Tous les articles par Damien Bancal

BYOD, Cloud, Entreprise, Fuite de données

En 2014, le besoin de sécurité va bouleverser le marché de la sauvegarde Cloud

Le cloud, qui était il y a quelques mois encore vu comme un moyen simple et inoffensif de sauvegarder des données, va devoir se renouveler en 2014 pour continuer de séduire les professionnels. (Par Sergey Kandaurov, directeur de la gestion produit chez Acronis, pour Data Security Breach).

L’année 2013 a été marquée par de nombreux scandales en termes de sécurité et d’espionnage dans ce secteur. La demande des clients en 2014 va être impactée par ces affaires puisque la sécurité devient maintenant la priorité absolue. Les entreprises vont tout d’abord réfléchir d’avantage à ce qu’elles sauvegardent et où elles sauvegardent. La sécurité, la flexibilité et la confiance vont devenir des caractéristiques indispensables, favorisant ainsi l’apparition de solutions et de produits spécifiques à la sécurisation des données. Parallèlement les fournisseurs de solutions dans le Cloud de petites envergures vont mettre en avant une certaine proximité avec leurs clients et la qualité du service adjacente pour se différencier des fournisseurs leaders. Voici les 3 prédictions pour ce secteur pour 2014 :

1. Une sécurité accrue.
Après avoir passé un an à entendre les mots « PRISM » ou encore « Snowden », les consommateurs sont beaucoup plus conscients du type d’information qu’ils peuvent sauvegarder ou non sur des serveurs distants. Par conséquent, les entreprises vont multiplier leurs outils de sécurité afin de protéger les données sensibles. Nombreuses seront celles qui quitteront les services de Cloud public, comme Dropbox par exemple, pour se tourner vers un Cloud privé, plus sécurisé, leur permettant ainsi de garder le contrôle sur leurs propres fichiers.

2. Des nouveaux outils et services pour protéger les données dans le Cloud.
Avec la généralisation du Cloud, de plus en plus d’entreprises stockent leurs données dans le « nuage » informatique. La question de la continuité des activités en cas de problème va donc être un problème central dans les mois à venir. Avec un nombre de data stockées de plus en plus important, le risque d’un dysfonctionnement et d’une indisponibilité temporaire augmente. Les entreprises seront donc en demande de solutions innovantes pour parer à l’éventualité d’une perte ou d’une impossibilité d’accès aux données. Les professionnels chercheront plusieurs solutions alternatives pour stocker localement les fichiers basés dans le Cloud d’un côté, et pour sauvegarder rapidement et simplement les serveurs dans d’autres Cloud de l’autre.

3. Un focus sur la location physique de serveurs Cloud
Les clients vont commencer à opter pour des fournisseurs de solutions dans le Cloud stockant les informations dans une zone géographique proche, si possible dans le même pays. Ce constat est valable mondialement mais le sera encore plus en Europe. Ce « data nationalisme » protégera les données des gouvernements extérieurs. Par conséquent, cela permettra aux fournisseurs locaux de se développer face aux géants du secteur.

Ces fournisseurs pourront souvent fournir un service plus personnalisé et un meilleur suivi… 2014 sera donc l’année des « petits » fournisseurs.

Android, Espionnae, ios, Sécurité, Smartphone, Vie privée

Obama restreint les méthodes de la NSA

Un commentaire

Le président Obama a ordonné la fin de la collecte « en vrac » des messages téléphoniques des Américains. Vendredi, il est revenu sur la vaste restructuration des programmes de surveillance qui ont « ponctionné » les données de millions de citoyens américains. Une cybersurveillance exposée, l’an dernier, par l’ancien analyste du renseignement Edward Snowden.

Obama a appelé la National Security Agency (NSA) à renoncer au contrôle de son énorme base de données de relevés téléphoniques, à la mise en place d’un tribunal des programmes de surveillance, et l’arrêt des écoutes de dirigeants étrangers, alliés des États-Unis. Mais n’applaudissons pas trop vite, la surveillance continuera, mais avec des contrôles plus stricts.

Dans son discours donné ce vendredi au ministère de la Justice, M. Obama a appelé à une « nouvelle approche« . Un plan de transition doit être élaboré d’ici le 28 mars, autant dire un travail d’Hercule qui risque d’accoucher d’une souris. Le 28 mars étant la date butoir de la fin de la collecte de « métadonnées » par la NSA. Collecte qui a débuté après les attentats du 11 septembre 2001. « Dans notre empressement à répondre à des menaces très réelles et nouvelles (…) nous avons une eu réelle possibilité de perdre certaines de nos libertés fondamentales dans cette poursuite de la sécurité. Cela est particulièrement vrai lorsque la technologie de surveillance et de notre dépendance sur l’information numérique évolue beaucoup plus vite que nos lois. » Le Président Américain a indiqué que dorénavant, le programme de surveillance fonctionnera en deux étapes « À compter de maintenant, nous allons seulement suivre des appels téléphoniques qui sont associés à une organisation terroriste (…) J’ai demandé au procureur général de travailler avec le Foreign Intelligence Surveillance Court de sorte que pendant cette période de transition, la base de données (des métadonnées, Ndr) pourra être interrogée qu’après une décision judiciaire, ou dans une véritable situation d’urgence. » Obama a également demandé au Congrès à créer un groupe de « défenseurs publics » qui pourra représenter les intérêts de la vie privée. Pour rappel, les données collectées par la NSA comporteraient uniquement le numéro de téléphone de l’émetteur, la durée de l’appel et le numéro qu’il a composé.

Surveillance des alliés
Le président Obama a également abordé un autre programme de surveillance de la NSA, celui qui implique la collecte des courriers électroniques et des appels téléphoniques de cibles basées à l’étranger, y compris quand ils sont en contact avec des citoyens ou des résidents américains. Obama a déclaré que la nouvelle directive « indiquera clairement ce que nous pouvons et ne pouvons pas faire. »

Dorénavant, les Etats-Unis vont utiliser le renseignement que « pour des raisons de sécurité nationale légitimes (…) et non plus pour donner aux entreprises américaines un avantage concurrentiel. » En ce qui concerne les alliés, Barack Obama a expliqué qu’il allait préférer prendre son téléphone pour poser la question directement aux chefs d’Etat que de lancer une opération d’espionnage.

La directive d’Obama s’applique à la collecte de la NSA et précise que cette « moisson » ne doit être utilisée que pour la lutte contre le terrorisme, la prolifération des armes de destruction massive et les cybermenaces, pour la lutte contre la criminalité transnationale et à la protection de l’armée américaine et les forces alliées.

Obama a taclé la Russie et la Chine qui ont ouvertement et bruyamment critiqué les actions de la NSA, en indiquant qu’il ne voyait pas ses deux pays avoir une discussion ouverte sur « leurs programmes de surveillance et la gestion de la vie privée de leurs citoyens« .

Pendant ce temps, en Europe
À quelques semaines des étapes législatives cruciales pour le futur règlement sur le Marché unique des télécommunications, une coalition d’organisations européennes publie le communiqué ci-dessous et invitent les citoyens à faire entendre leur voix en appelant leurs eurodéputés à protéger la neutralité du Net. Une large coalition d’organisations de la société civile vient de lancer SaveTheInternet.eu [1], une campagne pour protéger la neutralité du Net dans la législation européenne à venir. À moins que nous n’agissions rapidement, une proposition de règlement de la Commission va réduire la liberté d’expression sur Internet, augmenter les prix et entraver l’innovation. Les citoyens doivent contacter les députés européens de la commission Industrie et les appeler à défendre un Internet ouvert.

Au terme de quatre ans d’inaction dans ce domaine, la nouvelle proposition de la Commission pourrait gravement nuire à un Internet ouvert. Ce règlement pourrait autoriser des entreprises de l’Internet à altérer arbitrairement le trafic du réseau pour prioriser les services des sociétés les plus riches, au détriment de l’innovation et de la liberté d’expression. Certaines des pires violations de la neutralité du Net auxquelles nous avons assisté en Europe ces dernières années deviendraient légales à cause de la faille des soi-disant « services spécialisés » contenue dans la proposition. De plus, le texte de la Commission pourrait autoriser des activités « volontaires » de surveillance et de filtrage ad hoc du réseau par les fournisseurs d’accès à Internet – en violation flagrante des obligations légales de l’Union européenne. Les ONG critiquent de manière unanime cette proposition de règlement. Les organisations de la société civile sont furieuses que cette proposition ne reflète pas les différents points de vues exprimés dans les réponses envoyées aux consultations que la Commission a tenues sur ce sujet. Ces organisations critiquent également l’examen précipité dont ces mesures font l’objet. Mais le plus préoccupant reste que les opérateurs télécom majeurs puissent remplacer l’actuel modèle économique de l’Internet – efficace et rentable – par celui de la téléphonie – inefficace, coûteux et obsolète.

Les citoyens doivent à présent se faire entendre dans ce débat crucial pour l’avenir d’Internet. Le règlement est maintenant entre les mains du Parlement européen, qui a l’opportunité unique d’en corriger les dangereuses failles et de mettre en place les garde-fous nécessaires à la protection d’un Internet neutre et ouvert. Le temps presse. La commission Industrie du Parlement européen amendera la proposition de règlement le 27 février. Au cours des six prochaines semaines, chaque citoyen européen soucieux de l’avenir d’Internet devra contacter les membres du Parlement européen et faire entendre sa voix. Cette campagne est menée par : Access Now (Bruxelles) ; Digitale Gesellschaft e.V (Allemagne) ; European Digital Rights (EDRI) (Bruxelles) ; Initiative für Netzfreiheit (Autriche) et La Quadrature du Net (France). (WP)

 

Android, Cyber-attaque, ios, Leak, Piratage, Sécurité

Un espace EuroSport piraté, données utilisateurs envolées

Un pirate informatique met la main sur des données clients ayant téléchargé des applications Football et Tennis d’Eurosport. Difficile de savoir ou, précisément, le pirate Hocine a pu intercepter plus de 6.000 adresses électroniques, codes de promotion, IP appartenant à des clients et utilisateurs d’applications pour smartphone diffusés par Eurosport.

D’après les informations que Data Security Breach a pu collecter, les 20.001 données ne visent que des téléchargements réalisés entre le 09 et le 26 septembre 2013. A noter qu’à côté de chaque mail, une adresse IP. Bref, suffisamment d’information pour qu’un pirate puisse lancer d’autres attaques plus ciblées. ;Dans la liste, des Britanniques, des Allemands et 3.107 adresses appartenant à des Français.

Il semble que les internautes ayant téléchargés, par l’entremise d’Eurosport, Fluid Football et Virtua Tennis, soient touchés par cette fuite de données. Comment être certains que les données proviennent de la chaîne de télévision dédiée aux sports ? Assez simplement ! Le premier compte de ce « Leak », de cette fuite, appartient au Marketing Manager d’Eurosport.

Le pirate n’a pas souhaité nous indiquer s’il avait en sa possession d’autres informations, et encore moins, indiquer le point de départ de cette fuite.

Cyber-attaque, DDoS, Leak, Piratage, Sécurité

L’opérateur Mobil COM piraté

L’opérateur téléphonique tchèque Mobil COM a été piraté. D’après les informations que la rédaction de DataSecurityBreach.fr a pu collecter, une base de données clients a été copiée par des pirates informatiques qui agissent sous le nom d’un groupe baptisé Pay load Crew. Des emails, des mots de passe (MD5), des numéros de téléphones… ont été pris en main par les jeunes visiteurs qui signent sous les pseudonymes de Phen0, Englos et Azr.

Nous avons pu joindre ces pirates afin de comprendre leurs motivations. « Nos motivations sont diverses, expliquent-ils à la rédaction de Data Security Breach. Cela peut allez de simplement montrer au site – victime – qu’ils ne sont pas si sécurisés que ça. Il peut aussi y avoir l’argent. C’est plus rare car habituellement nous jetons à la « poubelle » les cartes bancaires. Ou nous piratons tout simplement pour des raisons personnelles« .

Lors de leurs piratages, les membres du PLC copient des bases de données qu’ils diffusent sur la toile. Quid des iSQL copiées ? « Nous les regardons attentivement. Nous  regardons si les informations sont bien correctes à ceux du site. Nous retirons les informations bancaire, si il y’en a, et collons les dump dans des sites tels que zerobin, pastebin. Nous souhaitons communiquer à propos de nos attaques. Nous pourrions être plus méchant si nous le voulions« .

Dans l’attaque à l’encontre de Mobil COM, les trois pirates ont annoncé avoir été motivés après l’arrestation de l’un des membres de ce crew « emmener un des nôtres n’a fait que nous booster » indiquent-ils dans le fichier qu’ils ont diffusé sur la toile. Nous avons souhaité savoir s’ils ne craignaient pas de finir comme ce membre, AngryBird ? « Non, pour tout vous dire cela fait déjà un an qu’on avait prévu d’être stoppé par la police en charge de la cybercriminalité. Nous nous étions tous mis d’accord. Nous savons ce que nous risquons, donc autant continuer jusqu’à la fin. Personnellement [dixit Englos, Ndr], la cyberpolice m’a déjà retrouvé. Elle m’a contacté pour coopérer et livrer des noms, je n’ai jamais rappelé« .

 

Chiffrement, cryptage, Hacking, Rendez-Vous

Des inconnus diffusent une énigme XXL sur le web

Le 5 janvier dernier, le forum 4chan a servi de support à la 3ème édition d’une immense chasse au trésor sauce chiffrement. Depuis 2012, l’opération cigale est lancée par des inconnus. Impossible, sauf pour les vainqueurs des années passées, de savoir qui se cache derrière Cicada 3301. D’après le ou les auteurs, cette grande course doit permettre de recruter « des individus très intelligents. Pour les trouver, nous avons conçu un test. Un message se cache dans cette image. Trouvez-le, et il vous mènera sur la voie pour nous trouver. Nous sommes impatients de rencontrer les quelques personnes qui réussiront à faire le chemin jusqu’à nous. Bonne chance.« 

Prétentieux les « organisateurs » ? Les premières traces ont permis de remonter, d’abord, à un leurre, puis ensuite à décortiquer l’image (il fallait multiplier 3301 à la longue et hauteur de l’image d’origine. 3 nombres premiers qui donnaient l’ip d’un site web, et d’une image de cigale qui, exploitait avec le logiciel de sténographie OutGuess indiquait aux joueurs « Vous avez été suffisamment bons pour arriver jusqu’ici. La patience est une vertu. Revenez à 17:00 lundi 9 janvier 2012, UTC. » 14 points GPS sont apparus alors ce 9 janvier. Chaque point dirige vers une affiche et un QR Code, affiches collées dans les villes de Paris, Séoul, Varsovie, Miami. Chaque QR code dirige vers de nouveaux documents à décortiquer avec le même OutGuess.

En 2012, des commentaires liés aux images pointaient du doigt la NSA. Si en plus ils inventent des jeux sympas, ils vont finir par devenir vraiment sympathiques. En 2013, un PastBin annonçait que derrière cette organisation se cachait des gens dangereux. En attendant, Snowden n’a pas diffusé d’information sur ce concours. La CIA serait aussi dans les rangs des probables GO.

Des informations sont diffusées par des « joueurs » sur un wiki. Un Twitter a aussi été ouvert pour l’occasion.

Cybersécurité, Mise à jour, Patch

Patch Day : Java, Adobe Reader et Flash, Microsoft Word

Un commentaire

Microsoft vient de diffuser son premier Patch Tuesday de l’année. Et même si l’éditeur ne publie que quatre mises à jour, les administrateurs informatiques auront du pain sur la planche avec les nouveaux correctifs publiés par Adobe et Oracle.

En effet, comme le rappel Wolfgang Kandek, CTO de Qualys, Oracle résout 144 vulnérabilités avec sa dernière mise à jour de patchs critiques (CPU) de janvier 2014, soit un nouveau record pour Oracle. La plupart des vulnérabilités se trouvent dans la version de Java 7, sachant que Java v6 est déjà en fin de vie. La mise à jour 51 de la version de Java 7 fournit 34 correctifs pour des vulnérabilités exploitables à distance. La note « 10 », soit la plus élevée sur l’échelle du système d’évaluation des vulnérabilités CVSS (Common Vulnerability Scoring System), est attribuée aux plus critiques d’entre elles.

En 2013, Java fut l’un des logiciels les plus attaqués et cela va continuer en raison d’une politique de mise à jour pas assez énergique. L’installation d’un logiciel malveillant sur la page d’accueil du site Yahoo via des publicités par des pirates qui ont profité d’une vulnérabilité Java sur des PC d’utilisateurs affectés a d’ailleurs récemment fait La Une. Commencez par résoudre cette vulnérabilité et si vous rencontrez de la résistance pour mettre à jour Java, demandez-vous pourquoi ces machines ne peuvent pas exécuter cette toute dernière version de Java.

Adobe diffuse deux mises à jour qui sont toutes les deux critiques car elles concernent l’exécution de codes à distance et une prise de contrôle total du système ciblé. APSB14-01 est une mise à jour pour Adobe Acrobat et Reader avec un vecteur d’attaque sous la forme d’un fichier PDF. Quant à la mise à jour APSB14-02 pour Adobe Flash, elle traite les vecteurs d’attaque typiques sur des pages Web et des documents malveillants via des objets Flash intégrés. Ces deux packages Adobe devraient figurer en tête de liste de vos mises à jour. Les utilisateurs de Google Chrome et d’Internet Explorer 10 et 11 n’ont pas à se préoccuper de la mise à jour de Flash. En effet, cette dernière sera installée via les mécanismes de mise à jour automatique de ces navigateurs.

Microsoft publie quatre bulletins qui sont tous classés comme « Importants » en termes de sévérité.MS14-001 résout une vulnérabilité dans le format de fichier Microsoft Word qui peut être exploitée pour exécuter des codes à distance sur le système affecté lors de l’ouverture d’un fichier malveillant. Il s’agit de la vulnérabilité la plus importante à résoudre. Elle concerne toutes les versions de Microsoft Word sous Windows 2003, 2007, 2010 et 2013, ainsi que les visionneuses de documents Word. Les utilisateurs de Mac OS X ne sont pas concernés.MS14-002 est un patch pour la vulnérabilité Zero Day signalée le mois dernier et présente dans Windows XP et 2003. S’agissant d’une escalade locale de privilèges, cette vulnérabilité ne peut être exploitée que par un pirate déjà présent sur la machine en tant qu’utilisateur standard et qui a besoin d’obtenir des droits administratifs.Microsoft a reconnu son existence pour la première fois le 27 novembre 2013 dans l’avis de sécurité KB2914486. L’éditeur a expliqué que cette vulnérabilité était utilisée pour un petit nombre d’attaques ciblées qui exploitent une vulnérabilité corrigée dans Adobe Reader (APSB13-15 depuis mai 2013) comme moyen de transmission. Les autres bulletins, à savoir MS14-003 et MS14-004, traitent une vulnérabilité au sein du noyau Windows ainsi qu’un état de Déni de Service dans le progiciel d’ERP Microsoft Dynamics AX.

En résumé, voici notre liste de priorités pour ce mois-ci : Java, Adobe Reader et Flash, Microsoft Word ainsi que la vulnérabilité Zero-Day.

À propos, d’autres vulnérabilités traitées dans la version CPU d’Oracle vous concernent si vous utilisez les logiciels Oracle suivants :

  • MySQL contient 18 vulnérabilités, dont trois exploitables à distance et auxquelles a été attribuée la note CVSS maximum de « 10 ».
  • Solaris fait l’objet de 11 correctifs, dont un lié à une attaque à distance. La note CVSS maximum est de « 7,2. »
  • Les solutions logicielles Oracle Virtualization, dont la célèbre VirtualBox, contiennent neuf vulnérabilités, dont quatre exploitables à distance et avec une note CVSS maximum de « 6,2 ».

  • Quant au SGBDR Oracle lui–même, il contient cinq vulnérabilités, dont une exploitable à distance. »

Arnaque, Entreprise, Fuite de données, Leak, Vie privée

2000 identités diffusées par erreur par Pôle Emploi

Décidément, les fuites de données sont légions ces derniers temps, surtout celles qui sont dues à la mauvaise manipulation d’un être humain. Nouveau cas en date, Pôle Emploi, un courriel baptisé « opportunité de formation« .

Les récipiendaires de la missive se sont retrouvés avec un fichier Excel baptisé SCAMAI contenant pas moins de 2119 noms, prénoms et emails. Les identités ont dû servir au publipostage de Pôle Emploi. Dans ce cas, l’agence Pôle Emploi Cadres Paris Diderot et le Conseil Régional Ile de France sont la source de cette fuite. Bien entendu, l’adresse utilisée pour la diffusion de ce « courriel » reste lettre morte. En fait, c’est l’adresse qui est morte « service-candidat@pole-emploi.fr – L’adresse de messagerie que vous avez entrée est introuvable » annonce, laconique le message d’alerte. Pas vraiment envie de communiquer ?

A noter que se plaindre auprès de la CNIL ne sert à rien. Le site de la CNIL est fait pour que ce soit Pôle emploi qui signale la boulette et non les milliers de personnes touchées par cette fuite d’informations. La seule procédure proposée serait de faire un courrier recommandé auprès de l’agence.

Ce n’est pas nouveau… et c’est inquiétant
En août 2013 un autre courrier de Pôle Emploi diffusait les identités de demandeurs. A cette époque, c’est l’option CCi (adresses mails cachées, Ndr) qui avait été oubliée permettant la mise en pâture de 150 personnes. A l’époque, la CNIL n’avait pas communiqué sur une probable saisine, comme l’oblige la loi Française depuis 2011, et l’Europe depuis le 25 août dernier, sur les actions menées pour alerter les personnes touchées par la boulette.

Les risques ?
Les données concernant des demandeurs d’emploi, voilà qui pourrait attirer les escrocs du web, comme les pirates spécialisés dans le blanchiment d’argent en offrant de faux contrat de travail (mais vrai recrutement de mules, Ndr) comme ce fût le cas, en novembre dernier, avec 6 escrocs (et plus de 1 millions d’euros détournés) via de fausses petites annonces. (Merci à D.)

Cyber-attaque, Piratage

Piratage d’un espace de la Croix Rouge

Cyber armée par-ci, cyber armée par là. Après la Syrian Electronic Army, l’European Electronic Army, voici venir la Nigérian Cyber Army. La NCA s’est attaquée, ce 17 janvier, au site Internet de la Croix et plus précisément à l’espace parisien de la structure philanthropique. En lieu est place de la page, le drapeau du pays et un texte vantant les « mérites » du visiteur. Des propos, soyons honnêtes, pas vraiment compréhensibles. A première vue, le jeune informaticien de cette attaque a une dent contre des dirigeants de son pays. Il indique avoir piraté la Croix Rouge « Juste pour transmettre mon message ». Ce barbouillage était saupoudré de musique tirée de films américains : Pirate des Caraïbes, …

Cyber-attaque, Espionnae, Sécurité

La Corée du Nord s’attaque aux mails

Des groupes de pirates informatiques nord-coréens cherchent constamment à dérober des documents importants en envoyant des e-mails à des officiels d’organes publics chargés de la sécurité nationale, a fait savoir ce mardi le ministère de la Science, des TIC et de la Planification du futur, appelant ainsi à redoubler d’efforts pour mieux sécuriser leurs systèmes informatiques.

Les groupes de hackers nord-coréens adressent à des officiels d’organes en charge des affaires étrangères, de l’unification et de la défense des courriels malveillants qui s’apparentent à une invitation à une cérémonie sous le nom d’une personne connue de ces officiels. Ces tentatives semblent être destinées à trouver de nouvelles voies détournées pour s’infiltrer dans les réseaux informatiques de ces organisations, a analysé le ministère.

Cette année, ont été envoyés des mails portant le titre «Politique 2014 sur la Corée du Nord». Ces courriels ne comportaient pas de codes malveillants mais appelaient à participer à un sondage. Le ministère a toutefois mis en garde contre la possibilité de contamination ultérieure par des logiciels malveillants après une participation à ce sondage. (Yonhap)

 

Argent, Cyber-attaque, Entreprise, Fuite de données, Leak, Paiement en ligne

Données clients volées dans une enseigne de Luxe

Vous avez du très certainement en entendre parler, l’enseigne de grande distribution américaine Target a été piraté. ZATAZ.COM en révélait le cas, le 19 décembre dernier. Ce que ne savent pas « encore » les clients locaux, une autre enseigne dite CSP+ a elle aussi été piratée et ponctionnée. Neiman Marcus, un grand magasin américain spécialisé dans les produits de luxe vient de confirmer le piratage de sa base de données. Une BDD comportant des informations bancaires de CB appartenant à des personnes riches, très riches. C’est Brian Krebs qui a trouvé les premiéres traces dans un espace web de blackmarket. Neiman a pris conscience de la violation des données à la mi-décembre mais n’a pas pipé mot, histoire de ne pas faire peur à ses clients, surtout en cette période stratégiquement markantille. La société affirme que ses clients en ligne ne sont pas affectés par ce piratage. Les services secrets américains ont été saisis de l’affaire. Un piratage qui aurait eu lieu en même temps que Target.

Entreprise, Propriété Industrielle, Rendez-Vous, Sauvegarde, Sécurité

Testé votre identité numérique lors du FIC2014

Le Forum International de la Cybersécurité (FIC) 2014 organisé conjointement par la Gendarmerie Nationale, le cabinet CEIS et le Conseil régional du Nord-Pas de Calais se déroulera les 21 et 22 janvier à Lille Grand Palais. Pour cette 6e édition intitulée « Identité numérique et confiance », le FIC acte une nouvelle étape dans son partenariat avec Epitech, l’école de l’innovation et de l’expertise informatique (membre de IONIS Education Group).

Le partenariat s’est conclu dans le cadre du programme d’Epitech « Ecole citoyenne du numérique ». Ce dispositif permet aux étudiants de s’investir dans des projets concrets d’intérêt général. Au service des acteurs institutionnels et des collectivités, les étudiants de l’école traitent de thématiques liées au numérique. Deux 2 animations autour de l’identité numérique vont être proposées : « Selon où tu es, je sais qui tu es, le sais-tu ? » ; « Selon ce que tu sais, ce que tu as et qui tu es, tu pourras entrer ; ou pas ! ». Les équipes du laboratoire Sécurité d’Epitech, impliquées dans la pédagogie et dans les projets de recherche relatifs à ce sujet, ont créé deux démonstrations interactives et ludiques spécialement pour le FIC.

L’année derniére, les étudiants avaient réussi à piéger des visiteurs via une application distribuée via un flashcode.

Le FIC est devenu le « Salon européen de référence en matière de confiance numérique » réunissant les principaux acteurs institutionnels et experts du domaine dans une démarche de réflexion et d’échanges sous un angle stratégique (géopolitique, sociologique, juridique, managérial, technologique) et opérationnel. Manuel Valls, ministre de l’Intérieur sera présent pour la cérémonie officielle d’ouverture, le mardi 21 janvier 2014 à 9h00. Jean-Yves Le Drian, ministre de la Défense sera présent le mardi 21 janvier à 16h00. A noter que le ministère de la défense français, partenaire du FIC 2014, disposera d’un stand et participera à de nombreux ateliers, en particulier dans le parcours « stratégies de cyberdéfense ». L’intervention de M. Manuel Valls, ministre de l’Intérieur, sera suivie de la séance plénière « La cybersécurité est-elle un échec ? », avec l’intervention de Patrick Pailloux, directeur général de l’ANSSI, David Lacey, directeur de l’Institut des enquêtes criminelles à l’Université de Portsmouth, Jérémie Zimmermann, membre fondateur et porte-parole de La Quadrature de Net, Jean-Pierre Guillon, Président du MEDEF Nord Pas de Calais, Luc-François Salvador, PDG de Sogeti, Jean-Michel Orozco, CEO Cassidian Cybersecurity et Marc Watin-Augouard, Général d’armée (2S).

L’ensemble des conférences, séances plénières, tables rondes, ateliers et débats sont répartis selon 7 parcours thématiques : Lutte anti-cybercriminalité – Dynamiques industrielles – La fonction sécurité en entreprise – Technologies – Stratégies de cyberdéfense – Nouvelles citoyennetés numériques – Géopolitique du cyberespace. A noter que votre serviteur animera, mardi 21 janvier, le challenge Forensic mis en place par l’équipe de la Licence Professionnelle CDAISI. Le challenge consiste en deux séries d’épreuves informatiques de 4 heures dédiées au forensic et à la lutte informatique défensive.

Ces épreuves comportent différents niveaux et sont menées sur un réseau fermé. Le lendemain, mercredi 22 janvier, j’animerai la conférence « Le pouvoir de la perturbation massive sur Internet« . Le piratage du compte Twitter de l’Associated Press et ses conséquences considérables sur le cours de la bourse alertent quant au potentiel des réseaux sociaux. L’horizontalité et la viralité qui caractérisent ces outils en font des armes redoutables de perturbation massive et de soulèvement des populations. Comment anticiper ce risque ? Quel est le réel potentiel des réseaux sociaux et comment l’exploiter ?

Argent, Arnaque, Chiffrement, Cyber-attaque, Cybersécurité, escroquerie, Fuite de données, Mise à jour

Le top 8 de ses prévisions de cybersécurité pour 2014

WatchGuard Technologies, éditeur de plateformes de sécurité intégrées, publie ses prévisions annuelles de cyber-sécurité pour 2014. Parmi les éléments listés, l’équipe de chercheurs en sécurité de WatchGuard s’attend à des avancées dans le domaine des rançongiciels (ransomware), à des piratages visant l’Internet des objets, à des attaques ciblant les infrastructures stratégiques et à une violation des données du portail américain des assurances maladie Healthcare.gov.

« Entre le développement de botnets par des agences gouvernementales opérant dans l’ombre, les importantes failles de sécurité comme celle subie par Adobe et les logiciels malveillants particulièrement nuisibles de type CryptoLocker, 2013 aura été une année éprouvante pour les spécialistes de la cybersécurité », commente Corey Nachreiner, Directeur de la stratégie de sécurité de WatchGuard Technologies. « Cependant, grâce aux nouveaux outils de visibilité désormais disponibles, 2014 devrait être l’année de la visibilité en matière de sécurité. Le paysage des menaces continue certes à évoluer à un rythme effréné en raison de l’apparition de nouvelles techniques évoluées d’exploitation des vulnérabilités et de l’orientation des criminels vers de nouvelles cibles. Néanmoins, les professionnels de la sécurité devraient pouvoir utiliser ces nouveaux outils de visibilité afin de faire, à nouveau, pencher la balance de la cyberguerre en leur faveur. »

Les principales prévisions pour 2014 en matière de sécurité :
1.       Le portail américain des assurances maladie sera la cible de nombreuses attaques : WatchGuard s’attend à ce que le site américain Healthcare.gov subisse au moins une violation de données en 2014. Du fait de sa popularité et de la valeur des données qu’il stocke, Healthcare.gov constitue une cible particulièrement attractive pour les cybercriminels. En réalité, cette violation a, dans une certaine mesure, déjà débuté. Différents chercheurs en sécurité ont d’ores et déjà mis en évidence plusieurs incidents mineurs (indices d’attaques avortées contre des applications Web, tentatives d’attaque en déni de service (DDoS), etc.).

2.       Le développement du cyber-kidnapping accroît les profits des pirates : Les rançongiciels, une nouvelle classe de logiciels malveillants dont le but est de prendre en otage un ordinateur, ont vu leur nombre augmenter régulièrement ces dernières années, mais une variante particulièrement nuisible a fait son apparition en 2013 : CryptoLocker. Rien que cette année, il a touché plusieurs millions de machines, avec un fort retour sur investissement pour les cybercriminels d’après les estimations. WatchGuard s’attend à ce que de nombreux cyber délinquants tentent d’imiter en 2014 le succès de CryptoLocker, en copiant ses techniques et son mode de fonctionnement. WatchGuard prévoit ainsi une multiplication des rançongiciels en 2014.

3.       Un scénario catastrophe hollywoodien : En 2014, une attaque majeure commanditée par un gouvernement hostile et exploitant les failles d’une infrastructure stratégique pourrait bien transformer un film d’Hollywood en réalité tragique. Et ce, même lorsque les systèmes ciblés ne sont pas connectés à un réseau. Le ver Stuxnet, si souvent montré du doigt, a en effet prouvé que des cyber-attaquants motivés pouvaient infecter une infrastructure non reliée à un réseau avec des résultats potentiellement désastreux. Des chercheurs ont consacré plusieurs années à étudier les vulnérabilités des systèmes de contrôle industriel (ICS) et des solutions de supervision et d’acquisition de données (SCADA), et ont découvert que ces systèmes présentaient de nombreuses vulnérabilités.

4.       L’Internet des objets, nouvelle cible des hackers : WatchGuard s’attend à ce que, l’an prochain, les hackers, qu’ils soient white ou black hat, consacrent plus de temps aux terminaux informatiques non traditionnels comme les voitures, les montres, les jouets et le matériel médical. Si les experts en sécurité informatique insistent depuis plusieurs années sur la nécessité de sécuriser ces périphériques, il semble que le marché n’en réalise l’importance que maintenant. WatchGuard s’attend donc à ce que les hackers s’attachent fortement en 2014 à détecter les failles de ces objets connectés, que ce soit pour les combler ou pour les exploiter.

5.       2014 sera l’année de la visibilité : Ces dernières années, les cybercriminels sont parvenus à pénétrer les défenses de très grandes entreprises malgré l’utilisation de pare-feu et d’antivirus. L’ancienneté des systèmes de défense en place, la mauvaise configuration des contrôles de sécurité et la surabondance de journaux de sécurité ne permettent pas aux professionnels de protéger efficacement leur réseau et de détecter les événements réellement importants. WatchGuard prévoit qu’en 2014 de plus en plus d’entreprises déploieront des outils de visibilité afin de faciliter l’identification des vulnérabilités et la mise en place de stratégies de protection renforcée des données stratégiques.

6.       Attaquer la « chaîne de confiance » sera une technique de choix pour atteindre les cibles les plus difficiles : Si les victimes les plus prestigieuses, telles que les administrations ou les entreprises du CAC 40, bénéficient d’un dispositif de sécurité plus important, ce n’est pas pour autant qu’elles parviendront à arrêter les pirates motivés et patients, qui s’attaqueront au maillon faible de la « chaîne de confiance » de l’entreprise : les partenaires et les sous-traitants. Les cybercriminels les plus doués visant désormais des cibles plus complexes, il faudra s’attendre en 2014 à une exploitation grandissante des vulnérabilités de la « chaîne de confiance », les pirates s’attaquant aux partenaires pour atteindre l’entreprise.

7.       Les attaques deviendront plus nuisibles : La plupart des cyber-attaques et des logiciels malveillants ne sont pas volontairement destructeurs. En effet, lorsqu’un cybercriminel détruit l’ordinateur de sa victime, il ne peut plus accéder à ses ressources. Cependant, l’évolution du profil des pirates fait désormais de la cyber-destruction un objectif valable dans un nombre croissant de cas. Les cybercriminels peuvent également se rendre compte que la menace d’une destruction imminente contribue à améliorer les chances de succès de l’extorsion, comme le compte à rebours utilisé par CryptoLocker pour effrayer les victimes et les amener à coopérer. WatchGuard s’attend ainsi à observer une multiplication des vers, chevaux de Troie et virus destructeurs en 2014.

8.       De technicien à psychologue du cybercrime : Ces dernières années, les attaquants avaient clairement l’avantage sur les défenseurs, s’appuyant sur des tactiques d’esquive et des techniques plus sophistiquées pour pénétrer des défenses vieillissantes. Cependant, le vent est en train de tourner. En 2014, les défenseurs accèderont plus facilement aux solutions de sécurité de nouvelle génération et aux fonctionnalités de protection avancée, rééquilibrant le rapport de force. Mais les cybercriminels n’abandonneront pas facilement la partie. On peut s’attendre à une évolution de leur stratégie, qui sera sans doute moins focalisée sur l’avantage technique et plus sur les faiblesses de la nature humaine. En 2014, attendez-vous à ce que les attaquants privilégient la psychologie à la technologie, en s’appuyant sur la culture populaire et sur différentes techniques (emails d’hameçonnage convaincants, par exemple) pour cibler le maillon le plus faible de la chaîne : l’utilisateur.

Cyber-attaque, Leak, Piratage

Pirate d’Apple ? Comme Dropbox, un hoax ?

Un site qui plante ou rame quelques minutes et voilà les rumeurs les plus folles débarquées sur la toile. C’est ce qui a touché le site DropBox, il y a quelques jours. Une mise à jour « bancale » et l’espace de stockage américain a planté. Bilan, un internaute, The 1775 sec, membre d’une Cyber Armée Européenne (sic!), s’est gargarisé d’avoir piraté le portail pour, ensuite, s’excuser d’avoir menti sur le sujet.

L’histoire aurait pu s’arrêter là sauf que le « pirate » indique avoir mis la main sur des données Apple via une faille découverte à partir d’un sous-domaine de la grosse pomme. Apple a très rapidement indiqué n’avoir subi aucune attaque informatique, et encore moins, visant des données clients. « Nous vous avions prévenu à plusieurs reprises Apple Inc, expliquait le pirate ce 12 janvier. J’ai menti sur les fuites DropBox, vous pensez que je mens au sujet de votre piratage ? Vous avez fait un geste stupide Apple ! » Une menace suivie de la diffusion de 12 IP, mots de passe en Md5, firmware, numéro d’OS, … de ce que le pirate indique être des informations de clients d’Apple. Alors, blagounette ou pas blagounette ?

 

 

Fuite de données, Particuliers, Propriété Industrielle, Sauvegarde

5 utilisateurs sur 10 attachent plus de valeur aux données qu’aux machines qui les stockent

Un commentaire

La plupart des utilisateurs jugent les données stockées sur leur ordinateur plus importantes que la machine elle-même. Dans une enquête réalisée à l’été 2013 par B2B International et Kaspersky Lab, 56 % estiment leurs photos et autres documents plus précieux qu’un matériel aussi coûteux soit-il. Cependant, en cas d’attaque de malware, plus de la moitié des victimes sont dans l’incapacité de récupérer la totalité de leurs données.

Qu’est-ce qui a le plus de valeur : un ordinateur haut de gamme ou la photo, même floue, de votre dernière soirée ? Un portable ou bien les messages échangés avec vos proches ? Une superbe tablette dernier cri ou les vidéos d’une réunion entre amis filmée avec sa caméra ? La plupart des personnes interrogées répondent qu’elles font passer leurs informations personnelles avant un équipement quel qu’il soit et quel que soit son prix.

Malheureusement, les utilisateurs perdent souvent de précieuses informations : selon notre enquête, une attaque de malware sur cinq se solde par la perte de données personnelles et 61 % des victimes sont dans l’incapacité d’en récupérer la totalité. Pour les cybercriminels, les données personnelles constituent une marchandise monnayable : ils peuvent ainsi dérober des informations essentielles et s’en servir pour manipuler les comptes en ligne de l’utilisateur ou encore bloquer son accès à des données critiques et en exigeant une rançon en échange de leur déblocage. L’usage répandu des mobiles a aggravé la situation : chaque nouveau modèle de smartphone ou de tablette offre aux escrocs un angle supplémentaire d’attaque.

Bien que l’étendue et le nombre des cybermenaces aillent croissant, il est possible d’en protéger les informations personnelles avec l’aide d’une solution de sécurité fiable. (Le B2C 2013 – PDF)

Entreprise, Sécurité

Sécurité renforcée pour 1&1

1&1 Internet, un des leaders mondiaux de l’hébergement Web, lance aujourd’hui de nouvelles fonctionnalités pour ses packs hébergement, offrant aux sites Web une performance et une sécurité maximales. Le nouveau CDN (Content Delivery Network) 1&1 propose désormais des temps de chargement plus rapides pour les images et les contenus dynamiques. En plus de la dernière version de PHP, PHP 5.5, 1&1 propose dès aujourd’hui une version d’évaluation pour les applications Click & Build. Par ailleurs, les propriétaires de sites Web peuvent optimiser la sécurité de leur site grâce à 1&1 SiteLock, disponible dans certains packs.

1&1 améliore continuellement son offre hébergement pour tous ceux qui utilisent des applications pour le design et le développement de leur site. Les applications Click & Build les plus populaires sont incluses dans les packs 1&1 et peuvent être installées en Safe Mode ou en Free mode. Désormais, une version d’évaluation est disponible pour tester la compatibilité d’une application avec son projet Web. Cette version offre les mêmes fonctions et plug-ins pré-installés que l’application définitive et est disponible pendant 30 jours, durant lesquels il est possible, à tout moment, de basculer vers l’application définitive. Tout le contenu généré pendant la période d’essai est alors migré vers l’application définitive dès son activation.

Les sites Web dont les temps de chargement sont trop lents ou les images ne chargent pas correctement peuvent avoir des conséquences négatives sur l’e-réputation d’une entreprise. Pour prévenir de tels problèmes, 1&1 a enrichi son CDN, powered by CloudFlare, de nouvelles fonctionnalités : la fonction Mirage reconnaît la vitesse de connexion de l’utilisateur et la taille de l’écran (smartphone, tablette, PC portable ou PC de bureau) et affiche une image de taille et de résolution adaptées.

La fonction Railgun, développée par CloudFlare, permet d’améliorer significativement le temps de chargement des contenus dynamiques qui ne pouvaient pas, jusqu’à présent, être mis en cache. Les utilisateurs 1&1 profitent ainsi d’une nouvelle technologie qui permet d’identifier et de prendre en compte les changements les plus minimes le plus rapidement possible. L’affichage de sites Web dynamiques est alors considérablement accéléré, peu importe l’endroit du monde où se trouve le visiteur.

Les propriétaires de sites Web qui utilisent PHP pour développer leur site peuvent dès à présent profiter de la dernière version PHP 5.5. De plus, les utilisateurs Linux bénéficient d’une compatibilité totale pour les versions PHP Dev et PHP 5.4. Les utilisateurs Windows peuvent, eux, utiliser PHP 5.3.

1&1 vient de lancer une série de mesures qui amélioreront la sécurité des sites Web. Tous les utilisateurs qui utilisent les applications Web installées en Free mode seront informés par email de toutes les mises à jour nécessaires. Ils recevront des informations sur les nouvelles versions des applications ou sur les plug-ins, ainsi que sur les mises à jour et failles de sécurité. Ils se verront également informés des actions à mettre en œuvre pour garantir la sécurité et la fiabilité de leur site.

Grâce à la fonction SiteLock, les clients 1&1 peuvent détecter les failles de sécurité potentielles dans le design de leur site Web et rester informés de son niveau de sécurité – ce qui intéresse aussi bien les propriétaires de sites Web que les visiteurs. Cette fonction est dès à présent incluse dans les packs hébergement sans frais additionnels.

1&1 CDN powered by CloudFLare et 1&1 SiteLock Basic sont inclus dans les packs 1&1 Unlimited à 4,99 € HT/mois et 1&1 Unlimited Plus à 6,99 € HT/mois, ainsi que dans tous les packs serveurs 1&1 Clé-en-main à 29,99 € HT/mois, et sont valables pour un domaine par pack. Mirage est inclus dans 1&1 CDN ou 1&1 CDN Plus. Ceux qui souhaitent utiliser cette fonction pour plusieurs domaines sont invités à acquérir des CDN supplémentaires (pour 4,99 et 9,99 HT €). Railgun est inclus dans le CDN des packs 1&1 Unlimited Plus, 1&1 Unlimited Plus (4 Go) et les serveurs 1&1 Clé-en-main.

1&1 SiteLock Basic peut être ajouté aux packs hébergement 1&1 Starter et 1&1 Basic pour 0,99 € HT par compte et 1&1 SiteLock Premium pour 4,99 € HT par compte. Ces tarifs sont également valables pour ceux qui souhaitent acquérir SiteLock pour des domaines supplémentaires.

Cybersécurité, Fuite de données, Hacking, Leak, Vie privée

Portes ouvertes dans des routeurs Netgear, Linksys et commutateurs Ethernet Siemens

Attention, ceci peut vous concerner car il s’agit de routeur « grand public » ou utilisés par certains opérateurs. Sur du matériel personnel, il est conseillé de flasher le firmware avec une solution DD-WRT (http://www.dd-wrt.com/site/index). Pour les routeurs d’opérateurs, vous pouvez demander des explications afin d’être rassurés sur la sécurité de vos informations/connexions. Pour Netgear et LinkSys, les backdoors découvertes dans  les boitiers permettent d’interroger le harware à distance. Un accès aux parametres, mot de passe et aux programmes.

Pour Siemens, c’est un chercheur de chez IOActive qui a découvert deux vulnérabilités dans les commutateurs Ethernet Siemens. Des failles qui peuvent permettre à un attaquant distant d’exécuter des opérations administratives sans passer par la case « mot de passe ». Les vulnérabilités ont été découvertes par Eireann Leverett, consultant en sécurité principal pour IOActive. Les failles ont été signalées à Siemens.

La première vulnérabilité (CVE-2013-5944) pourrait permettre à des pirates d’effectuer une opération administrative sur le réseau sans authentification. La deuxième vulnérabilité (CVE-2013-5709) offre la possibilité à un acteur malveillant de détourner des sessions Web sur le réseau sans authentification. Siemens a annoncé fournir un patch de sécurité dans les trois mois. Les clients Siemens doivent appliquer le SCALANCE X-200, une mise à jour du firmware. (Baidu)

 

Argent, Cyber-attaque, Cybersécurité, escroquerie, Fuite de données, loi, Vie privée

Rencontre avec les cybergendarmes

Les technologies employées par les pirates informatiques évoluent. Les cybergendarmes tentent de s’adapter aux flots de données que déverse le numérique. Relèvent-ils ce pari 2.0 ? Quels sont leurs outils d’investigation ? Découverte ! C’est dans la caserne d’Arras, au sein du Groupement de la Gendarmerie Départementale (commandé par le Colonel Jérôme Bisognin), que les rédactions de zataz.com et datasecuritybreach.fr ont été invitées à rencontrer les N’Tech, les cybergendarmes du Pas-de-Calais. L’occasion pour les quatre Sherlock Holmes 2.0 de la Cellule d’Investigations Criminelles de nous présenter une partie de leurs outils d’investigations numériques.

 

 

Android, Espionnae, ios, Logiciels, Vie privée

Le top 3 pour tracer un smartphone

2 commentaires

Vous avez perdu votre téléphone portable ? Un malveillant tente d’y accéder ou vient de vous le voler. Voici notre top 3 DataSecurityBreach.fr des outils qui devraient vous servir afin de vous protéger, et protéger votre précieux. L’article sur comment sécuriser sa tablette vous a particulièrement intéressé. Nous nous sommes dit que nos téléphones, de plus en plus couteux et aux contenus de plus en plus sensibles méritaient aussi un véritable focus.

L’idée de cet article m’est venu aussi en lisant un Tweet envoyé par un lecteur, sur le twitter de ZATAZ Media : @zataz. Le papa du lecteur a eu son iPhone volé. Fier de lui, le voleur a tenté d’y accéder… seulement il n’a pas pensé au système antivol embarqué. Bilan, le « monte en l’air » s’est retrouvé en photo… sur le web. « Le #Voleur s’est fait grillé en mettant sa photo après le vol du téléphone de mon père #Abidjan #civ225 @zataz » s’amusait notre lecteur. Plus drôle encore, une américaine, Danielle Bruckman, a diffusé un an de photos de son voleur. L’idiot ne s’étant pas rendu compte que chaque cliché qu’il prenait de lui fût communiqué et sauvegardé sur le cloud de la belle. Bref, vous allez voir que surveiller et tracer une smartphone est très simple et n’oblige pas l’internaute à être un agent de la NSA et utiliser l’outil DROPOUTJEEP pour surveiller un iPhone.

Comment faire ?
Il existe pléthore d’outils qui vont vous permettre de protéger votre précieux. Etre alerté par SMS (sur un autre téléphone), par eMail, via une photo, un plan, une données GPS, … Voici notre sélection. N’hésitez pas à nous proposer votre choix.

LockWatch
Efficace, rapide d’installation, l’outil fonctionne sous Android. Il permet de recevoir la photo de toutes personnes rentrant un mauvais mot de passe dans votre téléphone. Il est possible de configurer le nombre d’essai. En plus de sa photographie, un plan et l’adresse du lieu d’utilisation du téléphone est envoyé par courrier électronique. Totalement transparent, le « curieux » ne voit pas l’intervention de LockWatch. Il est possible de configurer l’option « fausse alerte ». Dès que le bon mot de passe est tapé, aucune alerte n’est envoyée.

Lockout security
Même ordre d’idée que LockWatch. LockOut propose un service gratuit qui vérifie la sécurité de vos applications, la sauvegarde de vos contacts. Une version premium, donc payante, rajoute une sauvegarde sur le cloud de vos photos et journaux d’appels, une protection de vos informations en analysant les capacités des applications à intercepter vos données confidentielles. Les deux options, gratuites et payantes, proposent un plan pour retrouver le portable égaré. Il est possible de faire retentir une sirène, faire vibrer et clignoter l’écran de l’appareil pour retrouver la bête. Coût de la version premium, 24,99€ par mois. A noter un paiement possible pour acheter Lockout Security via le smartphone (sic!). A noter que l’outil, version gratuite, est proposée dans les smartphones Orange.

Samsung dive
Une application disponible uniquement pour smartphone Samsung. Samsungdive permet de localiser la position actuelle du mobile perdu ainsi que l’historique des déplacements durant les 12 dernières heures. Vous pouvez verrouiller votre mobile à distance afin que personne d’autre ne l’utilise. Une alerte peut sonner pendant 1 minute, quels que soient les réglages du son et de la vibration du mobile. Un contrôle des appels peut être effectué via les journaux sauvegardés. Samsung Dive a une petite finesse que Data Security Breach vous conseille de surveiller. Il est possible, à distance, via le site web de Samsung, de déverrouiller votre tablette/smartphone protégé par un mot de passe. Bref, faire sauter la protection d’entrée, en un seul clic de souris. A contrôler sans modération car une fois déverrouillé, le matériel n’est plus protégé. Il faut lui implémenter un nouveau password.

Autre outil à ne pas rater, Cerberus. Commercialisé moins de 3 euros il propose une série d’options qui méritent de s’y pencher. Cerberus permet de protéger 5 téléphones avec le même compte. Il est possible de contrôler l’appareil à distance depuis le site web cerberusapp.com ; contrôle à distance par SMS et de vérifier la carte SIM et d’être alerté en cas du clonage de la puce et de son utilisation dans un autre téléphone. Des options de sécurité classique, mais des « bonus » qui sont étonnants comme enregistrer le son depuis le micro du smartphone ou encore avoir des informations sur le réseau et l’opérateur utilisé par le smartphone. Il est aussi possible d’afficher les SMS sauvegardés dans le téléphone ou encore avoir accès au journal des appels. L’application fonctionne même si vous n’avez pas de connexion internet, via la carte SIM. L’outil est bluffant et… flippant. Autant dire que la sécurité du site web a intérêt à être blindé de chez blindé, tout comme le mot de passe que vous allez employer.

Mise à jour : PlaymoGeek nous indique que l’outil Avast Mobile et Security fonctionne aussi très bien. « je l’ai testé pour mon mobile volé« . La version Premium ne coûte que 15 euros par an.

 

Android, Cybersécurité, ios, Sécurité

Comment conserver le contrôle de la sécurité mobile aujourd’hui

L’attachement émotionnel des consommateurs à leurs téléphones portables signifie qu’ils sont de plus en plus nombreux à être sélectifs en termes de modèle et d’applications, même dans leur vie professionnelle. Ceci conduit les responsables informatiques à avoir le sentiment qu’ils perdent le contrôle de la sécurité mobile et que les employés la compromettent. Après tout, les entreprises prennent rarement des décisions sur le choix des terminaux mobiles. Et les responsables informatiques n’imposent pas comment les employés doivent interagir avec leurs appareils mobiles.

Dès lors, comment les entreprises peuvent-elles garder le contrôle de leur stratégie de mobilité sécurisée, alors qu’apparemment elles ne peuvent la contrôler ? La gestion des terminaux mobiles (MDM) contrôle la sécurité des appareils mobiles, mais elle n’aborde pas la sécurité de l’atout le plus précieux : les données de l’entreprise. Toutefois, il existe un moyen pour les services informatiques de sécuriser la fonctionnalité et les données de leurs entreprises : la conteneurisation.

L’état d’esprit des responsables informatiques d’aujourd’hui doit passer d’une focalisation sur le terminal à une focalisation sur les données qui s’y trouvent et comment les employés utilisent ces données. Cela va permettre aux organisations d’atteindre de nouveaux niveaux de productivité, d’efficacité et de collaboration mobile. Le défi n’est pas « Comment puis-je contrôler cela ? » mais « Comment puis-je mettre en place, en toute sécurité, des moyens plus efficaces pour travailler grâce aux appareils mobiles ? ». Pour parvenir à cela, les responsables informatiques ont besoin de créer un environnement mobile sécurisé pour l’utilisateur qui répond à tous les besoins.

Au final, il y assez d’applications fonctionnelles et faciles à utiliser pour que les employés en adoptent pour compléter au mieux leurs tâches. Celles-ci sont peut-être utiles pour l’employé mais pas forcément suffisamment intégrées ou sécurisées : en fonctionnant de manière isolée, il se peut que les applications limitent la productivité, l’efficacité et la collaboration.

La clé pour que les responsables informatiques gardent le contrôle, à cette étape, se trouve dans le fait de comprendre comment les employés veulent interagir avec les données. En maitrisant cette connaissance, les responsables informatiques peuvent proposer l’environnement mobile sécurisé le plus attractif pour les employés. Ils peuvent proposer des applications sur mesure et des applications tierces sécurisées qui sont meilleures – que ce soit en rapidité ou dans l’usage – que celles que les employés utilisent déjà, ce qui aide à transformer l’entreprise en même temps.

En particulier, l’usage des applications professionnelles personnalisées ne fait que croître. D’ici 2017, 25% des entreprises auront un magasin d’application (app store) d’entreprise pour gérer les applications approuvées par l’entreprise sur les PC et appareils mobiles, selon Gartner. Les magasins d’applications d’entreprise offrent un meilleur contrôle sur les applications que les employés utilisent. Cependant Gartner reconnait que ce contrôle n’est possible que si le magasin d’applications est largement adopté. C’est pourquoi il est si important pour les entreprises de comprendre ce que les employés veulent faire sur leurs appareils et comment ils veulent le faire. C’est comme ça qu’ils pourront proposer l’environnement sécurisé que l’employé va adopter, tout en servant les objectifs de l’entreprise. (Florian Bienvenu, VP Europe Centrale et Europe du Sud, Good Technology pour DataSecurityBreach.fr)

Argent, Arnaque, escroquerie, Particuliers

Jennifer Aniston plus dangereuse que Rihanna

Selon une étude des Laboratoires Bitdefender, Jennifer Aniston (19,55 %) est la célébrité la plus utilisée ces derniers mois par les scammeurs afin de piéger les utilisateurs et ainsi leur dérober des données privées, ou encore tenter d’exécuter du contenu malveillant sur leur ordinateur. Rihanna (16,26 %) et Selena Gomez (13,84 %) arrivent respectivement en 2e et 3e position. Cette étude montre aussi que les films attendus en salle se révèlent être un leurre efficace pour piéger les cinéphiles un peu trop curieux.

TOP 10 des célébrités les plus utilisées dans les campagnes de spams ces derniers mois
Certains de ces spams associent le nom d’Aniston à du contenu sexuellement explicite, et un simple clic du destinataire sur le lien permet au scammeur d’installer un Cheval de Troie sur son système afin de récupérer ses données bancaires. Rihanna, quant à elle, apparaît dans des e-mails redirigeant l’utilisateur vers des pages Web au contenu pornographique et des sites plus ou moins frauduleux de vente d’accessoires en ligne (il est peu probable que l’utilisateur piégé reçoive un jour la marchandise commandée et payée sur ces sites). Enfin, les spams citant Selena Gomez vantent les mérites de la chirurgie esthétique ou des concerts gratuits en ligne. Ces publicités visent en fait à rediriger l’utilisateur piégé sur des sites de phishing permettant alors aux scammeurs de voler ses identifiants et mots de passe à des fins malveillantes. Miley Cyrus, Scarlett Johansson, Marilyn Monroe, Katy Perry, Beyonce Knowles, Sandra Bullock et Eminem sont également ces derniers mois, des célébrités très utilisées pour propager des campagnes de scams.

Outre les noms de célébrités, l’analyse de Bitdefender révèle que les scammeurs utilisent aussi des titres de films pour attiser la curiosité et piéger les utilisateurs. Gravity, occupe une place de premier ordre suivi de 12 Years a Slave, Insidious et The Avengers qui font figure d’appâts pour des campagnes de spams en cette fin d’année.

Selon Bitdefender, ces spams aux titres accrocheurs restent une stratégie payante pour piéger un grand nombre d’internautes trop curieux et maintenir ainsi la rentabilité de campagnes de scams et/ou de spams. Ces arnaques vont d’ailleurs souvent trop loin dans le sensationnel afin d’attirer le chaland, déclarant par exemple des célébrités comme étant prétendument mortes, photographiées battues ou impliquées dans des scandales sexuels sordides.

Ces e-mails promettant des photos ou des vidéos chocs ont un seul objectif : soutirer de l’argent à l’utilisateur. En effet, ce dernier, en ouvrant les pièces jointes et/ou en cliquant sur les liens associés, infecte sa machine avec un malware et/ou se retrouve exposé à des contenus inappropriés, offrant ainsi aux scammeurs la possibilité de récupérer ses informations personnelles à son insu et de les exploiter par la suite. Bitdefender rappelle aux utilisateurs que la meilleure chose à faire est de supprimer tout e-mail non sollicité et de rester vigilant contre ces messages promettant ce genre de contenus chocs.

Argent, Arnaque, Cyber-attaque, escroquerie, Virus

Faux courriel aux couleurs du PSG

Un commentaire

Depuis quelques jours, un pirate informatique diffuse un courriel aux couleurs du Paris Saint-Germain, et plus précisément de la boutique du club de football parisien. Le phishing est bien réalisé. L’escroc indique un achat dans la boutique du PSG. « Vous pouvez consulter votre facture FR9077796 via le lien suivant en cliquant dessus ou en le recopiant« . Dans la missive usurpatrice, un extrait d’une carte bancaire. Bref, de quoi inquiéter l’internaute qui n’a jamais rien acheté chez les footeux.

L’objet du courrier pirate « Confirmation de votre commande effectuée sur La Boutique officielle. » En cliquant sur le lien, direction non pas le club Qatari, mais un site piraté, utilisé pour cacher le logiciel espion. Un blog  basé en Suisse. En lieu et place d’une facture, un logiciel pirate, chargé de téléchargé un outil d’espionnage dans l’ordinateur du surfeur ainsi piégé. Même si l’icône à l’écran affiche un « PDF », il s’agit d’un exécutable qu’aucun antivirus, au moment de l’écriture de notre article, n’a détecté comme dangereux. Prudence, donc !

 

 

Cyber-attaque, Virus

Diffusion de virus via des publicités Yahoo!

La régie publicitaire de Yahoo! piégée par des publicités malveillantes qui diffusaient des virus. Vous avez très certainement du vous en rendre compte, d’étranges publicités sont apparues, en fin d’années dans d’importants sites Internet. A première vue, des iframes malveillants ont permis à des pirates informatiques d’exploiter le réseau publicitaire de Yahoo! pour tenter d’infiltrer les ordinateurs des visiteurs. C’est une entreprise belge qui vient de confirmer nos doutes. Fox-IT a annoncé que des appareils avaient été infectés après avoir visité Yahoo.com. Les iframes malveillants ne se trouvaient pas directement sur Yahoo! mais via des sous-domaines piégés.

Dans les codes malveillants, que les pirates ont tenté d’injecter via de fausses mises à jour Flash et autres fausses applications Android, les virus ZeuS et Andromeda. Yahoo! a indiqué que « le » malware avait été supprimé. Le malware ne visait, parait-il, que les internautes européens : France, Roumanie et Grande-Bretagne en tête. Chose tout à fait possible. Les kits pirates permettant ce genre de sélection géographique.

Fox-IT indique que les sites Yahoo! auront été responsables de 27.000 infections par heure. Pour atténuer ce chiffre, l’attaque ne fonctionnait qu’à la condition ou la machine touchée n’était sécurisée, que l’antivirus n’était pas mis à jour et que le surfeur validait le téléchargement du faux produit proposé.

 

 

Espionnae, Vie privée

LPM promulguée : la dérive du politique vers la surveillance généralisée

Le président la République a promulgué [1] la Loi de programmation militaire dont le texte est paru au Journal Officiel. L’adoption de son article 20 et l’absence de saisine du Conseil constitutionnel manifestent une profonde crise d’un pouvoir politique n’hésitant plus à porter massivement atteinte aux droits fondamentaux. La Quadrature du Net remercie tous ceux qui ont participé à la lutte contre ces dispositions et appelle à poursuivre le combat contre la surveillance des contenus et communications sur Internet par tous les moyens : législatifs, juridiques, technologiques et de choix d’usage.

Le texte de la Loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale [2] a été publié cette nuit au journal officiel. Son article 20 (anciennement 13) ouvre la porte à une surveillance largement étendue des informations et documents sur Internet, y compris par la sollicitation du réseau en temps réel et avec la participation des opérateurs de télécommunication et de services Web, pour des finalités dépassant très largement les impératifs de la défense et la sécurité nationales.

L’adoption de ces dispositions à la rédaction ambiguë et n’ayant rien à faire dans une loi de programmation militaire, puis l’absence de saisine constitutionnelle, manifestent une très grave crise de la représentation démocratique et de son respect des droits fondamentaux. Cette loi a été adoptée unanimement par les élus socialistes, pourtant très largement divisés sur l’article 20 (à l’époque article 13), et alors qu’ils avaient voté en sens inverse sur des dispositions provisoires et moins dangereuses en 2006 et 2008. Ceux de l’UMP, du groupe écologiste et de la gauche GDR y ont rejeté la loi dans les 2 chambres [3].

Pourtant, une fois cette loi adoptée, les clivages politiques et la discipline de groupe ont été la principale cause de l’échec des tentatives pour réunir les 60 signatures nécessaires à la saisine du Conseil constitutionnel, malgré la mobilisation citoyenne et les nombreuses alertes [4] d’organisations diverses [5]. Le vote politicien d’un PS tenu en laisse, le sectarisme de l’UMP refusant de co-signer avec des députés verts ou communistes et l’intimidation brutale de ses membres par son chef de groupe Christian Jacob [6] resteront dans nos mémoires comme emblématiques de la dérive vers un régime post-démocratique.

De nombreuses étapes permettront aux citoyens de continuer la lutte contre le développement d’une surveillance généralisée devenue l’instrument de pouvoirs politiques incapables d’agir pour l’intérêt commun. Sur le plan juridique, la parution du décret en Conseil d’État prévu dans la loi et les lois annoncées sur le renseignement et les libertés numériques donneront de nouvelles occasions de débats, de décision et de recours. Mais c’est sur le plan politique et celui des usages que se joueront tout autant nos droits et nos libertés.

« Avec les autres associations de défense des droits et libertés qui se sont mobilisées contre l’article 20, nous allons mener campagne sans relâche contre la surveillance et ces violations de la séparation des pouvoirs. Nous demanderons une affirmation forte du rôle du judiciaire, du droit à la vie privée et des libertés individuelles dans les lois à venir et par toutes les voies de recours possibles » déclare Jérémie Zimmermann, co-fondateur et porte-parole de l’association La Quadrature du Net.

« L’équilibre des droits ne pourra être retrouvé que si les citoyens manifestent fortement qu’il n’y a pas de démocratie ni d’être humain libre de s’exprimer dans une société de surveillance diffuse et si chacun, dans ses choix de services, d’outils et d’usage se réapproprie ce que l’on a abandonné aux opérateurs centralisés » déclare Philippe Aigrain, co-fondateur de La Quadrature du Net.

* Autres références *
http://www.assemblee-nationale.fr/14/cri/2013-2014/20140093.asp#P123495
http://www.senat.fr/seances/s201312/s20131210/s20131210_mono.html#Niv1_SOM7
4. https://www.laquadrature.net/fr/loi-de-programmation-militaire-les-parlementaires-doivent-saisir-le-conseil-constitutionnel
5. https://www.laquadrature.net/fr/pcinpact-surveillance-du-net-deluge-de-contestations-contre-le-patriot-act-francais

Argent, Banque, Cyber-attaque, DDoS

Une banque en ligne attaquée et bloquée

La NatWest, service bancaire en ligne, touchée par une attaque DDOS. Qui a souhaité bloquer la NatWest ? Pour le moment personne ne sait vraiment. Un ou des pirates informatiques ont lancé un DDoS, un Déni Distribué de Service (plusieurs milliers d’ordinateurs tentent de communiquer avec un serveur. La masse sature le service). Les clients ont été incapables d’accéder à leurs comptes en ligne. « En raison d’une hausse du trafic internet délibérément dirigée sur le site NatWest, certains de nos clients n’ont pu avoir un accès à nos sites Web. » a indiqué le service presse. Il y a quelques semaines RBS, dont NatWest est une filiale, était tombée sous les coups d’un autre DDoS. (Mirror)

Arnaque, Cybersécurité, Fuite de données, Mise à jour, Patch

Fausses clés de licence ADOBE

Un pirate exploite la base de données piratée à ADOBE pour inciter les clients à télécharger une fausse licence, mais virus. Il fallait un peu s’en douter. Diffuser la base de données volées à ADOBE, BDD comprenant des millions d’emails, ne pouvait qu’attirer les pirates et autres escrocs. Le dernier en date, son courriel a été detecté fin décembre, incite les clients ADOBE à télécharger une nouvelle clé d’activation pour leurs logiciels (Photoshop, Premiére, …) Bien entendu, la pseudo nouvelle clé n’est rien d’autre qu’un code malveillant, un logiciel espion.

Pour rappel, le 3 octobre dernier, Adobe a détecté sur son réseau des attaques informatiques (d’idiotes injections SQL) portant sur l’accès illégal à une base de données de sauvegarde contenant des identifiants Adobe et des mots de passe cryptés, ainsi que sur la suppression de cette base. « Nous vous informons que votre identifiant Adobe figurait dans cette base mais pas votre mot de passe actuel.  Par conséquent, nous n’avons pas réinitialisé votre mot de passe » explique dans son courriel de décembre, l’entreprise américaine.  La base de données piratée provenait d’un système de sauvegarde qui contenait de nombreuses entrées obsolètes et était destiné à être mis hors service. Le système Adobe d’authentification des enregistrements, qui pratique le hachage et le salage des mots de passe des clients, n’était pas la source de la base de données volée. Adobe conseille à ses clients de changer leurs mots de passe, sur les autres sites, dans le cas ou l’internaute aurait utilisé le même que chez ADOBE.

 

Cyber-attaque, Logiciels, Mise à jour, Patch

IP Board Forums attaqué par un exploit

Un exploit Kit du nom de DotkaChe s’attaque à l’outil web IP Board Forums. Un kit pirate, baptisé exploit kit DotkaChef, ou encore DotCache, DotCacheF, a été découvert, fin décembre. Il cible les sites Internet qui exploitent IP Board Forums. L’attaque a été découverte par Chris Wakelin de la société Kahu sécurité. Les cybercriminels auraient exploité une vieille faille PHP (CVE-2012-5692) affectant IPB 3.3.4 et anciennes versions. Une fois le site compromis, DotKaChef est téléchargé sur le site Internet de la victime dans un dossier au nom aléatoire. Vous pouvez trouver les détails techniques sur le site de Kabu Sécurity.

Cyber-attaque, Logiciels

Comment piéger les logiciels malveillants avec un bac à sable

L’émulation des menaces est une nouvelle technique clé pour stopper les attaques « zero-day » et ciblées. Thierry Karsenti, Directeur Technique Europe de Check Point, explique à DataSecurityBreach.fr comment cette méthode offre une protection inégalée contre les menaces connues et inconnues.

« Connaître son ennemi aussi bien que soi-même » est une maxime souvent citée dans le milieu de la sécurité informatique. Mais avec le nombre et la complexité des cyberattaques, apprendre à connaître son ennemi est une tâche énorme. Les agresseurs se bousculent chaque jour aux portes des entreprises. Ils déploient un nombre impressionnant de logiciels malveillants pour tenter de perturber l’activité des entreprises et siphonner furtivement des données confidentielles. Les entreprises continuent d’être vulnérables aux attaques « zero-day », si l’on en veut pour preuve le volume de nouveaux logiciels malveillants capables de se cacher dans des fichiers inoffensifs. Bien que nous ne puissions pas tout savoir de nos ennemis, les nouvelles technologies de sécurité peuvent fournir des renseignements vitaux pour identifier et neutraliser les nouveaux risques qui voient le jour quotidiennement.

La cybercriminalité est devenue une grande entreprise, et comme dans n’importe quel autre secteur d’activité, les criminels cherchent à augmenter leurs revenus et accroître leurs parts de marché. Ils ciblent des centaines voire des milliers d’entreprises, pour augmenter leurs chances de succès. Rien qu’en 2012, de 70 000 à 100 000 nouveaux échantillons de logiciels malveillants ont été créés et diffusés chaque jour, soit plus de 10 fois plus par jour qu’en 2011 et plus de 100 fois plus qu’en 2006. Le Rapport Sécurité 2013 de Check Point a constaté que 63% des entreprise sont infectées par des bots, et plus de la moitié sont infectées par de nouveaux logiciels malveillants au moins une fois par jour. Il s’avère impossible pour les approches antimalwares traditionnelles de suivre le rythme de cette croissance effrénée.

Cachés aux yeux de tous
Les logiciels malveillants furtifs sont la technique d’attaque la plus couramment utilisée. Ils sont conçus pour être difficiles à détecter par les équipes informatiques. Le code de la majorité de ces nouveaux logiciels malveillants est caché dans des types de fichiers courants que nous utilisons tous pour nos activités : emails et leurs pièces jointes, documents Word, PDF, Excel et ainsi de suite. Des boîtes à outils de piratage permettent d’obscurcir ces scripts exécutables pour dissimuler leurs actions malveillants, par exemple la modification de la base de registre sur l’ordinateur d’un utilisateur, ou le téléchargement d’un fichier exécutable capable d’infecter un réseau.

Et même si les défenses multicouches de détection et de prévention des intrusions peuvent aider à bloquer certaines actions des logiciels malveillants, elles ne peuvent pas toujours stopper les infections atteignant le réseau et s’y propageant. Ces menaces exploitent de nouvelles failles ou encore des variantes de failles connues pour lesquelles il n’existe pas de signatures et donc de défenses conventionnelles pour les détecter. Tandis que les antivirus, les antispywares et autres solutions de protection similaires sont utiles pour « nettoyer » après une attaque, ils sont inefficaces comme moyen de défense contre ces nouveaux types d’attaques.

Tout comme les contrôles frontaliers d’un pays font appel à différentes techniques pour observer les individus qui entrent et identifier ceux qui représentent une menace, de nouvelles techniques de sécurité permettent de scruter les emails, les fichiers et les données qui entrent dans un réseau en temps réel. Les fichiers malveillants peuvent être isolés sur la passerelle à la périphérie du réseau ou dans le Cloud, selon le choix de l’entreprise, de manière à empêcher les infections. Cette couche externe protège contre les attaques sans impacter l’activité de l’entreprise.

À la recherche des logiciels malveillants
Ce processus d’isolation et d’évaluation est effectué à l’aide d’une technique appelée « émulation des menaces ». À la manière des scanners à rayons X installés aux frontières, cette technique permet de regarder à l’intérieur des fichiers suspects qui arrivent dans la passerelle, qu’il s’agisse de pièces jointes d’emails ou de fichiers téléchargés depuis le web, et d’inspecter leur contenu dans une zone de quarantaine virtualisée appelée « bac à sable ». Cette version virtualisée et isolée d’un environnement informatique agit comme une zone de sécurité permettant l’exécution des différentes applications à risque ou destructives.

Les fichiers y sont ouverts et surveillés pour détecter tout comportement inhabituel en temps réel, tel que les tentatives de changements anormaux de la base de registre ou les connexions réseau non autorisées. Lorsqu’un comportement est jugé suspect ou malveillant, le fichier est bloqué et mis en quarantaine, empêchant ainsi toute infection d’atteindre le réseau et entraîner des dommages. À ce stade, d’autres actions peuvent être effectuées pour identifier et classifier la nouvelle menace afin de faciliter toute identification ultérieure.

Regardons maintenant de plus près comment l’émulation des menaces identifie de nouveaux types d’attaques et de logiciels malveillants pour lesquels il n’existe pas de signatures, et comment elle met fin à ces nouvelles attaques furtives.

Construction du bac à sable
Le moteur d’émulation des menaces et le bac à sable sont gérés par un hyperviseur, qui exécute simultanément plusieurs environnements : Windows XP, 7 et 8 ; Office 2003, 2007 et 2010 ; et Adobe 9, ainsi que des instances virtualisées des applications de bureautique les plus couramment utilisées, telles que Word, Excel, PowerPoint et autres. Comme l’écrasante majorité des logiciels malveillants modernes utilise des méthodes d’ingénierie sociale pour inciter les utilisateurs à cliquer sur des pièces jointes ou télécharger des fichiers semblant légitimes, l’inspection des fichiers utilisant ces environnements et applications courantes est le meilleur moyen d’empêcher les infections.

La sélection des fichiers jugés suspects et devant être inspectés – à savoir, le cheminement vers le bac à sable – se déroule soit au niveau des passerelles de sécurité de l’entreprise soit dans le Cloud, à l’aide d’un agent fonctionnant en parallèle du serveur de messagerie de l’entreprise. Cette sélection peut même se faire dans le trafic chiffré des tunnels SSL et TLS qui contournent habituellement de nombreuses implémentations de sécurité.

Le processus de sélection se fait à l’aide d’une combinaison de méthodes heuristiques et d’autres méthodes d’analyse. Par exemple, lorsque plusieurs instances d’un même fichier ont déjà été mises en cache dans la passerelle ou par l’agent de messagerie, le système peut considérer que le fichier fait partie d’une tentative de phishing visant plusieurs employés. Cette approche optimise et accélère l’analyse en ne choisissant que les fichiers suspects pour une inspection plus approfondie. Lorsque des fichiers sont sélectionnés, ils sont ensuite envoyés au bac à sable contenant le moteur d’émulation, qui fonctionne soit sur la passerelle de sécurité soit dans le Cloud.

Détection des menaces
Les fichiers envoyés au moteur d’émulation des menaces sont copiés et lancés dans plusieurs systèmes d’exploitation et environnements applicatifs virtuels. Ils sont ensuite soumis à un processus d’inspection en cinq étapes :

1.     Tout fichier entraînant le malfonctionnement de l’instance virtualisée du programme, ou tentant de décompresser et substituer un autre document, est signalé comme étant malveillant. De plus, toute tentative d’appel d’un fichier .dll ou .exe signale un comportement potentiellement anormal et malveillant.
2.     La base de registre virtuelle est analysée pour détecter toute tentative de modification, qui est une caractéristique des logiciels malveillants et une action qu’un document courant ne devrait jamais tenter.
3.     Le système de fichiers et les processus sont également analysés à la recherche de toute tentative de modification apportée. Comme indiqué ci-dessus, un document ordinaire ne devrait pas tenter de faire des changements.
4.     Le moteur vérifie toute tentative de communication avec le web, par exemple, pour communiquer avec un centre de commande et de contrôle ou télécharger du code malveillant.
5.     Enfin, le moteur consigne et génère un rapport de toutes les activités effectuées par le fichier, avec des captures d’écran des environnements virtuels, et crée une « empreinte numérique » du fichier qui peut être rapidement utilisée lors de détections ultérieures.

Les fichiers malveillants détectés par le moteur sont placés en quarantaine afin qu’ils n’atteignent pas l’utilisateur final et n’infectent pas le réseau. Même le code malveillant prévu pour détecter son exécution dans un environnement virtualisé n’est pas à l’abri du bac à sable. Ce type de code malveillant tente de camoufler ses actions ou d’agir de manière inoffensive dans l’environnement afin de contourner la détection. Toutefois, cette activité de camouflage contribue effectivement à identifier une intention malveillante. Cette tentative de déguisement est reconnue par le moteur d’émulation et consignée en tant qu’activité suspecte.

La totalité de ce processus se déroule de manière transparente pour la majorité des fichiers, ce qui signifie que, même dans les rares cas où un fichier est inspecté et marqué comme étant « sain », le destinataire du fichier ne remarque aucun impact dans son service de messagerie. Les informations relatives aux activités des fichiers sont mises à disposition de l’équipe informatique dans un rapport détaillé des menaces.

Partage d’informations sur les menaces au niveau mondial
Et si après la détection et le blocage d’un fichier par ce moyen, les entreprises étaient en mesure de partager les informations sur cette nouvelle menace pour aider d’autres entreprises à stopper également l’infection ? Après tout, la nouvelle menace a été identifiée et son empreinte numérique a été créée, ce qui signifie que les infections résultantes peuvent être évitées.

C’est le principe du service Check Point ThreatCloud, qui permet de diffuser les connaissances acquises au sujet d’un nouvel ennemi. De la même façon que les organismes de santé collaborent à l’échelle mondiale pour lutter contre les infections émergentes, développer des vaccins et autres traitements, l’approche collaborative de ThreatCloud réduit les délais entre la découverte d’une nouvelle attaque et la possibilité de s’en protéger. Dès qu’une nouvelle menace est identifiée, les détails la concernant (y compris les descripteurs clés tels que son adresse IP, son URL ou son DNS) sont communiqués à ThreatCloud et automatiquement partagés avec les abonnés du service à travers le monde. Lorsqu’une nouvelle menace est par exemple utilisée comme attaque ciblée sur une banque à Hong Kong et est identifiée par l’émulation des menaces, la nouvelle signature peut être appliquée en quelques minutes à des passerelles disséminées dans le monde entier. En vaccinant les entreprises contre les attaques avant que les infections ne se propagent, l’émulation des menaces empêche ces infections de se transformer en épidémies et améliore la sécurité pour tous.

Donc même si les cybercriminels ciblent des centaines ou des milliers d’entreprises, l’émulation des menaces peut jouer un rôle clé dans la protection des entreprises contre de nouvelles souches de logiciels malveillants et d’attaques « zero-day ». L’utilisation de l’émulation des menaces pour « connaître son ennemi » pourrait devenir l’une des méthodes les plus robustes pour sécuriser les réseaux des entreprises, en créant une nouvelle première ligne de défense contre les logiciels malveillants.

 

escroquerie, Espionnae, Particuliers, Vie privée

SnapChat, une faille dans ses bits

Un commentaire

L’application SnapChat dangereuse. Des hackers démontrent comment intercepter identité et numéro de téléphone d’un utilisateur. L’application SnapChat permet de diffuser des photos, via son smartphone (iOS et Android). Les hackers australiens de chez Gibson Security viennent de tirer à boulet rouge sur le prochain jouet de Facebook en annonçant des fuites de données. La vulnérabilité permet à un malveillant de mettre la main sur le numéro de téléphone et le nom de l’utilisateur visé.

Contacté voilà 4 mois, SnapChat fait la source oreille. Les hackers ont décidé de publier tous les détails de leur découverte le 25 décembre. Un « chantage pour le bien de la société » exprime les hackers au magazine Business Insider. « Espérons que Snapchat vérifiera son code et améliorera la façon dont la sécurité et les bugs sont traités dans l’entreprise ». Une faille qui fait suite à celle qui permettait de sauvegarder les photographies éphémères ou encore extraire d’un smartphone les documents pourtant effacés.  Si vous voulez vous rassurer, le site Snapchatdb.info proposait de s’avoir si vous étiez dans les 4,6 millions de gagnants. Cependant, l’espace web a été suspendu. Il est revenu via lookup.gibsonsec.org. Les derniers chiffres sont masqués, histoire de ne pas voir débarquer les spammeurs téléphoniques.

Apache, Cybersécurité, Fuite de données, Paiement en ligne, Patch, Sauvegarde

Malware pour les serveurs IIS

Un code malveillant capable de subtiliser mots de passe et informations bancaires via des serveurs IIS infiltrés. La société Trustwave, spécialiste en sécurité informatique, a lancé une alerte, mi décembre, concernant une découverte assez troublante. Une nouvelle attaque sournoise, via un malware, vise les serveurs IIS.

Baptisé ISN, le « machin » vise les machines Microsoft IIS6 32-Bit, IIS6 64-Bit, IIS7+ 32-Bit, IIS7+ 64-Bit. Le code malveillant, une fois installé, intercepte les requêtes POST http qu’il sauvegarde dans un fichier que le pirate peut consulter, à distance. Autant dire que les informations collectées peuvent faire de gros dégâts.

Comme le rappel Developpez, le chiffrement ne constitue en rien une méthode de protection efficace contre ISN, puisque le malware installé dans le serveur a accès aux données de la requête POST en clair. Au moment de l’alerte, seulement 9 antivirus sur 49 avaient detecté l’outil pirate qui installait ISN. Fin décembre, 31 sur 49.

Cyber-attaque, DDoS, Leak, Piratage

6 connexions sur 10 signées par un robot

Un commentaire

Les bots, des machines contrôlées pour agir sur le web en mode automatique, produiraient plus de 60% des connexions sur Internet. La société Incapsula, spécialisée dans la sécurité informatique, vient d’annoncer dans une étude réalisée par ses équipes que 61,5% des connexions sur Internet seraient produites par des bots. Seul 38,5% d’humains derrière la souris (49% en 2012). Une hausse de plus de 21% par rapport à 2012 (51%).

Dans les bots, de très nombreux spiders des moteurs de recherche, l’armada de Google en tête. L’étude Incapsula indique que les « gentils » bots sont en augmentation par rapport aux « vilains » bots (31%). Les robots informatiques pirates lancés à partir d’ordinateurs « infiltrés », les zombis, et contrôlés à distance par des pirates grimpent eux aussi de 31%.

L’étude se penche sur 90 jours de trafic visant 20 000 sites de clients de cette société américaine. Si l’augmentation est évidente, il ne faut cependant pas trop vite crier au tsunami automatisé (Cela ne concerne que leurs clients, mais donne une petite idée de la mode numérique du moment).

31% des bots sont toujours malveillants, mais avec beaucoup moins de spammeurs.