Tous les articles par Damien Bancal

BYOD, Chiffrement, Cloud, Entreprise, Fuite de données

Les dirigeants d’entreprise ne s’inquiètent pas de la sécurité des données sur le Cloud

6 octobre 2013 Damien Bancal

Peu préoccupés par la sécurité, les hauts dirigeants n’hésitent pas à contourner les règles d’utilisation des applications sur le Cloud. Si la sécurité des applications déployées dans le Cloud est une préoccupation importante pour les utilisateurs professionnels, la plupart d’entre eux n’hésitent pas à recourir au Cloud pour y stocker leurs données personnelles et professionnelles…sans se soucier des risques encourus. C’est l’une des principales conclusions de la récente étude publiée par SafeNet Labs, créateur de la solution SafeMonk, nouveau service de chiffrement des espaces de stockage dans le Cloud « Dropbox » à destination des entreprises.

Lorsque SafeNet Labs – incubateur technologique lancé par SafeNet, Inc. (leader mondial de la protection de données) en faveur du développement de nouvelles technologies – a demandé à des centaines d’utilisateurs professionnels du monde entier s’ils étaient préoccupés par la sécurité des applications ou des données stockées dans le Cloud, 52 % ont répondu « Oui ». Cependant, 64 % des personnes interrogées ont déclaré utiliser fréquemment des applications basées sur le Cloud pour stocker leurs données personnelles et professionnelles. À la question « Est-ce que la sécurité de vos données et informations vous empêche de dormir ?», plus de la moitié ont répondu « Non, je dors comme un bébé. »

Un examen approfondi des résultats de cette étude montre que plus un poste est élevé dans la hiérarchie d’une entreprise, plus son titulaire est susceptible de recourir à des services de partage de fichiers comme Dropbox – et ce, en dépit des règles en vigueur dans l’entreprise. Ainsi, 33 % des dirigeants de niveau corporate (CEO, CFO, COO.) répondent par l’affirmative contre seulement 18 % pour les autres employés. La majorité des personnes interrogées (59 %) a déclaré qu’elle « ne serait pas surprise » d’apprendre que leur patron ou des dirigeants de leur entreprise utilisent des applications de partage de fichiers telles que Dropbox, malgré les règles s’opposant à cette pratique. En général, les dirigeants se sentent moins préoccupés par la sécurité dans le Cloud que leurs collaborateurs (respectivement 39 % et 54 % ont répondu « Oui »).

« Cette étude suggère que l’utilisation d’applications et le stockage de documents dans le Cloud continuent de proliférer, et que les sociétés devraient revoir les attitudes archaïques qui prévalent quant à l’utilisation de ces applications dans l’entreprise », a déclaré à datasecuritybreach.fr Tsion Gonen, Chief Strategy Officer, SafeNet, Inc. « Il ne fait pas de doute que les hauts dirigeants comprennent parfaitement les avantages que peut offrir l’utilisation d’applications dans le Cloud, et qu’ils devraient donner à leur entreprise les moyens d’en tirer parti en adoptant des outils et des pratiques de sécurité modernes ».

Le critère géographique entre également en ligne de compte en matière de sécurité des données dans le Cloud. Par exemple, l’utilisation d’applications basées sur le Cloud est nettement plus courante dans la région EMEA (Europe, Moyen-Orient et Afrique) qu’aux États-Unis et en Asie-Pacifique, de même que les niveaux d’inquiétude concernant la sécurité des données ou l’application de règles contre l’utilisation d’applications dans le Cloud. Toutefois, les personnes interrogées dans la zone EMEA sont davantage susceptibles d’ignorer lesdites règles. L’objet de leur préoccupation varie également en ce qui concerne la confidentialité de leurs données : les personnes interrogées aux États-Unis et dans la région EMEA déclarent se méfier des administrations, tandis qu’en Asie-Pacifique, Google est en ligne de mire. De plus, les personnes consultées en Asie-Pacifique constituent le groupe d’utilisateurs le plus inquiet s’agissant de leurs données et informations, craignant qu’elles soient exploitées à des fins malveillantes.

Au total, 52 % des personnes interrogées se disent inquiètes à l’idée que leurs applications bancaires et financières puissent être piratées. Les systèmes qu’elles utilisent le plus souvent sont Dropbox pour le stockage de fichiers (39 %) et les outils d’organisation personnels (25 %) ; par ailleurs, la messagerie électronique reste le principal outil utilisé pour partager des fichiers (68 %), selon l’enquête.

* SafeNet Labs a mené cette enquête en août 2013. SafeNet Labs est le créateur de SafeMonk, seule solution de chiffrement au monde contre les interceptions, spécialement conçue pour les utilisateurs du service de partage de fichiers Dropbox.

Entreprise, Fuite de données, Sécurité

9 entreprise sur 10 ont connu un problème de sécurité en 2013

6 octobre 2013 Damien Bancal 3 commentaires

A l’occasion de l’ouverture des Assises de la Sécurité à Monaco, Kaspersky Lab a présenté les principaux résultats de son étude « Global Corporate IT Security Risks 2013 », réalisée par B2B International en avril 2013 auprès de plus de 2800 entreprises à travers le monde. L’étude explique que 91% des entreprises ont connu au moins un incident de sécurité externe et 85% un incident interne au cours des 12 derniers mois, avec les conséquences financières que cela implique parfois. Ces chiffres élevés peuvent s’expliquer par un manque de connaissance des risques, exprimé par les professionnels. Un quart des répondants considèrent que les problèmes de sécurité informatique « n’arrivent qu’aux autres ». 28% des entreprises pensent à tort que s’équiper d’une solution de sécurité informatique représente un investissement plus élevé que les coûts liés à une attaque.

Près 60% des responsables informatiques ne disposent pas des ressources de temps et d’argent nécessaires à la mise en place de règles de sécurité informatique. En conséquence, seule 1 entreprise sur 2 pense disposer des processus automatisés et organisés nécessaires à la gestion des menaces. La situation est particulièrement critique dans le secteur de l’éducation, où 28% des organisations confirment disposer de règles de sécurité suffisantes. Plus inquiétant encore, 34% seulement des organisations gouvernementales ou travaillant dans le secteur de la défense au niveau mondial disposent des ressources nécessaires pour développer des règles de sécurité. Les autres, elles, sont exposées au danger permanent de perdre des informations gouvernementales confidentielles.

Pourtant, il suffit parfois d’une seule mesure, comme la mise en place d’une stratégie de sécurité mobile, associée à de la pédagogie, pour réduire de manière significative les risques liés à l’utilisation des smartphones et des tablettes en entreprise, qu’il s’agisse de flottes professionnelles ou dans le cadre du BYOD. Ainsi, l’étude révèle que près de la moitié des répondants ne disposent pas de ce type protection. Même les entreprises qui disposent d’une stratégie de sécurité mobile ne peuvent y attribuer les ressources associées : près de la moitié déplorent des augmentations de budgets insuffisantes, et 16% n’ont enregistré aucun accroissement budgétaire.

Hacking, Justice

13 présumés Anonymous inculpés aux USA

4 octobre 2013 Damien Bancal Un commentaire

Le tribunal d’Alexandrie (USA – Etat de Virginie) n’a pas été de main morte. La justice américaine vient de mettre en cause 13 pirates informatiques présumés pour avoir lancé des attaques informatiques sous la signature d’Anonymous. Des piratages informatiques, vols de données et autres DDoS menés entre septembre 2010 et janvier 2011 contre la Motion Picture Association of America. Le syndicat des studios de cinéma Hollywoodien (MPAA), la Recording Industry Association of America (RIAA), Visa, Mastercard ou encore la Bank of America. Des actions lancées au moment des mises en place de nouvelles lois contre le piratage de biens culturels sur le réseau des réseaux. Les 13 personnes inculpées « ont planifié et mis en oeuvre une série de cyberattaques contre les sites des entreprises victimes (…) pour rendre leurs ressources inaccessibles à leurs clients et utilisateurs », a pu lire datasecuritybreach.fr dans l’annonce de l’acte d’inculpation. Ces internautes, s’ils sont reconnus coupables, risquent jusqu’à 30 ans de prison ferme.

Cyber-attaque, Cybersécurité, Fuite de données, Leak, Paiement en ligne

Plus de 2 millions de données clients volées à ADOBE

4 octobre 2013 Damien Bancal Un commentaire

ADOBE, le géant du logiciel de création sur Internet ne voit que pas le Cloud. Au prix que coûtent ses outils numériques, nous aurions pu penser que la sécurisation des données que nous pouvons lui laisser étaient aussi carrée que le protocole mis en place pour s’assurer que les utilisateur de Photoshop, Premiere, … ne soient pas des vilains copieurs.

La société américaine vient de confirmer, par le biais de Brad Arkin (responsable sécurité) qu’un pirate informatique avait mis la main sur pas moins de 2.9 millions de comptes utilisateurs. Dans le fichier intercepté via une faille iSQL : les noms, les informations de facturation, les données des carte de crédit, CVV et compagnie. Les mots de passe des clients ont été réinitialisés.

« L’équipe Adobe en charge de la sécurité a récemment découvert sur notre réseau des attaques sophistiquées portant sur l’accès illégal aux informations de nos clients, ainsi qu’au code source d’Adobe ColdFusion, un serveur d’applications destiné aux développeurs et, potentiellement, d’autres produits Adobe. Nous pensons que ces attaques pourraient être liées. En collaboration avec nos partenaires et les services de police, nos équipes internes mettent tout en œuvre pour résoudre cet incident. »

Là ou cela devient du grand n’importe quoi. Le pirate aurait réussi à mettre la main sur des codes sources d’outils comme Adobe Acrobat, ColdFusion, et ColdFusion Builder. Les pirates ont eu accès aux identifiants et mots de passe Adobe des clients. Les pirates ont pu accéder aux informations bancaires cryptées de 2,9 millions de clients Adobe, et notamment aux noms des clients, à leurs numéros de carte bancaire cryptés et dates d’expiration, ainsi qu’à d’autres données relatives à leurs commandes. « Pour le moment, nous pensons qu’aucun numéro de carte bancaire extrait de nos systèmes n’a été décrypté« . a pu lire datasecuritybreach.fr. Adobe enquête également sur l’accès illégal au code source de ColdFusion et sur le risque d’un accès non autorisé au code source d’autres produits Adobe. « Nous n’avons pas connaissance de menaces accrues pesant sur les utilisateurs de ColdFusion suite à cet incident« .

Toute la procédure pour les clients est en ligne afin de réinitialiser en trois points son mot de passe.

Entreprise, Fuite de données, Sauvegarde

En entreprise, 80% des ressources financières dédiées à la sécurité sont dépensées à mauvais escient

2 octobre 2013 Damien Bancal Un commentaire

Malheureusement, ce succès est surtout dû à l’envolée du nombre d’attaques, qui s’accompagne en plus d’une nuée de rumeurs et d’informations erronées, incomplètes ou exagérées participant à la confusion générale. Pendant ce temps, les attaques les plus massives sont passées sous silence – et encore, lorsqu’elles sont identifiées – pendant des mois, si ce n’est plus. Comment je le sais ? Parce que j’observe les répercussions tous les jours chez nos clients. Et parce j’ai été dans cette position, lorsque RSA a été victime d’une attaque il y a deux ans. Mais depuis, le phénomène n’a fait que s’aggraver.

Et pour cause : le terrain de jeu des cybercriminels s’est étendu. Si au début du millénaire ils devaient encore se contenter de quelques points d’entrées vers des périmètres spécifiques contrôlés par firewall, ils ont aujourd’hui face à eux une infinité d’appareils mobiles, d’environnements virtualisés, de réseaux sociaux et d’objets connectés pour la plupart ouverts.

Nos ennemis sont aussi devenus plus forts. Au départ inexpérimentés, ils sont aujourd’hui capable de camoufler et transformer leurs virus et logiciels espions pour qu’ils soient indétectables. Leurs cibles se multiplient et leurs méthodes se professionnalisent pendant que leurs attaques se font plus complexes et coordonnées.

Encore plus troublant, nous observons depuis peu une évolution des attaques intrusive traditionnelles comme la fraude ou le vol d’IP à des attaques à grande échelle qui ont pour but de paralyser le système. C’est le cas par exemple des attaques DDOS des derniers mois. Pour l’instant, ces méthodes sont très difficiles à utiliser sur Internet sans intervention manuelle. Mais l’essor des appareils connectés et le passage vers le tout-IP vont largement faciliter les attaques informatiques entrainant des destructions physiques réelles.

C’est pourquoi il devient urgent d’agir pour améliorer la compréhension des enjeux de sécurité informatique dans les organisations.

Sans compréhension, pas de protection En sécurité informatique, 80% des ressources financières sont dépensées à mauvais escient. Le plus souvent, elles sont consacrées à la prévention des intrusions alors que nous négligeons de développer notre capacité à identifier et comprendre les attaques dans notre environnement. Quant à la prévention des risques de pertes de données ou la réponse à y apporter, elle est la cinquième roue du carrosse. Ironiquement, il est impossible d’identifier et combler toutes les failles d’une infrastructure. Essayer est donc une perte de temps et d’argent.

En cas d’attaque, si les informations dont nous disposons ne sont pas suffisantes ou pas pertinentes, il est impossible de comprendre le problème et de le régler. Au contraire, cela génère de l’anxiété et un sentiment d’impuissance contre-productifs. Pour adresser une menace efficacement, il est essentiel de mettre en perspective trois éléments : le périmètre de l’attaque, l’environnement des menaces et les opportunités de faire évoluer la sécurité. Pour faciliter le croisement d’informations, nous faisons la promotion d’un nouveau modèle de sécurité intelligente.

Pour une efficacité optimale, il est important de pouvoir analyser des informations internes et externes. Comprendre les vulnérabilités et évaluer la probabilité d’une attaque demandent une compréhension des enjeux et contraintes internes comme externes. Il est donc essentiel de mieux partager l’information. Et après ? Car c’est un premier pas essentiel, mais ce n’est pas suffisant. Plus notre compréhension est étendue, plus il est facile d’interpréter les signes et de limiter le nombre d’inconnus, mais comment peut-on améliorer nos systèmes de sécurité?

Il est évident qu’il n’existe aucune protection parfait et infaillible, je fais ici référence a un modèle qui peut s’adapter et apprendre au fur et à mesure de l’évolution des processus, des technologies ou des menaces. Je fais référence à un modèle qui nous permet de détecter les attaques et d’y répondre rapidement. Je fais référence à un modèle Big Data.

Transformer les données en bouclier de protection Les organisations doivent pouvoir jouir d’une visibilité total de leurs données, qu’elles soient structurées ou non structurées. Les architectures Big Data seront suffisamment évolutives pour que toutes les données puissent être analysées, permettant aux entreprises de construire une mosaïque d’informations spécifiques à propos de leurs actifs numériques, des utilisateurs et de l’infrastructure. Le système sera alors capable d’identifier et de recouper les comportements anormaux dans un flux continu d’informations.Bien sûr, le système ne sera pas pour autant inviolable mais cela permettra de maintenant un niveau acceptable de risque et de ne pas nous laisser distancer par l’adversaire. Est-ce que ce sera difficile ? Oui, mais les technologies nécessaires pour y arriver sont déjà entre nos mains.

BYOD, Cloud, Entreprise, Fuite de données, Sauvegarde

4 documents sur 10 perdus par année sur le web

30 septembre 2013 Damien Bancal Un commentaire

Une étude Kroll Ontrack révèle que 40 % des entreprises perdent des données dans leurs environnements virtuels chaque année. 33 % seulement des entreprises ayant subi une perte au cours de l’année écoulée ont pu récupérer 100 % de leurs données.

80 % des entreprises pensent que le stockage de données dans un environnement virtuel réduit ou prévient le risque de perte de données pour leur organisation. Pourtant, 40 % des entreprises qui ont recours au stockage virtuel ont subi l’an passé une perte de données à partir de ces environnements.

Cette étude menée par Kroll Ontrack, leader sur le marché de la récupération de données, de la recherche d’informations et de preuves informatiques, révèle des chiffres sur la fréquence des pertes de données dans les environnements virtuels et sur la gestion de la récupération. Ainsi, il en ressort que 84 % des entreprises ont recours à la virtualisation pour le stockage et que près d’un tiers des personnes interrogées ont 75 à 100 % de leur environnement actuel stockés dans un environnement virtualisé. Parmi les entreprises qui stockent des données dans un environnement virtuel, 40 % ont subi au moins une perte de données au cours des 12 derniers mois, contre 65 % en 2011. Fait intéressant, 52 % des entreprises croient que les logiciels de virtualisation diminuent le risque de perte de données.

« C’est une erreur de croire que les environnements virtuels sont intrinsèquement plus sûrs ou moins exposés à la perte de données que les autres supports de stockage », affirme Paul Dujancourt, directeur général de Kroll Ontrack France. « La perte de données virtuelles peut avoir différentes causes, notamment l’altération du système de fichiers, la suppression de machines virtuelles, l’altération d’un disque virtuel interne, la défaillance du système RAID et autre matériel serveur ou de stockage, et la suppression ou l’altération de fichiers contenus dans les systèmes de stockage virtualisés. Les ramifications sont généralement bien plus graves, car le volume de données stockées dans un environnement virtuel est exponentiel par rapport à celui stocké sur un système de stockage ou un serveur physique ».

L’étude révèle en outre que seulement 33 % des entreprises ont réussi à récupérer 100 % de leurs données perdues, ce qui représente une baisse de 21 % par rapport à 2011, où 54 % des entreprises avaient pu récupérer l’intégralité de leurs données. Les 67 % de personnes interrogées restantes ont révélé qu’elles n’avaient pas été en mesure de récupérer toutes les données suite à leur perte de données la plus récente.

« Même si l’utilisation de VMware® en tant qu’infrastructure courante a gagné en maturité et qu’il se produit apparemment moins d’incidents, les entreprises sont toujours frappées par des pertes de données cruciales », souligne Paul Dujancourt, directeur général de Kroll Ontrack France. « Cette diminution de l’aptitude à restaurer entièrement les données prouve qu’il existe un risque élevé de perte permanente des données lorsque les entreprises ne font pas appel à un professionnel expérimenté dans ce type de récupération après une perte de données dans un environnement virtuel ».

Lorsqu’on leur demande comment leur entreprise a tenté la récupération, la majeure partie des personnes interrogées (43 %) indique avoir reconstitué les données. Elles étaient seulement une sur quatre à avoir consulté un spécialiste de la récupération de données.

« La reconstitution des données ne doit pas être le premier réflexe des entreprises, car cette méthode leur coûte beaucoup de temps et de ressources. Des spécialistes expérimentés de la récupération de données tels que Kroll Ontrack ont les processus, les technologies et l’expérience nécessaires pour récupérer les données dans des environnements virtualisés complexes, et permettre ainsi d’assurer le fonctionnement continu des entreprises », ajoute Paul Dujancourt, directeur général de Kroll Ontrack France.

724 professionnels de l’informatique ont participé à cette étude en août 2013. 223 ont répondu à l’étude en personne à l’occasion du VMworld® 2013 aux États-Unis, tandis qu’ils étaient 466 de la région Europe, Moyen-Orient et Afrique et 35 de la région Asie-Pacifique à répondre à l’étude en ligne. La liste complète des questions et des résultats de l’étude est disponible sur demande.

Hacking, Rendez-Vous

Retour sur le Hacknowledge Tunis

28 septembre 2013 Damien Bancal 4 commentaires

C’est dans une chaleur intense que plus de 110 concurrents se sont retrouvés pour les 12 heures d’épreuves du HackNowLedge contest Tunisie. Organisé par l’ATAST et Sup’COM, en collaboration avec l’association Française ACISSI, le concours a offert 72 épreuves de hacking éthique dans les très beaux locaux de l’école d’ingénieur située dans la capitale tunisienne. Autant dire que la Tunisie aura fait fort avec des vainqueurs dépassant l’ensemble des autres équipes des éditions antérieures (1 – Tunisie, 2 – France, – 3 Belgique). 6610 points aux compteurs pour la team ForbiddenBits. Autant dire que la finale du 7 décembre prochain s’annonce palpitante. (Reportage sur ce week-end exceptionnel sur zatazweb.tv). Prochaine date, fin octobre, à Alger.

Rendez-Vous

HackNowLedge Live – Tunis 2013

27 septembre 2013 Damien Bancal 8 commentaires

Les 28 et 29 septembre, à partir de 18 heures, suivez en direct, le HackNowLedge Contest Tunis 2013 en partenariat avec ACISSI ; ATAST ; Sup’COM, ZATAZ.COM et ZATAZWEB.tv. Après la Côté d’Ivoire, le Maroc, l’Espagne, la Belgique et la France. C’est à Tunis que le H.N.C. a déposé ses conférences et ses 12 heures d’épreuves de Hacking Ethique. 72 épreuves de hacking logiciels, codes, hardware, lock Picking … Retrouvez nous sur Twitter @zataz et @hacknowledgeC. Vous pourrez retrouver dans cette page, … le voyage de l’équipe (selon connexions wifi, ndlr), les conférences (en live) et les 12 heures d’épreuves en streaming vidéo.

Cybersécurité, Justice, loi

Des mesures renforcées pour la lutte contre la cybercriminalité

27 septembre 2013 Damien Bancal 2 commentaires

Une nouvelle directive européenne (n° 2013-40/UE du 12 août 2013) relative aux attaques contre les systèmes d’information est entrée en vigueur le 3 septembre 2013. Elle remplace et renforce une décision-cadre du Conseil de l’Union (2005/222/JAI) du 24 février 2005, qui avait déjà pour principal objectif de renforcer la coopération entre les autorités judiciaires des Etats membres grâce à un rapprochement de la législation pénale sanctionnant la cybercriminalité. Donatienne Blin, avocat au département Informatique & réseaux de Courtois Lebel, explique quelles vont être ces nouvelles règles. Les attaques contre les systèmes d’information constituent une menace croissante au sein de l’Union et plus généralement à l’échelle mondiale. Les progrès technologiques permettent aux hackers de construire des méthodes de plus en plus sophistiquées, susceptibles de provoquer des dommages économiques considérables : interruption de l’activité de l’entreprise, perte ou altération de données confidentielles ou personnelles…

L’existence de lacunes et de disparités dans les différentes législations des Etats membres en matière d’attaques contre les systèmes d’information risque d’entraver la lutte contre la cybercriminalité et de ralentir la coopération policière et judiciaire européenne. La directive 2013-40/UE renforce donc les mesures mises en place par la décision-cadre de 2005, avec pour objectif de lutter plus efficacement contre les attaques informatiques au niveau européen. En synthèse, la directive fixe les règles minimales concernant la définition des infractions pénales et les sanctions pénales applicables et améliore la coopération entre les autorités compétentes des Etats membres.

Les infractions pénales mieux définies S’agissant de la mise en place de « règles minimales », on citera :

I – L’adoption de définitions communes s’agissant des éléments constitutifs des infractions pénales suivantes (Art. 3 à 6) :

– accès illégal à un système d’information – atteinte illégale à l’intégrité d’un système

– atteinte illégale à l’intégrité des données – interception illégale de ces données ;

II – l’incrimination de la production, de la vente et de l’obtention des outils (programmes) ou dispositifs (code d’accès) conçus pour commettre l’une de ces infractions précitées (Art.7) ;

III – l’incrimination du fait « d’inciter à commettre » lesdites infractions, d’y participer ou de s’en rendre complice (Art. 8) ;

DSB – le principe de « sanctions effectives, proportionnées et dissuasives » à mettre en place par les Etats membres : des peines d’emprisonnement minimum sont imposées par la directive (Art.9) ;

V – la présence de circonstances aggravantes en cas d’attaque de grande ampleur commise par des organisations criminelles (notamment dans le cas des réseaux dit « zombie »), en cas de préjudice grave, lorsque les attaques sont menées contre une « infrastructure critique » d’un état membre, ou encore en cas d’usurpation d’identité numérique (Art.9) ;

VI – la mise en cause de la responsabilité et la sanction des personnes morales, lorsque les infractions sont commises pour leur compte par toute personne qui exerce un pouvoir de direction (Art.10) ; VII – la responsabilité et la sanction des personnes morales, lorsque « l’absence de surveillance et de contrôle » aura rendu possible l’une des infractions précitées commise pour son compte par ses salariés (Art.10 et 11).

La directive insiste en effet sur le fait qu’il est nécessaire de « garantir des niveaux de protection appropriés contre les menaces et les vulnérabilités pouvant être raisonnablement identifiées » : la responsabilité de la personne morale devra donc être engagée dès lors que celle-ci n’a pas, « de toute évidence », assuré un niveau de protection suffisant contre les cyberattaques commises pour son compte (Considérant 26).

Des dispositions contraignantes pour les entreprises Les dispositions des articles 10 et 11 sont donc particulièrement contraignantes à l’égard des entreprises, à qui il revient d’apporter la preuve de leurs diligences en matière de surveillance et de protection contre les cyberattaques commises par leurs propres salariés.

Pour s’exonérer de leur responsabilité, celles-ci devront donc démontrer cumulativement :

A – que la vulnérabilité ou la menace ne pouvait pas être raisonnablement identifiée ou anticipée (soit au regard de l’état de l’art, soit au regard des moyens déployés par l’auteur de l’attaque pour dissimuler ses actes au sein de l’entreprise) ;

B – avoir mis en œuvre en interne des mesures préventives, à la fois juridiques (dispositions spécifiques dans la charte informatique par exemple) et techniques (logiciel de surveillance et de contrôle) de protection contre les cyberattaques susceptibles d’être commises par leurs employés.

La coopération entre Etats membres est renforcée S’agissant de la coopération entre Etats membres, la directive prévoit :

A – la mise en place de réseaux de coopération et de partenariat pour permettre l’échange d’informations, destinées à prévenir et à combattre la cybercriminalité ;

B – que les Etats membres doivent désormais disposer « d’un point de contact national opérationnel », et recourir, au niveau européen, au « réseau existant de points de contact opérationnels » (art. 13) ;

C – que ces réseaux devront être disponibles 24h/24 et 7j/7 ; de plus, des procédures pour répondre aux demandes urgentes sous huit heures devront être mises en place par les Etats membres (Art.13).

La France devra transposer les dispositions imposées par cette directive au plus tard le 4 septembre 2015. Par le Cabinet d’avocats d’affaires français Courtois Lebel pour DataSecurityBreach.fr.

Android, ios, Sécurité, Virus

Cheval Troie infectant les mobiles via « alien botnets »

27 septembre 2013 Damien Bancal 2 commentaires

Le tout premier cas de cheval Troie infectant les mobiles via « alien botnets ». Depuis trois mois, les analystes de Kaspersky Lab étudient le mode de propagation du cheval de Troie Obad.a, une application malveillante détectée sur Android. Datasecuritybreach.fr a appris que les criminels qui se cachent derrière ce cheval de Troie ont adopté une technique inédite pour répandre leur malware. En effet, celui-ci se propage par le biais de botnets contrôlés par d’autres groupes criminels, ce qui est une première dans l’histoire de la cybercriminalité visant les terminaux mobiles. Il ressort aussi clairement que Obad.a se retrouve principalement dans les pays de la CEI (ex-URSS). Au total, 83% des tentatives d’infections ont été enregistrées en Russie, tandis que d’autres ont également été détectées sur des équipements mobiles en Ukraine, au Bélarus, en Ouzbékistan et au Kazakhstan.

Le modèle de diffusion le plus intéressant consiste en la propagation de diverses versions de Obad.a avec SMS.AndroidOS.Opfake.a. Cette double tentative d’infection commence par l’envoi d’un texto demandant au destinataire de télécharger un message reçu récemment. Si la victime clique sur le lien fourni, un fichier contenant Opfake.a se télécharge automatiquement sur son smartphone ou sa tablette.

Le fichier malveillant ne peut s’installer seulement si l’utilisateur le lance : dans ce cas, le cheval de Troie envoie d’autres messages à tous les contacts figurant sur le terminal qu’il vient d’infecter. Le fait de cliquer sur le lien contenu dans ces messages déclenche le téléchargement de Obad.a. Le système est parfaitement organisé : un opérateur de réseau mobile russe a signalé plus de 600 messages de ce type en l’espace de cinq heures, à peine, ce qui révèle une diffusion de masse. Dans la plupart des cas, le malware s’est propagé à partir d’appareils déjà contaminés.

En dehors des botnets mobiles, ce cheval de Troie, d’une grande complexité, est également diffusé par l’intermédiaire de spams. Typiquement, un message avertissant le destinataire de l’existence d’une « dette » impayée incite celui-ci à suivre un lien qui va télécharger automatiquement Obad.a sur son mobile. Là encore, il faut que l’utilisateur ouvre le fichier téléchargé pour que le cheval de Troie s’installe.

De fausses boutiques d’applications propagent également Backdoor.AndroidOS.Obad.a. Elles imitent le contenu de pages Google Play, remplaçant les liens authentiques par d’autres, malveillants. Lorsque des sites légitimes sont piratés et leurs utilisateurs redirigés vers des sites dangereux, Obad.a cible exclusivement les mobiles : si les victimes potentielles arrivent sur le site à partir d’un ordinateur, rien ne se passe. En revanche, les smartphones et tablettes, quelle que soit leur plate-forme, sont en danger.

« En trois mois, nous avons découvert 12 versions de Backdoor.AndroidOS.Obad.a. Toutes présentent le même jeu de fonctionnalités et un degré élevé de masquage du code. Aussi, chacune utilise une vulnérabilité d’Android OS qui confère au malware les droits DeviceAdministrator et le rend bien plus difficile à éliminer. Dès que nous avons fait cette découverte, nous en avons informé Google et la faille en question a été corrigée dans Android 4.3. Cependant, seuls quelques modèles récents de smartphones et de tablettes sont dotés de cette version et les appareils plus anciens restent menacés. Obad.a, qui exploite un grand nombre de vulnérabilités non publiées, se comporte davantage comme un malware Windows qu’à d’autres chevaux de Troie pour Android », explique à Data security breach Roman Unuchek, expert en antivirus chez Kaspersky Lab.

Logiciels, Mise à jour, Patch

Pensez à vos mises à jour

27 septembre 2013 Damien Bancal

Mardi 17 septembre, une nouvelle vulnérabilité zero-day affectant toutes les versions d’Internet Explorer a été annoncée par Microsoft. Cette vulnérabilité peut corrompre la mémoire de manière à permettre aux attaquants d’exécuter des codes arbitraires. L’attaque fonctionne en attirant des utilisateurs vers des sites conçus pour l’occasion et qui abrite cette vulnérabilité dirigée contre Internet Explorer. Jusqu’à présent, cette vulnérabilité a été utilisée dans un nombre limité d’attaques ciblées. Microsoft a pris connaissance de cette vulnérabilité et a posté une alerte sur le sujet. L’éditeur n’a pas encore distribué de patch, mais a fourni une solution temporaire – cf. “Fix It” – qui devrait servir jusqu’à ce qu’une mise à jour en matière de sécurité soit disponible. (Symantec)

Android, ios, Sécurité, Smartphone

Publicités « in app », nouveaux pièges des fraudeurs en ligne

27 septembre 2013 Damien Bancal

G Data met en garde les utilisateurs de smartphones et de tablettes : les cyber escrocs publient à grande échelle des publicités dites « in app » pour attirer les utilisateurs dans le piège de la souscription par SMS surtaxés. Intégrées dans des applications légitimes gratuites, ces fausses publicités dont l’affichage est totalement intégré à l’application passent à travers les systèmes de protection anti-hameçonnage. DataSecuritybreach.fr rappelle régulièrement que les systèmes mobiles constituent une source d’inspiration croissante pour les cybercriminels. Cette alerte sur les publicités « in app » confirme une nouvelle fois cette tendance que datasecuritybreach.fr vous présente, malheureusement, très souvent dans ses colonnes.

Fraudes « in app », démonstration par l’exemple

Le G Data SeucrityLabs a identifié plusieurs publicités in app frauduleuses usurpant la solution MobileSecurity de G Data. Diffusées dans de nombreux pays en différentes langues, ces publicités sont affichées dans diverses applications gratuites. Les bannières invitent l’utilisateur à protéger son appareil des dangers. Une fois la bannière cliquée, l’utilisateur est dirigé vers une page intégrée dans l’application gratuite : elle lui propose l’achat de G Data MobileSecurity. Problème, aucune solution n’est disponible après paiement, mais surtout le tarif est prohibitif : inscrites en petit caractère sur les fenêtres de validation de commande, les sommes oscillent selon les pays entre 4 et 15 € par semaine ! Les paiements sont réalisés par souscription à des services SMS surtaxés. En France c’est le système Internet+ qui est utilisé : le coût est automatiquement répercuté sur la prochaine facture d’abonnement mobile ou Internet.

Exemples d’in apps multilingues vendant de faux services sous la marque G Data « La publicité in- app devient de plus en plus attrayante pour les fraudeurs en ligne », explique à datasecuritybreach.fr Ralf Benzmüller , Directeur du G Data SecurityLabs. « Totalement intégrées aux applications, les pages relatives à ces annonces ne passent pas par le navigateur Internet. La plus grande vigilance est donc requise. Les utilisateurs doivent lire attentivement l’offre et les petits caractères dans les termes et conditions pour éviter de tomber accidentellement dans un piège d’abonnement. Les cyberescrocs utilisent des sociétés-écrans pour proposer ces fausses applications. Le paiement étant effectué par l’intermédiaire du fournisseur de réseau mobile ou Internet, obtenir un remboursement peut se révéler complexe. »

Publicité in app, une activité en pleine expansion La publicité in app constitue un pilier fondamental dans le marché ultra dynamique de l’application mobile. Une étude Juniper Research estime que le marché des publicités In App devrait s’élever à 7,1 milliards de dollars en 2016. Pour les éditeurs d’applications gratuites, les annonces intégrées dans leurs applications constituent leur principale source de revenus. Pour les éditeurs de solutions payantes, la promotion de leur application via les publicités in app leur assure une visibilité ciblée et massive. Une effervescence qui profite aussi aux fraudeurs. Par manque de contrôle, les agences spécialisées en placement de publicités in app laissent passer des sociétés peu scrupuleuses qui usurpent l’identité de logiciels pour vendre de fausses applications à prix d’or.

BYOD, Chiffrement, cryptage, Entreprise, Fuite de données, Propriété Industrielle, Sauvegarde

L’assurance contre les cyber-risques d’Allianz ne peut être qu’un « filet de sécurité » pour les entreprises

26 septembre 2013 Damien Bancal

Le spécialiste de l’assurance Allianz Global Corporate & Specialty (AGCS) vient d’annoncer une nouvelle gamme de produits destinée à protéger les entreprises contre les problèmes qui peuvent découler d’une cyber-attaque grave ou d’une violation de données. Cette annonce fait suite à de récentes études qui indiquent que les cyber-attaques sont susceptibles de faire perdre plusieurs millions d’euros aux entreprises, dans un contexte où elles sont visées par des cyber-attaques de plus en plus sophistiquées.

Nigel Pearson, responsable de la cybernétique chez Allianz, déclare à ce sujet que les entreprises ne réalisent pas l’ampleur du risque actuel alors que « de nombreux cybercriminels sont déjà en mesure de pirater les systèmes de petites et moyennes structures, et qu’ils peuvent ainsi trouver un moyen d’accéder aux systèmes des grandes entreprises avec lesquelles ces PME sont partenaires ».

Jean-Pierre Carlin, directeur commercial Europe du Sud chez LogRhythm, a fait les commentaires suivants : « La cybercriminalité et l’espionnage industriel sont devenus tellement banals que les récents incidents n’ont pas réussi à susciter l’intérêt requis des entreprises au moment où ils ont été rapportés. Le fait que la cybercriminalité ait coûté plus de 2,5 milliard d’euros en 2012 aurait dû servir de détonateur et envoyer un message fort et clair aux organisations. Malheureusement, vu les nombreuses attaques médiatisées auxquelles nous avons pu assister jusqu’ici cette année, le chemin est encore long et certains iront même jusqu’à dire que nous sommes déjà en train de perdre la bataille.«

Ce qui est intéressant ici, cependant, c’est que les assureurs commencent à reconnaître à la fois la nouvelle source de revenus, et les nouvelles opportunités commerciales offertes par cette nouvelle catégorie de risque. Comme les attaques des cybercriminels deviennent plus sophistiqués, et que nous nous rendons compte du caractère inéluctabilité de la crise, il semble logique que les entreprises souhaitent bénéficier du plus haut niveau de protection.

Il est également judicieux pour les assureurs de commencer à reconnaître ce risque lié à l’ère du temps – comme ils l’avaient fait avec le détournement des avions et à la cendre volcanique. Pour les entreprises, les conséquences d’une faille grave pourraient être comparées aux dommages d’un incendie ou d’un cambriolage important – si ce n’est pire… Il ne serait donc pas surprenant de voir d’autres assureurs suivre l’exemple d’Allianz très prochainement.

« Cependant, cette nouvelle prise en compte du risque par l’assurance doit être considérée comme un filet de sécurité, et ne pas donner un prétexte aux entreprises pour entretenir un faux sentiment de sécurité. Il est impératif que les bonnes pratiques en matière de sécurité soient maintenues afin de préserver l’étanchéité des réseaux de l’entreprise. La protection des renseignements personnels devrait être primordiale, par exemple, plutôt que de simplement couvrir les frais d’une violation. Le contrôle de la protection devrait être la norme dans toutes les organisations car il offre une vue étendue de toutes les activités du réseau de façon à ce que si quelque chose de suspect est identifié, il peut être arrêté avant que le mal ne soit fait. Cette protection devrait être élargie aux fournisseurs tiers, comme les petites entreprises qui desservent les grandes, et qui sont de plus en plus perçues comme maillon faible par les pirates qui veulent contourner la sécurité des grandes multinationales« .

Sécurité, Virus

Sortie de la version 9 de Dr.Web

26 septembre 2013 Damien Bancal

Dr. Web, éditeur de solutions antivirus, annonce la sortie de la version 9 de ses produits Dr.Web Antivirus et Dr.Web Security Space. La nouvelle version Dr.Web 9.0 pour Windows met l’accent sur la réactivité face aux menaces et renforce la protection des données. Parmi les principales nouveautés : -L’analyseur de comportement Dr.Web Process Heuristic est une protection efficace contre les dernières menaces inconnues. Aujourd’hui, près de 90% des menaces réelles nuisant aux utilisateurs sont les Trojan. Les algorithmes de détection de ces menaces développés pour Dr.Web Process Heuristic sont basés sur les connaissances sur le comportement des représentants de différents groupes de malware accumulées depuis des années. En raison de la similitude de comportement de nombreux programmes malveillants, Dr.Web Process Heuristic peut identifier ceux qui ne sont pas encore connus de Dr.Web, en particulier les nouvelles modifications des Trojan.Encoder et Trojan.Inject.

-La protection des données contre l’endommagement : une fonctionnalité qui permet d’effectuer des copies protégées des données. L’utilisateur peut choisir à l’avance les répertoires et créer des copies protégées des données qu’ils contiennent avec la possibilité de les récupérer ultérieurement. La technologie de protection des données permet de sauvegarder ultérieurement les modifications apportées dans les fichiers originaux avec une périodicité spécifiée par l’utilisateur ou manuellement sur commande (cette fonction ne peut toutefois pas remplacer la copie de sauvegarde complète standard).

-Analyseur des menaces empaquetées : détection efficace des objets malveillants connus dissimulés sous de nouveaux packers. Ce module améliore considérablement la détection des menaces soi-disant «nouvelles» qui peuvent déjà être connues de la base de données virales Dr.Web, mais empaquetées d’une manière nouvelle pour ne pas être détectées par l’antivirus.

-Nouveau système d’analyse complète du trafic. Le contrôle du trafic (y compris le trafic crypté) est effectué via tous les protocoles pris en charge par les composants SpIDer Mail et Spider Gate, et via tous les ports. La fonctionnalité Safe Search a été mise en place. Lors de l’utilisation des moteurs de recherche Google, Yandex, Yahoo!, Bing, Rambler, seuls les sites sécurisés seront affichés dans les résultats de recherche. Le contenu dangereux est filtré par les moteurs de recherche eux-mêmes.

Le pare-feu Dr.Web a également été optimisé afin notamment de moins solliciter l’utilisateur sur l’autorisation des applications lancées. Le Contrôle Parental permet de bloquer le changement de l’heure système et le fuseau horaire pour ne pas permettre aux enfants d’utiliser l’ordinateur durant les heures non autorisées par leurs parents.

Justice, Propriété Industrielle, Vie privée

Les robots de la police privée du copyright attaquent « Robocopyright »

26 septembre 2013 Damien Bancal Un commentaire

Avec une mordante ironie, la vidéo « Robocopyright ACTA » [1] que La Quadrature du Net avait publiée en 2010 sur Youtube [2] pour dénoncer les excès de la répression conduite au nom du droit d’auteur a été retirée cette semaine [3] par la plateforme… pour violation du droit d’auteur ! Elle constituait pourtant incontestablement une parodie protégée par une exception au droit d’auteur en France et par le fair use (usage équitable) aux États-Unis. Cette atteinte caractérisée à la liberté d’expression ne fait qu’illustrer une fois de plus les risques de censure dont sont porteurs les systèmes d’application automatisée du droit d’auteur. Ce sont pourtant ces modèles qui sont montrés en exemple aujourd’hui en France, notamment à travers le concept « d’auto-régulation des plateformes », que l’on retrouve aussi bien dans le rapport Lescure, à la Hadopi ou au CSA. ***

La vidéo « Robocopyright ACTA » avait été réalisée par l’équipe de La Quadrature [4] à partir du détournement d’une scène du film RoboCop, dont les droits appartiennent à la société de production MGM. Ce sont ces contenus que le système automatique de filtrage Content ID [5], mis en place par Google sur Youtube, a repérés et retirés, peut-être à la demande des ayants droit.

Content ID fonctionne sur une base contractuelle par le biais d’accords de redistribution des revenus publicitaires entre Google et les ayants droit. Il se substitue aux mécanismes prévus par la loi, aussi bien en Amérique qu’en France, concernant la responsabilité des hébergeurs. En laissant aux titulaires de droit la possibilité de décider arbitrairement du retrait de leurs contenus, Content ID occasionne très fréquemment des dommages collatéraux, en provoquant le retrait de mashups, de remix ou de parodies reconnues par ailleurs par la loi.

Ce système aboutit à la mise en place d’une police privée du droit d’auteur, s’exerçant en dehors du contrôle de la justice et dérivant graduellement vers un système de censure aveugle. Une possibilité de contre-notification a bien été prévue [6] par le biais d’un appel, mais, outre la lourdeur de cette procédure pour les simples citoyens, l’impartialité de ce dispositif est douteuse, puisque certains ayants droit comme Universal [7] ont obtenu des privilèges leur permettant d’obtenir les retraits comme ils le souhaitent.

Il est très inquiétant de voir que ces systèmes automatiques de filtrage sont pris pour exemple par les pouvoirs publics français, comme des dispositifs dont l’application pourrait être généralisée pour « réguler » Internet au nom du droit d’auteur. Mireille Imbert Quaretta, présidente de la Commission de protection des droits de la Hadopi, s’est ainsi vue confier par le Ministère de la Culture une mission de lutte contre la contrefaçon commerciale [8]. Elle entend pousser les plateformes à « s’autoréguler » en mettant en place des dispositifs de filtrage, sous peine de voir leur responsabilité engagée. On retrouve la même idée dans les recommandations du rapport Lescure [9], qui vante les mérites de Content ID et envisage favorablement sa généralisation.

Face à ces dérives, qui pourraient amener un ACTA ou un SOPA contractuel en France [10], La Quadrature réaffirme que le retrait d’un contenu sur Internet ne devrait intervenir qu’après le contrôle d’un juge impartial dans le cadre d’une procédure contradictoire au sein d’un tribunal. Il n’appartient pas à des acteurs privés de définir à leur guise l’étendue de la liberté d’expression. Le mashup, le remix et la parodie doivent être consacrés comme des droits dans la loi, mais les abus de la censure ou de la sanction automatisée ne sont en rien limités à ces cas.

« Le retrait arbitraire de cette vidéo illustre le fait que l’application du droit d’auteur ne devrait jamais être confiée à des machines ou à des humains machinisés. C’est hélas une tendance lourde de la guerre au partage, inscrite dès l’origine dans le fonctionnement de la Hadopi. Le projet de confier au CSA la possibilité d’infliger automatiquement des amendes par voie d’ordonnances pénales participe de la même logique », déclare Philippe Aigrain, co-fondateur de La Quadrature du Net.

« Cette vidéo était l’un des symboles de la lutte contre l’accord ACTA et elle avait été vue par des centaines de milliers d’internautes. Le détournement parodique de contenus est devenu un mode d’expression à part entière sur Internet. Ce sont des pans entiers de notre culture qui sont menacés par cette application disproportionnée, injuste et dangereuse du droit d’auteur », déclare Jérémie Zimmermann, porte-parole de la Quadrature du Net.

* Références *

1. http://mediakit.laquadrature.net/view.php?full=1&id=555

2. https://www.youtube.com/watch?v=4-NmUklcbDc

3. https://www.laquadrature.net/fr/numerama-la-quadrature-du-net-censuree-par-le-robocop-youtube

4. Et l’aide précieuse de Magali « StarMag »

5. https://www.youtube.com/t/contentid

6. https://www.youtube.com/yt/copyright/fr/counter-notification.html

7. http://www.numerama.com/magazine/25601-universal-a-les-pleins-pouvoirs-de-censure-sur-youtube.html

8. http://www.pcinpact.com/news/80696-aurelie-filippetti-confie-mission-antipiratage-a-copresidente-dhadopi.htm

9. https://www.laquadrature.net/fr/rapport-lescure-le-catalogue-repressif-de-lindustrie

10. https://www.laquadrature.net/fr/hadopi-et-intermediaires-du-net-non-a-un-acta-a-la-francaise

Espionnae, Linkedin, Vie privée

Piratage de messagerie chez Linkedin ?

24 septembre 2013 Damien Bancal Un commentaire

Une plainte collective contre le portail professionnel Linkedin accusé d’accéder aux boites électroniques des abonnés. Eggers Erin, Paul Perkins, Pennie Sempell et Ann Brandwein ne sont pas content après le site Internet Linkedin. Pour ces quatre utilisateurs, le portail communautaire dédié aux rencontres professionnelles espionne ses utilisateurs. Fait que réfute Linkedin. Bilan, les quatre internautes ont déposé une plainte collective auprès du tribunal du district nord de Californie. D’après les plaignants, Linkedin exploite les boites emails de ses membres pour envoyer des publicités à la liste des contacts enregistrés par les internautes utilisateurs du portail. Bref, comme peuvent le faire plusieurs webmail comme Yahoo! ou encore gMail en « lisant » les mots des courriels afin de proposer des publicités « ciblées ».

Pour les quatre américains, Linkedin n’avertit pas « clairement l’utilisateur » et n’obtient en aucun cas son consentement par un bouton, un onglet à cocher, … Blake Lawit, le directeur juridique de Linkedin indique que « Linkedin n’accède pas aux comptes de messagerie des utilisateurs sans son autorisation. Les accusations de piratage et d’introduction dans les comptes sont fausses (…) nous n’envoyons jamais de messages ou d’invitations à rejoindre Linkedin en votre nom, sauf si vous nous avez donné la permission de le faire ».

La plainte explique que Linkedin demande une seconde adresse de messagerie lors de l’inscription ; qu’à la fermeture du compte Linkedin peut accéder aux informations et récupérer les adresses des contacts ; La plainte indique aussi qu’en cas de déconnexion de l’utilisateur, Linkedin communiquerait login et mot de passe, en clair, pour vérifier l’identité de l’utilisateur en question. Bref, la justice de l’Oncle Sam tranchera !

Chiffrement, cryptage, Entreprise, Espionnae

Les services secrets britanniques lancent un casse tête pour recruter

24 septembre 2013 Damien Bancal Un commentaire

Un processus de recrutement a été lancé par les grandes oreilles britanniques, le GHCQ. Le service d’écoute de Grande-Bretagne met au défi les candidats qui postulent à un poste chez 007. Mission du futur « espion », savoir cracker une série de codes énigmatiques mis en ligne sur un site officiel mis en ligne pour l’occasion, le « Can You Find It? ». Ce casse-tête se compose de 29 blocs de cinq lettres. Il faut déchiffrer la chose en cinq réponses. Les réponses conduisent alors le demandeur d’emploi dans une chasse au trésor locale.

L’année dernière, une campagne similaire avait été lancée. 170 bonnes réponses pour 3,2 millions de visiteurs. A noter que les espions de sa gracieuse majesté propose aussi des lots : des Raspberry PI et des Nexus Google 7 ! Bref, étonnant écho après les révélations d’espionnage de la Belgique par le GHCQ.

En février 2012, l’ANSSI, l’entité française dédiée à la sécurité des infrastructure informatique du pays lancé le même type de concours. L’Agence nationale de la sécurité des systèmes d’information avait caché un message dans l’un de ses logos. Une série de chiffres et de lettres, ainsi que le « AUTH:DE9C9C55:PCA » qui se situaient entre la map monde et le titre gravé dans le cercle bleu.

BYOD, Chiffrement, cryptage, Cybersécurité, Fuite de données

Les meilleures pratiques de sécurité pour les PME

24 septembre 2013 Damien Bancal Un commentaire

La cybercriminalité augmente dans des proportions alarmantes. Les petites et moyennes entreprises sont devenues des cibles privilégiées pour les cybercriminels. Le Wall Street Journal a récemment déclaré que les petites entreprises se remettent rarement d’une cyberattaque, mais quelques étapes très simples vous permettent cependant de protéger votre entreprise. DataSecurityBreach.fr vous proposait, il y a quelques jours, des méthodes à mettre en place lors de vos voyages, avec votre ordinateur portable.

Quels sont les mots de passe que les cybercriminels tentent d’abord d’utiliser ? Comment sensibilisez-vous vos employés à la politique de sécurité ? Vos employés ont-ils conscience des risques liés aux réseaux sociaux ? Check Point répond notamment à ces questions pour vous aider à améliorer votre sécurité dès aujourd’hui. Cet article décrit les 10 meilleures pratiques de sécurité que les petites entreprises doivent prendre en compte pour protéger leur réseau.

1. Les mots de passe communs sont de mauvais mots de passe

Les mots de passe sont votre première ligne de défense en matière de sécurité. Les cybercriminels qui tentent de s’introduire dans votre réseau débutent leur attaque en essayant les mots de passe les plus courants. Une étude de SplashData a déterminé les 25 mots de passe les plus communément utilisés dans les pays anglophones. Vous n’en croirez pas vos yeux… Assurez-vous que vos utilisateurs utilisent des mots de passe longs (plus de 8 caractères) et complexes (comprenant des minuscules, des majuscules, des chiffres et des caractères non alphanumériques).

1 password

2 123456

3 12345678

4 abc123

5 qwerty

6 monkey

7 letmein

8 dragon

9 111111

10 baseball

11 iloveyou

12 trustno1

13 1234567

14 sunshine

15 master

16 123123

17 welcome

18 shadow

19 ashley

20 football

21 jesus

22 michael

23 ninja

24 mustang

25 password1

2. Verrouillez chaque entrée

Il suffit d’une seule porte ouverte pour permettre à un cybercriminel de pénétrer dans votre réseau. Tout comme vous protégez votre domicile en verrouillant la porte d’entrée, la porte du jardin et les fenêtres, pensez à protéger votre réseau de la même façon. Réfléchissez à toutes les manières dont quelqu’un pourrait s’introduire dans votre réseau, puis assurez-vous que seuls les utilisateurs autorisés peuvent le faire.

· Utilisez des mots de passe renforcés sur les ordinateurs portables, les smartphones, les tablettes et les points d’accès Wifi. · Utilisez un pare-feu intégrant un système de prévention des menaces pour protéger l’accès à votre réseau (tel que l’Appliance Check Point 600)

· Protégez vos postes (ordinateurs portables et ordinateurs de bureau) par des logiciels antivirus, antispam et antiphishing · Prémunissez-vous contre l’une des méthodes d’attaque les plus courantes en demandant aux employés de ne pas connecter de périphérique USB inconnu

3. Segmentez votre réseau

Une manière de protéger votre réseau consiste à le découper en zones et protéger chaque zone de manière appropriée. Une zone peut être réservée uniquement au travail important, tandis qu’une autre peut être réservée aux invités, dans laquelle les clients peuvent surfer sur Internet sans être en mesure d’accéder à la zone de travail. Segmentez votre réseau et imposez des exigences de sécurité plus strictes là où c’est nécessaire.

· Les serveurs web destinés au public ne devraient pas être autorisés à accéder à votre réseau interne · Vous pouvez autoriser l’accès invité, mais ne permettez pas à des invités d’accéder à votre réseau interne · Découpez éventuellement votre réseau selon les différentes fonctions de l’entreprise (service clientèle, finance, reste des employés)

4. Définissez et appliquez une politique de sécurité, et sensibilisez vos utilisateurs

Définissez une politique de sécurité (de nombreuses petites entreprises n’en ont pas) et utilisez votre système de prévention des menaces à sa pleine capacité. Prenez le temps de déterminer les applications que vous souhaitez autoriser sur votre réseau et celles que vous n’autorisez pas. Formez vos employés à l’utilisation conforme du réseau de l’entreprise. Officialisez la politique de sécurité, puis appliquez-la où vous le pouvez. Notez tous les manquements à la politique et toute utilisation excessive de la bande passante.

· Mettez en place une politique d’utilisation appropriée pour les applications et les sites web autorisés/non autorisés · N’autorisez pas l’utilisation d’applications à risque, telles que Bit Torrent et autres applications de partage de fichiers en P2P, qui sont une des méthodes courantes de diffusion de logiciels malveillants

· Bloquez TOR et tout autre anonymiseur dont l’objectif est de masquer les comportements et contourner la sécurité

· Pensez aux réseaux sociaux durant la définition de la politique

5. Prenez conscience des risques liés aux réseaux sociaux

Les réseaux sociaux sont une mine d’or pour les cybercriminels qui cherchent à obtenir des informations sur des individus pour améliorer les chances de succès de leurs attaques. Les attaques de phishing, de spearphish et d’ingénierie sociale, débutent toutes par la collecte de données personnelles sur des individus.

· Sensibilisez vos employés en les invitant à faire preuve de prudence lorsqu’ils communiquent sur les réseaux sociaux, même lorsqu’il s’agit de leur compte personnel

· Faites savoir à vos utilisateurs que les cybercriminels constituent des profils sur les salariés pour augmenter la réussite de leurs attaques de phishing et d’ingénierie sociale

· Formez vos employés sur les paramètres de confidentialité des réseaux sociaux afin de protéger leurs données personnelles

· Les utilisateurs devraient faire attention aux informations qu’ils partagent car les cybercriminels pourraient deviner les réponses de sécurité (telles que le prénom des enfants) pour réinitialiser des mots de passe et ainsi réussir à accéder à leur compte

6. Chiffrez tout

Une seule fuite de données peut être dévastatrice pour votre entreprise et sa réputation. Protégez vos données en chiffrant celles qui sont confidentielles, et facilitez ce processus pour vos employés.

Intégrez le chiffrement à votre politique de sécurité.

· Installez des mécanismes de chiffrement avant le démarrage sur les ordinateurs portables de l’entreprise pour les protéger en cas de perte ou de vol

· Achetez des disques durs et des clés USB avec chiffrement intégré

· Renforcez le chiffrement de votre réseau Wifi (en utilisant notamment la norme WPA2 avec chiffrement AES)

· Protégez vos données des écoutes clandestines en chiffrant les communications Wifi via VPN (réseau privé virtuel)

7. Maintenez votre réseau au top de ses performances

Votre réseau et l’ensemble des composantes qui y sont connectés, devraient fonctionner comme une machine bien huilée. Une maintenance régulière permet de garantir des performances optimales et d’éviter tout ralentissement.

· Vérifiez que les systèmes d’exploitation des ordinateurs portables et des serveurs sont à jour (Windows Update est activé sur tous les systèmes)

· Désinstallez tout logiciel qui n’est pas nécessaire à votre activité pour éviter d’avoir à le mettre à jour régulièrement (Java, par exemple)

· Mettez à jour les navigateurs et les applications Flash, Adobe et autres, sur vos serveurs et ordinateurs portables

· Activez les mises à jour automatiques le cas échéant pour Windows, Chrome, Firefox, Adobe

· Utilisez un système de prévention des intrusions (IPS) tel que l’Appliance Check Point 600 pour stopper les attaques sur les ordinateurs portables qui ne sont pas à jour

8. Faites preuve de prudence envers le Cloud

Le stockage et les applications dans le Cloud sont à la mode, mais comme vous le rappelle souvent datasecuritybreach.fr, soyez prudent. Tout contenu déplacé vers le Cloud échappe à votre contrôle. Les cybercriminels profitent des faiblesses de sécurité de certains fournisseurs de service.

· Lorsque vous utilisez le Cloud, vous devez considérer que les contenus que vous y envoyez ne sont plus privés

· Chiffrez les contenus avant de les envoyer (y compris les sauvegardes système)

· Vérifiez la sécurité de votre fournisseur de service

· N’utilisez pas le même mot de passe partout, en particulier ceux que vous utilisez pour le Cloud

9. Ne laissez pas l’administration aux soins de tous

Les ordinateurs portables sont accessibles via des comptes utilisateur et des comptes administrateur. L’accès administrateur donne plus de liberté aux utilisateurs et de contrôle sur leur ordinateur portable, mais ce contrôle est transféré aux cybercriminels lorsque le compte administrateur est piraté.

· Ne laissez pas les employés utiliser Windows avec des privilèges administrateur dans le cadre de leur activité quotidienne.

· L’utilisation d’un compte avec des droits utilisateur réduit la capacité des logiciels malveillants à provoquer des dégâts, comme ils pourraient le faire avec des privilèges administrateur.

· Prenez l’habitude de changer les mots de passe par défaut sur tous les appareils, y compris les ordinateurs portables, les serveurs, les routeurs, les passerelles et les imprimantes réseau.

10. Maîtrisez l’utilisation des appareils personnels

Commencez par définir une politique d’utilisation des appareils personnels (BYOD). De nombreuses entreprises évitent le sujet, alors que datasecuritybreach.fr vous l’indique très souvent, c’est une tendance qui continue de se développer

. Ne faites par l’erreur d’ignorer ce sujet ! Sensibilisez plutôt vos utilisateurs.

· Autorisez uniquement l’accès invité (Internet seulement) aux appareils appartenant aux employés

· Verrouillez les appareils appartenant aux utilisateurs par mot de passe

· Accédez aux données confidentielles uniquement à travers un VPN chiffré. Datasecuritybreach.fr vous conseille l’excellent VYPRVPN.

· N’autorisez pas le stockage de données confidentielles sur des périphériques personnels (données des clients et de cartes de paiement notamment)

· Prévoyez un plan d’action en cas de perte ou de vol d’un appareil personnel

ios, Sauvegarde, Sécurité, Smartphone, Vie privée

Faille pour iOS 7 : vol de données possibles

19 septembre 2013 Damien Bancal 3 commentaires

Une vulnérabilité découverte dans iOS 7. Piratage de vos photos, e-mails, comptes Twitter et Facebook en deux coups de doigt. Le nouveau iPhone, et les « anciennes » versions sous iOS 7 vont donner quelques petites frayeurs à leurs fiers propriétaires. Une faille permet de déverrouiller le téléphone et accéder aux petits secrets du « précieux » d’Apple. Les voleurs d’iPhone peuvent rendre le verrouillage totalement inutile en lançant une simple petite application. L’appli ‘timer’, qui se lance à partir du panneau de commande, est le fautif. La technique est simple, elle avait déjà fait un bel effet sur les « anciens » iPhone, mais aussi sur les Samsung 4. DatasecurityBreach.fr vous explique le « truc ». Pour faire sauter le mot de passe : « Timer », mettre l’iPhone hors tension et appuyer deux fois sur le bouton « home ». Bilan, l’écran multitâche s’ouvre et l’accès à l’appareil photo s’ouvre, donnant par rebond accès à Facebook, Twitter, aux e-mails et SMS. Vous comprenez pourquoi il existe déjà une mise à jour d’iOS7 : iOS 7.0.1.

Mise à jour : Lookout a découvert que cette nouvelle menace va au-delà de l’application Horloge, l’application Calculatrice étant également concernée. Un accès complet à la liste des contacts est possible. Pour se sécuriser, en attendant le patch complet, direction les « Paramètres des Applications » ; sélectionnez les Réglages du « Centre de contrôle » et désactiver « Centre de contrôle », « Centre de notification» et «Siri» pour le verrouillage de l’écran.

Arnaque, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Espionnae, Hacking, VPN

Des ordinateurs piégés lors d’un important tournoi de poker

18 septembre 2013 Damien Bancal 4 commentaires

Que s’est-il passé lors lors de l’EPT de Barcelone. Au moins trois joueurs professionnels de poker, qui logeaient dans l’Hôtel ARTS ont vu leurs ordinateurs portables disparaitre, pu revenir dans la chambre de leurs propriétaires respectifs. Les victimes, Jens Kyllönen, Ignat Liviu et Aku Joentausta ont découvert qu’une personne avait tenté d’installer un logiciel espion dans leurs machines. DataSecurityBreach.fr vous rappelle que Kyllönen est l’un des plus importants joueurs de poker du web.

Ignat Liviu a expliqué sur le forum 2+2 sa mésaventure : « la même chose nous est arrivée à Ignat et moi, nos clés de chambre ne fonctionnait plus, nous descendons à la réception, lorsque nous sommes remontés nos ordinateurs avaient disparu. Le temps de retourner à la réception pour signaler le vol, remonter dans notre chambre, nos machines étaient miraculeusement réapparu. » Du côté de l’Hôtel, une enquête est en cours.

Que vous soyez joueur de poker ou non, dans un hôtel, un ordinateur portable n’a pas à trainer sur une table. Voici quelques trucs que DataSecurityBreach.fr utilise en déplacement :

– Ranger votre machine dans le coffre de votre chambre.

– Retirer la batterie. Ranger la prise électrique ailleurs, dans la chambre. Dans votre valise, fermée à clé par exemple. Comme nous vous le montrons, il existe des prises qui permettent d’être scindée en trois parties. De quoi retarder le pirate.

– Changer votre mot de passe de portable et mettez un mot de passe au bios de votre machine. Le mot de passe bios vous évitera la modification de lancement de votre machine, vers une clé USB ou CD boot casseur de mot de passe. [Voir comment cracker le mot de passe de n’importe quel Windows en 30 secondes].

– Chiffrer les informations sensibles ou le disque dur de votre ordinateur.

– Utiliser un câble antivol.

– N’hésitez pas à mettre un bout de scotch qui bloque les deux parties de votre portable. Si quelqu’un tente de l’ouvrir, vous le verrez. Un autocollant original et difficile à trouver dans le commerce fera parfaitement l’affaire.

– Nous prenons en photo les vis des disques durs de nos portables. Si ces dernières ont bougés, ont été déplacées, vous pourrez vous en rendre compte.

– Un antivirus mis à jour obligatoire.

– Utiliser un VPN pour vos connexions.

– Nous employons aussi une mini caméra de 5 cm qui s’enclenche dès lors qu’un mouvement dans la zone surveillée est détecté.

Si aucune de ces solutions proposées par zataz.com ne vous convient, gardez votre machine à vos côtés.

Ps : DataSecurityBreach.fr ne peut proposer l’url du forum américain 2+2 considéré comme interdit sur le territoire français par l’ARJEL. Ce forum propose des liens et des tournois de pokers vers des casinos illicites sur le territoire hexagonal.

Argent, Arnaque, Cybersécurité, pourriel, spam

Pas de trêve estivale pour les spammeurs

18 septembre 2013 Damien Bancal

En août, 82 % du flux email sont des spams et 8 % des emails sont des publicités. La société VadeRetro, spécialisée dans la lutte contre les spams vient de nous envoyer ses statistiques pour le mois d’août. Autant dire qu’une fois de plus, l’ambiance « courriel » sur la toile pique les yeux. 82 % des emails sont des spams ; 8 % sont des emails publicitaires ; et, seulement, 10 % des emails sont légitimes. Des statistiques tirées du Vade Retro Cloud qui comprend 12 000 domaines, 200 000 boites aux lettres valides et 8 500 000 mails par jour. Autant dire que cela en fait de l’énergie, de la bande passante et de l’argent « cramés » par ces pourriels. Si aucun virus n’aura été détecté durant cette période, il faut rappeler que les virus sur le SMTP sont une partie dérisoire du flux mais représentent toujours une grande menace. Beaucoup de virus SMTP sont issus des botnets qui cherchent à agrandir leur parc de postes infectés. Une vague de virus SMTP est souvent suivie d’une vague de SPAM. www.vade-retro.fr/fr/

Cyber-attaque, DDoS, Leak, Piratage

Hidden Lynx : des pirates professionnels qui vendent leurs services

18 septembre 2013 Damien Bancal

Hidden Lynx : des pirates professionnels qui vendent leurs services. Par Security Response pour datasecuritybreach.fr. Ces dernières années, des rapports ont été régulièrement publiés sur les activités d’acteurs du Web responsables de diverses attaques ciblées et d’APT (Advanced Persistent Threats), ou menaces avancées persistantes. Symantec a enquêté sur un groupe de pirates qui compte parmi les plus performants. Il a été surnommé « Hidden Lynx », suite à une chaîne de script trouvée dans les communications des serveurs de commande et de contrôle. Ce groupe est plus motivé et dynamique que les autres groupes bien connus tels que APT1/Comment Crew. Il se caractérise par les éléments suivants : prouesse technique ; agilité ; organisation ; ingéniosité et patience. Les compétences du groupe se sont illustrées lors de campagnes incessantes menées simultanément contre plusieurs cibles sur une longue période de temps. Ces pirates ont été les premiers à utiliser la technique du « trou d’eau » – « watering hole » en anglais – pour piéger leurs cibles. Ils accèdent rapidement aux failles « zero-day », et disposent de la ténacité et de la patience du chasseur intelligent qui compromet la chaîne logistique afin d’atteindre sa véritable cible. Ces attaques contre la chaîne logistique consistent à infecter les ordinateurs d’un fournisseur de l’entreprise visée, dans l’attente que les ordinateurs infectés soient installés chez la cible et communiquent avec des ordinateurs distants. Ce sont clairement des actions froidement préméditées plutôt que des incursions impulsives d’amateurs.

Ce groupe ne se limite pas seulement à quelques cibles, mais vise des centaines d’entreprises différentes dans de nombreuses régions, même simultanément. Étant donné la diversité et le nombre des cibles et des régions concernées, Symantec en déduit que ce groupe est très probablement une organisation professionnelle de pirates qui louent ses services à des clients souhaitant obtenir des informations. Ils volent à la demande ce qui intéresse leurs clients, quelle qu’en soit la nature, d’où le large éventail de cibles.

Symantec pense également que pour mener des attaques de cette envergure, le groupe doit disposer d’un nombre considérable d’experts en piratage. Symantec estime que 50 à 100 opérateurs sont employés et répartis en au moins deux équipes distinctes, chargées de mener différentes activités à l’aide d’outils et de techniques divers. Ces types d’attaque nécessitent du temps et du travail. Certaines campagnes impliquent de rechercher et de collecter des renseignements avant de pouvoir mettre au point une attaque fructueuse.

Une équipe en première ligne utilise les outils disponibles ainsi que des techniques de base, mais suffisamment efficaces pour attaquer plusieurs cibles différentes. Elle peut également collecter des informations. Nous l’appelons l’équipe Moudoor, d’après le nom du cheval de Troie qu’elle utilise. Moudoor est un cheval de Troie de porte dérobée que l’équipe emploie largement sans se soucier de sa découverte par les spécialistes de la sécurité. L’autre équipe agit comme une unité d’opérations spéciales, composée de membres d’élite qui infiltrent les cibles les plus précieuses ou les plus robustes. Cette équipe utilise un cheval de Troie nommé Naid et, en conséquence, nous la définissons comme l’équipe Naid. Contrairement à Moudoor, le cheval de Troie Naid est utilisé avec parcimonie et prudence pour éviter qu’il ne soit détecté et bloqué, comme une arme secrète utilisée uniquement lorsque l’échec n’est pas envisageable.

Depuis 2011, Symantec a observé au moins six campagnes importantes menées par ce groupe. La plus remarquable d’entre elles est l’attaque VOHO de juin 2012. L’aspect intéressant de cette action était l’utilisation d’attaques de type « watering hole » (« trou d’eau ») destinée à compromettre la fiabilité des fichiers Bit9 pour la signature d’infrastructure. La campagne VOHO visait les fournisseurs de l’armée américaine dont les systèmes étaient protégés par une solution de protection de Bit9, mais lorsque l’attaque des pirates Hidden Lynx a été bloquée par cet obstacle, ils ont reconsidéré leur approche et estimé que la meilleure façon de contourner ce logiciel était de compromettre le cœur du système de protection proprement dit pour l’exploiter à leurs fins. C’est exactement ce qu’ils ont fait en se concentrant sur Bit9 et en pénétrant ses systèmes. Les pirates se sont alors rapidement introduits dans l’infrastructure de signature de fichier sur laquelle repose le modèle de protection de Bit9, et ont utilisé ce système pour signer un certain nombre de fichiers malveillants. Ils ont ensuite utilisé ces fichiers pour compromettre leurs cibles.

Argent, Cyber-attaque, Entreprise, Fuite de données, Leak, Propriété Industrielle

Les attaques ciblées coutent beaucoup d’argent

18 septembre 2013 Damien Bancal

Kaspersky Lab et B2B International viennent de dresser un état des lieux des coûts liés à une attaque ciblée pour les grandes entreprises et les PME. Les attaques ciblées comptent parmi les cybermenaces les plus dangereuses car elles sont généralement préparées et lancées par des pirates professionnels qui disposent de ressources financières importantes et d’une excellente expertise informatique. Datasecuritybreach.fr vous l’explique souvent, ces attaques visent en général à récupérer des informations secrètes ou confidentielles d’une entreprise spécifique. Toute fuite de ces données est susceptible d’entraîner des pertes considérables.

À combien peuvent s’élever les pertes à Selon l’étude « Global Corporate IT Security Risks 2013 » réalisée par B2B International pour Kaspersky Lab au printemps dernier, ces incidents coûtent en moyenne jusqu’à 2,4 millions de dollars à l’entreprise, dont environ 2,17 millions de dollars directement imputables à l’incident lui-même, sous la forme de pertes liées aux fuites de données stratégiques, à l’interruption d’activité et aux frais des services de rétablissement spécialisés (juristes, spécialistes de la sécurité informatique, etc.). Les entreprises doivent également régler une facture supplémentaire d’environ 224 000 dollars pour financer des mesures telles que la mise à jour des logiciels et de l’équipement, le recrutement et la formation du personnel ; en somme des mesures visant à éviter que ce type d’incident ne se reproduise.

Les pertes résultant d’attaques ciblées sur les PME sont nettement inférieures (environ 92 000 dollars par incident), mais si l’on considère la taille de ces entreprises (entre 100 et 200 employés en moyenne), le coup porté reste important. Sur ce montant moyen, environ 72 000 dollars sont dépensés pour remédier à l’incident et 20 000 dollars seront dédiés à la prévention d’incidents similaires à l’avenir.

Autres types d’attaques coûteuses Même si leur coût financier est le plus élevé, les attaques ciblées ne sont pas les attaques les plus courantes. Environ 9 % des participants à l’enquête ont indiqué que leur entreprise avait subi une attaque ciblée au cours des 12 mois précédents Alors qu’un pourcentage nettement supérieur (24 %) a signalé le piratage de l’infrastructure de réseau de l’entreprise. Pour les grandes entreprises, ces attaques peuvent coûter jusqu’à 1,67 million de dollars (73 000 dollars pour les PME) et sont considérées comme le deuxième type d’attaque le plus coûteux. 19 % des entreprises ont subi des fuites intentionnelles de données, pour un coût financier moyen de 984 000 dollars (51 000 dollars pour les PME). Les attaques exploitant des failles dans des logiciels courants ont touché 39 % des entreprises. Suite à ce type d’attaque, les grandes entreprises ont subi des dégâts d’un montant moyen de 661 000 dollars, contre 61 000 dollars pour les PME.

Les mesures préventives appropriées Les attaques ciblées sont complexes et exigent généralement une longue période de préparation au cours de laquelle les utilisateurs malveillants s’efforcent de repérer les points faibles de l’infrastructure informatique d’une entreprise et de trouver les outils nécessaires au lancement de l’attaque. Un antivirus seul n’offre pas de protection contre ce type de menace, bien que des solutions antivirus efficaces permettent de gérer d’autres types de menaces. Il est nécessaire de mettre en place une solution professionnelle basée sur des technologies de détection des menaces à la fois modernes et proactives pour protéger l’entreprise aussi bien contre les attaques ciblées, que contre d’autres menaces informatiques dangereuses.

Hacking

Cheval de Troie dans des kits GTA 5

18 septembre 2013 Damien Bancal Un commentaire

Bitdefender relève l’existence d’un Cheval de Troie ciblant les joueurs trop impatients de découvrir l’un des jeux les plus attendus de l’année. Bitdefender, éditeur de solutions de sécurité, a découvert une escroquerie (scam) concernant le jeu vidéo Grand Theft Auto 5, un des titres les plus attendus de l’année par la communauté des fans de la série. Les joueurs ne doivent pas se fier aux copies de GTA 5 qui auraient ‘fuité accidentellement’ et qui sont disponibles sur Internet depuis quelques semaines. Ces copies ne sont que de fausses versions infectées par un malware, conduisant les utilisateurs imprudents tout droit dans un piège : un scam mis en place par des pirates, basé sur l’envoi de SMS surtaxés. dataSecurityBreach.fr a repéré de son côté une 50ène de fausses versions de GTA, toutes piégées (porno, trojan, …)

Depuis un certain temps, de nombreuses copies de prétendus kits d’installation de GTA 5 ont commencé à se répandre sur des sites Web de torrents. Ces faux kits sont diffusés et promus par des cyber-criminels, grâce à l’ajout de la mention « j’aime » et de commentaires positifs publiés à partir de faux comptes afin d’améliorer la crédibilité de ces téléchargements. Une fois exécuté, le fichier d’installation aurait même l’air des plus convaincants puisque les cyber-criminels ont intégré des fonds d’écran et des illustrations issus du jeu officiel dans le process d’installation. Les fichiers à l’intérieur du fichier ISO, déduction faite du fichier d’installation malveillant, ont en fait été copiés d’un jeu appelé The Cave.

Cependant, au milieu du processus d’installation, l’utilisateur doit entrer un numéro de série qu’il peut obtenir en remplissant un questionnaire. Un peu plus loin, il lui est demandé d’envoyer un SMS surtaxé afin de valider ce questionnaire. Ce SMS lui sera facturé 1€ par jour jusqu’à ce que le service soit arrêté.

Bitdefender rappelle aux joueurs impatients que la date de lancement de GTA 5 serait fixée aux alentours du 17 septembre selon l’industrie et que le jeu serait uniquement disponible sur console XBOX 360 et Playstation 3 dans un premier temps, l’annonce de la date de sortie sur PC étant prévue plus tard. Avant cette date, il est donc recommandé de ne pas se fier à ces copies qui semblent trop belles pour être vraies !

Par ailleurs, protéger sa machine avec une solution antivirus efficace est plus que jamais indispensable. Ce faux kit d’installation est détecté par Bitdefender sous le nom de Trojan.GenericKDV.1134859, et bloqué dès son téléchargement pour éviter toute infection. Enfin, Bitdefender recommande aux joueurs d’utiliser des plates-formes légales de téléchargement de jeux comme Steam, Origin et d’autres services similaires. Les jeux vidéo téléchargés via des torrents sont le plus souvent infectés par un malware ciblant les joueurs afin de voler leurs mots de passe, de miner leurs Bitcoin et d’ouvrir une backdoor sur leur machine permettant aux pirates d’y accéder à leur insu.

Cybersécurité, Patch

Patch party pour Microsoft

18 septembre 2013 Damien Bancal

Le Patch Tuesday publié en ce mois de septembre septembre est chargé. Nous recevrons donc 14 nouveaux bulletins, ce qui porte à 80 le nombre de bulletins qui auront déjà été publiés jusqu’à septembre de cette année. Nous allons donc certainement dépasser les 100 bulletins publiés pour 2013 année contre 83 en 2012 et exactement 100 en 2011. Ceci reflète bien l’effervescence du marché de la sécurité informatique.

Parmi les 14 bulletins, les 8 premiers sont intitulés « Exécution de code à distance », le type de faille prisé par les pirates pour pénétrer votre réseau. Les bulletins #1 à #4 sont quant à eux intitulés « critiques » par Microsoft, ce qui signifie que les failles concernées peuvent uniquement être exploitées avec la participation de l’utilisateur. Le bulletin #1 est consacré à Sharepoint Server et devrait être la priorité absolue des administrateurs de serveurs, lesquels se seront auparavant empressés de tester et vérifier que le patch n’aura aucun impact sur une quelconque fonctionnalité critique pour l’activité de votre entreprise. Le bulletin #2 devrait être une priorité de l’équipe chargée de la sécurité du parc informatique. En effet, il concerne une faille dans Microsoft Office qui peut être déclenchée par la simple prévisualisation d’un email dans Outlook, c’est-à-dire sans même ouvrir le courrier électronique. Outlook pour Office 2007 et 2010 est concerné par cette faille.

Le bulletin #3 est une mise à jour critique pour Internet Explorer (IE) et concerne toutes les versions de IE6 à IE10, y compris sous Windows 8 et Windows RT. Le bulletin #4, qui est le dernier bulletin critique, est consacré à une faille sous Windows, mais qui ne concerne que les systèmes d’exploitation appartenant presque au passé, à savoir Windows XP et Windows Server 2003. Par conséquent, vous devriez dès à présent supprimer progressivement ces systèmes d’exploitation qui ne bénéficieront plus du support des patchs de sécurité à compter d’avril 2014, tout comme Office 2003 qui sera aussi privé de ce support dès avril prochain. Ces systèmes d’exploitation ainsi que la suite Office commenceront alors à cumuler les vulnérabilités non résolues et attireront donc des pirates qui pourront disposer d’outils faciles à utiliser et infaillibles pour exploiter des configurations sous XP/2003 ou exécutant Office 2003.

Parmi les bulletins restants, les #6, #7 et #8 sont des priorités car ils traitent de failles Office (Word, Excel et Access) qui peuvent être exploitées pour prendre le contrôle d’une machine ciblée. Toutes les versions Office 2003, 2007, 2010 et 2013 sont concernées et le bulletin #7 s’applique également à Excel sous Mac OS X Office 2011. En résumé, il s’agit donc d’un Patch Tuesday important, surtout pour les vulnérabilités bureautiques, au moins si vous n’exécutez pas Sharepoint Server.

Biométrie, Fuite de données, ios, Smartphone

Biométrie… sécurité bon pied bon œil pour Apple ?

18 septembre 2013 Damien Bancal Un commentaire

Apple a présenté son nouveau smartphone équipé d’un lecteur d’empreintes digitales. « C’est un bon début pour sécuriser son mobile mais ce n’est pas suffisant », souligne à DataSecurityBreach.fr Marc Rogers, Responsable de recherches chez Lookout, leader de la sécurité pour téléphones mobiles et tablettes. Les technologies de reconnaissance d’empreintes digitales sont pratiques Elles sont en effet plus pratiques que les codes PIN, si bien que de nombreux utilisateurs n’ont recours qu’à cette méthode. Mais, utilisées seules, elles n’offrent pas beaucoup plus de sécurité que les codes à 4 chiffres.

La reconnaissance d’empreintes digitales doit être associée à d’autres méthodes d’authentification
Dans les environnements ultra sécurisés, tels que les installations militaires, les technologies de reconnaissance d’empreintes digitales sont généralement associées à d’autres solutions biométriques, de reconnaissance rétinienne ou de la géométrie de la main, par exemple. Car les empreintes digitales peuvent être relevées et reproduites. D’où l’importance d’installer un second système d’authentification, biométrique ou par code PIN. Il est toujours risqué de ne miser que sur une seule méthode de sécurité. Les technologies de reconnaissance d’empreintes digitales ont des limites, qu’il est crucial de connaître afin de les utiliser en toute connaissance de cause.

Les technologies de reconnaissance d’empreintes digitales sont vulnérables
Une empreinte digitale peut tout à fait être reproduite. Et les techniques de reproduction risquent d’ailleurs d’évoluer au gré de l’adoption des systèmes de reconnaissance d’empreintes digitales. Sans compter que les voleurs peuvent toujours forcer leurs victimes à déverrouiller un système.

Les technologies de reconnaissance d’empreintes digitales participent à lutter contre les vols de téléphones
La sécurité de terminaux mobiles est un défi particulièrement complexe. La bonne nouvelle est qu’Apple et d’autres fabricants de terminaux mobiles ont décidé de s’y atteler ensemble. Leur objectif : déterminer quels mécanismes de sécurité associer pour compliquer la tâche des voleurs. Nul doute que la reconnaissance d’empreintes digitales fera partie de l’équation. Il reste à découvrir comment Apple mettra cette technologie au service des consommateurs.

Il n’y a pas de recette miracle pour protéger les terminaux mobiles
Tout ce qui est fait par l’homme peut être défait par l’homme. Il est donc indispensable de combiner plusieurs technologies qui compliqueront la tâche des attaquants et les dissuaderont de passer à l’acte.

Entreprise, Fuite de données, Hacking

5 Etapes Importantes à la Sécurisation des Environnements SCADA

17 septembre 2013 Damien Bancal

5 Etapes Importantes à la Sécurisation des Environnements SCADA. Par Eric Lemarchand, Ingénieur Système chez Fortinet, pour DataSecurityBreach.fr. L’attaque par le virus Stuxnet contre l’Iran en 2010 a fait prendre conscience de la vulnérabilité des systèmes industriels souvent connus sous le nom de SCADA (Supervisory Control And Data Acquisition ou télésurveillance et acquisition de données en français), Mis en place depuis des dizaines d’années dans de nombreuses industries, cette architecture SCADA a montré des failles sécuritaires qu’il est aujourd’hui urgent de résoudre.

Les environnements SCADA sont des systèmes de gestion et de contrôle industriel, généralement déployés à grande échelle, qui surveillent, gèrent et administrent ces infrastructures critiques dans des domaines divers et variés : transport, nucléaire, électricité, gaz, eau, etc. A la différence d’un réseau informatique d’entreprise classique, l’environnement SCADA permet d’interconnecter des systèmes propriétaires ‘métier’ : automates, vannes, capteurs thermiques ou chimiques, système de commande et contrôle, IHM (Interface Homme Machine)… plutôt que des ordinateurs de bureau. Ces infrastructures sont principalement déployées en entreprise, mais sont désormais aussi présentes chez les particuliers.

Les environnements SCADA utilisent un ensemble de protocoles de communication dédiés, tels que MODBUS, DNP3 et IEC 60870-5-101, pour établir la communication entre les différents systèmes. Ces protocoles permettent de contrôler les API (Automates Programmables Industriels) par exemple, entrainant des actions physiques telles que l’augmentation de la vitesse des moteurs, la réduction de la température… Pour cette raison, l’intégrité des messages de contrôle SCADA est primordiale et les protocoles de communication devraient être entièrement validés.

Conçus pour fonctionner des dizaines d’années, à une époque où la cybercriminalité ciblant spécifiquement le secteur industriel n’était pas répandue, ces systèmes SCADA n’ont pas été pensés en tenant compte de la sécurité réseau. Très souvent, les principes de sécurité élémentaires n’ont pas été intégrés pour deux raisons principales: d’une part, l’architecture SCADA n’était pas intégrée au système informatique classique de l’entreprise, et d’autre part, le besoin d’interconnexion avec le réseau IP n’existait pas. Le besoin de sécurité était donc alors jugé non nécessaire.

Depuis, l’architecture SCADA a évolué et les automates, systèmes de mesure, outils de commande et de contrôle, télémaintenance…, sont dorénavant interconnectés via un réseau classique IP. Ils sont également administrés par des environnements potentiellement vulnérables, comme par exemple, la plateforme interface homme-machine équipée d’un système d’exploitation Windows non patché. Jugés hautement sensibles, ces environnements n’appliquent généralement pas les patchs des systèmes d’exploitation de peur de nuire à la production. Cette crainte l’emporte d’ailleurs souvent sur celle des attaques informatiques potentielles. Les environnements SCADA, pourtant identifiés comme critiques, sont ainsi paradoxalement les moins sécurisés et devenus la cible potentielle des cybercriminels, comme nous avons pu le constater avec Stuxnet, premier ver découvert qui espionne et reprogramme des systèmes industriels. Ce virus a exploité des vulnérabilités Windows de type zero day (c’est-à-dire pour lesquelles il n’existait pas de patchs) pour compromettre des dizaines de milliers systèmes informatiques, à la fois des ordinateurs et une centrale d’enrichissement d’uranium.

Il aura fallu le cas d’attaque de l’ampleur de Stuxnet pour que la sécurité devienne l’une des préoccupations majeures des entreprises industrielles. Alors que les attaques informatiques traditionnelles engendrent généralement des dégâts immatériels, les industriels ont, dans le cas de Stuxnet, pris conscience de la capacité destructrice et bien réelle des vers et virus avancés, affectant non seulement les données d’une entreprise mais également les systèmes de gestion des eaux, des produits chimiques, de l’énergie…

Dorénavant, les industriels cherchent à intégrer la sécurisation de leurs équipements, et ce, de façon native. Même si les moyens commencent à être mis en œuvre pour sécuriser les industries, il est aussi nécessaire que les hauts dirigeants de ces entreprises soutiennent ce besoin de sécurisation, sans quoi, bon nombre de responsables informatiques ne trouveront pas d’échos positifs à leurs initiatives, et auront des budgets et ressources limités.

De plus, à défaut d’un standard, il existe des guides de bonne conduite permettant d’appréhender les problématiques que pose ou impose SCADA, édités par exemple par NERC (North American Electric Reliability Corporation) ou l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) en France. Voici quelques étapes importantes à respecter pour appliquer une sécurité globale sur ces infrastructures jugées sensibles : – Des mises à jour régulières Patcher régulièrement ses systèmes d’exploitation, applications et composants SCADA est une étape essentielle pour éviter les failles déjà connues par les fournisseurs de sécurité. De plus, la mise en place d’un outil de détection et d’analyse des vulnérabilités permettant d’intercepter des menaces Internet malveillantes avant qu’elles n’impactent le réseau ou le serveur cible permettra de prendre des mesures proactives pour prévenir des attaques, éviter des interruptions de services, réagir rapidement et en temps réel face aux menaces émergentes.

– Cloisonner son réseau SCADA

Il est indispensable d’isoler son réseau SCADA de tout autre réseau de l’entreprise. Pour cela, la définition de DMZ ou bastions permet de segmenter une architecture SCADA. Ainsi, le réseau de l’IHM sera dissocié des automates et dispositifs de mesures, des systèmes de supervision, des unités de contrôle à distance et des infrastructures de communications, permettant à chaque environnement d’être confiné et d’éviter des attaques par rebond.

En quelques mots, les réseaux SCADA doivent être protégés de la même manière que les réseaux d’entreprises des logiciels malveillants et intrusions, en utilisant des systèmes de prévention d’intrusions (IPS) et des solutions anti-malware.

– Validation protocolaire

Après avoir partitionné et séparé les différents éléments d’une architecture SCADA, la prochaine étape logique est d’appliquer une validation et un contrôle protocolaire liés aux différents composants. En d’autres termes, il est nécessaire d’inspecter le protocole MODBUS pour être certain qu’il n’est ni mal utilisé ni vecteur d’une attaque. Egalement, assurez-vous que les applications qui génèrent des demandes MODBUS sont des applications légitimes et qu’elles sont générées depuis le bon poste de travail. Ainsi, la reconnaissance des applications prend son sens.

– Contrôler et identifier les actions administrateurs-utilisateurs

En complément de la segmentation des réseaux, il devient nécessaire d’établir des règles d’accès par authentification pour que seules les personnes autorisées puissent accéder au réseau, données et applications et puissent interagir avec les systèmes SCADA, afin que ces derniers ne soient pas endommagés par un tiers. Ainsi, un administrateur sera identifié de façon différente d’un utilisateur lambda, ce qui lui permettra d’effectuer certaines configurations au travers d’IHM alors que l’utilisateur pourra uniquement avoir une visibilité sur des équipements de mesure.

– Superviser l’ensemble des réseaux

Se doter d’un outil de corrélation et de gestion d’événements est indispensable. Cela permet d’obtenir une visibilité globale sur l’état sécuritaire de l’ensemble du réseau et permet par exemple à un administrateur de connaitre à la fois l’état d’un automate, le niveau de patch d’un IHM et sa relation avec un utilisateur ou un composant de l’architecture. La remontée d’événements de sécurité est toute aussi importante. L’administrateur ainsi informé pourra mettre en place des actions ou contre-mesures adaptées en fonction du niveau de criticité de l’événement. La mise en application de ces étapes est parfois fastidieuse mais la meilleure solution pour protéger ces systèmes critiques est d’adopter une stratégie de défense en profondeur avec une couche de sécurité à tous les niveaux, même au niveau des API, pour un contrôle précis des échanges et communications entre les composants de l’environnement SCADA et l’infrastructure réseau.

Avec des attaques de plus en plus sophistiquées de type APT, il devient urgent que les organisations industrielles prennent conscience que la sécurité des environnements SCADA est essentielle. Il en va de leur pérennité. Un contrôle précis sur leurs réseaux, utilisateurs et applications leur permettra de se prémunir d’éventuels risques qu’il est facile d’éviter. Enfin, il est important de bénéficier d’une protection en temps réel pour identifier rapidement les menaces potentielles et mettre en place les outils de protection adéquats conçus par des équipes spécialisées.

BYOD, Cloud, Cybersécurité, Fuite de données, Leak

Perturbations et intrusions : les utilisateurs de plus en plus inquiets face à l’utilisation de multiples appareils connectés

17 septembre 2013 Damien Bancal

L’augmentation des appareils technologiques et leur utilisation qui se développent progressivement, perturbent les utilisateurs et les exposent à de plus en plus d’atteintes à la vie privée. Tels sont les résultats révélés par l’étude qu’a consulté DataSecurityBreach.fr. Une étude signée par AVG Technologies N.V., fournisseur de solutions de sécurité, de protection de données et d’optimisation mobiles et internet pour plus de 155 millions d’utilisateurs actifs. L’étude se base sur un panel de 5000 consommateurs dans huit pays et démontre que malgré l’explosion des offres, des possibilités et des opportunités de connexion internet, des craintes se développent du côté des consommateurs quant à la gestion de plusieurs appareils et la multiplication des atteintes à la vie privée.

Suite à la publication récente d’articles hautement médiatisés révélant les agissements d’entreprises et d’organisations gouvernementales qui auraient recueilli via Internet, de grandes quantités de données personnelles à partir des appareils des utilisateurs, près de la moitié des personnes interrogées (46 %) ont admis être de plus en plus préoccupées quant à la protection de leur vie privée. Elles ont également exprimé une plus grande méfiance vis-à-vis des entreprises et de leur capacité à protéger les données personnelles. Judith Bitterli, Vice-Présidente en charge du marketing chez AVG Technologies, constate : « Nos recherches ont montré que si 7 personnes sur 10 (72 %) pensent que la technologie deviendra encore plus utile dans les cinq prochaines années, elles sont presque autant (69 %) à croire qu’elle va également devenir de plus en plus intrusive. C’est un décalage frappant avec la vision des créateurs d’Internet. Par ailleurs, quant aux préoccupations liées au partage de données, combien de temps les consommateurs vont encore tolérer ce statu quo » ?

88 % des personnes interrogées rechignent à communiquer des renseignements personnels pour accéder à des services. En effet, la plupart d’entre elles acceptent la situation, à défaut d’une autre alternative (38 %), ou limitent la quantité des données qu’elles sont prêtes à fournir (36 %). De plus, près de 8 personnes sur 10 (79 %) ont déjà interrompu le téléchargement d’une application ou d’un programme demandant l’accès à des informations, ce qui révèle un fort malaise concernant la quantité de données personnelles dont la communication est demandée aux consommateurs.

Conjuguée aux préoccupations sur la préservation de la vie privée, le développement de la connectivité ajoute un poids supplémentaire aux inquiétudes des consommateurs dans leur vie numérique. La plupart des personnes interrogées (59 %) ont admis avoir utilisé plus de trois appareils personnels et de multiples systèmes d’exploitation à la maison, et seuls 44 % prennent des mesures visant à simplifier la gestion de leurs différents appareils en les synchronisant les uns aux autres. Il en résulte une multiplication des tâches répétitives et des problèmes techniques.

Cyber-attaque, Hacking, Leak

Informations classées secret défense piratées

12 septembre 2013 Damien Bancal 3 commentaires

Des attaques informatiques lancées par la Corée du Nord auraient été découvertes. C’est ce qu’affirme plusieurs sociétés de sécurité informatique Coréennes. Les sites de plusieurs ministères et agences gouvernementales de la Corée du Sud ont été impactées. Mission des « visiteurs », tenter d’obtenir des informations secrètes du grand frêre du sud. L’information a été révélée par le fournisseur de solutions de sécurité informatique Hauri Inc. Depuis trois ans, des activités d’espionnage informatique, qui seraient orchestrées par la Corée du Nord, ont tenté plusieurs méthodes d’attaques dont l’injection de logiciels espions ayant pour mission de récupérer des informations classées secrètes.

La majorité des agressions numériques se sont faites à partir de courriels piégés (sic!) comportant des pièces jointes malveillantes. Autant dire qu’il manque une sacré formation sur le béa-ba de la sécurité d’Internet pour les élus et fonctionnaires ciblés et touchés par ces piratages. L’adresse IP utilisée par ce groupe de pirates informatiques était la même que celle à l’origine des messages qui ont glorifié la famille Kim du Nord sur des sites Internet au Sud. Autant dire que des pirates américain, russe, … par exemples, pourraient exploiter ce stratagème pour effacer leurs traces.

« Nous avons décidé de rendre publiques les activités d’espionnage menées depuis plusieurs années auprès des organes gouvernementaux par des groupes de pirates informatiques soupçonnés d’appartenir au Nord pour lancer un débat public sur cette question et pour tenter de trouver des moyens qui permettront d’y faire face de manière efficace », indique à Yonhap un responsable de Hauri.

La filiale sud-coréenne de Kaspersky Lab a annoncé de son côté avoir découvert, début avril, des activités d’espionnage ciblant des sites étatiques. Des pirates venus de la Corée du Nord sont montrés de la souris. Un code espion, baptisé KimSuky a visé le ministère de l’Unification, l’institut Sejong, l’Institut coréen pour les analyses de défense (KIDA) et la branche « Marine » de Hyundai.

Entreprise, Fuite de données, Leak, Vie privée

Vodafone piraté : 2 millions de clients en danger

12 septembre 2013 Damien Bancal 3 commentaires

L’opérateur téléphonique Vodafone vient de confirmer le piratage d’une de ses bases de données. 2 millions de clients concernés. Un faille de type injection SQL, la plaie du web comme l’a baptisé DataSecurityBreach.fr, a touché, il y a quelques jours, l’opérateur de téléphonie Vodafone. Le géant des télécommunications britannique a confirmé le piratage informatique et le vol de plusieurs millions de données personnelles appartenant à, au moins, deux millions de clients allemands. Parmi les données consultées/volées/copiées : noms, adresses postales, emails, dates de naissance, téléphone et, plus grave, coordonnées bancaires. Vodafone indique avoir identifié le pirate. Espérons pour eux qu’il ne s’agisse pas d’une pauvre mémé dont le modem/box a été détourné.

Data Security Breach

Tous les articles par Damien Bancal

9 entreprise sur 10 ont connu un problème de sécurité en 2013

13 présumés Anonymous inculpés aux USA

Plus de 2 millions de données clients volées à ADOBE

En entreprise, 80% des ressources financières dédiées à la sécurité sont dépensées à mauvais escient

4 documents sur 10 perdus par année sur le web

Retour sur le Hacknowledge Tunis

HackNowLedge Live – Tunis 2013

Des mesures renforcées pour la lutte contre la cybercriminalité

Cheval Troie infectant les mobiles via « alien botnets »

Pensez à vos mises à jour

Publicités « in app », nouveaux pièges des fraudeurs en ligne

L’assurance contre les cyber-risques d’Allianz ne peut être qu’un « filet de sécurité » pour les entreprises

Sortie de la version 9 de Dr.Web

Les robots de la police privée du copyright attaquent « Robocopyright »

Piratage de messagerie chez Linkedin ?

Les services secrets britanniques lancent un casse tête pour recruter

Les meilleures pratiques de sécurité pour les PME

Faille pour iOS 7 : vol de données possibles

Des ordinateurs piégés lors d’un important tournoi de poker

Pas de trêve estivale pour les spammeurs

Hidden Lynx : des pirates professionnels qui vendent leurs services

Les attaques ciblées coutent beaucoup d’argent

Cheval de Troie dans des kits GTA 5

Patch party pour Microsoft

Biométrie… sécurité bon pied bon œil pour Apple ?

5 Etapes Importantes à la Sécurisation des Environnements SCADA

Perturbations et intrusions : les utilisateurs de plus en plus inquiets face à l’utilisation de multiples appareils connectés

Informations classées secret défense piratées

Vodafone piraté : 2 millions de clients en danger

Actualités cybersécurité, protections des données pour PME/PMI/TPE