Tous les articles par Damien Bancal

Damien Bancal, expert reconnu en cybersécurité Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles. Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe. Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.
backdoor, Cybersécurité

Chasse aux backdoors dans des appareils Cisco contrefaits

Une enquête met en lumière l’impact des composants contrefaits dans une infrastructure informatique. Et si derrière la copie se cachait une backdoor.

Des spécialistes de la sécurité matérielle viennent de publier un rapport détaillant une enquête concernant des commutateurs réseau contrefaits. L’enquête a conclu que les contrefaçons étaient conçues pour contourner les processus qui authentifient les composants du système.

L’équipe de sécurité matérielle de F-Secure Consulting a enquêté sur deux versions contrefaites différentes de commutateurs Cisco Catalyst série 2960-X. Les contrefaçons ont été découvertes par une société informatique après une mise à jour logicielle ratée. Une panne courante du matériel contrefait/modifié aux nouveaux logiciels.

D’abord, les enquêteurs ont découvert que si les contrefaçons ne possédaient pas de fonctionnalités de type « backdoor » (porte cachée), elles employaient néanmoins diverses mesures pour tromper les contrôles de sécurité. Par exemple, l’une des unités a exploité ce que l’équipe de recherche pense être une vulnérabilité logicielle non découverte auparavant pour miner les processus de démarrage sécurisés qui assurent une protection contre la falsification des microprogrammes.

« Nous avons découvert que les contrefaçons étaient construites pour contourner les mesures d’authentification, mais nous n’avons pas trouvé de preuves suggérant que les unités présentaient d’autres risques« , a déclaré Dmitry Janushkevich, consultant senior de l’équipe « Sécurité matérielle » de F-Secure Consulting, et auteur principal du rapport. « Les motifs des faussaires se limitaient probablement à gagner de l’argent en vendant les composants.« . Bref, il est indispensable de vérifier minutieusement tout matériel rentrant dans l’entreprise.

Derrière la contrefaçon

Ensuite, les contrefaçons étaient physiquement et opérationnellement similaires à un authentique commutateur Cisco. L’une des études techniques de l’unité suggère :

  • Les contrefacteurs investissent massivement dans la reproduction du design original de Cisco ;
  • Ils ont eu accès à une documentation technique propriétaire pour les aider à créer une copie convaincante.

« Les services de sécurité ne peuvent pas se permettre d’ignorer le matériel altéré/modifié. Ils doivent enquêter sur toutes les contrefaçons présentes dans la société« . Sans démolir le matériel et l’examiner de fond en comble, les organisations ne peuvent pas savoir si un dispositif modifié a eu un impact plus important sur la sécurité.

Enfin, l’impact peut être suffisamment important pour saper complètement les mesures de sécurité et de protection mises en place dans l’organisation.

Pour conclure, voici quelques conseils pour aider les organisations à se prémunir contre l’utilisation de composants contrefaits :

Procurez-vous tous vos composants auprès de revendeurs autorisés
Disposer de processus et de politiques internes clairs qui régissent les procédures de passation de marchés ;
S’assurer que tous les composants fonctionnent avec les derniers logiciels disponibles fournis par les fournisseurs ;
Notez les différences physiques entre les différentes unités d’un même produit, même si elles sont subtiles.

Communiqué de presse

Prospecter sur Linkedin via un bot

Comment générer de nouveaux contacts via le site de réseautage Linkedin. Développer son business en toute sécurité.

Je ne sais pas si vous êtes sur Linkedin, mais si c’est le cas, avez-vous remarqué cette hausse de demandes de mise en relation provenant de personnes « louches » à l’avatar très synthétique et aux premières demandes, en privée tout aussi inhumaine. Vous avez très certainement croisé un bot malveillant, aux intentions toutes aussi désagréables (collectes d’informations, diffusions de codes malveillants, …). Autant dire qu’il peut rapidement devenir compliqué de trouver les bons contacts pour son travail, son business, son relationnel professionnel.

Une société Française, Propsectin, propose une solution qui vous permettra de générer de vrais et nouveaux contacts qualifiés. Avec plus de 500 millions d’utilisateurs, automatiser cette tache via un outil efficace, facilitera cette prise de contact. D’autant plus que l’outil de cette entreprise Française permet de ne plus envoyer à la main, une par une, les demandes de contact. Ce qui ne vous empêchera pas de personnaliser votre message. Rien de plus énervant que de recevoir un message qui sent bon le robot. Intéressant, l’entreprise propose une extension pour le navigateur Chrome qui vous permettra d’automatiser tout en respectant les limites quotidiennes fixées par LinkedIn.

Compatible est une excellente alternative à des outils tels que Dux-Soup, Octopus CRM, LinkedHelper, PhantomBuster, Meet Alfred, Meet Linda, … Plusieurs tarifs sont proposés. Il existe une proposition gratuite. Elle est parfaite pour une recherche d’emploi. Elle permet de visiter et suivre des profils ; diffusion de messages personnalisés ; demandes d’invitations automatisées. Ensuite, trois tarifs, 9, 19 et 100€ par mois. Bien évidement avec des options plus poussées comme le nombre de messages illimités, la sécurité pour éviter d’envoyer deux invitations à la même personne ou encore la possibilité de créer des scénarios personnalisés.

Une vidéo de démonstration, ci-dessous, vous permet de vous donner une bonne idée de cet outil et de ses très nombreuses possibilités.

Pour visiter Propsectin ici.

Infiltration via Linkedin

Choisir ses de bons contacts est loin d’être chose aisée. D’autant plus que les malveillants usent de stratagème dès plus vicieux pour infiltrer les vies numériques de professionnels ciblés. Par exemple, en juin 2020, nous apprenions que des pirates s’étaient fait passer pour des recruteurs des sociétés aéronautiques Collins Aerospace and General Dynamics. Ils vont réussir, via cette usurpation, à piéger les utilisateurs et l’algorithme mis en place par le réseau social professionnel.

Une méthode qui aurait permis une infiltration dans des réseaux militaires basés en Europe. Par ce biais, et ces multiples rebonds, ils ont pu compromettre la vigilance, officiellement, de deux entreprises spécialisées en Europe. Admettons quand même que l’éducation et la formation à ce type de problématique du personnel semble avoir fait largement défaut… ou alors ces derniers n’ont rien écouter car « Cela n’arrive qu’aux autre ! ». Ils ont cliqué sur un lien proposé dans les messages et… paff ! De l’usurpation sur Linkedin qui ne date pas d’hier. Il devient indispensable d’en comprendre son fonctionnement pour s’en protéger. La Chine (après la Corée du Nord) a été montré plusieurs fois de la souris. Le « pays » aurait utilisée de faux comptes pour recruter des espions. Selon la défense US, des agents de service de renseignements américains auraient ainsi été recrutés de la sorte.

En exemple, Kevin P. Mallory, ancien agent de la CIA. Il a été condamné à 20 ans de prison pour avoir fourni des informations sensibles à un internaute pas comme les autres. Un espion chinois, passé par Linkedin. Il s’était fait passer pour un membre d’un groupe de réflexion économique Think-Tank.

Au premier trimestre 2019, Linkedin a orchestré un grand ménage. Plus de 21 millions de faux comptes avaient été bloqués. 3,4 millions de comptes ont été restreints car ils respectaient pas les règles du site de réseautage professionnel. A la même date, 85 600 profils avaient été détectés comme faux ou ne respectant pas les règles de Linkedin. En juin 2019, l’avatar Katie Jones, un faux compte avec une photographie de profil créée via une intelligence artificielle avaient réussi des mises en relation avec des politiciens de Washington.

Cybersécurité, double authentification

Un centre de contact pour palier les escrocs du web

Un centres de contact pour palier les escrocs du web

Parmi les nombreuses méthodes d’infiltrations pirates, le téléphone. Des pirates, tel que le groupe Sekhmet n’hésitent pas à téléphoner aux entreprises sous cyber attaque pour les faire chanter. Et pourquoi ne pas faire appel à un centre d’appel pour filtrer les premiers contacts.

Fraude au faux virement (FoVI), collecte d’informations, chantage … les fraudes par le biais d’un appel téléphonique sont aussi nombreuses que les lames dans un couteau Suisse. Des groupes de pirates informatiques, comme les opérateurs du ransomware (rançongiciel) Sekhmet le disent eux même : « We can’t say for sure but we think that we are the first group that tries to contact the companies by phone as soon as possible after the incident » – (Nous ne pouvons pas le dire avec certitude, mais nous pensons être le premier groupe à essayer de contacter les entreprises par téléphone le plus rapidement possible après l’incident.)

Bref, former son personnel aux questions de cyber sécurité est indispensable. Une notion qui doit inclure la gestion des appels téléphoniques. Faire appel à un centre de contact peut-être une solution. Nous nous sommes penchés sur Odigo, un des leaders mondiaux des centres de contact as a service (CCAAS) et de l’expérience client. Un de leur article de blog revient sur le télétravail, la cyber sécurité et les informations à fournir lors d’un appel téléphonique.

Hervé Leroux, le directeur marketing & communication d’Odigo explique qu’en matière de sécurité, il est indéniable qu’à l’ère du RGPD, l’usage du cloud soulève de nombreux enjeux autour de sujets tels que le stockage, la rétention, la portabilité, l’accessibilité en continue, mais aussi bien sûr la protection des données. « Nous offrons une sécurité améliorée, renforcées. Peu importe le lieu d’actions des agents.« 

Deux certifications indispensables, ISO-27001 & ISO-9001. L’opérateur du centre doit impérativement respecter les normes spécifiques de l’industrie : traitement des cartes bleues (norme PCI DSS), les données de santé (HDS).

Des équipes d’un centre d’appel qui n’ont pas accès aux « secrets » de l’entreprise : téléphone de la direction, adresses mails de la DRH, code wifi, systèmes utilisés en interne … pour ne citer que ces quatre exemples pouvant être recherchés par les pirates sans parler d’une protection active des appelants.

Chiffrement, Cybersécurité

La menace cyber la plus présente pour les MSP

Les rançongiciels, la menace cyber la plus présente pour les PME. Les décideurs MSP qui gèrent les systèmes informatiques des petites et moyennes entreprises face à un danger très présent.

Un ransomware (ou rançongiciel en français) est un logiciel informatique malveillant qui prend en otage les données et/ou fichiers. Ce logiciel chiffre et bloque les fichiers que contiennent un ordinateur et demande une rançon en échange d’une clé qui permet de les déchiffrer.

Les PME, une cible de choix pour les pirates informatiques

En général, les grandes entreprises ont des systèmes de sécurité plus avancés, alors que les petites entreprises n’ont pas les moyens et les ressources pour sérieusement sécuriser leur parc informatique. Et les hackers l’ont bien compris.

Le nombre d’attaques de rançongiciels contre les PME est en augmentation. Quatre-vingt-cinq pour cent des MSP ont signalé des attaques contre des PME en 2019, contre 79 pour cent des MSP qui ont signalé la même chose en 2018.

De plus, il existe une réelle déconnexion sur l’importance des ransomwares en tant que menace. 89% des MSP indiquent que les PME devraient être très préoccupées par la menace des ransomwares. Cependant, seulement 28% des MSP déclarent que les PME sont très préoccupées par la menace.

Les MSP également dans le viseur

Les MSP sont également une cible privilégiée des attaques de ransomwares. Quatre MSP sur cinq déclarent être de plus en plus ciblés par des attaquants.

Cependant, seulement la moitié des MSP ont une expertise externe disponible pour les aider en cas d’attaque à grande échelle contre eux ou leurs clients.

«Les MSP doivent donner le ton à leurs clients PME lorsqu’il s’agit de se préparer et de répondre aux attaques de ransomwares», a déclaré Ryan Weeks, directeur de la sécurité de l’information chez Datto.

Comment s’en protéger ?

Il existe de nombreuses recommandations pour diminuer le risque d’attaque telles que former les employés aux risques de cybersécurité, mettre à jour les systèmes, renforcer les politiques de mots de passe etc. Cependant, et surtout en sécurité informatique, le risque zéro n’existe pas.

Il existe trois scenarios de défense pour ce type d’attaque :

  • Atténuation des risques: Il s’agit de mettre en place des solutions pour diminuer le risque d’attaque. L’authentification multifacteur est l’un des contrôles les plus efficaces pour se protéger contre les accès non autorisés.
  • Préparation d’un processus de récupération: Ici, il s’agit de se préparer en cas d’attaque et de réagir après l’attaque. Il ne faut surtout pas payer la rançon car vous n’êtes pas sûrs de récupérer vos données. Votre plus belle arme est d’effectuer une sauvegarde régulière de vos données afin de s’assurer de récupérer l’intégralité de vos données.
  • Détection et approche proactive: Cette approche consiste à détecter et arrêter l’attaque avant que tout dommage ne soit causé. Si vous avez en place un système pour détecter les attaques de ransomware, vous pouvez y mettre un stop avant le chiffrement de vos données.

En savoir plus…

Pour en savoir plus sur ce sujet, n’hésitez pas à vous inscrire gratuitement à la conférence en ligne organisée par BeMSP puis à participer à la session animée par FileAudit le 7 juillet à 14h30 : « Sécuriser simplement les PME contre les activités malveillantes en mode MSP ».

Intervenants :

backdoor, Chiffrement, Cybersécurité

Tycoon, le ransomware qui infiltre les petites et moyennes entreprises dans les domaines de l’éducation et du logiciel

Le rançongiciel Tycoon tente d’infiltrer de petites et moyennes entreprises dans les domaines de l’éducation et du logiciel.

La société Blackberry Research & Intelligence vient de publier une étude concernant le ransomware Tycoon. La découverte d’une « nouvelle » souche montre que les attaquants deviennent de plus en plus créatifs et ont des programmes R&D qui ne se cachent plus.

Jusqu’à présent, les acteurs de cette menace ont utilisé ce rançongiciel pour infiltrer de petites et moyennes entreprises dans les domaines de l’éducation et du logiciel. Ce code malveillant utilise un format d’image inhabituel afin de passer inaperçu (Java IMAGE). Il verrouille les accès des administrateurs systèmes en attaquant leur contrôleur de domaine et leurs serveurs de fichiers. La typologie des victimes et le texte de rançon suggèrent un lien avec le ransomware Dharma/CrySIS.

Les pirates désactivent les solutions anti-malware à l’aide de l’utilitaire ProcessHacker. Ensuite, ils modifient les mots de passe des serveurs Active Directory. Cela laisse la victime incapable d’accéder aux systèmes infiltrés.

Le rançongiciel Tycoon se présente sous la forme d’une archive ZIP contenant une version JRE (Trojanized Java Runtime Environment). Le malware est compilé dans un fichier image Java (JIMAGE) situé dans lib\modules.

Il semble exister plusieurs versions de ce code malveillant. Il rajoute comme extension aux documents pris en otage : .grinch ou encore .thanos.

Les victimes, des cibles classiques. Plus fragile à une cyber attaque et plus à même de payer face à la perte de toutes leurs données. A lire, à ce sujet, une technique employée par les pirates opérateurs du ransomware Sodinokibi, découverte par la société en cyber sécurité de Montréal The 8 Brains, à destination des particuliers, PME et étudiants.

Cybersécurité

Des applications VPN frauduleuses pour iOS tentent d’escroquer les utilisateurs

Mise en garde contre les applications « fleeceware » sur l’App Store d’Apple et partage quelques conseils pour éviter de se faire escroquer par ces applications

Fleeceware – Découverte de trois applications qui surfacturent les utilisateurs, ne fournissent pas les services dont elles font la promotion et semblent être des « fleecewares ». Les applications sont disponibles sur l’App Store d’Apple sous la dénomination Beetle VPN, Buckler VPN et Hat VPN Pro. Selon les données de Sensor Tower, une société spécialisée dans les renseignements et l’analyse marketing des applications mobiles, les applications ont été téléchargées plus de 420 000, 271 000 et 96 000 fois, respectivement, entre avril 2019 et mai 2020.

Les applications se font passer pour des applications VPN, facturant 9,99 dollars US (un peu moins de 9 euros) par semaine pour un abonnement une fois que leur essai gratuit de trois jours a expiré. Les applications affichent toutes des notes hautes, allant de 4,6 à 4,8, accompagnées de commentaires positifs. Des avis écrits de la même manière. Des messages comme potentiellement factices. Parmi les critiques élogieuses, se trouvent quelques commentaires qui mettent en garde contre ces escroqueries. Les politiques de confidentialité des applications sont également très similaires en termes de langage et de structure.

 Les chercheurs d’Avast ont installé les trois applications et sont parvenus à acheter des abonnements pour chacune d’entre elles. Cependant, lorsqu’ils ont essayé d’utiliser les VPN, les applications ne proposaient à nouveau que des options payantes. Après le nouvel achat, les chercheurs apprennent qu’ils ont déjà un abonnement. Mais pas de connexion VPN avec aucune des applications.

Zone crise des escrocs

Les applications fleeceware se situent dans une zone grise, car elles ne sont pas malveillantes en soi, elles font simplement payer aux utilisateurs des sommes faramineuses pour des abonnements hebdomadaires, mensuels ou annuels donnant accès à des fonctionnalités qui devraient être proposées à des coûts beaucoup moins élevés.

‘ »es applications ne présentent pas un caractère malveillant ; elles contournent les processus de filtrage pour intégrer les « app stores » officiels auxquels les utilisateurs font confiance. De nombreuses personnes se tournent vers les applications VPN pour protéger leurs données lorsqu’elles travaillent à distance, ce qui montre à quel point il est important pour les utilisateurs de faire des recherches sur ce type d’applications avant de les installer, notamment pour savoir qui est à l’origine du produit, leurs antécédents avec d’autres services et les avis des utilisateurs, ainsi que leur expérience en matière d’applications de sécurité et de confidentialité  » indique Nikolaos Chrysaidos, Directeur sécurité et intelligence mobile chez Avast.

Comment les utilisateurs peuvent-ils reconnaître les applications « fleeceware » ?

Les applications « fleeceware » peuvent prendre n’importe quelle forme. Les commentaires qui s’y rapportent semblent souvent factices. Des utilisateurs emploient des formulations telles que « Sensationnel » ou « J’adore ». Les commentaires authentiques indiquent le plus souvent que l’application ne fonctionne pas. Qu’elle fait payer aux utilisateurs des sommes importantes à leur insu.

Les applications « fleeceware » offrent généralement un essai gratuit de trois à sept jours, mais elles peuvent exiger des utilisateurs qu’ils saisissent leurs informations de paiement avant le début de l’essai, et elles facturent ensuite automatiquement des sommes exorbitantes au terme de la période d’essai.

 Les utilisateurs doivent bien prendre connaissance des modalités applicables à l’issue de la période d’essai d’une application et du montant des frais qui seront facturés après une période gratuite, afin de vérifier si ces frais seront automatiquement déduits de leur carte bancaire de façon permanente, sauf s’ils annulent l’abonnement.

Cybersécurité, double authentification

Les connexions VPN ont besoin de 2FA

Comment l’authentification à deux facteurs sécurise votre réseau VPN

L’authentification à deux facteurs (2FA) empêche les pirates d’accéder à votre réseau à l’aide d’identifiants compromis. La 2FA oblige les utilisateurs à valider leur identité en présentant un deuxième facteur de sécurité en plus de leur mot de passe. Au moment de la connexion à un réseau d’entreprise, les utilisateurs doivent d’abord saisir leurs informations d’identification Active Directory, suivies d’un mot de passe à usage unique (OTP) basé sur le temps ou HMAC. Cet OTP (un code numérique) est affiché sur quelque chose qu’un utilisateur «possède», comme par exemple une application pour smartphone spécialisée appelée authentificateur ou un jeton matériel programmable type Token2 ou YubiKey.

L’une des idées clés derrière la 2FA est qu’il est extrêmement difficile d’usurper l’identité d’un utilisateur sans avoir accès à ce deuxième facteur. Cela signifie que même si des pirates informatiques parviennent à voler tous les noms d’utilisateur et mots de passe de vos employés, ils ne pourront toujours pas accéder à votre VPN car ils ne disposent pas du code 2FA.

Il s’agit d’une couche de sécurité supplémentaire contre les accès non autorisés à vos systèmes.

Comment UserLock rend la 2FA plus facile et sécurisée pour vos sessions VPN

L’une des principales critiques à l’encontre de la 2FA est le fait que ce soit complexe et qu’elle oblige l’utilisateur à prendre des mesures supplémentaires – ce que les utilisateurs n’apprécient pas.

UserLock présente une solution 2FA qui est à la fois sécurisée et facile à utiliser. La dernière version bêta du logiciel vient d’être publiée, et elle permet désormais d’appliquer la 2FA aux connexions VPN.

UserLock s’associe de manière transparente à Active Directory pour faciliter l’implémentation de l’authentification multifacteur dans toute une organisation.

UserLock prend en charge la MFA via des applications d’authentification qui incluent Google Authenticator, Microsoft Authenticator et LastPass Authenticator, ou des jetons matériels programmables tels que YubiKey et Token2.

Bien qu’il n’y ait pas de sécurité absolue, il est juste de dire qu’avec UserLock, vous obtenez un équilibre parfait entre sécurité et convivialité.

Cybersécurité, Securite informatique

Constat en matière de cybersécurité sur les Français vis-à-vis de leurs voisins européens

A l’heure de la crise Coronavirus, beaucoup d’entreprises françaises ont adopté le télétravail mais ne prennent-elles toutes en compte les risques de sécurité liés ? Comment les Français se comportent en comparaison des autres pays Européens ?

Une enquête mondiale examinant les conséquences en matière de sécurité de la généralisation du télétravail en raison de la pandémie du Covid-19 met à jour quelques chiffres intéressants. L’enquête, réalisée par le cabinet d’études OnePoll en avril 2020 auprès de 1 000 professionnels en télétravail respectivement en Allemagne, en France, au Royaume Uni, en Irlande et aux Etats Unis, révèle que ces pays n’ont clairement pas accordé la priorité aux mesures de sécurité et aux meilleures pratiques en matière de mots de passe avec la mise en place de ce nouveau mode travail.

5 Français sur 10 ne change pas de mot de passe

Globalement, près de 52% des Français interrogés n’ont jamais changé le mot de passe de leur ordinateur professionnel contre seulement 37% des Allemands, exposant ainsi toutes les données de leur entreprise à un risque d’intrusion. L’enquête révèle aussi des risques externes, 46% des personnes interrogées, tous pays confondus, admettent ne pas avoir changé leur mot de passe WiFi à leur domicile depuis plus d’un an, exposant ainsi leur ordinateur professionnel à un risque de sécurité, soit un chiffre déjà impressionnant mais pourtant moins élevé qu’en France, puisque les statistiques Françaises s’élèvent elles à plus de 50%.

La rapidité avec laquelle le travail à distance a dû être instauré au début de 2020 a laissé beaucoup d’entreprises vulnérables, particulièrement en raison de l’utilisation inappropriée d’ordinateurs professionnels. Globalement, la majorité des Français interrogés dans l’enquête, soit 73% d’entre eux, estiment que l’adoption du télétravail va s’accroître encore après la crise du Covid-19 malgré ces menaces contre 60% des Anglais et 67% des Allemands. Si cette tendance se poursuit, beaucoup d’entreprises seront ainsi potentiellement vulnérables sans même le savoir.

Des différences entre les pays

Un examen des pratiques en matière de sécurité des différents pays interrogés révèle des différences dans de nombreux domaines dont notamment le partage des mots de passe et l’importance des accès à des sites web à risque. Parmi ces différences entre pays, on peut citer :

Les sites à risque: Les Anglais sont plus sages que les autres pays européens de l’étude puisque près de 60% d’entre eux n’utilisent pas leur ordinateur professionnel sur des sites à risques tel que le streaming, Youtube, jeux en ligne ou sites pour adultes, contre 51% des Allemands et seulement 44% des Français.

Téléchargements sans autorisation : Les Français sont aussi les moins précautionneux en matière de téléchargement puisque 20% d’entre eux téléchargent des applications sur leur ordinateur professionnel sans l’approbation au préalable de leur entreprise contre seulement 10% des Anglais et 7% des Allemands

Authentification multi-facteurs : Du point de vue de l’authentification, les Français cette fois-ci sont plutôt bons élèves puisque près d’un Français sur 2 utilise un système d’authentification multi-facteurs, tout comme la moitié des Allemands mais seulement un tiers des Anglais.

Les habitudes de changements de mots de passe : A la réception d’un nouvel ordinateur professionnel contre près de 40% des Allemands ont pris le réflexe de changer leur mot de passe dans les 48h, contre 35% des Français et seulement 30% des Anglais.

Communiqué de presse

Suspension de l’utilisation des drones pour contrôler le déconfinement à Paris par le Conseil d’Etat : les contrôles de la CNIL

Par une ordonnance de référé rendue le 18 mai 2020, le Conseil d’État a enjoint à « l’État de cesser, sans délai, de procéder aux mesures de surveillance par drone, du respect, à Paris, des règles de sécurité sanitaire applicables à la période de déconfinement ».

Le Conseil d’État a estimé que, du fait de la possibilité de zoomer et d’identifier des personnes physiques, les dispositifs utilisés par la préfecture de police de Paris étaient soumis aux règles protégeant les données personnelles. Il a jugé que ces drones étaient utilisés en dehors du cadre prévu par la loi Informatique et Libertés du 6 janvier 1978 et portaient une atteinte « grave et manifestement illégale au droit au respect de la vie privée ».

Depuis plusieurs semaines, la CNIL s’est interrogée sur ces pratiques. Elle a diligenté des contrôles auprès du ministère de l’Intérieur concernant l’usage de drones dans plusieurs villes. Ces contrôles visent des services de la police nationale et de la gendarmerie. Des vérifications similaires sont effectuées auprès de plusieurs communes dont les polices municipales ont elles aussi, semble-t-il, eu recours à des drones.

Ces investigations portent tant sur la situation actuelle que sur ce qui s’est passé durant la période de confinement. Les premières demandes d’information à l’initiative de la CNIL datent du 23 avril 2020 et sont en cours d’instruction, en l’attente notamment des éléments de réponse du ministère de l’Intérieur.

La CNIL prendra position sur cette question à l’issue des procédures de contrôle en cours.

Cybersécurité, Securite informatique

Happy Birthay virus ILOVEYOU

Le virus ILOVEYOU vient de fêter ses 20 ans. Le microbe numérique avait infecté 10 % des ordinateurs connectés à travers le monde à une époque ou les gens pensaient que les cyber malveillances n’arrivaient qu’aux autres. I Love You se faisait passer pour une lettre d’amour.

Aujourd’hui, les logiciels malveillants peuvent se propager vite, beaucoup plus rapidement que le virus ILOVEYOU il y a 20 ans, mais la situation n’est plus la même : à l’époque, personne n’avait vu un fichier .vbs (script de visuel basique) utilisé à des fins malveillantes, ce qui a poussé de nombreuses personnes à cliquer dessus. En outre, du point de vue de l’infrastructure, les réseaux affectés à l’époque – dont ceux de gouvernements et d’entreprises – n’avaient rien de comparable à ceux d’aujourd’hui. Il avait donc suffi qu’un seul réseau soit compromis pour que tout s’effondre. Enfin, l’emails était le seul outil de communication numérique utilisé par les entreprises ; il n’y avait pas d’applications de chat destinées aux professionnels, comme Slack. Les entreprises victimes s’étaient donc retrouvées complètement isolées. Les fournisseurs d’antivirus avaient dû envoyer des instructions par fax à leurs clients désespérés, car ces derniers ne pouvaient plus recevoir d’emails et le trafic généré par le virus pour se répandre les obligeait à se déconnecter totalement. Aujourd’hui, il n’est plus étonnant de voir cliquer sur un PDF, un Word, un Excel sans même vérifier la source de diffusion.

Suite à ILOVEYOU, nous avions vu des vers se propager beaucoup plus rapidement sans interaction avec les utilisateurs, affectant des millions de personnes à travers le monde. Cependant, les réseaux sont restés solides lors de ces attaques, notamment contre Blaster.

Aujourd’hui, le risque est ailleurs. Il y a des milliards d’appareils connectés à Internet. Pour qu’un ″ver malveillant″ se propage largement et rapidement, les malwares exploitent désormais une vulnérabilité qui leur permet d’infecter et de se propager sans interaction avec l’utilisateur, de la même manière que Wannacry. Un ver tirant parti de multiples vulnérabilités de l’Internet des Objets (IoT), par exemple, pourrait provoquer une attaque mondiale, ciblant à la fois les particuliers et les entreprises.

Iloveyou… to

La clé pour empêcher toute attaque est la sécurité. Windows était très vulnérable dans le passé, mais est désormais beaucoup plus sûr. Néanmoins, des personnes malveillantes continueront de découvrir des vulnérabilités et des risques dans le système d’exploitation Windows et tenteront donc d’en tirer profit. En ce qui concerne les appareils IoT, la plupart sont au stade de Windows 95 en termes de sécurité. Cette dernière est rarement prise en compte lorsqu’ils sont conçus. Par conséquent, le logiciel des objets connectés, la transmission des données et la sécurité des ports sont tous vulnérables.

De plus, une attaque peut être déclenchée par un utilisateur qui ouvre simplement un email, ou clique sur un lien, par phishing. Nous avons vu des cas où l’ouverture d’un lien malveillant par un utilisateur a compromis le routeur du réseau. Cela pourrait ouvrir plus de portes dérobées au système de l’utilisateur ou rediriger les sessions de navigation vers des sites Web malveillants ; qui peuvent alors élargir les menaces, allant du ransomware aux voleurs de mots de passe, et rechercher plus de victimes potentielles sur Internet.

La motivation des attaques a considérablement changé au cours des deux dernières décennies. Le premier virus que j’ai rencontré était Michel-Ange en 1991, qui a écrasé les cent premiers secteurs d’un disque dur, rendant la machine incapable de démarrer. Alors qu’à l’époque les virus ressemblaient davantage à des concepts et à une source de fierté pour leurs auteurs, le paysage des menaces est aujourd’hui une machine à sous bien huilée, visant les entreprises avec des ransomwares et des services bancaires pour voler de l’argent, ainsi que des fake news pour soutenir la propagande, ou encore des cyberguerres parrainées par des États.

Les appareils connectés ont élargi significativement la surface d’attaque, prête à être utilisée à mauvais escient. Nous sommes maintenant connectés 24 heures sur 24, 7 jours sur 7, ce qui laisse ces appareils disponibles pour une attaque à tout moment. Ceci, combiné au nombre important d’appareils vulnérables dotés d’une faible sécurité, rend inévitable une attaque à grande échelle. Le chaos mondial commence toujours par une faille largement présente. Nous avons vu ces dernières années une explosion massive d’attaques menées au niveau du microprogramme (firmware) des objets connectés ou des ordinateurs, et sans interaction avec l’utilisateur ; comme VPNFilter ou encore LoJack, des attaques visant le firmware du moteur de gestion d’Intel. En effet, ces attaques restent généralement indétectables, car difficiles à identifier par les utilisateurs non avertis.

J’ajouterais également que la sensibilisation des utilisateurs aux menaces courantes, à quoi elles ressemblent et comment les gérer est essentielle pour empêcher les attaques ; de même que se tenir au courant des problèmes de sécurité et d’utiliser des solutions adéquates. L’industrie de la sécurité, bien sûr, est responsable de la protection des personnes en améliorant les mécanismes de détection des produits de sécurité, en fournissant diverses solutions et en sensibilisant les utilisateurs.

Cependant, il revient aussi à ces derniers de se renseigner sur la cybersécurité et d’appliquer les bonnes pratiques pour se protéger. Il est également particulièrement important qu’ils soient en mesure de prendre du recul et la bonne décision lorsqu’ils sont confrontés à une tentative d’arnaque par ingénierie sociale, susceptible de conduire à l’installation de malwares ou au vol d’informations sensibles.