Dans un arrêt très court du 25 juin 2013, la Cour de cassation affirme sans ambiguïté qu’un fichier d’adresses qui n’a pas été déclaré à la Commission nationale de l’informatique et libertés a un objet illicite. C’est le site Legalis.net qui revient sur cette affaire jugée par la Cour de Cassation, fin juin. La cour suprême se fonde sur l’article 1128 du code civil qui prévoit qu’« il n’y a que les choses qui sont dans le commerce qui puissent être l’objet des conventions ». Selon l’article 22 de la loi Informatique et libertés prévoit, tous traitements automatisés de données personnelles doit faire l’objet d’une déclaration, à l’exception de cas définis. Mais la loi n’avait pas prévu explicitement que l’absence de formalité était sanctionnée par la nullité. D’où l’importance de cet arrêt qui conduit à considérer qu’un fichier non déclaré est sans valeur.
Tous les articles par Damien Bancal
La fraude en ligne baisse… mais qu’en est-il de l’impact sur les ventes de l’e-commerçant ?
L’Observatoire de la Sécurité des Cartes de Paiement a rendu public il y a quelques jours son rapport annuel 2012. On y apprend que le taux de fraude sur les paiements en ligne est en baisse pour la première fois depuis 2008 en France, atteignant ainsi 0,29% en 2012, contre 0,34% en 2011.
Au-delà des tendances révélées par ce rapport, les e-commerçants doivent se poser la question de l’impact de leur politique de gestion du risque sur leur taux de conversion. En effet, la baisse constatée du nombre de fraudes sur Internet est sans nul doute liée au recours de plus en plus fréquent à des outils de sécurisation basés sur l’authentification forte : 3D Secure. Mais ce n’est pas sans conséquences : l’érosion des ventes induite par 3D Secure n’est plus un secret pour les professionnels du commerce en ligne. Et même si l’on entend de plus en plus parler de 3D Secure « débrayable » ou « à la demande », est-ce une réelle solution pour les e-commerçants qui doivent arbitrer entre vendre davantage et éviter les fraudes ?
Les paiements frauduleux peuvent avoir des conséquences lourdes sur l’e-commerçant. Outre l’évident impact financier, il y a des conséquences collatérales : charge administrative lourde, e-réputation du marchand mise à mal et impact sur la qualité de ses relations avec ses partenaires bancaires. D’autant plus que les e-commerçants sont inégaux face à la fraude, qu’il s’agisse du type de bien vendu (bien numérique, bien physique avec bon de livraison, valeur vénale du bien vendu), des territoires couverts (national ou international), des marges générées sur chaque vente (plus la marge est faible, plus les efforts nécessaires à la compensation d’une fraude sont importants) voire des ressources humaines et des outils à la disposition de chacun.
On comprend donc assez vite que la lutte contre la fraude doit s’inscrire dans une démarche globale de génération de marge. En bref, comment puis-je m’assurer d’une augmentation des ventes « fiables » sur mon site e-commerce tout en luttant efficacement contre les actes frauduleux? En période de crise, comment ne pas gâcher les opportunités fournies par l’un des seuls secteurs encore porteurs ?
Nombreuses sont les sociétés se vantant de fournir des outils de lutte contre la fraude couvrant jusqu’à plusieurs dizaines de milliers de critères de risque à chaque commande traitée. Mais une telle exhaustivité n’est pas gage d’efficacité, car au-delà de l’outil c’est l’analyse statistique de l’activité du marchand qui lui permettra de prendre les bonnes décisions. Chaque e-commerçant doit être en mesure de déterminer un profil d’acheteur normal. Tout comportement sortant de ce profil doit susciter le déclenchement de règles spécifiques avec des actions ciblées en fonction de l’écart entre le comportement analysé et le comportement « normal ». Un travail d’analyse qui doit s’effectuer en amont de la mise en place de toute stratégie de lutte contre la fraude et qui doit être remis en cause régulièrement en fonction des nouveaux comportements détectés. Il faut aussi prendre conscience que la détection a priori de la fraude n’est qu’une facette d’une stratégie efficace. Le partenaire de gestion du risque doit pouvoir fournir des outils d’aide à la décision pertinents et ergonomiques capables d’indiquer au marchand de façon claire quelles alertes ou règles ont été levées par telle ou telle transaction.
Il devient clair que le « mix » d’une stratégie efficace de gestion de risque repose sur l’expertise business du marchand, l’expertise métier de son partenaire et la pertinence des outils mis à disposition. (Par Nabil Naimy, Head of e-payment solutions chez HiPay pour DataSecurityBreach.fr)
Le piratage des réseaux téléphoniques : un réel danger pour les entreprises françaises
Les malversations téléphoniques représentent un phénomène récurrent. Le montant estimé des pertes, en 2011, liées à des piratages de PBX a été chiffré par Orange. Montant : 4,96 milliards de dollars. Les fraudes à la messagerie vocale sont lancées à partir de Cuba, Somalie, Sierra Leone, Zimbabwe, Lituanie ou encore l’Autriche.
Le montant d’un piratage télécom d’une entreprise en France peut s’élever jusqu’à 600.000 euros, et ce phénomène grandit au fil des années. Concrètement, Il s’agit pour le pirate de prendre le contrôle du serveur de téléphonie (l’autocommutateur ou PABX) de l’entreprise cible. Cette prise de contrôle à distance permettra de générer des appels vers des numéros surtaxés. Chaque appel généré par le pirate sur ses numéros surtaxés lui permettra de percevoir une rémunération. Avec Internet et les nouvelles technologies de l’information et communication, pirater est devenu beaucoup plus facile : un ordinateur simple et quelques tutos en ligne suffisent. Il existe des solutions pour se sécuriser, dont des Firewalls voix pour lignes téléphoniques et VoIP. Ils permettent la détection en temps réel des attaques relevant de la fraude téléphonique, des utilisations abusives des numéros surtaxés et payants, ainsi que les dénis de services téléphoniques.
Des attaques DDoS contre les lignes empêchant l’émission et la réception d’appels. « Toutes les semaines, nous recevons des appels d’entreprises victimes de piratage, dont les pertes atteignent plusieurs dizaines de milliers d’euros en moyenne… », déclare à Data Security Breach Stéphane Choquet, Directeur Général de Checkphone.
*Chiffres : Source Orange Business Services (http://oran.ge/14IczSy)
L’armée électronique Syrienne pirate True Caller
La Syrian Electronic Army, qui a fait pas mal parler d’elle en piratant d’importants comptes Twitter, vient de ressortir de son trou numérique pour annoncer le piratage de l’annuaire collaboratif TrueCaller. Truecaller est un annuaire collaboratif mondial qui tient dans votre poche et vous permet de contacter facilement des personnes à travers toute la planète. Bref, une mine d’or pour malveillants.
La SEA a annoncé sur son Twitter qu’il avait mis la main sur les données du site. Sept bases de données auraient été volées. La principale BDD pèserait 450GB. La BDD, baptisée Profiles, tiendrait dans 4Go. Le base de données contiendrait, selon les hacktivistes, les codes d’accès de plusieurs millions de Facebook, Twitter, Linkedin, de comptes Gmail.
True Caller explique sur son blog ne pas stocker « les mots de passe, informations de carte de crédit, ou toute autre information sensible sur nos utilisateurs. a pu lire datasecuritybreach.fr, Il est faux que les attaquants ont pu accéder à Facebook de nos utilisateurs, Twitter, ou autres mots de passe de médias sociaux.«
L’entreprise américaine explique enquêter sur l’étendue de l’accès non autorisé dans ses bases de données. « Nous pensons qu’il est essentiel de faire connaître l’attaque, car il est important que nous gardions fidèle notre honnêteté et notre intégrité« .
Près de neuf français sur dix plébisciteraient la biométrie comme moyen de lutte contre la criminalité
Une étude de Steria, que datasecuritybreach.fr a pu consulter, menée auprès de 1 000 français (sur un total de 3 650 personnes interrogées en Europe), révèle que près de 9 français sur 10 (89 %) se disent favorables à l’utilisation de la biométrie pour identifier les criminels. La majorité est pour l’utilisation de la biométrie dans les cartes d’identité et les passeports (81 %), de même que pour contrôler les accès aux zones réglementées (77 %). En revanche, seuls 52 % acceptent que des solutions biométriques viennent remplacer les numéros PIN des cartes bancaires.
La plupart des français (89 %) se disent favorables à l’utilisation des technologies biométriques pour l’identification des criminels. Pourtant seuls 52 % accepteraient de voir la biométrie entrer dans leur vie quotidienne et remplacer les codes PIN des cartes bancaires par exemple. Une majorité de français (70 %) estime en effet que l’usage de la biométrie se limite à la protection contre l’usurpation d’identité, alors que de nombreux domaines de développement sont aujourd’hui envisagés : contrôles automatiques, simplification des procédures administratives, traçabilité des données, lutte contre la fraude ou encore réduction du crime.
Au niveau européen, les français sont plus favorables à l’adoption des technologies biométriques pour l’identification des criminels, que les britanniques (80 %), et les allemands (77 %). Près des trois-quarts (69 %) des sondés en Europe sont pour l’utilisation de la biométrie dans les cartes d’identité et les passeports, ainsi que pour contrôler l’accès aux zones réglementées.
Un marché à fort potentiel Selon de récentes estimations, le marché mondial de la biométrie représentera 8,5 milliards d’euros d’ici 2015. Cela traduit une formidable évolution des usages de la biométrie. Pour Florent Skrabacz, responsable des activités de Sécurité de Steria « les nouvelles applications de la biométrie, notamment pour la mobilité et les applications en ligne, sont une arme indispensable pour lutter contre les nouvelles fraudes à l’identité numérique ».
Ces propos sont renforcés par Ole Marius Steinkjer, expert des technologies biométriques chez Steria qui explique à DataSecurityBreach.fr : « Les applications de la technologie biométrique ne cessent de se diversifier : demandes d’asile, fluidité du trafic transfrontalier, authentification des criminels, contrôle d’accès aux sites militaires, aux dossiers médias, aux comptes bancaires, etc. Pourtant, en raison de préoccupations vis-à-vis de la protection de la vie privée, les citoyens hésitent toujours à adopter cette technologie au quotidien ».
Pour avoir déployé des solutions biométriques lors de projets dans 27 pays, notamment au Royaume-Uni, en Suisse, en France, en Allemagne, en Belgique et en Norvège, Steria jouit d’une grande expérience de la question. Cette année, Steria a notamment été sélectionné par la Police danoise pour un programme biométrique d’identification d’empreintes digitales et a annoncé, aux côtés de la Commission européenne, le déploiement de la seconde génération du système d’information Schengen (SIS II), qui prévoit de rationaliser les procédures de contrôle aux frontières de toute la zone et de faciliter la communication entre les Etats membres grâce aux données biométriques.
Connection VPN, entre 2 clés USB, en 60 secondes
Dans la nouvelle émission de ZATAZWeb.tv, numéro estival, il est proposé plusieurs sujets qui devraient vous intéresser. En plus de découvrir un jouet chinois qui permet de hacker certaines cartes RFID, l’émission ZATAZ Web TV revient aussi sur les livres à emmener avec soit à la plage, dont le dernier du moment des Editions ENI, Malware.
Particulièrement intéressant, les clés USB iTwin. L’émission a testé la version professionnelle de ces clés USB qui permettent de créer un accès VPN, entre deux portables. iTwin est composé de deux parties. La première clé est insérée dans l’ordinateur de bureau, et le second – à la maison, par exemple. La connexion, en quelques secondes, est automatiquement établie sous la forme d’une connexion VPN sécurisée entre les deux machines.
A noter que l’émission profite des beaux jours pour lancer le grand jeu de l’été. A gagner : deux Playstation 4 de Sony ; des tee-shirts Nuit du hack et ZATAZ.COM et des livres. Lancement de notre grand jeu de l’été, lundi 22 juillet. Les premiers indices se trouvent déjà dans l’émission.
Qui espionne le plus : iOS ou Android ?
Data Security Breach vient de finir de lire les résultats d’une analyse menée par BitDefender sur les comportements les plus intrusifs des applications Android et iOS. Après avoir analysé plusieurs centaines de milliers d’applications, l’étude révèle qu’elles sont tout aussi intrusives et indiscrètes sous iOS que sous Android. Alors que l’on pourrait penser l’un des deux systèmes d’exploitation plus intrusif que l’autre, il résulte que les données personnelles des utilisateurs d’appareils mobiles (contacts, adresses e-mail, localisation, etc.) sont aussi bien en danger sous Android que sous iOS. Le nombre d’applications analysées s’élève à 314 474 applications pour Android et 207 843 pour iOS.
Parmi ces comportements intrusifs et indiscrets, parfois intégrés par les développeurs d’applications eux-mêmes, DataSecurityBreach.fr a pu constater dans l’étude que 45,41 % des applications iOS intègrent des services de localisation contre 34,55 % sous Android. Avec une implantation et des formes d’utilisation similaires sur les deux plates-formes, ces ‘espions’ sont souvent demandés par les publicitaires et intégrés via des composants API (framework APIs) pour connaître les habitudes des utilisateurs. À ce stade de l’étude, seulement 7,69% des applications Android peuvent accéder à votre liste de contacts alors que les applications iOS se montrent davantage indiscrètes : 18,92 % sont techniquement capables de lire vos contacts. 14,58 % des applications Android peuvent divulguer l’identifiant de votre appareil et 5,73 % transmettre votre adresse e-mail. De nouveau, les applications iOS semblent recueillir plus de données personnelles que celles conçues pour Android.
Là aussi, ces informations sont très intéressantes pour les réseaux publicitaires et sont susceptibles d’être partagées ou revendues à des tiers pour, par exemple, l’envoi de publicités ciblées en fonction du comportement et du profil des utilisateurs. 8,82 % des applications Android analysées peuvent divulguer les numéros de téléphone d’un appareil à des publicitaires. Les applications intégrant Air Push et parfois LeaBolt permettent aux développeurs de recueillir, crypter et d’envoyer le numéro de téléphone à l’insu des utilisateurs.
Si la géolocalisation, l’accès aux contacts de l’appareil ou l’interaction avec les réseaux sociaux, peuvent être légitimes pour certaines fonctionnalités, ces comportements deviennent intrusifs lorsque les données personnelles de l’utilisateur ne sont pas indispensables au bon fonctionnement des applications mais collectées pour être monétisées par les développeurs. En d’autres termes, l’application ne devient gratuite qu’une fois ‘payée’ par l’utilisateur avec ses données personnelles. La situation est même pire, puisque payer l’application n’assure pas à l’utilisateur que ses données privées ne soient plus collectées ni même rendues à son propriétaire puisque déjà stockées dans des fichiers. De plus, la collecte de ces données est faite sans que l’utilisateur ait connaissance des autorisations accordées lors de l’installation de l’application. Que ce soit au moment de l’installation de l’application Android ou lors de son exécution pour une application iOS, l’utilisateur devrait lire attentivement les autorisations demandées.
Des applications qui peuvent aider à se sécuriser, Data Security Breach vous propose plusieurs solutions gratuites, pour Android et iOS, qui permettent d’être informés sur les risques d’atteinte à sa vie privée et ainsi se prémunir contre d’éventuels usages non désirés de ses informations personnelles. Des applications qui peuvent servir à protéger contre la collecte et l’utilisation de données personnelles par les autres application déjà présente sur le smartphone. D’abord, débutons par l’application de Bitdefender baptisée Clueful. Elle permet d’apprécier les données que pillent les applications. Possibilité d’effacer les plus dangereuses. Attention, Clueful collecte aussi des données personnelles, c’est du moins ce qu’indiquent les conditions générales. Autre solution, celle proposée par AVG. Même principe, avec possibilité de détruire les applications malveillantes.
DataSecurityBreach.fr terminera avec Androick, un outil pour linux permettant d’aider les utilisateurs à analyser des applications Android. Il permet de récupérer le fichier apk, toutes les données (stockées sur le téléphone et carte SD), les bibliothèques et les bases de données (au format SQLite3 et CSV). C’est un projet récent, jeune et dynamique. L’auteur, Florian Pradines, chercheur pour la société Phonesec, a expliqué à Data Security Breach et zataz.com des ajouts de fonctionnalités d’ici un ou deux mois, notamment celle permettant de décompiler une application qui possède le flag « isEncrypted ».
Attaque sur Android via un WhatsApp malveillant
Un utilisateur d’Android aurait reçu un fichier de contact WhatsApp malveillant. Document qui aurait été capable de changer le nom des personnes inscrites dans votre carnet d’adresse. Shivam, un blogueur indien, explique qu’il a reçu un fichier de contacts. Après avoir ajouté les informations dans son smartphone, le code malveillant aurait réussi à remplacer les noms par « Priyanka. »
Le malware nécessite que l’utilisateur accepte le contact. Bref, évitez d’ajouter n’importe quoi dans vos téléphones. En cas d’attaque, coupez la connexion web, wifi et Bluetooth de votre téléphone. Accédé à vos contacts, et recherchez le nom « bizarre » à supprimer. Allez ensuite dans « Réglages » de votre téléphone. Sélectionnez les applications (App Manager) puis sélectionnez WhatsApp dans la liste. Il ne vous reste plus qu’à effacer les données.
AVG Uninstaller for Android
AVG Uninstaller for Android La nouvelle application d’AVG permet de libérer de l’espace et d’améliorer la performance, notamment en supprimant les apps non utilisées.
AVG Technologies N.V., fournisseur de solutions de sécurité mobile et internet, d’optimisation de protection des données pour plus de 150 millions d’utilisateurs actifs, a annoncé à Data Security Breach le lancement de son application AVG Uninstaller. Une application disponible gratuitement pour les smartphones et les tablettes Android.
Conçue pour aider les utilisateurs à mieux gérer les applications téléchargées sur leur smartphone et leur tablette Android™, AVG Uninstaller permet de mieux contrôler les apps en fonction de la taille de celles-ci, la fréquence de leur utilisation, la consommation de batterie ou l’utilisation de données mobiles pour ensuite juger, sur la base des informations collectées, celles qui peuvent être désinstallées. Avec des notifications régulières et proactives pour recommander la désinstallation de certaines applications, AVG Uninstaller permet de libérer rapidement et facilement de la place pour de nouvelles apps tout en assurant une meilleure performance de l’appareil – le tout sans avoir à effectuer de multiples tâches Android OS pour supprimer chaque app individuellement.
« Les études récentes démontrent que les consommateurs consacrent jusqu’à 82 % de leur temps aux apps[i]. Nous adorons tous télécharger ces programmes, mais il y a toujours des apps que nous oublions dès la première utilisation. Ce n’est pas forcément un problème immédiat, mais le fait d’avoir ces apps non utilisées qui continuent de fonctionner en arrière-plan peut affaiblir les appareils en affectant la capacité de stockage, mais aussi la batterie et les données mobiles – autant d’éléments qui risquent, à terme, de nuire à la performance globale, déclare à datasecuritybreach.fr Yuval Ben-Itzhak, Directeur technologique chez AVG Technologies. En particulier, ceux qui utilisent souvent leurs apps ou qui disposent de peu de mémoire dans leurs appareils risquent de se retrouver vite à court d’espace ou frustrés devant un smartphone ou une tablette qui rame de plus en plus. AVG Uninstaller for Android™ résout ce problème en permettant de désencombrer facilement l’appareil et de faire de la place pour de nouvelles apps plus utiles ».
Il n’existe pas de version française, pour le moment, de cette application.
IP-tracking: une député Européenne saisit le nouveau Commissaire croate
En guise de bienvenue, l’eurodéputée Françoise Castex a enjoint le nouveau Commissaire à la protection des consommateurs, Neven Mimica, de se saisir du dossier IP-tracking. Alors que la CNIL a confirmé sur son site, vendredi 28 juin, le lancement d’une enquête conjointe avec la DGCCRF sur le développement, sur certains sites de vente de billets de transport en ligne, d’une pratique dénommée « IP Tracking », Françoise Castex a saisi l’occasion de la prise de fonction du Commissaire croate Neven Mimica pour le sensibiliser à cette pratique qui « contrevient d’une part aux dispositions européennes relatives à la protection des données personnelles, dont l’adresse IP fait partie, et d’autre part, génère une concurrence déloyale, avec un prix à la tête du client« .
Dans une lettre adressée au nouveau Commissaire croate, l’eurodéputée socialiste invite la Commission européenne à « enquêter sur la fréquence de cette pratique et protéger les consommateurs en conséquence. » Pour la Vice-présidente de la Commission des Affaires juridiques: « la création de ce nouveau portefeuille dédié à la protection des consommateurs doit amener la Commission européenne à se saisir enfin du dossier!« , estime à zataz.com et Data Security Breach, Françoise Castex.
Avant de conclure: « Alors que les vacances commencent, et que 53% des Européens réservent leurs vacances en ligne, il existe une forte attente des citoyens en la matière. La Commission enverrait un signal fort en ouvrant dès maintenant une enquête à l’échelle européenne« .
Mon terminal mobile sur le lieu de travail
Les salariés qui utilisent leur propre terminal mobile au bureau sont inquiets à l’idée que leur employeur puisse accéder à leurs informations personnelles. C’est ce qu’a pu constater Data Security Breach dans le rapport reçu d’Aruba Networks, leader de l’accès réseau pour l’entreprise mobile. En France, cette méfiance se traduit en faits concrets. DataSecurityBreach.fr a pu constater que 24% des salariés français déclarent que leur employeur ne sait pas qu’ils utilisent un terminal personnel au travail ; 57% d’entre eux ne déclareraient pas à leur employeur le nouveau terminal qu’ils envisagent d’utiliser au travail ; 65% déclarent que leur employeur n’installe pas de logiciel de sécurité supplémentaire sur leur terminal ; 48% ne signaleraient pas immédiatement une fuite de données professionnelles.
Le rapport de l’étude « Employees tell the truth about your company’s data », menée auprès de plus de 3 000 salariés dans le monde, révèle que près de la moitié des salariés européens (45 %) redoutent la perte de données personnelles, une crainte que partagent 40 % des personnes interrogées au Moyen-Orient et 66 % aux Etats-Unis. Par ailleurs, ils sont 34 % en Europe, 35 % au Moyen-Orient et 51 % aux Etats-Unis à déclarer que leur service informatique ne prend aucune mesure pour assurer la protection des dossiers et applications professionnels se trouvant sur leurs terminaux personnels.
Ces inquiétudes font que de nombreux salariés rechignent à mettre leur terminal personnel entre les mains du service informatique, mettant ainsi en danger les données de leur entreprise. Près d’un salarié européen sur six (soit 15 %) déclare n’avoir même pas prévenu son employeur qu’il utilise un terminal personnel au travail. Ils sont 17 % dans ce cas au Moyen-Orient et en Amérique.
Encore plus inquiétant pour les entreprises : 13 % des salariés européens, 26 % au Moyen-Orient et 11 % aux Etats-Unis avouent qu’ils n’informeraient pas leur employeur si leur terminal était corrompu, même si cela entraînait une fuite de données professionnelles. Ils sont par ailleurs 40 % en Europe, 41 % au Moyen-Orient et 36 % en Asie à affirmer qu’ils ne signaleraient pas immédiatement une fuite de données.
Cette réticence s’explique par la perception négative que les salariés ont du service informatique de leur entreprise. Ils s’inquiètent plus particulièrement de ce que le personnel informatique pourrait faire de leur terminal et des données qu’il contient. 25 % des salariés européens interrogés, 31 % au Moyen-Orient et 45 % aux Etats-Unis sont inquiets à l’idée que le personnel informatique accède à leurs données personnelles, et ils sont 18 % en Europe et 26 % au Moyen-Orient à craindre que leur service informatique ne fouille dans leurs données privées s’ils lui confiaient leur terminal.
Lorsqu’on leur demande comment elles réagiraient si le personnel informatique de l’entreprise accédait à leurs données personnelles, près de la moitié des personnes interrogées en Europe et au Moyen-Orient répondent qu’elles seraient en colère, tandis qu’elles seraient 41 % en Europe, 47 % au Moyen-Orient et 46 % aux Etats-Unis à percevoir cela comme une violation.
Ben Gibson, directeur marketing chez Aruba Networks, a déclaré à datasecuritybreach.fr : « L’étude menée des deux côtés de l’Atlantique montre que les employés et les services informatiques jouent avec la sécurité des données, mais cela n’est pas uniquement le fait du hasard. Pour résumer : autant les salariés acceptent mal le pouvoir que les employeurs exercent aujourd’hui sur leurs données personnelles, autant ils sont indifférents à la sécurité des données de l’entreprise. »
« L’utilisation de terminaux électroniques personnels pour un usage professionnel (BYOD) est devenue aujourd’hui une réalité face à laquelle les entreprises doivent adopter des solutions pour, d’un côté, garantir le caractère privé des données des employés et, de l’autre, exercer un contrôle plus étroit sur le réseau afin de s’assurer qu’aucune information sensible ne puisse être divulguée, le tout sans perturber l’expérience de l’utilisateur », a-t-il conclu à Data Security Breach.
Il existe clairement un fossé entre ce que les employés veulent et ce dont les services informatiques des entreprises ont besoin. Créer une véritable séparation entre données personnelles et données de l’entreprise contribuerait fortement à résoudre ces problèmes et à tranquilliser les salariés.
A noter que l’éditeur de solutions de sécurité informatique AVG a mis en ligne, dans le Google Play, un outil qui permet de désinstaller, efficacement, toutes les applications que l’on souhaite détruire.
Les abus de permissions des applications mobiles
Les utilisateurs octroient sans le savoir un accès aux fraudeurs en échange d’applications gratuites. Comme avez pu vous le montrer Data Security Breach et zataz.com lors du Forum International de la Cyber Sécurité 2013 (Fic20133 à Lille), les applications mobiles, surtout sous Android, peuvent cacher de véritable piège. McAfee a fait parvenir à la rédaction de datasecuritybreach.fr les résultats de son étude « Mobile Security: McAfee Consumer Trends Report – June 2013 ».
Celle-ci révèle les nouveaux moyens que les cybercriminels utilisent pour leurs méfaits et, notamment, comment ils détournent les permissions accordées aux applications mobiles pour commettre des fraudes et installer des logiciels malveillants. Le rapport de McAfee montre également que les jeux sont la forme la plus courante d’applications infectées par des malwares.
Datasecuritybreach.fr a constaté que, sous le camouflage d’applications « libres », les criminels sont en mesure d’amener les consommateurs à accepter des autorisations invasives qui permettent aux fraudeurs de déployer des logiciels malveillants. Les autorisations des applications gratuites, financées par les adwares, diffusent les informations personnelles des utilisateurs qui, par la suite sont utilisées par les réseaux publicitaires en vue de diffuser des annonces ciblées. Toutefois, McAfee a constaté que 26 % des applications sont probablement plus qu’un simple publiciel. Les arnaques par SMS et les exploits de rooting ont été parmi les types de menaces les plus populaires recensés à travers une variété d’applications.
Les escroqueries aux SMS surtaxés : un problème coûteux Le rapport a examiné Fake Installer, un morceau de malware SMS dissimulé dans une application gratuite qui peut envoyer jusqu’à sept messages. Avec un prix significatif de 4 $ US par message, cette application « libre » peut coûter jusqu’à 28 $ US lorsque le malware demande au mobile du consommateur d’envoyer ou de recevoir des messages à partir d’un numéro de SMS surtaxé.
Les fausses notes des applications : lire entre les étoiles Le logiciel malveillant Fake Installer a trompé les utilisateurs des Etats-Unis, d’Inde et de 64 autres pays, dont la France, en obtenant la note de 5 étoiles sur Google Play. A partir du moment où un développeur d’application est hautement noté, les autres applications qu’il publiera seront approuvées, créant ainsi beaucoup plus d’opportunités pour les criminels de publier et de diffuser des applications porteuses de logiciels malveillants.
Des applications malveillantes par catégorie : les jeux en tête de liste Le rapport de McAfee a également identifié les applications les plus populaires contenant des logiciels malveillants. Sur les 20 premiers téléchargements d’applications de programmes malveillants, les jeux ont remporté le concours de popularité, suivis par les applications de personnalisation. Viennent ensuite, à égalité, les outils applicatifs, les applications musicales, de style de vie (une catégorie de couverture pour les contenus pour adultes) et de télévision.
L’éditeur AVG a publié, début juillet, un outil qui permet de suivre les données diffusées par les applications, et éradiquer des mobiles les intrus.
CryptoCat mal sécurisé durant 1 an
L’outil de chiffrement de conversation en temps réel, CryptoCat, fonctionne sous Firefox. Une application que nous vous présentions, il y a peu, sur DataSecurtyBreach.fr. Depuis quelques jours, l’outil est « enfin » sécurisé de manière efficace. Il faut dire aussi que depuis le 17 octobre 2011, l’outil d’anonymisation des conversations avaient des problèmes dans ses clés de chiffrement.
L’information vient de Steve Thomas. Le codeur a découvert comment Cryptocat sécurisait mal les conversations, laissant des potentialités d’interceptions non négligeables. Jusqu’au 15 juin dernier, ou les sécurités et clés de chiffrement ont été renforcées de manière efficace, il était possible, avec plus ou moins de moyen, de cracker les conversations. « Le bug aura duré 347 jours, a pu lire dataSecuritybreach.fr de la main de Steve Thomas. Cela a rendu les clés privées ECC ridiculement petites. Le système de clé publique de Cryptocat est maintenant sécurisé… après avoir été mauvais depuis quasiment le début. » L’auteur de l’analyse suggère tout de même de ne pas utiliser Cryptocat « On ne sait pas combien de temps le système de chiffrement va résister« . Dommage que Steve Thomas n’ait pas apporté son savoir pour aider ce projet open source et gratuit.
VPN Persona non grata pour Visa et MasterCard
Le fondateur d’iPredator, un service de VPN qui permet de sécuriser et anonymiser ses connexions sur la toile, Data Security Breach vous vantait dernièrement l’intérêt des VPN, vient d’annoncer sur son blog que Visa et MasterCard interdisait toutes utilisation d’iPredator. Peter Sunde, propriétaire d’iPredator, et cofondateur de Pirate Bay, explique que les internautes qui souhaitent payer via ses deux solutions de paiement ne peuvent plus le faire. La société PaySon, qui se charge des transactions bancaires lui aurait indiqué que Visa et MasterCard interdisaient dorénavant les paiements pour des services VPN et autres systèmes d’anonymisation.
Le site Torrent freak, qui diffuse le courriel reçu par Payson, montre que les deux sociétés de paiement se sont aussi attaqués aux revenus des sociétés Anonine, Mullvad, VPNTunnel et Privatvpn. Bref, les deux entreprises américaines refont le coup de Wikileaks en bloquant les possibilités d’achats par leur biais. Un moyen pour le FBI et les services de renseignements américains de contrer, encore un peu plus, les fraudes et le black market ; ou est-ce une nouvelle méthode des majors de combattre les contrefacteurs de films, logiciels, albums de musique en les empêchant d’exploiter des moyens de rendre anonymes leurs actions.
C’est malheureusement mal connaitre ce milieu qui peut utiliser d’autres moyens de paiement comme PaySafeCard, des services téléphoniques surtaxés ou encore BitCoin.
Trois français sur 10 ont perdu des données stockées dans le cloud en 2012
Aujourd’hui, de nombreuses entreprises migrent vers des plates-formes de cloud computing pour bénéficier des avantages concurrentiels inhérents aux gains qui en découlent en matière de vitesse, d’agilité et de flexibilité. Selon l’enquête Avoiding the Hidden Costs of the Cloud – 2013 publiée en janvier 2013 par Symantec, Datasecuritybreach.fr vous en parlait à l’époque, 86 % des entreprises françaises en sont au moins à discuter de cloud computing, 79 % pour les PME.
Une mauvaise utilisation du cloud computing peut en revanche se révéler désastreuse pour les entreprises qui peuvent voir leurs coûts augmenter ou observer des pertes d’informations ou de données. En France, 33 % des entreprises ont perdu des données stockées dans des clouds et 70 % ont été confrontées à des échecs de restauration. C’est du moins ce qu’indique ce rapport. 70 % des entreprises françaises ont expérimenté des déploiements non-autorisés et non-gérés d’applications de cloud computing ; parmi elles, 40 % ont été confrontées à des problèmes de divulgation d’informations confidentielles et plus d’un quart à des problèmes de prise de contrôle de comptes, de dégradation de ressources Web ou de vols de produits ou de services.
Des données diffusées au sujet de Vinci construction
Un pirate informatique du nom de Lewis, du groupe SamouraiZ, a diffusé il y a quelques jours un document reprenant ce qui semble être un Pentest, une analyse de faille, sur le site de Vinci Construction. Des informations techniques (certificats, clés de chiffrement, XSS) et l’annonce de failles dans des espaces web du géant français de la construction. Au moment ou la planète se penche sur l’espionnage des entreprises, cette diffusion « underground » est assez étonnante. Le bidouilleur n’a cependant pas fourni (sauf via des captures écrans, ndlr datasecuritybreach.fr) les méthodes d’actions.
Pas de doute, cependant, que des entités de veilles (guerres) économiques seront capables de reproduire les découvertes du bidouilleur. Pour rappel, la loi Française considère les « pentests » sauvages comme des attaques informatiques. Les risques judiciaires sont importants : de 3 à 7 ans de prison ; jusqu’à 350.000 euros d’amende.
La banque européene du don de sperm piratée
Data Security Breach vient d’apprendre que la base de données de la banque européenne du don de sperme avait été piratée. Plusieurs milliers d’utilisateurs diffusés sur la toile. L’European Sperm Bank, une banque dédiée à la collecte de spermatozoïde vient d’être piratée par deux internautes connus sous les pseudonymes de Dz-PARO et AngryBird de la Phenomenal Crew. Une injection SQL qui a permis aux deux bidouilleurs de mettre la main sur une base de données impressionnantes contenant les identifiants de connexion des utilisateurs (emails, mots de passe en md5, téléphones et pseudonymes). Les deux bidouilleurs ont communiqué à la rédaction de zataz.com l’exploit qui a ouvert l’accès à la base de données de la BSB. La rédaction de zataz.com a alerté cette entreprise. Dommage que les deux grey hats aient diffusé les données dans un espace web que nous ne fournirons pas ici. Data Security Breach, qui a pu consulter les données diffusées par les pirates a pu constater une dizaine de français dans le fichier mis en ligne par les deux « visiteurs ».
Watch dogs : Ubi Soft attaqué par de vrais pirates
Des pirates informatiques ont mis la main, voilà quelques semaines, sur une faille de type injection SQL qui leur aurait permis de consulter la base de données de comptes d’utilisateurs de l’éditeur de jeu. Ubisoft recommande à ses utilisateurs de changer leur mot de passe par sécurité.
Le créateur de « Assassin’s » ou encore du très attendu Watch dogs affirme que la sécurité d’un de ses sites internet (Uplay) avait été compromise. Un audit a permis de démonter que des données de la base de données avaient été consultées. Data Security Breach ne sait pas si les informations (noms d’utilisateurs, adresses courriel et mots de passe [MD5]) ont été copiées et diffusées par le pirate.
Voici le courriel envoyé par UBI Soft. « Cher Membre, Nous avons récemment découvert que la sécurité d’un de nos sites Internet avait été compromise, permettant d’accéder à certains de nos systèmes en ligne sans autorisation. Nous avons immédiatement pris les mesures nécessaires pour supprimer cet accès, enquêter sur cet incident et restaurer la sécurité des systèmes touchés. Pendant cette procédure, nous avons appris que des données avaient été illégalement consultées depuis notre base de données de comptes. Ces données incluent des noms d’utilisateurs, des adresses e-mail ainsi que des mots de passe cryptés. Sachez qu’aucune information de paiement n’est stockée chez Ubisoft : vos informations bancaires ne sont donc pas concernées par cette intrusion. En conséquence, nous vous recommandons de changer le mot de passe de votre compte : datasecuritybreach.fr. Par mesure de précaution, nous vous recommandons aussi de changer vos mots de passe sur les autres sites Internet ou services où vous utilisez un mot de passe identique ou proche. Veuillez accepter nos sincères excuses pour cet incident. Soyez assurés que votre sécurité reste notre priorité. »
HackNowledgeContest Lille
Vous avez pu suivre, en direct, le HackNowLedge Contest Lille. Conférences et concours de Hacking Ethique au sein d’Euratechnologie. En voici les meilleurs moments.
C’est au cœur de la métropole Lilloise, à Euratechnologie, futur berceau de la recherche IBM (700 emplois annoncés), que le HackNowLedge Europe/Africa a déposé ses machines pour son édition Française. Après la Côte d’Ivoire, le Maroc, la Belgique, et avant la Tunisie, l’Espagne, l’Algérie, le Congo et la grande finale, en décembre en France, le HNE fait étape dans la capitale Flamande. Conférences, cours (Forensic, …) et concours d’Ethical Hacking. Suivez, en temps réel avec ZATAZ.COM, DataSecurityBreach.fr et sur Twitter, jusqu’à 22 heures, ce grand rendez-vous mis en place par l’association ACISSI.
12 Heures – Une centaine de concurrents face à 72 épreuves.
15 Heures – Belle ambiance. Les conférences et les cours attirent du monde
16 Heures – Il reste 6 heures de compétition. Pour le moment, les meilleurs ont 4510 points.
18 Heures – D’excellentes conférences, dont celle de Juan Ricardo, étudiant mexicain à la CDAISI.
Le chercheur est revenu sur le réseau GSM et la confiance au BTS de votre opérateur téléphonique ?
21 Heures – H – 1 avant la fin du concours.
22 Heures – Fin du concours. Les vainqueurs, la team Tontons Fappeurs (Impressionnante d’efficacité).
Opération Pangea VI
L’opération internationale « PANGEA VI », destinée à lutter contre la vente illicite de médicaments sur Internet, a impliqué cette année 99 pays dont la France. Cette opération s’est déroulée du 18 au 25 juin 2013 et a donné lieu à des arrestations dans le monde entier ainsi qu’à la saisie de milliers de médicaments potentiellement dangereux.
812 349 médicaments de contrebande et de contrefaçon ainsi que 138,7 litres et 641,5 kg de produits pharmaceutiques divers saisis par la Douane. – 114 sites illégaux de mise en ligne de médicaments identifiés par l’ OCLAESP, l’ OCLCTIC et le STRJD, dont 29 rattachés à la France qui ont fait ou font l’objet de procédures judiciaires. 85 sites hébergés à l’étranger ont été communiqués aux pays concernés pour enquête. Les analyses réalisées par Cyberdouane ont permis d’identifier 89 cibles potentielles d’investigations (sites internet illégaux, réseaux sociaux, blogs).
29 procédures judiciaires réalisées par les gendarmes et les policiers conduisant à 29 auditions de suspects, perquisitions et saisies de matériels informatiques aux fins d’analyses et poursuites d’enquêtes. 17 enquêtes sont encore en cours et 12 ont entraîné des décisions de justice et des peines allant du rappel à la loi à 12 mois de prison avec sursis. Le Service National de Douane Judiciaire (SNDJ) a été chargé de 10 enquêtes judiciaires dont une en co-saisine avec l’OCLAESP. Ces ouvertures d’enquêtes portent notamment sur des filières de produits dopants, des produits cosmétiques interdits et des anabolisants. Une enquête judiciaire a été ouverte concernant un détournement de Subutex destiné à l’Italie.
Les enquêteurs du groupement de gendarmerie départemental du Rhône et le Service National de Douane Judiciaire (SNDJ) ont collaboré pour démanteler un trafic de produits dopants opérant sur le territoire français et mettant en cause 25 personnes. Au cours des interpellations et des perquisitions, 150 flacons de marchandises prohibées et plus de 3000 comprimés ont été saisis.
Les infractions principalement visées sont d’une part l’exercice illégal de la profession de pharmacien (sanctionné de 2 ans d’emprisonnement et 30 000 € d’amende) et l’exercice illégal de la profession de médecin via Internet, (infraction visée par l’article L.6316-1 du code de la santé publique encadrant les actes de la télémédecine) et d’autre part la fabrication, l’offre à la vente, la vente et la détention de médicaments falsifiés (sanctionnées de 3 à 7 ans d’emprisonnement et d’amendes d’un montant allant jusqu’à 750 000 €).
En achetant sur Internet, les consommateurs s’exposent à recevoir des médicaments dont la qualité n’est pas garantie, dont la provenance et les circuits empruntés sont inconnus et dont le rapport bénéfice/risque n’est pas évalué. Les médicaments proposés sur Internet peuvent contenir des substances actives non mentionnées sur l’étiquetage ou à des teneurs déficitaires, être périmés ou altérés par des conditions de stockage ou de transports inadaptées. Selon l’OMS, environ 50% des médicaments vendus sur Internet seraient des contrefaçons.
Outre les contrefaçons de médicaments, un grand nombre de produits falsifiés circule sur le web : pseudo médicaments génériques non autorisés en Europe, pseudo compléments alimentaires répondant à la définition du médicament de par leur composition ou leur indication (tels certains produits du dysfonctionnement érectile ou à visée amaigrissante), ou pseudo médicaments à base de plantes médicinales.
L’ANSM rappelle que l’achat de médicaments sur Internet hors du circuit légal comporte de nombreux risques pour la santé des consommateurs et peut favoriser le mauvais usage des médicaments. Seul le circuit des pharmacies d’officine est régulièrement contrôlé par les autorités sanitaires.
Citadel, WinSpy, Zeus … La fuite du code source de Citadel annonce des jours sombres sur Internet ?
Citadel, WinSpy, Zeus … La fuite du code source de Citadel annonce des jours sombres sur Internet ? Il nous aura fallu pas moins de 4 jours pour décortiquer le contenu d’un fichier zip dédié au code malveillant Citadel. 1.9 Go de données diffusées sur certains espaces underground russes.
Un fichier zip comprenant le code source de l’outil pirate Citadel mais aussi des dizaines d’autres outils pirates et malveillants. Nous ne parlons pas de l’analyse technique, qui demande beaucoup trop de ressources, mais uniquement de chaque code source, images, textes, exécutables.
Deux gros dossiers. Le premier avec les codes source de Citadel (source builder plugins). Un seconde dossier, comportant 57 répertoires (ayant eux mêmes des centaines de codes, outils, …) et 53 fichiers rar ou bruts de décoffrage avec autant de la malveillance numérique à revendre.
Un monstre informatique proposant Loader Hook (un keylogguer) ; Zeus 2.0.8.9 ; WinSpy 17 sans parler de mystérieux fichiers textes traitant d’un certain Igor. Sans parler de cet outil qui permet d’envoyer des SMS via Skype, sans parler de ces outils d’OCR capable de retranscrire les textes vues à l’écran ou dans de simples images ; un pack dédié à BitCoin ou encore des exploits pour Windows Seven. A noter aussi une série de ver, des worms (comme Blacj JW, ndlr zataz.com) avec code source et exécutables.
Citadel, WinSpy, Zeus … La fuite du code source de Citadel annonce des jours sombres sur Internet ? L’augmentation des attaques constatées ces derniers jours n’annonce rien de bon cet été !
ownCloud 5 Enterprise Edition
ownCloud. Inc, la célèbre entreprise open sources de partage et de synchronisation de fichiers sécurisés annonce la disponibilité générale le mois prochain de la nouvelle version de ownCloud 5 Enterprise Edition, qui propose aux entreprises un moyen sécurisé, personnalisable et extensible pour créer et héberger leur propre synchronisation et partage de fichiers.
Avec plus de 950.000 utilisateurs dans le monde, ownCloud offre une facilité d’utilisation, une flexibilité, une sophistication et une sécurité inégalée par rapport à des applications de stockage tiers grand public de basse qualité. ownCloud 5 Enterprise Edition devient partie intégrante de l’infrastructure déjà existante parce qu’il peut être déployé entièrement, en y intégrant les répertoires déjà existants des utilisateurs, les processus de gouvernance, de sécurité, de surveillance, de stockage et les outils de back-up. Et, parce qu’ownCloud est en open source et donc ouvert par nature, les pluggin apps étendent ownCloud en dehors des frontières de l’entreprise, ce qui permet la gestion des versions de fichiers, le partage des fichiers, le support de système de fichiers externes et bien plus encore. Si des applications ou des capacités supplémentaires sont nécessaires, les entreprises peuvent facilement étendre ownCloud via une application améliorée, et l’ajouter à leur serveur ownCloud.
« Les collaborateurs reconnaissent la facilité et les valeurs d’un outil comme Dropbox et souhaiteraient pouvoir l’utiliser de la même manière au sein de leur entreprise. Mais suite à de nombreuses utilisations non autorisées du service FSS, les collaborateurs créent des troubles, exposant ainsi les données de l’entreprise », a déclaré déclare à datasecuritybreach.fr Gene Ruth, Gartner Research Director. « Ce scénario embarrassant pousse les entreprises à changer de regard, en interdisant l’utilisation des services FSS, ou en s’adaptant aux nouvelles réalités et en propose donc une solution de gestion de la FSS pour leurs collaborateurs afin de maintenir le contrôle de l’accès et la préservation des données de l’entreprise. Mettre en œuvre une solution a l’effet positif, pas seulement en simplifiant l’accès aux données, mais aussi en offrant des améliorations de productivité, en particulier pour les collaborateurs mobiles qui ont besoin d’avoir accès à leurs données, n’importe où, n’importe quand et à n’importe quel moment ».
« Une partie importante de la mission de l’INCF était à l’origine de favoriser le partage de données scientifiques dans le monde entier », a déclaré déclare à datasecuritybreach.fr Sean Hill, Executive Director of the International Neuroinformatics Coordinating Facility (INCF), un organisme qui développe et maintient des bases de données et des infrastructures destinées aux neuroscientifiques. « Il nous fallait un système qui permette de garder l’ensemble de nos informations essentielles sur notre propre espace de stockage, celui-ci devait également s’intégrer parfaitement à nos outils de sécurité, de suivi et de gouvernance afin de fournir à nos collaborateurs finaux un outil facile et rapide. C’est d’ailleurs pour toutes ces raisons que nous avons choisi de travailler avec ownCloud ».
Dernières caractéristiques d’ownCloud 5 Enterprise Edition La dernière version d’ownCloud Enterprise Edition s’appuie sur le récent rapport d’ownCloud Community Edition :
Sécurité : • Amélioration d’Active Directory (AD) et intégration de LDAP : supporte de multiples répertoires LDAP et améliore les performances d’authentification d’AD • Cryptage AES au repos : Les fichiers sont maintenant encore plus sécurisés grâce à un cryptage au repos réalisé par ownCloud sur n’importe lequel des systèmes de stockage choisi par l’entreprise avec possibilité de revenir à la version antérieur.
Intégration :
• Provisioning des API : il dorénavant possible de les intégrer au sein des data center déjà existants
• Application de stockage externe renforcée : Intégration des bibliothèques de fichiers déjà existants car ownCloud offre une interface unique pour que les utilisateurs accèdent à leurs document
• Accueil l’intégration d’annuaire : Intégration des répertoires personnels des utilisateurs déjà existant sur ownCloud via CIFS ou NFS, la synchronisation et le partage deviennent le prolongement naturel des données de l’utilisateur
Ergonomie :
• Les fichiers supprimés : restauration des fichiers supprimés et des dossiers sans l’intervention de l’administrateur.
• Le téléchargement anonyme : la collaboration avec les partenaires et les sous-traitants devient beaucoup plus facile, et peut être gérée, entièrement connectée et consultable par le service informatique.
• Interface : gestion des fichiers et des comptes au sein d’une interface simplifiée, pour une meilleure identification de compte et un plug-in panneau de configuration simplifié.
« Des études ont montré que jusqu’à 75% des employés dans les grandes et très grandes entreprises utilisent la synchronisation des fichiers et le partage des applications (à la Dropbox) pour stocker des données sensibles de l’entreprise sans permission ou visibilité », déclare à datasecuritybreach.fr Markus Rex, CEO, ownCloud. « Les entreprises, en particulier celles dans les secteurs où les collaborateurs mobiles et les entreprises gèrent des données sensibles – comme la finance, la santé, le gouvernement et l’enseignement supérieur – se tournent vers ownCloud pour prendre le contrôle de leurs données. »
World of Warcraft piraté
Un intrusion pirate, via une option mobile de World of Warcraft laisse fuir des données de joueurs. L’éditeur Blizzard, auteur du mythique World of Warcraft vient d’annoncer un problème de sécurité informatique visant une certain nombre de ses joueurs. D’après la firme, une intrusion pirate a pu être orchestrée à partir de l’application mobile du jeu. Bilan, DataSecurityBreach.fr vient de se rendre compte que Blizzard a suspendu, le temps de l’enquête et de la correction, les possibilités de ventes et d’achats de biens numériques via l’application montrée de la souris. L’éditeur de WoW a alerté les joueurs concernés par ce piratage. L’alerte a été lancée à la suite de plusieurs plaintes de joueurs ayant été ponctionnés d’or par des pirates informatiques. Blizzard est en train de comparer les IP et les achats afin de quantifier les dégâts.
Pour que les e-soldes d’été riment avec e-sécurité
Pour que les e-soldes d’été riment avec e-sécurité Pour que les bonnes affaires le restent, 6 conseils de Data Security Breach pour succomber à la tentation des bonnes affaires estivales sans tomber dans les pièges qui peuvent être tendus sur internet. 26 juin, c’est officiellement le coup d’envoi des soldes d’été. C’est l’occasion de se faire plaisir en réalisant des économies d’autant que le mauvais temps de ces dernières semaines présage d’un important stock à écouler. Malgré la crise, 80% des français ont l’intention de faire les soldes cette année selon l’étude Ifop pour Spartoo avec un panier moyen prévu de 201 euros.
De plus en plus de français font leur achat sur des sites d’e-commerce. Cependant, même si ces sites sont mieux protégés qu’auparavant, le risque de se faire arnaquer sur Internet persiste. Alors que 52% des victimes de fraude déclarent que la fraude subie « a été effectué dans un commerce en ligne », 27% des acheteurs continuent d’utiliser leur carte de crédit avec désinvolture pour effectuer des achats en ligne selon une étude Harris Interactive pour Kaspersky Lab. Les montants volés constatés sont en moyenne de 250 euros mais si 20% de ces débits sont supérieurs à 1 000 euros.
Voici une liste de 6 conseils prodigués par Kaspersky Lab pour ne pas tomber dans les mailles du filet des cybercriminels pendant cette période d’achats :
1. Etre vigilant face aux offres trop alléchantes – Les internautes ont pour habitude de recevoir des promotions de différentes marques soit via e-mail ou sur les réseaux sociaux tels que Facebook et Twitter. Cependant, certains cybercriminels abusent de cette méthode de distribution en envoyant de faux e-mails déguisés en messages légitimes de marques (phishing). Après avoir cliqué sur le lien, l’utilisateur est alors redirigé vers un site malveillant au lieu de celui du distributeur. Les pirates pourront récupérer toutes les informations bancaires stockées sur l’ordinateur; 1/3 des internautes conservent ce type d’information sur leur ordinateur domestique.
2. Vérifier l’authenticité et la sécurité du site – Si une bonne affaire se profile, il suffit de se rendre sur le site officiel de la marque pour confirmer qu’il s’agit bien d’une offre légitime et que le site n’est pas un faux. Le témoignage de clients, la présence de conditions générales et la réactivité du service client constituent d’autres indices prouvant la véracité du site. Le paiement en ligne doit également être sécurisé car même si 44% des acheteurs sur Internet ne sont pas particulièrement inquiets lorsqu’ils utilisent leurs cartes de crédit en ligne1, il est important de vérifier l’existence du cadenas et de la mention https dans la barre d’adresse.
3. Privilégier les réseaux 3G/4G au Wi-Fi – Les smartphones et les tablettes peuvent aider à suivre les bonnes affaires même au sein des centres commerciaux physiques. Cependant, les cybercriminels savent que les consommateurs ont tendance à se rendre sur des sites dotés d’identifiants ou d’informations bancaires pendant ces événements particuliers. Ils peuvent facilement surveiller les informations envoyées sur les réseaux Wi-Fi publics, telles que le numéro de compte ou de carte bancaire.
4. Favoriser des moyens de paiements fiables – Il est important de privilégier les moyens de paiement qui permettent un recours comme les systèmes de paiement sécurisés par carte bancaire et d’éviter au maximum les services de transfert d’argent, notamment à l’étranger.
5. Eviter de renseigner les sites avec trop de données personnelles – Certains sites d’e-commerce sont très intrusifs et demandent de fournir beaucoup de données personnelles. Il faut donc éviter de laisser trop d’informations sur soi.
6. Choisir un mot de passe sécurisé – Un bon mot de passe est la condition indispensable pour une protection optimale de ses données. Le mot de passe idéal doit combiner plusieurs combinaisons de caractères mais ne doit pas être réutilisé à l’infini. Plusieurs mots de passe sont nécessaires pour éviter de se faire pirater ses comptes.
Les responsables informatiques aveugles face aux failles de sécurité des réseaux d’entreprise ?
Dimension Data, le fournisseur mondial de services et de solutions informatiques, a déclaré à Data Security Breach que le nombre de périphériques vulnérables sur les réseaux informatiques d’entreprise a chuté entre 2011 et 2012, passant de 75 % à 67 %. Même s’il s’agit du chiffre le plus bas en deux ans, cette tendance met en évidence l’approche laxiste en matière de sécurité actuellement adoptée par les gestionnaires de réseau.
Telle est l’une des conclusions tirées dans le Baromètre des réseaux 2013 publié aujourd’hui par Dimension Data. Depuis son lancement en 2009, le Baromètre des réseaux informe de l’état des réseaux à l’échelle mondiale, en compilant des données en provenance des entreprises et les résultats des audits Technology Lifecycle Management (TLM) réalisés par Dimension Data dans le monde au cours de l’année écoulée. Ce rapport analyse la capacité opérationnelle des réseaux en évaluant la présence de failles de sécurité, le statut en fin de vie et le respect des bonnes pratiques de configuration des périphériques réseau. Aujourd’hui, Dimension Data affiche au compteur plus de 1 200 audits réalisés ces cinq dernières années, grâce à la solution Technology Lifecycle Management (TLM), auprès d’entreprises de toutes tailles et opérant dans tous les secteurs d’activités.
Comme l’explique à datasecuritybreach.fr Raoul Tecala, directeur du développement commercial de l’activité Intégration réseau chez Dimension Data : « Certaines failles de sécurité présentes depuis des années n’ont toujours pas été corrigées — et ce, malgré la proactivité dont font preuve certains fournisseurs comme Cisco Systems avec l’envoi d’alertes en cas de correctifs et les constantes mises à niveaux de leurs logiciels et systèmes. (…) « L’élimination de toutes les failles de sécurité peut constituer un défi de taille dans le cas d’environnements complexes d’envergure. Il convient toutefois de mettre en balance les perturbations subies et les efforts nécessaires, d’une part, avec les répercussions potentielles et les mesures qui s’avèrent indispensables. Bien que les réseaux semblent actuellement moins en proie aux failles de sécurité, la proportion importante de périphériques vulnérables se maintiendra jusqu’à l’application d’un correctif logiciel ou à la mise à niveau vers une nouvelle version plus sécurisée du code. »
Data security breach conseille aux entreprises de concentrer leurs efforts sur les failles de sécurité qui représentent le plus grand danger. « Plus le périphérique est proche d’Internet, plus le risque est important. Par conséquent, les entreprises doivent se montrer vigilantes et nous leur recommandons de mettre en place un système visant à évaluer, à hiérarchiser et à corriger en permanence les failles de sécurité des réseaux. termine Raoul Tecala, Même si les réseaux informatiques paraissent aujourd’hui moins vulnérables, bon nombre des failles de sécurité restantes sont difficiles à supprimer complètement et on en identifie de nouvelles chaque année. Il serait donc malvenu de se reposer sur ses lauriers ».
HackNowLedge Contest édition France
Samedi 29 juin, le HackNowLedge Contest Europe Afrique dépose ses conférences et concours de hacking éthique à Lille. Le programme ! La capitale du Nord, Lille, et Euratechologie, accueillent, ce samedi 29 juin, le HackNowLedge Contest Europe Afrique.
Après le Maroc, la Belgique, la Côte d’Ivoire et avant l’Algérie, la Tunisie, l’Espagne et le Congo, ce grand rendez-vous dédié au Hacking Ethique vient déposer ses conférences, cours et concours de hacking éthique dans l’hexagone.
Cette édition française va permettre de suivre des cours de hacking & forensic ; de participer à un Challenge de HACKING ouvert à tous ; de croiser la séance d’accréditation CACERT et de participer aux conférences sur la sécurité informatique. A noter que votre serviteur ouvrira le bal, avec la présentation des petits secrets du Protocole d’Alerte de ZATAZ.COM.
L’ensemble du programme est ci-dessous. Imprimer votre badge d’accès ICI.
De faux logiciels antivirus usurpent l’identité des solutions de sécurité G Data
L’utilisation de faux logiciels antivirus pour infecter les ordinateurs, ou faire payer de fausses prestations aux internautes, est une pratique couramment employée par les cybercriminels. Les astuces ne manquent pas pour effrayer l’internaute sur le niveau d’infection supposé de son système, tout en le rassurant sur la qualité de la fausse solution de nettoyage proposée.
Utiliser le nom d’un éditeur d’antivirus connu est une des possibilités. G Data, dont la marque est utilisée dans certains de ces faux logiciels, fait le point sur cette situation et donne quelques conseils aux internautes. Généralement, tout commence par une navigation Internet anodine. Une fenêtre d’alerte apparait sur un site quelconque prévenant l’utilisateur qu’il doit procéder à l’analyse de son ordinateur. S’il valide cette analyse, il est alors entrainé dans une succession de fenêtres de fausses analyses. Elles n’ont d’autres buts que de pousser l’utilisateur à valider l’installation du programme malveillant sur son ordinateur. Un clic de trop et le programme est alors rapidement installé sur le système.
En plus d’infecter le système (afin de pouvoir en prendre le contrôle au besoin), l’autre finalité du concepteur du code malveillant est de faire payer la victime. Pour cela le mode opératoire est toujours plus ou moins similaire : de fausses alertes de sécurité signalent de graves problèmes sur le système. Jusque-là, ce programme a tout juste, lui-même étant la source du problème. Mais pour les corriger, inutile de penser que rien de plus simple : acheter la version payante ! Dans le cas du faux antivirus étudié, et qui usurpe la marque G Data, le terme générique InternetSecurity est utilisé.
Cette appellation, commune à un grand nombre d’éditeurs, est un premier pas pour induire la victime en erreur. L’interface en elle-même n’a graphiquement rien à voir avec les solutions de sécurité G Data, mais les fausses fonctions affichées telles que le scanner ou le pare-feu peuvent tromper l’utilisateur. L’usurpation de marque est par contre notoire dans les propriétés des fichiers. Le concepteur a en effet inséré le copyright et les informations d’identification de fichier utilisés par G Data dans son code malveillant. Ces informations étant reprises par Windows dans sa gestion des programmes, le terme G Data Antivirus 2012 se retrouve donc présent dans la gestion des icônes de la barre des tâches.
Les conseils de datasecuritybreach.fr pour éviter les faux antivirus
– Installer une solution de sécurité intégrant un filtre HTTP.
– Mettre régulièrement à jour ses navigateurs Internet et son système d’exploitation.
– Désactiver le contenu actif du navigateur. Les éléments javascript, ActiveX… sont fréquemment utilisés pour insérer les logiciels malveillants via des portes dérobées.
– Ne jamais accepter un scan en ligne de votre système si vous ne l’avez pas vous-même formellement demandé.
– G Data, comme les principaux grands éditeurs de solutions de sécurité disposent de versions multilingues de leurs logiciels. Si une solution de sécurité s’affiche en anglais sur un système en français, mieux vaut ne pas cliquer.
Nuit du Hack 2013
La 13ème édition de la Nuit du Hack s’est tenue les 22 et 23 juin, l’Hôtel New-York de Disney Land Paris. 48 heures devenues LA référence Française en matière de sécurité informatique, hacking et chouette ambiance. Conférences dédiées à la sécurité/hacking bancaire, CTF, concours divers, crochetage de serrures, workshops, hack de consoles avec la team de XavBox, radio, robotique, …
Linkedin piraté dans la nuit de jeudi ?
Jeudi, de 02h20 à 06h16, le réseau social Linkedin n’était plus dans son état normal. Durant quatre heure, les internautes qui rentraient leur login et mot de passe pour s’identifier se retrouvaient à fournir leur précieux sésame à un site qui n’avait rien à voir avec Linkedin. Le réseau social professionnel indique ne pas avoir subit de piratage mais un « problème » technique qui aurait été occasionné par son prestataire de service.
Un vrai faux site ? A première vue, un DNS capricieux et les internautes se sont retrouvés à fournir leurs identifiants à un inconnu. Ca montre aussi le niveau des utilisateurs. C’est un peu si vous fournissiez les données de votre carte bancaire dans une boite en carton posée à côté du distributeur de billets. Ca n’a pas le gout d’un distributeur, ca n’a pas la couleur d’un distributeur… mais c’est pas grave ! L’hébergeur a reconnu une erreur technique.
L’histoire ne dit pas ce qu’a bien pu récupérer le site Internet mis à la place de Linkedin durant ces 4 heures de « bug ».
Volkswagen France piraté pour piéger les utilisateurs de Skype et iTunes
Le piratage informatique d’un site web cache très souvent des actions biens plus malveillantes qu’un simple barbouillage. Pour preuve, le cas vécu, ce jeudi, par le site Internet du groupe Volkswagen France. Datasecuritybreach.fr et ZATAZ.COM ont pu constater qu’un pirate informatique avait réussi à s’inviter dans le serveur de la marque automobile Allemande afin d’y cacher une redirection malveillante vers une fausse page d’administration à Skype.
Le voleur a lancé son hameçonnage Skype (comme pour iTunes) via un courriel électronique contenant ce type de message (exemple pour skype, ndlr datasecuritybreach.fr) « Chère/Cher client Nous vous informons que votre compte Skype arrive a l’expiration dans moins de 48H. Cliquez simplement sur le lien suivant et ouvrez une session a l’aide de votre Skype ID et Mot de passe. Vérifiez maintenant. Cordialement L’assistance a la clientèle Skype 2013« .