimédia, mais il assure aussi les bases indispensables de la connaissance du droit (communication, pénal, finance, assurance, social), de  la gestion (management) et de la science politique (communication de crise, réseaux sociaux). Pour comprendre le contexte et les enjeux de l’ouverture de ce MBA DataSecurityBreach.fr revient sur l’échange avec M. Yves ROUCAUTE, directeur du MBA « Sécurité des Réseaux numériques », Professeur agrégé des facultés, Président du conseil scientifique de l’Institut National des Hautes Etudes de Sécurité et de Justice.

Pourriez-vous nous présenter le MBA « Sécurité des Réseaux numériques » de l’Institut Léonard de Vinci ?

Yves ROUCAUTE : Le MBA « Sécurité des Réseaux Numériques » a pour objectif de former des experts de l’information technologique et des stratèges incontournables du management de la sécurité des réseaux numériques et de l’économie numérique. Et cela dans tous les secteurs de l’économie : entreprises privées ou publiques, états, collectivités territoriales, institutions de régulation ou encore lobbys. Il combine apprentissage théorique et pratique de la maîtrise de la sécurité du fonctionnement des systèmes d’information dans l’économie numérique et management opérationnel technico-économique et juridique pour gérer et prévoir l’évolution des stratégies face aux risques et menaces liés aux réseaux numériques. Tous les postes à responsabilités liés aux secteurs économiques utilisant les technologies numériques ainsi que les métiers liés au conseil et à l’audit de systèmes numériques sont concernés. Les débouchés sont  donc nombreux dans les entreprises privées et publiques, les industries, le commerce, les banques, les assurances, mais aussi au sein des organismes étatiques ou des collectivités territoriales, des institutions de régulation et des lobbys.

Comment s’assurer que les élèves ne soient pas dépassés par le développement constant des nouvelles technologies et actualisent constamment leurs connaissances ? Nous offrons à la fois un contenu d’enseignement performant et un personnel enseignant à la pointe des questions de sécurité soulevées par  l’information technologique à l’heure de la mondialisation.  En effet, avec Michel Riguidel, Professeur émérite de Paris Tech, ex-directeur du département «Informatique et Réseaux », directeur adjoint du MBA, nous avons appelé des professionnels du management du risque numérique, réputés internationalement, qui travaillent à la direction d’entreprises  spécialisées dans la sécurité des réseaux. Ainsi, les élèves vont savoir gérer le risque numérique imminent mais aussi prévoir son évolution. Ils comprendront la sécurité des systèmes d’information tout en saisissant l’écosystème numérique dans sa globalité, dans ses diverses dimensions technologiques, juridiques, financières, assurantielles, psychologiques et sociologiques.

Comment concrètement les étudiants du MBA « Sécurité des Réseaux numériques » seront-ils en mesure de prévenir les cyber-attaques ? Les cyber-attaques sont devenues une menace constante pour les entreprises mais aussi pour les Etats. Depuis 2007 et la cyber attaque contre l’Estonie de la part de sites russes, le danger a été pris en compte.  Dernièrement, les attaques contre Lockheed, Google et Twitter ont fait grand bruit et montrent que nul n’est à l’abri. Ce sont des centaines d’entreprises qui, chaque année, sont victimes de cette nouvelle forme de criminalité. En premier lieu, les étudiants de notre MBA, formés par des professionnels de renom, seront en mesure d’éviter et de prévoir ce type de cyber attaque. Au Luxembourg, comme lors de l’organisation d’un cycle de conférences au Sénat, les dirigeants de ce MBA ont eu l’occasion de faire des recommandations sur la gestion des infrastructures vitales (appelées « critiques » dans les pays anglo-saxons) de la France. Il n’est pas anodin que l’Association internationale de science politique m’ait permis d’organiser, avec trois des enseignants de ce master, le premier grand colloque européen sur la sécurité des réseaux numériques critiques au Luxembourg en mars 2010. Ou que Michel Riguidel soit coordinateur dans le 6ème programme cacdre recherches et développement, de l’Union européenne, expert de l’ANR, membre du Conseil d’Evaluation Télécommunications à la DGA, alors qu’il a notamment conçu le premier pare-feu certifié ITSEC E4 en Europe ou  inventé le mot « tatouage ».  Pas anodin non plus que Gérard Peliks, expert sécurité chez Cassidian Cyber sécurité, soit Président de l’atelier sécurité du Forum ATENA. Pour ne citer que quelques uns de nos enseignants. Indéniablement, les étudiants seront pleinement confrontés aux  vulnérabilités, aux risques et aux menaces liées aux réseaux numériques. Ils seront, en même temps, en position de distinguer les vraies menaces des jeux en trompe l’œil de certaines entreprises voire de certains services, via de prétendus risques d’attaque et, ainsi, de mesurer les dangers de l’utilisation de certains softwares qui sont en vérité des machines de guerre de l’intelligence économique, parfois seulement utilisés pour vendre des produits informatiques, parfois pour connaître les projets et intentions de concurrents, mais aussi qui sont parfois utilisés pour maîtriser les systèmes d’information des entreprises ou des Etats, voire les détruire.

Le MBA « SECURITE DES RESEAUX NUMERIQUES » propose 447 heures (6 mois)  de cours et séminaires répartis en 4 modules et 6 mois de formation en entreprise. Objectifs : former des experts et des stratèges incontournables du management de la sécurité des réseaux numériques et de l’économie numérique. Public visé : Etudiant Bac +4 ou équivalent – Les épreuves d’admissibilité se font sur dossier et les épreuves d’admission se font sur examen oral devant le comité d’orientation pédagogique. Une remise à niveau est possible. Débouchés professionnels : secteurs des technologies de l’information, de l’informatique, des télécommunications, des activités numériques et des services fournis aux entreprises et aux collectivités ainsi que les métiers liés au conseil et à l’audit des systèmes numériques dans les entreprises privées ou publiques, Etats ou collectivités territoriales, institutions de régulation ou lobbys.

Cybersécurité

Internet traque le/les terroristes de Boston

Un commentaire

Sur le forum 4chan, les internautes se sont lancés dans la traque du/des terroristes de Boston. Impressionnant ! Et si les Internautes réussissez à retrouver le/les terroriste(s) de Boston ? Sur plusieurs espaces web, dont le forum 4chan, les images des bombes de Boston sont décortiquées. Autant dire que la traque est impressionnante. Plusieurs suspects ont été remontés grâce à des détails tirés des photos, vidéos. Parmi les détails, des documents tirés d’appareils photos de sportifs, supporteurs et du FBI. Certaines comparaisons sont assez saisissantes. Surtout l’analyse des sacs à dos, en comparaison de ceux qui semblent avoir caché les « cocottes minutes ». Maintenant, une chasse aux sorcières peut, aussi, montrer du doigt des personnes n’ayant aucun rapport avec cette atrocité.

Entreprise

Insulter votre patron, mais pas à plus de 4 personnes

2 commentaires

Insulter son patron sur Facebook est possible, à condition que vous ne dépassiez pas un nombre d’auditeur trop important ! Legalis.net est revenu sur un arrêt de la Cour de cassation du 10 avril 2013 qui confirme que le paramétrage des comptes des réseaux sociaux constitue le critère du caractère public d’une publication. Pour la Cour, des propos qui s’adressaient à quatre personnes autorisées par le titulaire du compte Facebook utilisé ne constituent pas des injures publiques. Un employé avait, sur Facebook et MSN, tenues des propos que son ancien employeur avait qualifiait d’injure publique. La Cour de cassation a estimé que le public susceptible de les lire était trop restreint. L’injure non publique est punie d’une contravention de 38 €. L’injure publique est punie d’une amende maximale de 12 000 €.

Argent, Cyber-attaque, Cybersécurité

Cyber criminels se penchent sur Bitcoin

2 commentaires

Comment les cybercriminels exploitent les monnaies virtuelles comme Bitcoin. D’abord, petit rappel de DataSecurityBreach.fr sur ce qu’est le Bitcoin. Bitcoin est une monnaie virtuelle décentralisée en ligne basée sur une source ouverte, le protocole P2P. Les Bitcoins peuvent être transférés sur un ordinateur sans avoir recours à une institution financière. La création et le transfert Bitcoin est effectué par des ordinateurs appelés «mineurs» qui confirment la création du bitcoin en ajoutant les informations dans une base de données décentralisée. Les Bitcoins deviennent plus difficiles à produire. Il n’y a plus « que » 10 millions de bitcoins en circulation aujourd’hui. La conception Bitcoin permet uniquement de créer 21 millions de pièces virtuelles. Cette limite sera atteinte au cours de l’année 2140. Le portefeuille Bitcoin est ce qui vous donne la propriété d’une ou plusieurs adresses Bitcoin. Vous pouvez utiliser ces adresses pour envoyer et recevoir des pièces provenant d’autres utilisateurs/internautes. Il existe les « piscines ». Espace qui permet à plusieurs internautes de « fabriquer » des Bitcoins. L’idée, travailler ensemble pour faire des bitcoins et partager les bénéfices de manière équitable. Enfin, vous pouvez acheter et vendre des bitcoins en utilisant plusieurs monnaies du monde réel (Euro, Dollar, …) à l’aide de plusieurs espaces d’échanges tels que MtGox, BTC-E ou encore Virtex.

En raison de la popularité croissante du Bitcoin, cette monnaie est devenue une cible intéressante et rentable pour les cybercriminels. Au cours des dernières années, DataSecurityBreach.fr vous a relayé d’une augmentation du nombre d’attaques et de menaces impliquant la monnaie virtuelle. Les « vilains » ont adapté leurs outils afin de voler des bitcoins à leurs victimes, utiliser des systèmes compromis pour exploiter des bitcoins et, bien évidement, traduire la monnaie virtuelle en billets biens réels. D’autre part les échanges virtuels sont également des victimes potentielles : phishing, déni de service. Dans ce dernier cas, la mission est clairement la déstabilisation du taux de change et des profits.

Au cours des dernières années, la capacité de voler le fichier wallet.dat (Le portefeuille Bitcoin, ndlr Data Security Breach) a été ajoutée à plusieurs familles de logiciels malveillants. En outre, de nouvelles familles de logiciels malveillants sont apparus dans le but de voler ce fichier à partir des machines infectées. Par exemple, une version du malware Khelios a été utilisée pour envoyer de faux courriels et inciter le téléchargement du malveillant. Mission finale, voler des données provenant des systèmes infectés. En conséquence, si un utilisateur du Bitcoin est infecté, le keylogger intercepte les frappes claviers dédiés aux Bitcoins. Le fichier porte-monnaie peut être protégé par un mot de passe… sauf que la majorité des logiciels pirates dédiés aux vols de données bancaires ont intégré le moyen de cracker le mot de passe du portefeuille. A noter que des botnets IRC s’exécutent sur la base du « AthenaIRCBot », un code source qui a la capacité de voler le fichier portefeuille (exemple : 928296a933c8eac9282955d47a811aa2759282973b8789bcfd567fb79282908ea).

En plus de voler le porte-monnaie Bitcoin, le nombre de logiciels malveillants qui permettent aux pirates d’utiliser la puissance de l’ordinateur des victimes est grandissante. Il permet aux escrocs numériques de générer des Bitcoins. Des variantes de Zeus/Zbot utilisent des « plugin » qui visent BitCoin.  L’année dernière, zataz.com vous parlait d’attaques de sites web, avec l’installation d’iframe « bizarres » dans les sites infectés. Les iframes dirigés les internautes vers le site anshaa[*]com. L’attaque visait Bitcoin. Au cours des derniers mois, plusieurs variantes de Dorkbot, y compris celui qui visait Skype, était exploité pour ajouter la capacité mining pool dans les ordinateurs infectés. Une fois que le système compromis, une version de la Ufasoft mining pool est lancée. Le pirate produit du Bitcoin sans se fatiguer. Derrière ce botnet, le même groupe. Il exploit(ait)e : cantvenlinea[*]biz, revisiondelpc[*]ru, cantvenlinea[*]ru, hustling4life[*]biz.

Alors que ce premier groupe a fait tourner son arnaque durant près de 6 mois, un autre groupe de pirates exploite, depuis 1 an, Dorkbot. Si le premier gang semble être des pays de l’Est, le second passe par l’Asie pour agir. Ce groupe exploite aussi une autre monnaie virtuelle, Litecoins. Dans ces cas, les pirates exploitent de faux logiciels diffusés via le P2P et les fameux iFrames installés dans des sites compromis via des kits Exploits de type  Blackhole. Comme vous pouvez le voir dans notre capture écran de comptes pirates, plusieurs escrocs utilisent des adresses Bitcoin. Bilan, il est possible de voir  les transactions effectuées par ces comptes. Certains affichent plus de 38.000 dollars de recettes ! Pas mal pour un petit Botnet !

Mtgox est le plus grand lieu d’échange Bitcoin. Il est possible de transformer ses Bitcoins en Euros ou Dollars. Ces dernières semaines, la popularité croissante de Bitcoin et Mtgox a attiré les pirates. Début avril, le site mtgox-chat[*]info ciblait les utilisateurs Mtgox. Mission de ce piège, inciter l’internaute à télécharger une applet Java malveillante. Marrant, le serveur pirate de gestion (C&C) se nommait « tamere123 ». Il faut dire aussi qu’avec 20.000 comptes Mtgox créé par jour (le nombre de comptes pirates n’est pas connu, ndlr DataSecuritybreach.fr), l’intérêt des escrocs ne fait que suivre le mouvement.

Vous commencez à comprendre pourquoi le Bitcoin a plongé de 50% la semaine dernière, passant de 36 euros le 16 mars pour atteindre 200 euros, 1 mois plus tard. Le Bitcoin se stabilise autour de 75 euros. Jusqu’au prochain problème, comme celui vécu début avril, chez Bitcoin central !

Cybersécurité, Wordpress

Près de 1.000.000 de WordPress en danger

4 commentaires

Un plugin pour WordPress dangereux. Il permet de diffuser des messages non sollicités à partir de 935.000 WordPress ainsi piégés. Si vous utilisez le plugin « widget Media social » dans votre WordPress, un conseil de datasecuritybreach.fr, effacez-le de votre site. Sucuri, expert en sécurité informatique a découvert que le plugin était utilisé pour injecter des messages non sollicités sur votre site. L’outil, qui se veut être un allier dans votre communication sur les réseaux sociaux et aussi, et avant tout, un piége.

Avec plus de 935.000 téléchargements, le plugin a de quoi faire de gros dégâts. Dans le code source de l’application, un url caché, qui est diffusé dans de faux messages. L’intérêt du pirate, faire référencer dans un maximum de sites, donc ensuite sur Google, son espace malveillant. L’url caché a pour mission d’injecter « PayDay Loan » et de renvoyer les lecteurs des WordPress sur le site paydaypam.co.uk, un site de prêt d’argent.

Le code malveillant a été ajouté dans la dernière version du plugin, SMW 4.0. Les utilisateurs sont vivement invités par Datasecuritybreach.fr à retirer le plug-in de leur site. Le plugin a été supprimé du WordPress Plugin.

Android, Sécurité, Smartphone

Activistes Tibétains piégés par une application pirate

Un commentaire

Lookout, leader des solutions de sécurité pour téléphones mobiles et tablettes vient d’informer DataSecurityreach.fr qu’un programme malveillant a été à l’origine d’un harponnage des comptes Email d’activistes tibétains. Le 25 mars dernier, le compte mail d’un activiste tibétain a été piraté et utilisé pour harponner, par la technique dite du spear-phishing, tous les contacts présents dans son carnet d’adresses. Cette attaque cherchait à faire croire aux personnes visées qu’elles avaient reçu un mail contenant des informations relatives à une conférence destinée aux activistes chinois, tibétains, mongols et turciques organisée lors du « Congrès mondial des Ouïghours » (WUC) organisé du 11 au 13 mars 2013.

Le mail contenait une pièce jointe censée être une lettre émanant du WUC, mais il s’agissait en réalité d’un fichier APK pour Android appelé « WC’s Conference.apk » contenant une nouvelle souche de programme malveillant appelée Chuli. Si ce type d’attaque très ciblée contre les appareils mobiles reste marginal, ce n’est pas une première. D’autres souches de programmes nocifs créées spécifiquement pour ces attaques ont déjà été mises au jour par le passé – FinSpy / FinFisher est un exemple conçu pour Android à des fins d’espionnage. L’éditeur Lookout suit de très près cette nouvelle tendance. Le mode d’attaque Les dernières versions d’Android (3.0 et supérieures) empêchent les applications de se lancer automatiquement. Chuli a été conçu pour contourner cette protection : le programme se présente comme un support de conférence, s’appelant même « conférence », une fois qu’il est installé.

Il s’agit d’un subterfuge sophistiqué visant à pousser l’utilisateur à exécuter l’application. Et une fois lancé, pour asseoir sa légitimité, Chuli affiche un message prétendant émaner d’un représentant officiel du Congrès mondial des Ouïghours, concernant la conférence. Mais en fait, l’application récupère l’ensemble des SMS, du carnet d’adresses et l’historique des appels présents sur l’appareil, pour les télécharger sur un serveur C&C distant. Bien que ce serveur soit hébergé aux Etats-Unis, il est en langue chinoise et les noms de domaine qui renvoient vers lui ont été enregistrés le 8 mars 2013 par le déclarant chinois Peng Jia de Pékin, au nom de la société Shanghai Meicheng Technology Information Development Co Ltd. Data Security Breach rappel que si ces informations laissent penser que les pirates sont probablement d’origine chinoise, le gouvernement chinois n’est pas pour autant impliqué.

Une fois que le programme malveillant s’est exécuté, le message qui s’affiche provient d’un fichier texte « assets/m.txt », ce qui laisse penser que ledit message peut facilement être changé pour lancer de nouvelles campagnes ciblées tirant parti d’autres actualités brûlantes. La construction et son mode de fonctionnement Le programme malveillant est basé sur deux services principaux : « PhoneService » et « AlarmService ». Le premier est le service d’activation qui s’exécute lors du lancement de l’application. Pour être sûr de se lancer correctement, il se greffe sur le système d’exploitation Android et définit un paramètre de déclenchement du service lorsque l’un des événements suivants survient :

· l’appareil sort du mode veille

· le niveau de charge évolue

· l’état de connexion de l’appareil change

· l’heure est modifiée

· le papier-peint est modifié

· des applications sont ajoutées

· l’écran s’allume

· la puissance du signal évolue

· un échange de données est amorcé PhoneService effectue trois tâches majeures, la première étant la création d’un identifiant unique pour le téléphone à l’aide de l’horodatage Unix. Ensuite, le service enregistre l’appareil auprès du serveur C&C et, enfin, lance le service AlarmService. Ce service permet au programme malveillant de se livrer à différentes activités d’espionnage. Sitôt activé, il effectue les tâches suivantes que Datasecuritybreach.fr vous énumére :

· Il s’accroche au service de SMS d’Android afin que les messages entrants soient transférés au serveur C&C.

· Il envoie des SMS et communique l’historique des SMS au serveur C&C.

· Il sollicite des informations sur la position géographique toutes les 10 secondes ou tous les 20 mètres, qu’il envoie ensuite au serveur C&C.

· Il accède au carnet d’adresses et communique le modèle de l’appareil, la version d’Android ainsi que tous les contacts enregistrés dans le téléphone et sur la carte SIM au serveur C&C.

· Il lance la fonction « autre » et envoie le journal des appels au serveur C&C.

L’éditeur Lookout a étudié de près le serveur C&C, un serveur Windows sous IIS accompagné d’une page d’accueil créée à la hâte. L’ensemble renforce le sentiment que cette campagne a été lancée en urgence, en prêtant peu d’attention aux petits détails. Détail intéressant, le serveur C&C publie également sous la forme de liens annexes un identifiant unique pour chaque appareil corrompu. Ces liens ouvrent un panneau de configuration relatif à l’appareil concerné, qui présente un ensemble de fonctionnalités que Lookout n’a pas encore observé dans les échantillons de programmes malveillants étudiés, notamment la possibilité d’installer d’autres logiciels à distance et à l’insu de l’utilisateur. Rien ne prouve que cette fonctionnalité ait été utilisée dans cette implémentation, ce qui peut faire penser qu’un autre morceau de code malveillant a été reconditionné pour cette campagne.

Etant donné la nature de l’attaque et les cibles visées, on peut penser qu’elle est l’œuvre d’un Etat ou d’un pays. Or plusieurs éléments semblent indiquer qu’il n’en est rien. Certaines portions sont l’œuvre de développeurs amateurs, l’application ne dispose pas d’une icône et elle porte la mention « test ». Qui plus est, l’exécution du programme se révèle moins élaborée que nombre d’applications malveillantes connues, comme par exemple Geinimi . Autant de preuves réfutant l’idée d’une attaque perpétrée par un Etat ou une grande nation. Il s’agit là d’une nouvelle attaque d’ingénierie sociale ciblée qui exploite des programmes malveillants pour Android, pour prendre le contrôle d’un appareil vulnérable à des fins d’espionnage. Un signe de plus qui vient confirmer la tendance actuelle à l’utilisation de tremplins multiples pour lancer des attaques, en ne se contentant plus de viser seulement des ordinateurs.

Chuli.A vise des cibles bien précises; seul un ensemble particulier d’appareils est concerné. Les risques d’infection sont donc très faibles.  Comment s’en prémunir ? Data Security Breach magazine vous souligne l’importance d’évitez d’ouvrir des mails de spam. Des messages surprise de vieux amis perdus de vue ayant pour objet « hot news », « Last all Night » ou encore « You Won $1000 », montrent clairement qu’il s’agit d’un spam. Le bon sens doit être de mise avant de cliquer sur un lien. Si le nom du site web vers lequel il pointe ne vous dit rien, mieux vaut s’abstenir. La prudence doit particulièrement être de mise dans le cas de liens au format abrégé tel que bit.ly ou ABCD, car il est encore plus difficile de juger de l’honnêteté du site en question.  Si votre appareil mobile lance subitement le téléchargement d’un fichier sans aucune action de votre part, ne cliquez surtout pas dessus et supprimez-le immédiatement. Téléchargez une application de protection mobile telle que Lookout, qui passe au crible les contenus à la recherche de programmes malveillants éventuels. Lookout Mobile Security pour Android, par exemple,  est disponible en version Gratuite et en version Premium (2,49 € / mois ou 24,99 € / an).

Cybersécurité

Patch Tuesday d’avril

Comme chaque premier jeudi du mois, Microsoft a publié sa notification avancée du Patch Tuesday de ce mois d’avril. Il compte neuf bulletins affectant toutes les versions de Windows, certains composants Office et serveur ainsi que Windows Defender sur Windows 8 et RT. Cependant seuls deux bulletins sont jugés « critiques ».

Le bulletin 1 est destiné à toutes les versions d’Internet Explorer (IE), y compris la plus récente IE 10 sur Windows 8 et RT, et devrait être la priorité ce mois-ci. Il est classé « critique » et permet l’exécution de code à distance par le biais du vecteur d’attaque aujourd’hui le plus commun : l’un des utilisateurs de l’entreprise accédant à un site Web malveillant. Le bulletin 2 est la seconde vulnérabilité classée « critique » et affecte le système d’exploitation Windows, à l’exception des versions les plus récentes, Windows 8, Server 2012 et Windows RT (la version tablette).

Les bulletins restants sont tous évalués «importants» et affectent Windows, le serveur Sharepoint ainsi que, il est intéressant de le noter, un produit de sécurité. Il s’agit du scanner de malware de Microsoft, Windows Defender sur Windows 8 et Windows RT. Les vulnérabilités corrigées dans ces bulletins permettent généralement à l’attaquant l’escalade de privilèges. Il accède ainsi du niveau de privilège d’un utilisateur normal à celui d’un utilisateur de niveau administrateur. Il peut également tromper l’utilisateur en l’incitant à ouvrir un fichier spécialement conçu.

Parmi les autres annonces auxquelles il faut prêter attention, le projet source PostGreSQL Open a publié une nouvelle version de son produit de base de données corrigeant cinq failles de sécurité. L’une d’elles, CVE-2013-1899 permet à l’attaquant de supprimer des fichiers de base de données sans authentification, ce qui conduit à la perte de données et au déni de service. PostGreSQL a jugé cette faille suffisamment importante pour justifier la semaine dernière une pré-annonce de la publication d’un correctif cette semaine.

Il faut également garder à l’esprit que Oracle a prévu une publication supplémentaire pour Java ce mois-ci. Normalement, Java bénéficie d’une nouvelle version tous les quatre mois : février, juin et octobre de chaque année. En raison de la quantité et de la gravité des vulnérabilités récemment découvertes, il y aura une nouvelle version qui sera mise en ligne le 16 avril. (Wolfgang Kandek, CTO de Qualys pour DataSecurityBreach.fr)

Cyber-attaque, Cybersécurité, DDoS, Fuite de données, Leak, Sécurité

Vers une Union européenne de la Sécurité Informatique …

Est-il temps d’inventer une « échelle de Richter » des incidents de sécurité ? Alors qu’un projet de Directive a été présenté par Neelie Kroes, commissaire européenne chargée de la société numérique et au moment où le Conseil et le Parlement européens doivent discuter de ce nouveau texte, François Lavaste, Président de NETASQ, acteur de la sécurité informatique revient pour DataSecurityBreach.fr sur cette nouvelle directive.

L’objectif de cette nouvelle Directive européenne vise à renforcer le niveau de sécurité des systèmes d’information européens et ce, de façon homogène. Au programme, la mise en place, dans chaque état membre, d’une infrastructure complète en matière de cybersécurité et une obligation de notification des violations de la sécurité des données personnelles sur 6 secteurs « cibles » qui sont les services financiers, les services internet clés, l’énergie, la santé, les transports et les administrations publiques.   Alors que l’on pouvait s’attendre, par exemple, à une obligation visant à inciter les éditeurs de logiciels à « patcher» les codes défectueux, ou à des obligations pour les acteurs de la filières de mettre en place des mesures de prévention ou de sensibilisation en matière de sécurité des données et des systèmes, le texte ne prévoit, a priori, rien sur ces sujets pour le moment. « Les États membres veillent à ce que les administrations publiques et les acteurs du marché notifient à l’autorité compétente les incidents qui ont un impact significatif sur la sécurité des services essentiels qu’ils fournissent ».

Que recouvre exactement cette notion d’incidents ayant “un impact significatif” sur la SSI ?

La sécurité informatique est, de manière assez surprenante, un domaine qui n’a pas encore inventé ou imposé son « échelle de Richter ». Il existe des indices de gravité pour les vulnérabilités (faible, modéré, important, critique) mais ceux-ci sont assez basiques. Certaines entreprises de sécurité, inspirées probablement par les niveaux d’alerte du plan VIGIPIRATE en France ou par ceux du NTAS (National Terrorism  Advisory System) aux Etats-Unis, publient leur propre échelle de menace (basse, medium, élevée, extrême par exemple). Ces indicateurs sont souvent subjectifs et précèdent les incidents potentiels. Cependant après un incident, aucune « échelle » de gravité n’est véritablement communément admise et utilisée. On pourrait imaginer qu’une telle échelle « a posteriori » de la gravité d’un incident de sécurité serait utile pour rapidement mettre en place, pour les victimes prévenues, les mesures à prendre et pour que les médias positionnent ces évènements de manière la plus objective possible.

BYOD, Chiffrement, cryptage, Entreprise, Fuite de données, Sauvegarde, Sécurité

L’encadrement juridique de l’utilisation de leurs équipements personnels par les salariés

Le BYOD (« Bring your own device »), ou l’utilisation par les employés de leurs équipements personnels (smartphone, pc portable, tablette tactile…) dans un contexte professionnel, est aujourd’hui une pratique courante en entreprise, qui demeure pourtant peu encadrée juridiquement. Donatienne Blin, avocat au sein du département Informatique & Réseaux du cabinet Courtois Lebel, passe en revue, pour Data Security Breach,  les points de vigilance. L’accès immédiat et en toutes circonstances au système d’information de l’entreprise grâce aux BYOD améliore la réactivité et la productivité des employés.

Pourtant cette pratique souvent tolérée par les entreprises présente, en l’absence d’encadrement spécifique, des risques substantiels pesant sur la sécurité du système d’information, précisément sur la confidentialité et l’intégrité des données de l’entreprise : négligence de l’utilisateur (prêt ou perte du terminal), applications malveillantes téléchargées, virus ou failles de sécurité de l’OS (operating system) rendent possibles les accès frauduleux au système d’information par des tiers non autorisés. Chaque type de BYOD présente des risques particuliers qui devront être traités différemment.

L’utilisation des équipements personnels et l’anticipation des risques est donc une problématique majeure au sein de l’entreprise et précisément des directions juridiques et des directions des systèmes d’information. Toute perte ou altération des données personnelles peut provoquer des dommages économiques à l’entreprise, mais peut également engager sa responsabilité : l’article 34 de la loi n°78-17 Informatique, fichiers et libertés du 6 janvier 1978 impose au responsable de traitement de données personnelles de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement pour « préserver la sécurité des données et notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Ainsi, dans le prolongement de la politique de sécurité mise en œuvre par les DSI (directions des systèmes d’information), les entreprises doivent encadrer l’utilisation des BYOD et garder en toutes circonstances le contrôle de l’accès au réseau et des données y étant accessibles. Cet encadrement devra se matérialiser par la mise en place d’une charte informatique, ou la mise à jour de celle-ci dès lors qu’elle serait existante, en vue d’y inclure les mesures propres à leur utilisation, applicables à l’ensemble des salariés.

Les problématiques suivantes devront y être abordées :

L’accès au système d’information de l’entreprise Compte tenu des risques (introduction de virus, fuite, perte, altération de données personnelles ou sensibles et confidentielles…) pesant notamment sur les données de l’entreprise, des règles d’accès au système d’information de l’entreprise via un équipement personnel devront être adaptées. On pourra prévoir que le salarié utilisant un équipement personnel soit obligé, préalablement à la connexion de son terminal au réseau de l’entreprise, d’avertir le DSI et de faire contrôler son équipement afin de s’assurer de sa conformité en termes de sécurité. De même, le salarié devra toujours disposer d’un équipement en état de fonctionnement, et systématiquement, télécharger les mises à jour proposées par les éditeurs (du système d’exploitation, des logiciels et des applications utilisés).

Il pourra également être imposé au salarié de protéger son équipement par mot de passe afin d’en interdire l’accès aux tiers. L’obligation de faire l’acquisition d’outils permettant de limiter les risques de sécurité pourra également être imposée au salarié : logiciel antivirus, de cryptage des données, ou encore dispositif permettant de supprimer les données à distance dès lors que les données seraient directement stockées sur l’équipement personnel du salarié. Afin d’éviter la perte définitive des données (les applications cloud le permettent, ndlr Datasecuritybreach.fr), il peut également être imposé au salarié d’installer des outils de sauvegardes journalières ou de synchronisation des données avec un autre appareil. En cas de vol, perte, ou constat quelconque d’intrusion frauduleuse sur l’équipement personnel, le salarié devra immédiatement prévenir le DSI afin qu’il prenne toutes mesures nécessaires pour protéger le système d’information de l’entreprise et les données y étant stockées.

La propriété et le contrôle des données accessibles via l’équipement personnel Il devra être précisé que toutes données professionnelles stockées ou accessibles via un équipement personnel demeureront la propriété exclusive de l’employeur. Les cas d’accès et de contrôle aux données stockées sur l’équipement personnel du salarié par l’employeur devront être précisément définis dans la charte.

Pour rappel, Data Security Breach vous énumère les règles à retenir : le salarié utilisant un équipement professionnel doit expressément identifier les éléments personnels comme tels ; à défaut d’identification explicite contraire, le contenu est considéré comme ayant un caractère professionnel et son employeur peut dès lors y accéder.

L’employeur ne peut accéder aux fichiers personnels expressément identifiés comme tels par son salarié hors la présence de ce dernier, et ce sauf risque ou évènement particulier. Il devra être imposé au salarié, en cas de départ de l’entreprise, de transférer à son supérieur hiérarchique l’ensemble des données professionnelles éventuellement stockées sur son équipement personnel. En cas d’application cloud, l’accès doit être coupé au jour du départ.

La problématique du coût ou la participation de l’entreprise aux frais payés par les salariés Dans le cas des BYOD, le coût des équipements personnels utilisés à des fins professionnelles et les éventuels frais annexes (assurance, maintenance, anti-virus, forfait téléphone/internet, logiciels indispensables à l’activité, tel que le Pack Office de Microsoft) sont de fait déportés chez les salariés. Certains coûts pourraient être partiellement pris en charge par les entreprises, dès lors qu’il est raisonnable de considérer que le salarié n’aurait pas fait l’acquisition de ces différents outils, imposés par l’entreprise, dans le cadre d’une utilisation strictement personnelle. Ces règles liées à la prise en charge totale ou partielle des coûts devront être définies et portées à la connaissance des employés. Cette problématique rejoint celle de la discrimination entre les salariés : certains salariés pourront se procurer eux-mêmes leur propre équipement tandis que d’autres ne le pourront pas pour des raisons exclusivement financières.

La durée légale du travail En utilisant son équipement personnel, notamment pour recevoir ses mails professionnels, le salarié reste connecté en permanence avec le réseau de son entreprise.Cela a pour conséquence d’augmenter la durée du travail. Or les entreprises doivent respecter la durée légale du temps de travail sous peine de sanction. La charte devra donc tenir compte du fait que l’utilisation de l’équipement personnel ne doit en aucun cas porter atteinte à la durée légale du travail applicable à chaque salarié concerné. Au même titre, aucune sanction ne devrait découler d’une absence de réactivité d’un salarié en dehors de ses horaires de travail.

Les accès aux applications ou plus généralement au réseau de l’entreprise en dehors des horaires de travail peuvent être directement bloqués à distance par la direction des systèmes d’information. Ce système impose de créer des groupes d’utilisateurs autorisés, en fonction des horaires de travail qui leur sont applicables, du poste ou encore du rang hiérarchique occupé.

La responsabilité en cas de vol ou de dommages matériels causés à l’équipement personnel La question des éventuels dommages causés à l’équipement personnel de l’employé sur le lieu de travail sans aucune faute de sa part devra être tranchée dans la charte. Par exemple un virus pourrait être transmis sur l’équipement personnel du salarié qui se serait connecté au réseau de l’entreprise. Dès lors que l’équipement du salarié serait endommagé par la faute ou la négligence de l’entreprise, celle-ci devrait, dans ces conditions, être responsable des réparations.Les conditions de responsabilité et de réparation totale ou partielle en cas de dommages matériels doivent donc être précisément définies, dans le respect des règles du code du travail applicables.

La redéfinition des règles d’utilisation prohibées Il conviendra d’élargir les règles d’utilisation prohibées des ressources de l’entreprise aux ressources personnelles, dès lors que le réseau internet de l’entreprise devient accessible via un équipement personnel. Ainsi, il faudra rappeler au salarié que les règles d’utilisation prohibées des ressources de l’entreprise s’étendent à son équipement personnel (faits d’atteinte à la vie privée ou à l’image d’un tiers, diffamation, injure, discrimination, dénigrement de l’entreprise, l’atteinte à l’image de marque, à sa réputation ou à ses droits). De même, devront être prohibés les téléchargements de contenus portant atteinte au droit de la propriété intellectuelle qui seraient effectués par le salarié via le réseau de l’entreprise avec son équipement personnel. Enfin, il devra être interdit au salarié de se connecter via des réseaux wifi non sécurisés mais également de télécharger des applications ou logiciels non sécurisés sur son équipement personnel. La DSI pourrait préalablement établir une liste d’applications ou d’éditeurs interdits car présentant des risques en termes de sécurité, et mettre à jour cette liste.

L’opposabilité des règles L’opposabilité de ces règles devra être assurée afin de pouvoir engager la responsabilité disciplinaire ou judiciaire du salarié qui ne les aurait pas respectées et qui aurait été responsable du dommage causé à l’entreprise par sa faute. Ces règles peuvent donc figurer dans la charte informatique de l’entreprise, laquelle sera elle-même annexée au règlement intérieur. Les instances  représentatives du personnel devront être consultées.

Pour finir, DataSecurityBreach.fr vous rappelle que dans son arrêt du 12 février 2013, la Cour de cassation a jugé qu’un employeur pouvait contrôler une clé USB d’un employé connectée à son ordinateur professionnel alors même que celle-ci était personnelle et sans la présence de l’employé. En l’espèce, les fichiers contenus n’étaient pas identifiés comme personnels, pas plus que la clé en question. Malheureusement pour l’employé, la clé contenait des informations confidentielles, ce qui a justifié son licenciement. (par Courtois Lebel, pour DataSecurityBreach.fr – PL est membre de deux réseaux de cabinets d’avocats : AEL, réseau européen, et ALFA.)