Tous les articles par Damien Bancal

Damien Bancal, expert reconnu en cybersécurité Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles. Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe. Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.
Base de données, Communiqué de presse, RGPD

Collectivités territoriales : un guide de sensibilisation au RGPD

Afin d’accompagner les collectivités territoriales dans leur mise en conformité au RGPD, la CNIL a élaboré un guide de sensibilisation disponible sur son site web.

Les collectivités territoriales traitent de nombreuses données personnelles, que ce soit pour assurer la gestion des services publics dont elles ont la charge (état civil, inscriptions scolaires, listes électorales, etc.), la gestion de leurs ressources humaines, la sécurisation de leurs locaux (contrôle d’accès par badge, vidéosurveillance) ou encore leur site web. Cette tendance ne fera que se renforcer avec la transformation numérique de l’action publique.

Dans ce contexte, le respect des règles de protection des données constitue aujourd’hui un facteur de transparence et de confiance à l’égard des citoyens et des agents, qui sont de plus en plus sensibles à la protection de leurs données. C’est aussi un gage de sécurité juridique pour les élus responsables des fichiers et des applications utilisés au sein de leur collectivité.

Les principes du règlement général sur la protection des données (RGPD) s’inscrivent dans la continuité de la loi Informatique et Libertés de 1978. Malgré cela, la CNIL est consciente que la mise en conformité au RGPD peut parfois être complexe, et que l’importance des enjeux justifie un appui spécifique de sa part.

Aussi, afin d’accompagner les collectivités territoriales dans leur mise en conformité au RGPD, la CNIL a élaboré un guide de sensibilisation.

Quel plan d’action pour se mettre en conformité ?

Ce guide s’adresse prioritairement aux communes de petite ou de moyenne taille, ainsi qu’à leurs groupements intercommunaux, ne disposant pas nécessairement en interne de ressources dédiées spécifiquement à la protection des données. Il propose des clés de compréhension des grands principes, des réflexes à acquérir, un plan d’action pour se mettre en conformité ainsi que des fiches pratiques.

Il évoque les conditions de désignation du délégué à la protection des données afin que chaque collectivité puisse identifier la modalité la plus adaptée à sa situation.

Pour élaborer ce guide, la CNIL s’est rapprochée des principales associations regroupant les différents niveaux de collectivités et autres organismes intervenant auprès du secteur public local. Cet appui permet d’apporter des réponses concrètes et adaptées aux collectivités.

Ce guide actuellement envoyé en version papier à toutes les mairies de Métropole et d’Outre-Mer.

En complément de ce guide de sensibilisation, des fiches techniques consacrées aux principaux sujets de préoccupation des collectivités ont également été publiées sur le site web de la CNIL.

La CNIL proposera par ailleurs un cours en ligne gratuit sur le RGPD et les collectivités.

Communiqué de presse

En 3 ans, le nombre d’attaques ciblant des objets connectés a augmenté de 13497%

Analyse des attaques ayant ciblé des « honeypots » simulant des objets intelligents durant 3 ans. Des attaques qui ont augmenté de 13 497%.

Depuis 3 ans, Doctor Web surveille et étudie les menaces actives ciblant l’Internet des objets. Pour cela, les experts ont mis en place un système d’appâts spécialisés appelés « Honeypots ». Ils imitent différents types d’IoT permettant d’observer les techniques et comportements d’attaques ciblant ces objets, tout en récupérant les malwares utilisés pour ces attaques, dans le but d’améliorer leur détection et faire face à la menace de manière plus efficace.

Elena Kostyuchenko, Senior Analyst Technical Writer, chez Doctor Web explique : « Doctor Web a mis en place plusieurs honeypots, établis dans différentes régions. Ils prennent en compte les protocoles classiques, Telnet et SSH, pour que les malwares puissent fonctionner, ainsi que toutes leurs caractéristiques possibles : modification de clés SSH, ajouts d’utilisateurs, téléchargement d’autres malwares, etc. Ces honeypots sont basés sur des solutions open-source, sur lesquelles nos experts apportent quelques modifications. Grace à ces systèmes, durant 3 ans nous avons pu analyser les malwares en récupérant leurs charges virales, étudier les lieux de diffusion, et cela nous permet de fournir des solutions de protection plus efficaces ».

Voici quelques-uns des principaux enseignements :

  • En 3 ans, le nombre d’attaques augmente de 13497 % : alors que l’activité observée en 2016 était faible, en seulement 4 mois, les experts recensaient déjà 729 590 attaques. Ce nombre se multiplie par 32 en 2017. Il ne cesse de croître considérablement. En 2018, ce sont plus de 99 millions d’attaques. L’année 2019 semble dépasser tous les records, avec plus de 75 millions d’attaques relvées durant les 6 premiers mois. 
  • L’origine de ces attaques est mondiale : les attaques proviennent de plus de 50 pays à travers le monde, et majoritairement des États-Unis et des Pays-Bas.
  • Des processeurs plus vulnérables que d’autres : les honeypots ont mis en évidence que les dispositifs ARM, MIPSEL et MIPS subissent le plus d’attaques.
  • Mirai, le Trojan le plus utilisé : datant de 2016, la diffusion de son code source dans le domaine public a provoqué très rapidement de nombreuses modifications. Mirai est le Trojan ciblant Linux le plus répandu et fonctionne sur de nombreux processeurs. Après avoir contaminé un appareil, il se connecte au serveur de gestion et attend d’autres commandes. Sa principale fonction est de lancer des attaques DDoS.
  • Plusieurs autres malwares très présents, avec des caractéristiques différentes : Hajime (propage un ver), BackDoor.Fgt (contamination d’IoT), ProxyM (assure l’anonymat des pirates), HideNSeek (contamine les IoT, génère des adresses IP auxquelles il essaie de se connecter par force brute)

Le rapport Dotor Web met en avant plusieurs tendances :

  • La disponibilité des codes sources de Trojans (Mirai, BackDoor.Fgt, BackDoor.Tsunami…) accentue l’apparition de nouveaux programmes malveillants.
  • Le nombre d’applications malveillantes écrites en langage de programmation « non standard » Go et Rust, ne cesse de croître.
  • De plus en plus d’informations sur les vulnérabilités des dispositifs sont accessibles, ce qui profite aux cybercriminels.
  • Les miners de cryptomonnaie (Monero) sont toujours populaires et utilisent les IoT.

Elena Kostyuchenko conclut : « Des milliards d’IoT sont aujourd’hui présents sur le marché.

Des proies faciles pour les attaquants : la sécurité est toujours très peu « by-design » et les vulnérabilités sont nombreuses. Le problème est que la plupart des utilisateurs pensent que ces objets sont sûrs. La sécurité n’a pas été intégrée, la mise à jour devient ensuite compliquée.

Si des efforts de sécurité (ce qui nécessite un investissement…) ne sont pas faits par les constructeurs, et a minima que des couches de sécurité complémentaires ne sont pas mises en place. Malheureusement il faut continuer à nous attendre à une recrudescence des logiciels malveillants ciblant les IoT ».

Le rapport complet de Doctor Web est disponible ici en français : https://news.drweb.fr/show/?i=13353

Communiqué de presse, Cybersécurité

Les cybercriminels misent toujours davantage sur les techniques de contournement des antimalwares

De nombreux outils modernes de malware intègrent des fonctionnalités pour contourner les antivirus et autres mesures de détection : les cybercriminels ont affûté leurs armes pour gagner en furtivité, déjouer les analyses antimalware et éviter de se faire détecter.

À titre d’exemple, une campagne de spam illustre comment les assaillants utilisent et affinent ces techniques contre leurs cibles. Lors de cette attaque, un email de phishing est utilisé pour transmettre un fichier Excel avec une macro malveillante, dont l’objectif est de désactiver les outils de sécurité, d’exécuter des commandes de manière arbitraire, de causer des problèmes au niveau de la mémoire et de ne cibler que les systèmes japonais. Une de ses propriétés recherche plus particulièrement une variable xIDate, mais ce mode opératoire semble encore non documenté à ce jour.

Autre exemple, celui du cheval de troie bancaire Dridex qui modifie le nom et les hash des fichiers à chaque connexion de la victime, ce qui rend plus difficile l’identification du malware sur les systèmes hôtes infectés.

L’utilisation croissance de techniques d’évasion et de contournement des analyses antimalware incite à déployer différentes couches de sécurité et à s’orienter vers une détection comportementale des menaces.

Les attaques furtives visent le long terme

Le malware Zegost de détournement de données, au cœur d’une campagne de spear phishing, présente des techniques pour le moins intrigantes. À l’instar d’autres outils similaires, l’objectif principal de Zegost est de recueillir des informations sur le dispositif de la victime et de les exfiltrer. Cependant, Zegost se distingue par sa furtivité, grâce notamment à une fonction de « nettoyage » des logs applicatifs, qui permet de masquer sa présence. D’autre part, Zegost présente également une commande de mise en attente jusqu’au 14 février 2019, date à laquelle il a initié son processus d’infection.

Les auteurs de Zegost ont su utiliser tout un arsenal d’exploits pour établir et maintenir une connexion avec leurs victimes, ce qui en fait une menace sur le long terme par rapport aux autres malware similaires.

Le ransomware continue à se transmettre via des attaques toujours plus ciblées

Les attaques ciblant de multiples villes, collectivités locales et acteurs de l’enseignement rappellent que le ransomware reste d’actualité et qu’il continue à viser de nombreuses organisations. Les attaques par ransomware se font de moins en moins en masse et de manière opportuniste. Le ciblage est devenu une réalité et la priorité est donnée aux entreprises perçues comme susceptibles de régler une rançon. Dans certains cas, les cybercriminels procèdent à une phase amont approfondie de reconnaissance avant de déployer leur ransomware sur des systèmes identifiés avec précision, ce qui maximise les opportunités d’infection.

À titre d’exemple, le ransomware RobbinHood s’en prend à l’infrastructure réseau des entreprises. Il est capable de désactiver les services Windows qui préviennent le chiffrement des données, mais aussi de déconnecter les disques partagés.

Un autre nouveau ransomware appelé Sodinokibi pourrait bien devenir la prochaine menace majeure pour les entreprises. D’un point de vue fonctionnel, il n’est pas vraiment différent de la majorité des outils de ransomware. Il se distingue néanmoins par son vecteur d’attaque puisqu’il exploite une nouvelle vulnérabilité qui permet l’exécution de code arbitraire et n’a pas besoin d’interaction de la part de l’utilisateur, comme c’est le cas pour d’autres logiciels de ransomware livrés par email phishing.

Quel que soit le vecteur utilisé, le ransomware reste, et restera, une menace sérieuse pour les entreprises : plus que jamais, le patching doit être prioritaire, au même titre que la sensibilisation des collaborateurs aux risques de cybersécurité.

De plus, les vulnérabilités du protocole RDP (Remote Desktop Protocol), comme BlueKeep, sont un avertissement que les services d’accès à distance peuvent être des opportunités pour les cybercriminels et qu’ils peuvent également être utilisés comme vecteur d’attaque pour diffuser des logiciels de rançon.

De nouvelles opportunités sur la surface d’attaque

Entre l’imprimante personnelle et les infrastructures critiques, émergent désormais de nombreux systèmes de contrôle à usage résidentiel et pour les petites entreprises. Ces systèmes intelligents attirent moins l’attention des assaillants que leurs homologues industriels, mais les choses peuvent évoluer compte tenu de l’augmentation observée de l’activité ciblant ces dispositifs de contrôle tels que les capteurs environnementaux, les caméras de sécurité, ou encore les systèmes de sécurité. Une signature liée aux solutions de gestion techniques du bâtiment émise par 1% des entreprises. Ce chiffre peut paraître peu élevé, mais il reste néanmoins supérieur à ce qu’on observe parmi les systèmes de contrôle industriel (ICS) et SCADA.

Les cybercriminels sont à la recherche de nouvelles possibilités de détourner les dispositifs de contrôle, tant au sein des espaces résidentiels que des entreprises. Parfois, ces types d’appareils ne sont pas aussi prioritaires que d’autres ou ne sont pas intégrés dans les processus traditionnels de gestion IT. La sécurité des systèmes intelligents résidentiels et pour les petites entreprises mérite une attention particulière, d’autant que la possibilité d’y accéder pourrait lourdement peser sur la sécurité. Ceci est particulièrement vrai pour les environnements de travail distants où la sécurité des accès reste critique. (Fortinet)

Phishing, Social engineering

Selon le FBI, les attaques BEC auraient coûté 26 milliards de dollars aux entreprises

Les attaques BEC auraient coûté 26 milliards de dollars aux entreprises entre juin 2016 et juillet 2019.

Plus de 99% des cyberattaques requièrent une action humaine pour se propager. Les attaques BEC reposent sur l’engagement des individus et les cybercriminels s’appuient sur la psychologie humaine en demandant des réponses urgentes à des sollicitations pour des virements ou l’envoi de données confidentielles, simulant souvent un besoin commercial immédiat mais fictif. Pour réduire les chances de succès de telles attaques, les entreprises doivent prendre des mesures rapidement, en sensibilisant leurs employés et en déployant des solutions qui placent l’individu au cœur de leur stratégie de sécurité.

Les BEC et les EAC (des attaques BEC lancées à partir de comptes internes compromis appartenant à des cadres – et donc plus difficiles à détecter) représentent des armes de choix car elles sont peu coûteuses et nécessitent plus de recherche que les infrastructures d’envoi.

L’envoi d’emails frauduleux est peu coûteux. Les messages n’exigent pas de logiciels malveillants coûteux ; pourtant, les attaques elles-mêmes sont très efficaces, entraînant des milliards de dollars de pertes.

E-mails frauduleux

L’exploitation du canal email par le biais de messages hautement personnalisés et conçus par ingénierie sociale permet aux cybercriminels d’usurper facilement l’identité d’un employé ou d’un partenaire de confiance. La prévalence et l’efficacité des stratégies de phishing et de vols d’identifiants alimentent également les attaques EAC, ouvrant aux attaquants un canal interne pour mettre en œuvre leurs cyberattaques.

« Ces systèmes d’ingénierie sociale vont devenir de plus en plus répandus et difficiles à identifier, à détecter et à combattre. Il est essentiel que les entreprises privilégient une approche de cybersécurité centrée sur les personnes qui protège toutes les parties (employés, clients et partenaires commerciaux) contre le phishing, la fraude par email, le vol d’identifiants et les attaques par force brute. » indique  Loïc Guézo de Proofpoint.

Des défenses à plusieurs niveaux au niveau de la périphérie du réseau, de la passerelle de messagerie, du cloud et des points d’accès, ainsi qu’une solide formation des utilisateurs afin d’offrir la meilleure défense contre ces types d’attaques.

D’autant plus malicieuses : le phishing n’est pas un virus. Le type de logiciel malveillant que détectent les antivirus par exemple.

Direction Hong Kong… mais pas que !

Sur la base des données financières, les banques situées en Chine et à Hong Kong restent les principales destinations des fonds frauduleux. Toutefois, le Federal Bureau of Investigation constate une augmentation du nombre de transferts frauduleux vers le Royaume-Uni, le Mexique et la Turquie.

Les statistiques BEC / EAC suivantes ont été rapportées à l’IC3 et proviennent de sources multiples. Notamment des données d’IC3 et de plaintes internationales en application de la loi, ainsi que des informations transmises par des institutions financières entre octobre 2013 et juillet 2019:

Les statistiques suivantes ont été rapportées dans les plaintes déposées par les victimes auprès de la CI3 entre juin 2016 et juillet 2019:

Incidents nationaux et internationaux: 166,349
Perte de dollars exposée aux niveaux national et international: $26,201,775,589
Les statistiques BEC / EAC suivantes ont été rapportées dans les plaintes des victimes déposées auprès de l’IC3 entre octobre 2013 et juillet 2019:
Total des victimes américaines: 69,384
Perte totale en dollars exposés aux États-Unis: $10,135,319,091
Total non-U.S. victims: 3,624
Perte totale en dollars exposés en dollars américains: $1,053,331,166
Les statistiques suivantes ont été rapportées dans les plaintes déposées par les victimes auprès de la CI3 entre juin 2016 et juillet 2019:
Total des bénéficiaires financiers américains: 32,367
Destinataire financier américain total exposé perte en dollars: $3,543,308,220
Total des bénéficiaires financiers non américains: 14,719
Total des pertes financières en dollars des bénéficiaires financiers autres que les États-Unis: $4,843,767,489

(FBI)

Communiqué de presse, Cybersécurité

Stealth Falcon : Des attaques cibles des politiques au Moyen-Orient

Des chercheurs découvrent une backdoor dotée de fonctionnalités intéressantes et apparentée au logiciel malveillant utilisé par le tristement célèbre groupe Stealth Falcon

Stealth Falcon est un groupe de cybercriminalité actif depuis 2012 qui cible les journalistes et les activistes politiques au Moyen-Orient. Certains analystes l’associent au Project Raven, une initiative qui impliquerait d’anciens agents de la National Security Agency (NSA). Pour en savoir plus, cliquez ici.

Des informations techniques limitées sur Stealth Falcon ont déjà été rendues publiques, notamment une analyse du composant principal du malware – une backdoor en PowerShell qui se propage via un document infecté joint à un e-mail malveillant.

Les chercheurs d’ESET ont découvert une backdoor exécutable inédite qu’ils ont nommée Win32/StealthFalcon. Ils ont constaté un petit nombre d’attaques par ce malware aux Émirats arabes unis, en Arabie saoudite, en Thaïlande et aux Pays-Bas ; dans ce dernier cas, la cible était une mission diplomatique d’un pays du Moyen-Orient.

Win32/StealthFalcon

Les travaux d’ESET ont mis en évidence des similarités entre la backdoor exécutable récemment découverte et le script PowerShell doté de capacités de backdoor précédemment attribué au groupe Stealth Falcon. Les chercheurs d’ESET considèrent ces similarités comme une preuve solide que les deux backdoors sont l’œuvre du même groupe.

Win32/StealthFalcon utilise une technique relativement inhabituelle pour communiquer avec son serveur de commande et contrôle (C&C) : le service de transfert intelligent en arrière-plan (BITS), un composant standard de Windows.

Par rapport aux méthodes de communication traditionnelles via des fonctions d’API, le mécanisme BITS passe par une interface COM, ce qui le rend plus difficile à détecter. Fiable et furtive, cette approche a également davantage de chances d’être autorisée par le pare-feu de l’hôte.

Outre son mode de communication C&C inhabituel, Win32/StealthFalcon fait appel à des techniques avancées pour empêcher sa détection et son analyse, assurer sa persistance et compliquer l’analyse criminalistique.

Pour plus d’informations : « ESET discovered an undocumented backdoor used by the infamous Stealth Falcon group ».

Argent, Cybersécurité, Social engineering

Tentative de piratage CoinHouse

Des pirates informatiques ont tenté de piéger les clients du site spécialisé dans les cryptomonnaie CoinHouse. Mais comment les pirates ont-ils eu les mails utilisés dans leur tentative de fraude ?

Jeudi 12 septembre, 20 heures. La société CoinHouse alerte ses clients d’une tentative de fraude. Une cyber attaque aux couleurs de ce spécialise des cryptomonnaie prenant la forme d’un phishing. « Vous avez pu recevoir un mail ayant pour objet  »Action requise: vérifiez vos données », avec un message en anglais vous invitant à cliquer sur un bouton  »Verify ». » explique CoinHouse dans son courriel d’alerte. « Ce message a été envoyé par des pirates informatiques pour vous rediriger vers un faux site : app.colnhouse.com et ainsi récupérer vos identifiants. »

L’attaque a débuté quelques heures auparavant. Un courriel signe coinhouse.com comme le montre la capture écran de Data Security Breach. « In order to continue using our services, please verify our submitted data and documents. It will not take more than 3 mintues to complete the verifying steps, once you finish, please proceed by pressing save button. » annonçait l’arnaque.

La page pirate recupérait les identifiants de connexion.

Infiltration, exfiltration

Fait intéressant : si les hameçonnages sont très fréquents, l’histoire ne dit pas comment les pirates ont eu accès aux adresses électroniques. Plusieurs lecteurs de Data Security Breach, dont votre serviteur, exploitent une adresse dédiée à ce service ! A noter que ce courriel usurpateur a été envoyé via l’outil bmail exploité en interne par CoinHouse.

Les pirates avaient parfaitement organisés leur action. En plus du courriel et de sa méthode de diffusion, ils avaient enregistré le domaine https://app.colnhouse.com. Un typosquatting. Le i de CoinHouse remplacé par un L minuscule : app.colnhouse.com

Cybersécurité, Mise à jour, Patch

Microsoft et navigateurs : 79 vulnérabilités corrigées

Ce mois-ci, le Patch Tuesday de septembre 2019 traite de 79 vulnérabilités dont 17 classées critiques. Parmi ces dernières, 8 affectent les moteurs de scripts et les navigateurs, 4 la connexion Bureau à distance et 3 SharePoint. En outre, Microsoft a publié un nouveau patch pour une vulnérabilité critique au sein des fichiers LNK et pour une vulnérabilité dans Azure DevOps/TFS. Adobe a également publié des correctifs pour Flash et Application Manager.

 

Le déploiement de patches pour les moteurs de script, les navigateurs et les fichiers LNK est une priorité pour les équipements de type poste de travail, c’est-à-dire tout système permettant d’accéder à la messagerie ou à Internet depuis un navigateur. Concernés les serveurs multi-utilisateurs faisant office de postes de travail distants.

Connexion Bureau à distance et navigateurs

Microsoft a corrigé quatre vulnérabilités par exécution de code à distance au sein de la fonctionnalité Connexion Bureau à distance : CVE-2019-0787, CVE-2019-0788, CVE-2019-1290 et CVE-2019-1291. Pour exploiter ces vulnérabilités, un attaquant aura besoin qu’un utilisateur se connecte à un serveur RDP malveillant ou compromis. Les vulnérabilités découvertes par Microsoft suite à un test interne sur la fonction Connexion Bureau à distance. Des patchs prioritaires sur tous les systèmes qui utilisent la fonction de connexion Bureau à distance.

SharePoint

En outre, Microsoft a publié des correctifs pour résoudre trois vulnérabilités RCE dans SharePoint : CVE-2019-1257, CVE-2019-1295 et CVE-2019-1296. L’une d’entre elles implique de télécharger une application malveillante tandis que les deux autres sont des vulnérabilités au niveau de la désérialisation dans l’API SharePoint.

Des correctifs à déployer en priorité pour tous les serveurs SharePoint.

Azure DevOps Server (anciennement Team Foundation Server)

Azure DevOps Server et Team Foundations Server (TFS) sont affectés par une vulnérabilité par exécution de code à distance (CVE-2019-1306) qui est exploitée via des téléchargements de fichiers malveillants. En effet, quiconque télécharge un fichier vers un serveur peut exécuter du code via un compte Azure DevOps/TFS. Aussi concernés les utilisateurs anonymes via des serveurs configurés pour les valider.

Un correctif prioritaire pour toutes les installations Azure DevOps ou TFS.

Attaques actives sur des vulnérabilités facilitant une élévation de privilèges

Microsoft corrige deux vulnérabilités facilitant une élévation des privilèges exploitées en aveugle.

CVE-2019-1214 est une faille dans le pilote Common Log File System (CLFS), tandis que CVE-2019-1215 concerne le pilote Winsock.

Ces deux problèmes impactent toutes les versions Windows. Corrections prioritaires. Les vulnérabilités facilitant une élévation des privilèges sont généralement utilisées avec une exécution de code à distance où cette dernière n’accorde pas de droits administratifs

Adobe

Ce mois-ci, peu de publications d’Adobe. L’éditeur a publié des correctifs pour deux vulnérabilités critiques dans le Flash Player, correctifs qui doivent être déployés de manière prioritaire sur tous les systèmes de type poste de travail Adobe a également corrigé une vulnérabilité classée comme importante concernant le chargement de DLL non sécurisé dans Application Manager.

Communiqué de presse, Fuite de données

Un tiers des Français seraient prêts à vendre leurs données personnelles à un inconnu

vendre ou être vendu ! Au cours des derniers mois, les fuites de données massives ou les scandales liés aux abus des grandes sociétés technologiques se sont multipliés, à l’image de cette révélation concernant Facebook et l’accès privilégié de certaines entreprises comme Netflix et Spotify aux données personnelles des utilisateurs. Il n’y a donc rien de surprenant à ce que 60% des internautes français perçoivent la confidentialité absolue comme une chimère à l’ère du tout-numérique. Résignés, 34% seraient prêts à accorder à un inconnu l’accès sans limite à leurs données personnelles contre de l’argent. C’est ce que révèle une étude sur la confidentialité menée par Kaspersky auprès de 11 887 consommateurs dans 21 pays.  Il en ressort qu’en matière de confidentialité et de protection de leurs données personnelles, les Français vont de paradoxe en paradoxe.

Vendre ou être vendu ! 62% des Français se déclarent très ou relativement inquiets par la collecte des informations utilisateurs faite par les éditeurs d’applications mobiles. Cette inquiétude se traduit par une attention particulière portée aux permissions : plus de 73% des répondants contrôlent les autorisations (74% pour les utilisateurs Android et 73% pour les utilisateurs d’iPhone et d’iPad).

L’opacité de la collecte d’information sur le Web est aujourd’hui source d’une perte de confiance, qui se concentre en particulier contre les entreprises qui opèrent les grands réseaux sociaux actuelles. Lorsqu’on leur demande avec qui ils ont le plus peur de partager leurs données, les Français placent les réseaux sociaux (Facebook, Twitter, etc.) en 3ème position, derrière les cybercriminels et Internet en général. Ils sont suivis par les grandes entreprises technologiques (Google, Microsoft, Apple, etc.).

C’est pourquoi il est surprenant de noter que 67% des sondés disent se moquer de partager leurs activités sur les réseaux sociaux avec quiconque.

A noter que le blog de référence ZATAZ permet aux internautes de fouilles le black market, le darknet à la recherche de données qui auraient pu leur être volées.

Données personnelles : rien à cacher, rien à craindre ?

38% des Français accepteraient de partager leur historique de recherche avec un tiers et autant partageraient leurs achats. Viennent ensuite l’historique de navigation (30%) et les informations liées à l’identité (27%). Seules les données financières se distinguent (7%).

Pourtant, seuls 7% des Français reconnaissent ne pas s’inquiéter pour la protection de leur vie privée, en ou hors ligne et 85% souhaiteraient en savoir plus sur la manière dont ils peuvent protéger leur vie privée sur le Web.

Dans les faits, l’application des bonnes pratiques est très variable. En ce qui concerne la protection des équipements, 59% des Français protègent tous leurs appareils avec un mot de passe, 43% utilisent des logiciels de nettoyage (type CCleaner), 27% vérifient systématiquement les paramètres de confidentialité et 24% couvrent leur webcam (contre 62% à l’international).

Exception française concernant le téléchargement de logiciels ou d’applications piratés : 62% des répondants n’y renoncent pas malgré les risques, contre 52% à l’international.

En matière de protection des comptes en ligne, les résultats sont tout aussi mitigés. 56% des sondés français essaient de toujours utiliser des mots de passe complexes mais seuls 38% changent régulièrement de mot de passe. Ils sont 27% à utiliser une adresse email dédiée plutôt que leur adresse email principale pour s’inscrire à des services considérés comme non prioritaires.

Les raisons qui peuvent expliquer ces disparités sont multiples, mais la résignation et l’ignorance jouent sans aucun doute un rôle majeur. 60% des Français pensent qu’il est impossible de profiter d’une confidentialité absolue et 35% reconnaissent ne pas savoir comment protéger complètement leur vie privée.

Navigation Internet : vous reprendrez bien un cookie ?

En avril 2019, la 3ème édition du baromètre DIMENSION[2] de Kantar Media témoignait d’un rejet massif de la publicité ciblée en France : 61% des consommateurs refusent d’être suivis à la trace sur la base de leurs précédentes navigations (vs 54% au niveau global).

Ce rejet se traduit-il par une adoption massive des bonnes pratiques liées à l’usage des cookies ? Pas forcément, selon l’étude de Kaspersky. Seuls 42% des Français nettoient régulièrement leur historique de navigation. Ils sont encore moins nombreux (16%) à utiliser des outils logiciels ou modules de navigateurs dédiés pour bloquer le pistage. Au total, ce sont 21,5% des français qui admettent ne jamais effacer leurs traces sur Internet. C’est très loin de nos voisins allemands, champions européens de la confidentialité : 57% nettoient régulièrement leur historique et 25% utilisent des outils adaptés.

Les modes de navigation privée n’ont pas vraiment la cote et il semble que des efforts de sensibilisation restent nécessaires pour accélérer leur adoption : 16% seulement des Français les utilisent, contre 24% à l’international.

Cybersécurité : qui a laissé la porte ouverte ?

 17% des Français reconnaissent avoir dû faire face à une compromission de leurs données personnelles. Le plus souvent, il s’agit d’un accès non autorisé à un compte en ligne (41%) ou à un appareil (28%). Dans 18% des cas, les victimes se sont fait voler leurs données et ces dernières ont ensuite été exploitées.

Ces fuites de données n’ont pas toujours des conséquences dramatiques mais elles peuvent également influer sur le moral des consommateurs. 34% des victimes rapportent avoir été stressées. En outre, elles peuvent 17% ont observé une augmentation du nombre de spams reçus et 17% ont perdu de l’argent.

Bertrand Trastour, Head of B2B sales France termine ainsi : Pas besoin d’être un expert informatique pour comprendre comment les données peuvent être détournées et exploitées contre les consommateurs. Les exemples ne manquent pas. On se souvient par exemple de la fuite de données du Marriott[3] en 2018 qui a touché plus de 500 millions de clients dont certains ont ensuite été les victims de fraudes. Ou encore le cas plus personnel d’un musicien[4] dont la petite-amie a utilisé le compte email pour refuser une bourse d’étude qui l’aurait obligé à déménager. Cela semble parfois difficile à croire mais la protection de la vie privée est encore possible sur Internet, à condition d’avoir une bonne hygiène numérique et d’appliquer quelques bonnes pratiques.

1 https://www.nytimes.com/2018/12/18/technology/facebook-privacy.html

2 https://www.kantarmedia.com/dimension/fr

3 https://www.travelandleisure.com/travel-news/marriott-paying-new-passports-after-data-breach

4 https://www.telegraph.co.uk/news/2018/06/15/clarinetist-awarded-214000-damages-girlfriend-faked-rejection/

Communiqué de presse, Securite informatique

Des failles de sécurité dans des traceurs GPS

Des failles de sécurité dans des traceurs GPS, plus d’un demi-million d’enfants et de personnes âgées concernés.

a découvert de sérieuses failles de sécurité dans le T8 Mini GPS tracker et dans près de 30 autres modèles du même fabricant, Shenzhen i365 Tech. Commercialisés pour garantir la sécurité des enfants, des personnes âgées, des animaux domestiques et même des biens personnels, ces appareils dévoilent toutes les données envoyées dans le cloud, y compris les coordonnées GPS exactes en temps réel. De plus, des défauts de conception peuvent permettre à des tiers indésirables d’usurper la localisation ou d’accéder au microphone à des fins d’écoute illicite. Les chercheurs du Threat Labs d’Avast estiment à 600 000 le nombre de traceurs non protégés utilisés dans le monde, mais ils soulignent que ces problèmes de sécurité de l’IoT dépassent largement le cadre d’un seul fournisseur.

Martin Hron, Senior Researcher, chez Avast, qui est à l’origine de cette étude, conseille aux acheteurs de ces produits de choisir une solution alternative auprès d’une marque plus fiable intégrant une la sécurité dès la conception du produit : connexion sécurisée, un chiffrement des informations.

Comme pour tout appareil prêt à l’emploi, modifier les mots de passe par défaut de l’administrateur. En choisir un complexe.

Cependant, dans ce cas précis, cela n’empêchera pas une personne motivée d’intercepter le trafic non chiffré. « Nous avons fait preuve de toute la diligence voulue en communiquant ces vulnérabilités au fabricant, mais comme nous n’avons pas eu de réponse dans le délai habituel, nous publions ce message d’intérêt public à l’attention des consommateurs et vous recommandons fortement de cesser d’utiliser ces appareils », explique Martin Hron.

Signaux d’alerte dès la sortie de l’emballage

Le Threat Labs d’Avast a d’abord analysé la procédure de démarrage du T8 Mini, en suivant les instructions pour télécharger l’application mobile à partir du site http://en.i365gps.com — en l’occurrence, un site Web desservi par le protocole HTTP plutôt que par celui du HTTPS, plus sécurisé. Les utilisateurs peuvent alors se connecter à leur compte avec le numéro d’identification attribué. Le mot de passe par défaut très générique « 123456 ».

Ces informations sont transmises via un protocole HTTP non « secure ».

Le numéro d’identification dérivé de l’International Mobile Equipment Identity (IMEI) de l’appareil ; les chercheurs ont donc pu facilement prédire et répertorier les numéros d’identification possibles d’autres traceurs de ce fabricant.

En combinaison avec le mot de passe fixe, pratiquement n’importe quel appareil suivant cette séquence de numéros IMEI étaient piratables sans le moindre effort.

Rien n’est chiffré

À l’aide d’un simple outil de recherche de commandes, les chercheurs découvrent les informations en texte brut. Sans chiffrement.

Il est encore plus inquiétant de constater que l’appareil peut envoyer des commandes qui vont au-delà de l’usage prévu de suivi GPS, telles que :

  • appeler un numéro de téléphone, permettant ainsi à un tiers d’écouter les conversations à travers le microphone du traceur ;
  • envoyer un SMS qui pourrait permettre au hackers d’identifier le numéro de téléphone de l’appareil et donc d’utiliser le SMS entrant comme vecteur d’attaque ;
  • utiliser les SMS pour rediriger la communication de l’appareil vers un autre serveur afin d’obtenir le total contrôle de cet appareil ou de fausses informations envoyées vers le cloud ;
  • partager une URL vers le traceur, permettant à un attaquant à distance de placer un nouveau firmware sur l’appareil sans même y toucher, qui pourrait remplacer complètement la fonctionnalité ou implanter un backdoor.

Sans surprise, les chercheurs ont également découvert que l’application mobile AIBEILE (disponible sur Google Play et iOS App Store) communiquait avec le cloud via un port HTTP non standard, TCP:8018, envoyant du texte brut non chiffré au terminal. Après avoir examiné minutieusement l’appareil lui-même pour analyser la façon dont il communique avec le cloud, le Threat Labs d’Avast a confirmé que les données transitent à nouveau sans être chiffrées, du réseau GSM au serveur, sans aucune autorisation.

Ce que les consommateurs devraient retirer de cette étude

Outre l’appareil qui fait l’objet de cette étude, 29 autres modèles de traceurs GPS présentant ces vulnérabilités. La plupart des fournisseurs mentionnés ci-dessus.  50 applications mobiles différentes utilisent la même plateforme non « secure ».

Les chercheurs estiment qu’il existe plus de 600 000 appareils dans la nature dont les mots de passe par défaut sont « 123456 ».

Des applications mobiles  téléchargées près de 500 000 fois. Le fabricant n’a donné aucune réponse aux avertissements.

En tant que parents, nous sommes enclins à adopter les technologies qui nous promettent de protéger nos enfants. Se renseigner sur les produits que nous achetons est indispensable.

Méfiez-vous des fabricants qui ne respectent pas les normes minimales de sécurité. Qui n’ont pas de certification ou homologation par des tiers.

Choisissez uniquement des marques en qui vous avez confiance pour protéger vos informations.

Android, backdoor, Sécurité

Nouvelle tactique furtive de faux-clics publicitaires dans des apps du Google Play Store

Une étude révèle une nouvelle tactique furtive utilisée par des applications malveillantes sur le Google Play Store consistant à cliquer automatiquement et sournoisement sur les annonces publicitaires pour générer du profit.

Cette technique furtive récemment découverte utilise des publicités intégrées – stratégiquement positionnées au-delà de la zone d’écran visible d’un appareil mobile – pour lancer un processus automatisé de clic publicitaire qui génère furtivement des revenus pour des acteurs à risque.

Deux applications populaires (IDEO Note et Beauty Fitness) présentes sur le Google Play Store.

Elle compte plus de 1,5 million de téléchargements à elles deux. Elles ont un comportement trompeur découvert par Symantec.

Les utilisateurs de téléphones mobiles affectés peuvent voir leur batterie s’épuiser. Les performances ralenties. Une augmentation de l’utilisation des données mobiles en raison de visites fréquentes sur les sites publicitaires.

L’application bloc-notes et l’app de mise en forme sont codées avec l’outil légitime développé à l’origine pour protéger la propriété intellectuelle des créations sous Android.

Cela explique également la capacité du développeur à rester sur le Play Store. Sous le radar pendant près d’un an avant détection. (étude)