Tous les articles par Damien Bancal

Hacking

Anonymous s’attaque à la police

Pour commémorer la mort de 34 mineurs décédés sous les tirs des forces de l’ordre, Anonymous s’attaque au site officiel de la police sud-africaine. L’information n’est pas restée bien longtemps sur Internet. Une base de données contenant plus de 800 emails, identités, mots de passe (chiffrés en MD5), numéros de téléphone, appartenant au site Internet de la police d’Afrique du Sud saps.gov.za, a été diffusée vendredi 17 mai.

Derrière cette divulgation, des pirates informatiques signant sous le pseudonyme Anonymous. Les hacktivistes ont voulu manifester leur souvenir à l’encontre des 34 mineurs abattus lors d’une manifestation à Marikana, en août 2012. Les ouvriers d’une mine de platine s’étaient mis en grève.

Anonymous a voulu rappeler qu’aucun officier de policie n’avait été jugé. « Cette situation ne sera pas tolérée » indique les hacktivistes. Dans le document que la rédaction de datasecuritybreach.fr à reçu le week-end dernier, un fichier de 13Mo baptisé Emails.csv.

Cyber-attaque, Leak, Piratage

L’université de Moscou piratée

Suffisamment rare pour être noté, des pirates s’attaquent à la Russie et à l’université de Moscou. Voilà une attaque informatique qui intrigue sur plusieurs points. L’université de Moscou (Lomonosov Moscow State University – msu.ru) a été piratée par des hacktivistes turques. Il est très rare de voir un important site Russe finir dans les mains de pirates informatiques. D’abord en raison d’un manque de communication sur le sujet, communication « légèrement » contrôlée par l’état et des sociétés locales spécialisées dans la sécurité informatique qui n’hésitent pas à contacter les defaceurs et autres « fouineurs ». Ensuite, la législation locale ne laisse que peu de chance aux intrus locaux.

Sauf que dans ce cas, se sont des pirates du groupe 1923Turkz, sorte d’Anonymous politique du pays, à s’être énervés sur l’espace universitaire russe. Les « visiteurs » ont diffusé un extrait de la base de données qu’ils ont ponctionné à partir d’une bête SQL.

Une autre attaque turque, cette fois à l’encontre du site officiel du gouvernement d’Istanbul (istanbul.gov.tr) par la RedHack Team. Une défiguration pour commémorer le mort d’un homme, Yusuf Huseyin pendu le 6 mai 1972.

Cyber-attaque, Fuite de données, Leak, Piratage

Le ministére de la défense d’Arabie Saoudite infiltré

Un commentaire

Un compte email du ministère de la défense d’Arabie Saoudite infiltré par des pirates Syriens. Le groupe de pirates Syrian Electronic Army a délaissé, un peu, les attaques à l’encontre des comptes Twitter de grands medias. Le groupe de pirates pro gouvernement Syrien vient d’annoncer, avec preuves, l’infiltration d’un compte mails appartenant au ministère de la défense d’Arabie Saoudite. Le SEA indique bientôt diffuser des informations secrètes trouvées dans l’espace électronique. Le groupe a déclaré que cette fuite « comprend de la correspondance et des informations secrètes du ministère saoudien de la Défense … Elles ont été transmises au gouvernement syrien. » Ce même groupe avait déjà attaqué plusieurs sociétés pétrolières du royaume saoudien.

Justice

Vie privée et Google

Des internautes européennes encouragent l’Autorité de régulation à  « contrôler Google » sur les problématiques de vie privée. DataSecuritBreach.fr vient d’être informé que des internautes ont mandaté des avocats afin d’encourager vivement les autorités de régulation européennes, comprenant la Commission nationale de l’informatique et des libertés (CNIL), afin de mener des actions vigoureuses pour répondre une fois pour toutes aux violations répétées de la vie privée par Google et pour veiller à ce que Google se conforme pour l’avenir aux lois européennes.

Le cabinet d’avocats anglais Olswang collabore avec plusieurs avocats européens, comprenant HUGOTAVOCATS à Paris, pour écrire aux autorités de régulation en leur exposant les problématiques des consommateurs relatives à la consolidation par Google des données à caractère personnel. Le géant de l’internet centralise les données de l’ensemble de ses produits lui fournissant un enregistrement exhaustif des préférences de chaque internaute.

Olivier Hugot, Associé chez HUGOTAVOCATS, soutient à DataSecuritBreach.fr que les autorités de régulation doivent agir davantage pour s’assurer que les sociétés respectent la loi. « Toutes les sociétés doivent se conformer aux lois sur les données à caractère personnel lorsqu’elles collectent les données des utilisateurs, et Google n’est pas exempté. Malgré la réception de recommandations circonstanciées des autorités européennes de régulation relatives à ses traitements de données à caractère personnel, Google semble déterminé à les ignorer et à maintenir ses objectifs de créer des fichiers complets sur les consommateurs, rassemblant les données provenant d’origines variées. Les amendes des autorités de régulation telle que la CNIL ne semblent pas modifier l’approche institutionnalisée de Google » lancer tout de suite, réparer plus tard « en matière de vie privée des utilisateurs. Google recouvre ces amendes en très peu de temps. La seule manière de modifier le comportement de Google est, pour les autorités de régulation, d’imposer des sanctions coordonnées et effectives« .

Au Royaume-Uni, les consommateurs ont déjà engagé une action en justice contre Google pour violation de leur vie privée par l’installation de cookies pour suivre leurs activités en ligne malgré leur refus spécifique d’être suivis. Aux Etats-Unis, la société a accepté de payer 22,5 millions de dollars à la  » Commission Fédérale des Echanges  » (US Federal Trade Commission) pour mettre un terme à une action connexe. La société a essuyé de lourdes critiques pour d’autres violations, y compris la collecte illicite de données telles que des données bancaires provenant d’ordinateurs domestiques dans le cadre du développement de son produit Street View. Les militants comme Marc Bradshaw disent – ça suffit – « Je ne fais pas confiance à Google sur la vie privée. Il semble penser qu’il peut agir comme il le souhaite parce qu’il n’a rien à craindre des autorités de régulation. Les autorités de régulation doivent prendre une mesure exemplaire pour gérer une société déterminée à ignorer les droits des internautes. Ils doivent avec le gouvernement s’interroger sur la raison pour laquelle Google agit de la sorte de façon si fréquente et pour quelle raison il ignore les lois de ce pays. Quelque chose doit être fait pour contrôler Google et nous croyons que nos sanctions proposées pour les violations passées et actuelles de la vie privée devraient être exécutées « .

Les sanctions proposées par les militants comprennent :

– Avertissements clairs et simples sur la page d’accueil de Google expliquant comment et pourquoi les données sont collectées et tracées ;

– De revenir sur la fusion par Google de toutes les données de ses services ou, si cela n’est pas possible, de supprimer toutes les données illégalement fusionnées, avec une vérification indépendante de la suppression ; et

– Des excuses publiques mises en ligne sur la page d’accueil de Google.

Marc Bradshaw termine auprès de DataSecuritBreach.fr :  » Google est l’une des plus importantes sociétés au monde disposant d’immenses ressources financières et ayant accès aux meilleurs avocats au monde. Il ne devrait réellement pas revenir aux gens ordinaires d’avoir à combattre pour s’assurer que Google se conforme à la loi. Les autorités de régulation doivent relever ce défi et contrôler Google. S’ils échouent, chaque internaute dans ce pays en souffrira et le droit à la vie privée sur l’internet pourrait disparaître pour toujours « .

Android, RFID, Smartphone

Hack de badges Mifare Classic avec son smartphone

MIFARE est une technologie de carte à puce sans contact. Badge d’entreprise et autres moyens d’identification sans contact exploitent cette belle technologie installée dans plus 3,5 milliards de cartes dans le monde.

La plupart des smartphones NFC sont équipés d’une puce permettant l’émulation de cette carte. L’application pour Android NFC Mifare Classic Scanner, réalisé par Touf un informaticien chercheur Français, vient d’apparaitre dans sa seconde et nouvelle monture. Parmi les nouveautés de cet outil, la possibilités d’ajouter les clefs obtenues par d’autres moyens (libnfc, mfoc…) ; réalisation de scan très rapides en créant un template de la cible (quels secteurs doivent être lus, avec quelle clef…). Une possibilité offrant comme résultat le scan à la volée avec le téléphone en moins d’une seconde.

Export des résultats par mail au format .mfd (compatible libnfc et carte mifare chinoise) ou encore l’édition, modification de données lues pour réinjectées les données modifiées dans le badge. L’outil permet donc pas mal de manipulations techniques et légales. Il démontre aussi le danger de cette technologie. L’application ne fonctionne que pour les badges Mifare Classic mais permet de prouver la facilité de sauvegarder l’état d’un badge pour ensuite le remettre a zero (paiement à une machine à boisson, photocopieuse…) ; modification pour apparaitre comme un autre utilisateur.

« L’utilisation principale est de comprendre le fonctionnement des différents systèmes exploitant des cartes mifare classic » explique à DataSecurityBreach.fr l’auteur. Avec cette application, vous pouvez scanner le tag de vos badges aprés chaque utilisation et ensuite analyser les modifications. Pour les autres technologies autres que Mifare classic, l’outil ne qu’une identification de la technologie employée et un enregistrement de l’uid. (GooglePlay)

Entreprise

Le 26 juin : 11ème édition des Big Brothers Awards

Privacy France présente la 11ème édition des Big Brothers Awards le 26 juin 2013 à la Parole Errante à à Montreuil. Les Big Brother Awards sont de retour ! Après deux années d’absence, les césars du monde sécuritaire seront à nouveau décernés le 26 juin 2013, à partir de 19h, à la Parole Errante, à Montreuil. Douze ans après la première édition française, l’impertinente cérémonie, nommée d’après le personnage de fiction du roman 1984 de George Orwell, reprend du service pour récompenser les acteurs de la société de contrôle et de surveillance. Créés en 1998 au Royaume-Uni, puis repris dans près d’une vingtaine de pays, les Big Brother Awards (BBA) dénoncent, depuis lors, les « surveillants qui nous surveillent ». Au vu de la perte progressive de nos libertés individuelles, par le détournement de nos données personnelles, au travers de la prolifération des fichiers, par le durcissement sécuritaire des cadres législatifs et par la multiplication des dispositifs de surveillance dans nos villes, les tristement célèbres prix Orwell seront dépoussiérés, afin de mettre un coup de projecteur sur notre réalité sous surveillance.

L’objectif reste le même : « surveiller les surveillants » par un ciblage sélectif des dignes représentants de l’idéologie sécuritaire, notre jury étant, comme à son habitude, composé de défenseurs des droits, philosophes des libertés, journalistes, juristes, etc. ayant produit des analyses critiques sur le sujet. Toute institution, entreprise ou personne s’étant distinguée par son mépris du droit à la vie privée et/ou par sa promotion de la surveillance et du contrôle des individus peut être suggérée comme candidate. L’équipe des BBA vous invite donc à participer à cette grande traque en proposant vos candidats via le formulaire de nomination en ligne ou par mail (date butoir le 31 mai).

Pas d’attaques gratuites, il faut rapporter des faits avérés, accompagnés de sources identifiées. Rappelons que pour être éligibles, les candidatures doivent être basées sur des faits avérés et étayées par des sources publiques.

Cloud, Entreprise, Sauvegarde

Big Data

Le Big data, c’est aussi une question de sécurité ! Christophe Auberger, Responsable Technique chez Fortinet pour DataSecurityBreach.fr

Sécuriser le Big Data dans les Entreprises Nécessite la Mise en Application de Politiques Intelligentes ainsi que des Outils Analytiques Complets et Performants. Aborder la question de sécurité lorsque l’on parle de Big Data suscite souvent deux courants de pensées divergents de la part des professionnels de l’IT – le refus catégorique que le Big Data devrait être traité différemment de l’infrastructure réseau existante, et une réponse inverse se tournant vers une sur-ingénierie de la solution à adopter compte tenu de la valeur actuelle (ou perçue) des données impliquées.

Le Big Data, selon la définition de Gartner, représente des données informatives de gros volumes, d’une vélocité élevée et/ou d’une grande variété qui nécessitent de nouvelles formes de traitement pour permettre une meilleure prise de décision, conception d’idées et optimisation des processus. Le Big Data augmente les défis de sécurité dans les réseaux de données existants.

Voici les quatre aspects du Big Data, définis par IDC, qui suscitent des défis mais aussi des opportunités:

·        Le Volume: Le volume des données est passé de téraoctets à zettaoctets (1 zettaoctet représente 1021 octets ou 1 000 000 000  téraoctets) et au-delà

·        La Vélocité: La vitesse des données (entrée et sortie) passant d’ensembles de données statiques, créées une seule fois, à des flux de données en continu

·        La Diversité: La gamme de types et sources de données – structurées, non/semi-structurées ou brutes

·        La Valeur: L’importance des données dans leur contexte

Alors que le Big Data présente de nouveaux défis de sécurité, le point initial pour les résoudre est le même que pour toute autre stratégie de protection de données: celui qui consiste à déterminer les niveaux de confidentialité des données, à identifier et classifier les données les plus sensibles, à décider où les données critiques devraient être localisées, et à établir des modèles d’accès sécurisés tant pour les données que pour les analyses.

Planifier autour du cycle de vie du Big Data Protéger correctement le Big Data exige la définition de besoins spécifiques de sécurité autour du cycle de vie du Big Data. Généralement, cela commence par la sécurisation de la collecte des données suivi par celle de l’accès aux données. Comme la plupart des politiques de sécurité, une bonne évaluation des menaces du Big Data de l’organisation doit se faire en continu et viser à garantir l’intégrité des données stockées et sous analyse.

La performance est un élément clé lorsqu’on sécurise les données collectées et les réseaux. Les pare-feux et autres dispositifs de sécurité réseau, tels que ceux pour l’encryption, doivent être ultra performants pour pouvoir supporter de plus en plus de débit, de connexions et d’applications. Dans un environnement Big Data, la création et la mise en application des politiques de sécurité sont essentielles du fait de l’importance du volume de données et du nombre de personnes qui auront besoin d’y accéder.

La quantité de données accroit également la nécessité de prévenir les fuites de données. Les technologies de Prévention des Pertes de Données devraient être utilisées pour s’assurer que l’information n’est pas divulguée à des tiers non autorisés. Les systèmes d’intégrité des données et de détection d’intrusions internes doivent être utilisés pour détecter les attaques ciblées avancées qui contournent les mécanismes de protection traditionnels, par exemple, la détection d’anomalies dans les couches d’agrégation et de collectes. Tous les paquets de données, tous les flux de données, toutes les sessions et transactions devraient être inspectés de près.

Parce que le Big Data couvre des informations qui se trouvent dans une zone étendue provenant de sources multiples, les organisations doivent aussi pouvoir protéger les données  là où elles se trouvent. A cet égard, les systèmes de sécurité virtualisés fournissant une gamme complète de fonctionnalités de sécurité doivent être positionnées aux endroits stratégiques des architectures cloud hybrides, privées et publiques, fréquemment trouvées dans les environnements Big Data. Les ressources doivent être connectées de manière sécurisées et les données transportées depuis les sources de stockage du Big Data doivent également être sécurisées, typiquement via un tunnel IPSec.

Le Big Data, oui, mais avec les Bons Outils ! Alors que le Big Data présente des défis, il offre également des opportunités. Avec les bons outils, d’importantes quantités d’informations pourront être analysées, ce qui permettra à une organisation de comprendre et de comparer les activités dites normales. Si cette organisation peut alors surveiller les utilisateurs qui s’écartent de cette norme, cela permettra de devancer de manière proactive les potentielles fuites de données et systèmes.

Cet effort doit être soutenu par un personnel IT compétent et le déploiement efficace d’outils de sécurité appropriés. Ces outils sont des appliances dédiées de collecte de logs, d’analyse et de reporting qui peuvent en toute sécurité rassembler les données provenant des  dispositifs de sécurité et autres systèmes compatibles syslog. Ces appliances vont également analyser, rapporter et archiver les événements de sécurité, le trafic réseau, le contenu Web, et les données de messagerie. Ceci permet de facilement mesurer le respect des politiques et de produire des rapports personnalisés.

La difficulté à saisir, gérer et traiter les informations rapidement dans les environnements Big Data va continuer à rendre la sécurité un élément de second plan pour de nombreuses entreprises. Alors que la bande passante et le stockage continuent de croitre, la mobilité de ces gros ensembles de données augmente également, provoquant des brèches et la divulgation d’ensembles de données sensibles. Les menaces viendront probablement d’intrus manipulant le Big Data de manière à ce que les outils de business analytics et de business intelligence génèrent des résultats erronés et conduisent à des décisions de gestion qui pourraient être profitables aux intrus.

Même de petits changements dans le Big Data peuvent avoir un impact important sur les résultats. Les organisations ne doivent donc pas ignorer la nécessité de protéger les actifs du Big Data – pour des raisons de sécurité, de business intelligence ou autre. Elles doivent répondre aux principaux besoins du Big Data en termes d’authentification, d’autorisation, de contrôle d’accès basé sur les rôles, d’audit, de contrôle, de sauvegarde et de récupération. A plus long terme, l’analytique du Big Data impliquant l’évaluation et la surveillance comportementale deviendra également de plus en plus capitale pour répondre à la nouvelle génération de défis de sécurité IT.

BOX STORY 1: le SIEM, un Problème pour le Big Data Pour améliorer leur sécurité, certaines organisations ont des solutions SIEM (Security Information and Event Management ou de Gestion des événements et informations de sécurité) pour les aider à collecter et analyser les alertes de sécurité et les systèmes de logging. Cela peut, par inadvertance, toutefois, créer un problème pour le Big Data – dans le cas où chaque log et alerte sont collectés.

Pour éviter ce problème, les organisations devraient arrêter de considérer la sécurité comme un système purement défensif et plutôt penser à ajouter une couche d’abstraction au-dessus de toutes les données pertinentes de l’entreprise. Elles doivent se demander quelles sont les données pertinentes dans un contexte de sécurité. Evidemment, les logs au niveau du réseau (c’est-à-dire le pare-feu, IPS, etc.) et les logs d’accès utilisateurs restent nécessaires. Cependant, les logs de sécurité des terminaux, les logs liés au proxy et même les données d’inspection approfondie des paquets risquent de ne plus être pertinents.

BOX STORY 2

– Exemples de Big Data

·        Logs Web

·        Données RFID

·        Réseaux de capteurs

·        Données des réseaux sociaux

·        Documents  et textes Internet

·        Indexation des recherches Internet

·        Archivage des détails d’appels

·        Dossiers médicaux

·        Archives de photos

Banque, Entreprise

Un ancien pirate de CB invente un anti skimmer

Après son arrestation et un séjour en prison, un pirate informatique invente un nouveau système contre le piratage de données bancaires. Un ancien pirate informatique roumain, spécialisé dans le piratage de données bancaires via des skimmeurs, vient de mettre sur le marché une invention de son cru. L’outil est un système de protection contre le skimming, le piratage de votre carte bancaire via un distributeur de billets piégé.

Valentin Boanta, 33 ans, avait été arrêté en 2009. Il vient d’inventé un nouveau dispositif qui empêche les vols de données bancaires via un GAB, un guichet automatique de billets. Valentin Boanta a déclaré à l’agence de presse Reuters que son arrestation le rendait heureux parce qu’il avait pu se soigner de son addiction au piratage informatique « C’était comme une drogue pour moi« .

Le système inventé par l’ancien skimmeur, baptisé Secure Revolving System-SRS, est financé par une société de Bugarest, MB Telecom. A noter que cette société roumaine, connue aussi sous le nom de MB technology, est spécialisée dans les scanners. En 2012, MB a remporté un prix pour un scanner d’avion. En 2009, elle remportait le même prix pour un scanner à camion.

Selon l’ambassade américaine basée à Bucarest, les pirates roumains auraient volé environ 1 milliard de dollars aux américains en 2012. A noter que l’ancien pirate est toujours en prison. Il a écopé de 5 ans pour avoir créé et revendu des skimmeurs à la mafia locale.

Argent, Banque, Cyber-attaque, Entreprise, Fuite de données

13 Comptes en banque bloqués après le piratage de RPG

Le compte en banque de l’entreprise de télécommunication RPG piraté. Plus de 32.000 euros transférés. Des pirates informatiques ont réussi, en 3 heures, à pirater l’un des comptes bancaires de l’entreprise de télécommunication indienne RPG et à transférer 32.640 euros. Un compte courant basé dans la ville de Mumbai. L’attaque a été détectée le 11 mai dernier. L’argent détourné a été placé dans 13 comptes bancaires différents à Chennai, Coimbatore, Tirunelveli, Bangalore, Hyderabad, … Les comptes bancaires ouverts par les pirates ont été bloqués, mais les e.voleurs ont déjà mis la main sur l’argent liquide. La police a arrêté trois présumés membres de ce groupe de pirates qui retiraient des billets verts dans des banques de Coimbatore et Hyderabad. Les pirates ont réussi ce piratage via un courriel piégé. Un employé aurait ouvert un fichier joint dans un email. Dans le document numérique piégé, un cheval de Troie. (TI)

Cyber-attaque, Virus

Cyber-attaque orientée vers le Pakistan à travers de faux documents PDF

Datasecuritybreach.fr a appris d’ESET, pionnier en matière de sécurité proactive depuis 25 ans, la découverte d’une cyber-attaque ciblée qui tente de voler des informations sensibles provenant de différentes organisations, notamment au Pakistan (avec une portée limitée dans le monde).

Au cours de cette investigation, plusieurs pistes ont été découvertes qui indiquent que la menace est d’origine indienne et qu’elle sévit depuis au moins deux ans. Cette attaque ciblée a utilisé un certificat de signatures de code délivré par une société apparemment légitime qui aurait produit des signatures binaires malveillantes et favorisé leur potentiel de propagation. La société est basée à New Delhi et le certificat a été délivré en 2011. Le malware se diffuse à travers des pièces jointes aux e-mails.

« Nous avons identifié plusieurs documents différents qui évoquent plusieurs thèmes susceptibles d’être attractifs pour les bénéficiaires. L’un d’eux concerne les forces armées indiennes. Nous n’avons pas d’informations précises quant aux personnes ou organisations qui ont été plus particulièrement touchées par ces fichiers, mais sur la base de nos enquêtes, nous formulons l’hypothèse que des personnes et des institutions au Pakistan ont été ciblées », a déclaré à Datasecuritybreach.fr Jean-Ian Boutin, chercheur en malware chez ESET. Par exemple, l’un des fichiers PDF frauduleux a été diffusé par une archive auto-extractible appelée « pakistandefencetoindiantopmiltrysecreat.exe », et le système de supervision d’ESET montre que le Pakistan est fortement affecté par cette campagne avec 79 % des détections repérées dans ce pays.

Le premier vecteur de l’infection exploite une vulnérabilité largement utilisée et connue sous le nom CVE-2012-0158. Cette vulnérabilité peut être exploitée par des documents Microsoft ® Office spécialement conçus qui permettent l’exécution de code arbitraire. Les documents ont été transmis par email et le code malveillant s’exécute dès que le document est ouvert, sans que l’utilisateur de l’ordinateur attaqué s’en aperçoive. L’autre vecteur d’infection s’effectue via les fichiers exécutables Windows qui apparaissent comme des documents Word ou PDF diffusés par la messagerie. Dans les deux cas, pour échapper à la suspicion de la victime, de faux documents sont présentés à l’utilisateur lors de l’exécution.

Le malware a volé des données sensibles à partir d’ordinateurs infectés et les a envoyées vers les serveurs des attaquants. Il a utilisé différentes techniques de vols de données, parmi elles un keylogger, réalisant des captures d’écran et envoyant des documents de l’ordinateur infecté vers le serveur de l’attaquant. Fait intéressant, les informations volées à partir d’un ordinateur infecté ont été téléchargées vers le serveur de l’attaquant sans cryptage. « La décision de ne pas utiliser de cryptage est étonnante dans la mesure où cette opération est relativement simple  à utiliser et aurait pu masquer davantage l’opération», ajoute Jean-Ian Boutin.

Une analyse technique complète est disponible sur le site WeLiveSecurity.com – la nouvelle  plate-forme d’ESET dédiée à l’analyse des  cyber-menaces et aux conseils de sécurité.

Noms de détection

C’est une menace multi-partie et multi-vectorielle, dont les noms des menaces attribués par ESET sont les suivants :

Win32/Agent.NLD worm

Win32/Spy.Agent.NZD Trojan

Win32/Spy.Agent.OBF Trojan

Win32/Spy.Agent.OBV Trojan

Win32/Spy.KeyLogger.NZL

Trojan Win32/Spy.KeyLogger.NZN

Trojan Win32/Spy.VB.NOF

Trojan Win32/Spy.VB.NRP

Trojan Win32/TrojanDownloader.Agent.RNT

Trojan Win32/TrojanDownloader.Agent.RNV

Trojan Win32/TrojanDownloader.Agent.RNW

Trojan Win32/VB.NTC

Trojan Win32/VB.NVM

Trojan Win32/VB.NWB

Trojan Win32/VB.QPK

Trojan Win32/VB.QTV

Trojan Win32/VB.QTY

Trojan Win32/Spy.Agent.NVL

Trojan Win32/Spy.Agent.OAZ trojan

Argent, Arnaque, Cyber-attaque, escroquerie, Piratage

Augmentation de faux services de paiement en ligne au mois de juin

Les achats en ligne de voitures, motos et produits électroniques sont les plus risqués pour les acheteurs, comme pour les vendeurs !

Bitdefender, éditeur de solutions de sécurité, a indiqué à Datasecuritybreach.fr une étude sur les arnaques de services de paiement en ligne, pour la vente de particulier à particulier, dont le nombre et l’ampleur augmentent avant les vacances. Ces arnaques concernent de faux sites de paiement en ligne, créés par des pirates se présentant comme des tiers de confiance, censés assurer une transaction sécurisée entre vendeur et acquéreur et ainsi leur éviter les déconvenues d’une transaction en direct (non-réception de la marchandise ou non paiement). Bitdefender prévoit une augmentation de ce type d’arnaque au mois de juin, avant le début des vacances d’été, particulièrement pour la vente de voitures, de motos et de produits électroniques.

Après 10 mois de recherche, cette étude révèle que 16.8 % des arnaques de ce type, enregistrées ces 12 derniers mois, ont été créées au mois de juin. Les scammeurs sont, en effet, plutôt actifs dans la création de faux sites de paiement en ligne avant les périodes de vacances. Après une diminution stable de juillet à octobre, le nombre de ces faux sites commence ainsi à augmenter avant les vacances d’hiver, et plus particulièrement en décembre. Une recrudescence est ensuite notée en février, avec un pic à plus de 17% des arnaques détectées.

Cette étude de Bitdefender, réalisée sur plus de 2 000 faux sites Web de paiement en ligne, montre aussi que les voitures, les motos et les produits électroniques sont en tête de liste des articles utilisés par les scammeurs pour escroquer les clients en ligne. Les scammeurs se font généralement passer pour des vendeurs légitimes, sur de vrais sites de vente en ligne, et redirigent ensuite les acheteurs sur le faux site de paiement qu’ils contrôlent. Les scammeurs récupèrent ainsi l’argent et ne livrent bien entendu jamais les marchandises.

Top 5 des articles utilisés dans les arnaques de faux paiements en ligne :    Les voitures ;    Les motos ;    Les produits électroniques  ;   Les articles de valeur ;    Les vélos. Parmi les services également pris en charge par les scammeurs, via de fausses transactions, Bitdefender dénombre : les dépôts bancaires (versements), le transfert de dossiers médicaux ou encore d’échantillons liés à des analyses médicales.

« Les scammeurs peuvent être tout à fait convaincants – c’est précisément comme cela qu’ils gagnent de l’argent » déclare à Datasecuritybreach.fr Catalin Cosoi, Responsable des stratégies de sécurité chez Bitdefender. « Ils se donnent beaucoup de mal pour donner l’impression d’être légitimes, au point même de conseiller à leurs cibles de se protéger contre la fraude à la carte bancaire. Afin de rassurer leurs victimes, l’usage classique est qu’ils ne demandent jamais d’informations bancaires, ce qui au final ne change rien dans le cas de cette arnaque, puisque les escrocs reçoivent directement un transfert d’argent. »

Datasecuritybreach.fr conseille vivement aux utilisateurs de vérifier les informations WHOIS (enregistrement de domaine, hébergement, activité en ligne) avant tout paiement en ligne ou utilisation d’un service de transfert d’argent, censé sécuriser la transaction. En effet, contrairement aux vrais sites, plus de 90% des faux sites de paiement en ligne sont enregistrés seulement pour un an.

De plus, les vrais sites de paiement en ligne utilisent des serveurs de connexions sécurisées (SSL) pour protéger les clients. Ces derniers doivent donc voir apparaître une adresse commençant par « https:// » dans la barre de leur navigateur. Malgré tout, les sites frauduleux peuvent « emprunter » le logo des services de vérification SSL, les utilisateurs sont donc invités à vérifier que le site est bien identifié par la société d’authentification et à effectuer quelques vérifications en ligne concernant ce tiers de confiance. Bien souvent, une simple recherche Web permet d’éventer le piège en tombant par exemple sur des témoignages d’utilisateurs, victimes de ce type d’arnaque.

Android, Cyber-attaque, Sécurité, Smartphone

Une nouvelle donne pour les malware Android ?

Le dernier Rapport sur les Menaces Mobiles de F-Secure que Datasecuritybreach.fr a pu consulter rapporte une série de nouveaux malware Android, qui utilisent par exemple la messagerie en plus des applications pour se propager et infecter les appareils.

Le premier trimestre 2013 a été marqué par des nouveautés du côté des  malware Android, qui se veulent de plus en plus complexes. Le Rapport sur les Menaces Mobiles de F-Secure du premier trimestre 2013 présente la première offensive dont la diffusion s’est faite hors des applications, (via des e-mails de spam), les premières attaques Android ciblées, et la première escroquerie prétextant une avance de frais. En parallèle, les revendeurs de malware Android se multiplient sur le web.

Le nombre de familles et variantes de menaces mobiles est en  augmentation de 49 % par rapport au trimestre dernier, passant de 100 à 149. Parmi celles-ci, 136 (soit 91,3% d’entre elles) visaient Android et 13 (soit 8,7%),, étaient conçues pour Symbian. Pour rappel, 61 familles et variantes de menaces avaient été découvertes au premier trimestre 2012… cette croissance est donc à l’image de celle des parts de marché d’Android : exponentielle.

« Les nouvelles techniques utilisées par les cybercriminels pour attaquer Android sont inquiétantes », déclare à Data Security Breach Sean Sullivan, Security Advisor du Lab F-Secure. « A titre d’exemple : jusqu’à présent, je ne me suis jamais inquiété pour ma mère et son mobile Android, car elle n’utilise pas d’applications. Aujourd’hui, j’ai des raisons de m’inquiéter : avec des menaces comme Stels, des malware Android se propagent dans des spams, et ma mère consulte ses e-mails avec son mobile. ».

Ce cheval de Troie Android, plus connu sous le nom de Stels, a commencé à se répandre via un email falsifié de « l’U.S Internal Revenue Services », transportant un logiciel malveillant vendu sur Internet, conçu pour voler des informations confidentielles présentes dans les appareils Android et faire de l’argent en passant des appels à des numéros surtaxés. D’après Sean Sullivan, cet exemple de banalisation des malware « pourrait changer la donne ».

Le premier trimestre a été le théâtre des premières attaques ciblées utilisant des logiciels malveillants Android. Ainsi, des militants des droits de l’homme Tibétains ont été la cible d’emails contenants des pièces jointes infectées par des malware Android. De même, et un soi-disant «  coupon de réduction » pour une chaine de café très populaire a permis de soutirer des informations à des téléphones localisés en Corée du Sud.

Des mobiles indiens ont été spécifiquement pris pour cible, avec ce qui constitue la première escroquerie Android prétextant une avance de frais. Dans ce cas, une fausse application Android « d’offres d’emploi » en Inde, informe son utilisateur qu’il est retenu pour un poste au sein de TATA Group, une multinationale indienne. Pour organiser l’entretien d’embauche, l’application demande un dépôt de garantie remboursable.

BYOD, Fuite de données, Logiciels, Sauvegarde

Comment rester conforme lorsque tout change ?

Par Thierry Karsenti, Directeur Technique Europe Check Point pour DatasecurityBreach.fr.

Nous voulons tous croire que nos réseaux sont entièrement protégés, que nos procédures et politiques sont totalement conformes avec les législations qui gouvernent nos secteurs. Malheureusement, croire en quelque chose ne signifie pas toujours que c’est réel. En réalité, le paysage de la sécurité évolue trop rapidement pour que les entreprises puissent rester protégées en permanence contre toutes les menaces. Nous avons réalisé en 2012 des audits de sécurité approfondis auprès de 900 entreprises à travers le monde, et avons constaté que 63% d’entre-elles étaient infectées à leur insu par des bots. Ces bots communiquent avec leurs centres de contrôle externes au moins une fois toutes les 2 heures et siphonnent activement les données des entreprises infectées.

Toutes ces entreprises sont équipées de multiples technologies de protection, telles que pare-feux, antivirus, etc., mais sont pourtant infectées, parce que leurs solutions de sécurité ne sont pas mises à jour régulièrement, ou bien parce que des changements intervenus dans leur réseau ont introduit des vulnérabilités. Dans de nombreux cas, ces infections sont la conséquence de messages de phishing ou de pièces jointes infectées ciblant les employés.

Les mails ne sont pas tous vos amis De plus, les problèmes de sécurité ne sont pas uniquement limités aux réseaux. 54% des entreprises ont subi des pertes de données suite à l’envoi d’emails à des destinataires externes par erreur ou à la publication d’informations en ligne par erreur. Il n’est donc pas surprenant qu’en mars dernier, l’Agence européenne pour la sécurité informatique et la sécurité des réseaux (ENISA) ait appelé à des actions urgentes pour lutter contre les nouvelles tendances des cyberattaques. L’ENISA est également allée plus loin en recommandant aux gouvernements et aux entreprises d’étudier des alternatives au courrier électronique, offrant une meilleure protection aux utilisateurs, ce qui confirme bien que la tâche de protéger la messagerie d’entreprise et la maintenir conforme devient insurmontable pour de nombreuses entreprises.

Ajoutez à cela la récente législation édictée par la Commission européenne sur la cybersécurité, qui élargit considérablement l’obligation de signaler les fuites de données. En conséquence, les entreprises sont confrontées à des défis croissants en matière de sécurité et de conformité.

Tout change Le défi de conformité est double. Comme nous l’avons évoqué plus tôt, la gestion courante d’un réseau introduit des changements quotidiens au niveau des équipements et des topologies. Chaque changement effectué, peu importe son ampleur, peut affecter la conformité de l’entreprise. Pour les entreprises possédant plusieurs sites en particulier, il peut être difficile pour les équipes informatiques de savoir précisément ce qui se passe sur chaque site.

Deuxièmement, la conformité n’est pas uniquement une question informatique. Il s’agit également des actions et des comportements humains, qui sont enclin à changer aussi souvent que le réseau, même si les employés reçoivent régulièrement des formations sur l’utilisation appropriée des ressources. Comme les entreprises ont de plus en plus besoin de se conformer à plusieurs réglementations (des études montrent que les entreprises de la liste Fortune 1000 doivent obéir à plus de 30 réglementations différentes), la mise en œuvre des contrôles et des politiques de sécurité pour répondre à ces exigences est devenue un sérieux défi.

Ce n’est cependant que la première étape. Les systèmes doivent également être supervisés et contrôlés régulièrement pour assurer leur conformité permanente, et il est nécessaire de présenter une analyse de la conformité en vue de rapports et d’audits. Comment les équipes informatiques des entreprises peuvent-elles répondre à ces demandes complexes et changeantes, lorsqu’elles n’ont ni les ressources ni la main-d’œuvre pour éplucher continuellement les journaux d’événements système ?

L’automatisation est la solution Pour suivre le rythme de ces demandes, il est nécessaire de pouvoir superviser automatiquement et en temps réel le réseau, les règles de sécurité et la configuration des produits de sécurité, et pouvoir mesurer l’impact des changements sur la sécurité et la conformité de l’entreprise. Une visibilité sur l’état du réseau via un tableau de bord unifié permet aux équipes informatiques de traquer et identifier les problèmes potentiels de connectivité et de trafic, et mettre en évidence les zones à risque en matière de sécurité – telles que la manière dont les différents pare-feux du réseau sont configurés, et quelles règles de sécurité sont actives sur ces équipements.

L’automatisation peut apporter aux équipes informatiques la visibilité et la réactivité dont elles ont besoin pour traiter rapidement les problèmes réseau avant qu’ils ne se transforment en risques graves. Comment les équipes informatiques peuvent-elles exactement connaître l’état de leur conformité à tout moment, au niveau des réglementations qui touchent leur secteur ? C’est à ce niveau que des outils de conformité appropriés peuvent faire une réelle différence.

En plus de permettre un management avancé du réseau et de la sécurité, un outil efficace de conformité doit être en mesure de comparer l’état de conformité des passerelles et autres équipements de sécurité avec une vaste bibliothèque de bonnes pratiques, de réglementations et de directives de sécurité. La solution doit alors superviser automatiquement les changements apportés aux règles et aux configurations, alerter les équipes informatiques de l’impact de ces changements, et suggérer des corrections pour maintenir le niveau de sécurité et de conformité. Il est également presque aussi important de pouvoir repérer et résoudre les problèmes, et documenter l’état de la sécurité de l’entreprise – pour démontrer la conformité à la direction et à des auditeurs externes.

L’automatisation aide les entreprises à regagner le contrôle de leur conformité. La solution appropriée doit aider les équipes informatiques à traquer les problèmes potentiels, à mettre en évidence les zones à risque, à comparer l’état actuel de la conformité avec les meilleures pratiques et les réglementations en vigueur, et faire des recommandations adéquates pour maintenir le niveau de sécurité et de conformité. Même si des changements sont inévitables, leur impact sur la conformité et la sécurité d’une entreprise peut être minimisés.

Justice, Particuliers, Twitter

Twitter obligé de fournir les infos d’un utilisateur Français

La justice Française oblige Twitter à fournir les données d’identification d’un usurpateur. Il y a quelques jours, le Tribunal de Grande Instance de Paris, a fait une injonction à Twitter de fournir les données d’identification d’un usurpateur ayant utilisé le système de micro blogging. La société américaine est menacée de 500€ d’amende, par jour, en cas de non fourniture des informations réclamée par la justice. Des données qui doivent permettre de remonter à l’usurpateur. On se souvient que Twitter avait refusé de fournir des informations sur des diffuseurs de messages racistes. On doute que 500€ par jour face plier le géant américain. (Legalis)

Sécurité, Smartphone

Tenter de cadrer les Adwares

Les Adwares, DataSecurityBreach.fr vous parle très souvent de ces programmes publicitaires associés à des réseaux publicitaires présentent des risques pour la confidentialité des utilisateurs et nuisent à leur expérience de navigation. Si la majorité des publicités apparaissent en toute légitimité sur les appareils mobiles, une poignée de réseaux publicitaires présentent clairement un risque pour les utilisateurs. Comme les annonceurs, les réseaux publicitaires ont accès à d’énormes volumes de données personnelles et jouent un rôle clé au cœur de l’écosystème de la mobilité. Il est donc crucial qu’ils assurent la confidentialité des données des utilisateurs. Il n’existe pour le moment pas de système de classification formel et normalisé au sein de l’industrie de la mobilité pour les publicités mobiles. Un manque de clarté qui est pénalisant pour les utilisateurs.

De nouvelles règles et standards C’est la raison pour laquelle Lookout a dévoilé à Data Security Breach de nouvelles règles et standards qui définissent les pratiques acceptables en matière de publicité, garantes d’une expérience utilisateur agréable et d’un respect réel de la confidentialité. L’éditeur laissera suffisamment de temps aux différents acteurs de l’industrie – régies publicitaires, annonceurs, développeurs d’applications –  pour qu’ils puissent revoir leurs pratiques. A compter du 13 juin, les publicités qui ne se conforment pas à ces bonnes pratiques et règles seront placées dans la catégorie des programmes publicitaires. Par ailleurs, dans 45 jours Lookout considérera comme logiciels publicitaires les réseaux publicitaires qui ne sollicitent pas ouvertement le consentement de l’utilisateur avant d’effectuer les actions suivantes :

· affichage de publicité en dehors du périmètre de l’application ;

· collecte insolite d’informations permettant d’identifier l’utilisateur ;

· exécution d’actions inattendues suite au clic sur une publicité.

Protéger avant tout les utilisateurs

Pour l’éditeur, l’utilisateur doit pouvoir donner son consentement après avoir reçu une alerte claire et lisible, qui le prévient que l’application inclut un réseau publicitaire capable d’effectuer au moins une des actions citées ci-dessus. L’utilisateur doit se voir offrir la possibilité d’accepter ou de refuser. L’alerte doit être mise en avant, sans être noyée au milieu des conditions d’utilisation ; tous les développeurs d’applications ont l’obligation de la prévoir dans leur code. Tout réseau publicitaire qui effectue les actions listées ci-dessous, sans demander au préalable l’accord de l’utilisateur, sera considéré comme un logiciel publicitaire à compter du 13 juin 2013.   Les réseaux publicitaires qui affichent leurs publicités en dehors du périmètre de l’application, doivent demander au préalable le consentement de l’utilisateur avant d’effectuer les actions suivantes :

· affichage de publicités dans la barre de notification du système (il s’agit des publicités en mode « push ») ;

· affichage de nouvelles icônes ou de nouveaux raccourcis sur le bureau mobile ;

· modification des paramètres du navigateur, tels que les favoris, sur la page d’accueil par défaut ;

· modification des paramètres de numérotation du téléphone, comme par exemple la sonnerie.

Collecte insolite d’informations

d’identification Lookout estime que les réseaux publicitaires n’ont pas besoin, dans la plupart des cas, de collecter des informations permettant d’identifier une personne s’ils n’ont pas obtenu son accord préalable. Lorsque l’application qui les contient est exécutée pour la première fois, ces réseaux doivent solliciter le consentement de l’utilisateur pour collecter les éléments suivants :

· numéro MSISDN de l’utilisateur (numéro de téléphone) ;

· adresse email de l’utilisateur ;

· historique de navigation de l’utilisateur, ou de ses appels et SMS ;

· numéro IMSI de l’utilisateur (sauf si utilisé à des fins autres que publicitaires comme par exemple par l’opérateur pour la facturation).

Actions inattenduesconsécutives à un clic

Si, pour quelque raison que ce soit, un réseau publicitaire émet des appels téléphoniques ou envoie des SMS dès qu’un utilisateur clique sur une publicité, ou pour toute autre action, il doit lui demander au préalable son consentement et ceci à chaque fois.

Android, Biométrie, Chiffrement, cryptage, Cybersécurité, Espionnae, Fuite de données, Sauvegarde, Sécurité

Chiffrer sa vie privée sur le web

2 commentaires

DataSecurityBreach.fr vous le conseille très souvent : sur Internet, les informations que nous diffusons douvent être, un maximum, chiffrées, protégées, … des regards instigateurs. Les sources de fuites et de regards sont nombreux, très nombreux (Etats, entreprises, marketing, Google, …). Il est possible de se cacher. Non pas que nous soyons de dangereux terroristes à la solde d’un groupuscule venus de l’espace. Non, nous souhaitons juste avoir la possibilité de protéger ce qui nous appartient, notre vie privée.

Sur la toile, donc, difficile d’être « secret », mais les outils existent pour se protéger. Commençons par les envies de causer, en paix. De plus en plus de personnes exploitent le « tchat » de Facebook. Sauf que ce dernier, en plus de ne pas être parfaitement sécurisé, laisse de nombreuses traces dans les serveurs du géant américain. Un exemple que datasecuritybreach.fr vous propose d’effectuer. Vous avez un smartphone et un pc. Dans les deux cas, vous êtes connectés à Facebook. Votre smartphone a l’application Facebook activée, cela vous permet de recevoir, par exemple, des notifications de messages, de pokes, … Sur votre PC, vous causez, et causez encore ! Vous prenez soin, à chaque fin de « bla bla » d’effacer la conversation. Vous vérifiez, et effectivement, Facebook a détruit le contenu. Sauf que si vous vous rendez dans l’application de votre smartphone, miracle, les messages effacés ne le sont plus. Il vous faudra, donc, effacer de nouveau le contenu. Attention, n’utilisez pas l’application pour informer votre contact… au risque de revoir les messages réapparaitre dans le Facebook de votre ordinateur.

Bref, tchater, ok, mais tchater sécurisé, c’est mieux. Pour les utilisateurs de Firefox/Chrome, l’outil Crypto chat (Crypto Cat) est fait pour vous. L’addon s’installe dans votre navigateur. Il suffira, ensuite, de fournir un identifiant de connexion à vos interlocuteurs. Les conversations seront sécurisées par un chiffrement. Autres possibilités Threat Model ; intra messenger ou encore anonpaste.me. Il existe des possibilités de messagerie instantanée et visio-conférences avec Jitsi et Frama Soft.

 Après le tchat, vous allez avoir envie de communiquer fichiers, textes. Dans les possibilités ZeroBin, One Time Secret, Just Beam It, PrivNote. Pour finir, n’oubliez pas de chiffrer vos courriels. Pour les plus techniciens, le logiciel GPG est indispensable. Il réclame un peu de temps d’apprentissage et que vos correspondants utilisent aussi GPG (ou pgp). Mais son efficacité n’est plus à démontrer. Attention, des solutions gratuites comme PrivacyBox, ne sont plus exploitable pour des raisons internes aux créateurs. Pour le cas, de privacy box, une sombre affaire de possibilité d’espionnage.

A noter qu’il existe aussi des solutions de sécurisation des courriers et fichiers via l’autodestruction comme Privnote ; SebSauvage, One time secret ou encore Just bea mit ou encore AnonBox.tk. Pour le téléphone, zatazweb.tv, présente dans son émission du mois de mai une application qui permet de chiffrer les conversations téléphoniques.

Une sécurisation qui peut être accentuée en utilisant, par exemple, des clés USB chiffrées comme celle proposée par la société Integral (La crypto Dual – AES 256 bit) ou encore la clé USB biométrique de chez BEFS.  En vacances, en déplacement professionnel, ou tout simplement au bureau. Ce support de sauvegarde ne fonctionne qu’ave la présentation d’un doigt préenregistré.

Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Fuite de données, Leak, Patch, Sauvegarde

Les gens prennent soin de protéger leurs données mais négligent certaines mesures élémentaires

Un commentaire

Une étude que datasecuritybreach.fr a pu consulter, réalisée par Varonis, leader des logiciels complets de gouvernance des données, indique que la grande majorité des gens comptent que les entreprises protègent leurs données, malgré le nombre élevé de brèches de sécurité signalées. L’étude montre que la plupart des personnes interrogées ont généralement de bonnes pratiques de sécurité, mais ont néanmoins des comportements à risque qui pourraient permettre à des pirates d’accéder à leurs données.

La recherche révèle qu’une majorité écrasante de 91 % des personnes interrogées supposent que les entreprises protègent leurs données personnelles et leurs identités en ligne, et cela en dépit du fait que 93 % des grandes entreprises et 87 % des petites entreprises ont connu en 2013 des failles de sécurité des données. D’une façon générale, l’étude montre que la sécurité des données a une grande valeur : 97 % des répondants préfèrent faire affaire avec une entreprise qui protège leurs données et 54 % se déclarent prêts à payer plus cher s’ils pensent qu’une entreprise protège efficacement leurs données.

Les participants à l’enquête ont fait état de plusieurs habitudes de sécurité en ligne qui seraient mises en évidence dans n’importe quel rapport de sécurité. L’étude a établi que 71 % regardent les dispositions en petits caractères des accords de licence d’utilisation et autres conditions générales.

La sécurité mobile est également prioritaire : plus des trois quarts (77 %) protègent leur téléphone par un mot de passe, et près de la moitié (47 %) utilisent une authentification à deux facteurs pour protéger leur email personnel et leurs services en ligne.

Malheureusement, Varonis a aussi découvert quelques mauvaises habitudes troublantes. Si les participants protègent avec soin leur téléphone par un mot de passe, 61 % utilisent toujours ou fréquemment le même mot de passe sur des sites web ou des applications différents, mettant ainsi leurs informations personnelles en danger. Les deux tiers des participants (67 %) reconnaissent ou soupçonnent qu’ils ont envoyé par email des informations personnelles non cryptées à une entreprise.

« Il est encourageant de constater que les gens recherchent les entreprises qui parviennent mieux à sécuriser leurs données », explique David Gibson à Data Security Breach, vice-président de Varonis. « Cependant, le grand nombre de piratages qui se produisent presque tous les jours indique que les entreprises, comme les individus, ont encore du mal à mettre en oeuvre les bases nécessaires à la sécurisation de leurs données. »

Les personnes doivent se concentrer sur l’élimination de mauvaises habitudes numériques et prendre davantage le contrôle de leur sécurité. Les entreprises ont leur part à jouer pour s’assurer que les départements informatiques mettent en œuvre les bonnes pratiques élémentaires de sécurité.

Quelques recommandations de DataSecrityBreach.fr

.    Sachez où se trouvent vos informations, qui peut y accéder, et comprenez ce que les fournisseurs de service peuvent faire de vos données sans votre consentement explicite

.    N’envoyez jamais par email de données personnelles ou autres données sensibles non cryptées, spécialement les numéros de compte, de carte de crédit et de sécurité sociale, ainsi que les informations ayant trait à la santé 3.    Choisissez des mots de passe forts — mélangeant majuscules et minuscules, chiffres et symboles spéciaux — et utilisez un mot de passe unique pour chaque site. Les gestionnaires de mots de passe sont d’un grand secours dans ce but.

·      Authentification : vérifiez que toute personne accédant à un compte soit vraiment qui elle prétend être ; l’utilisation de plusieurs facteurs est préférable

·      Autorisation : assurez-vous que les employés ont exclusivement accès aux données dont ils ont besoin

·      Audit : surveillez tous les accès

·      Alerte : analysez l’activité à la recherche d’abus potentiels

.     Assurez-vous que les employés utilisent des plateformes sécurisées et autorisées

.     Concentrez-vous sur l’équilibre entre productivité et sécurité : les employés ont besoin d’une expérience de travail moderne qui ne fasse pas courir de risques aux données de l’entreprise.

L’occasion pour les particuliers de faire de même. Voici 6 conseils pratiques pour mettre en ordre son ordinateur et faire le grand ménage de printemps.

.            Sauvegarde des fichiers. Les utilisateurs ont tendance à conserver des fichiers importants et en grande quantité sur leur système sans jamais les stocker. Or, si le système « crash », toutes ces données seront perdues.  La solution la plus simple et efficace est alors de stocker les données les plus sensibles sur un disque dur externe.

.            Nettoyage du registre du système. Le système accumule de nombreux fichiers temporaires au cours de sa vie, surtout en surfant sur Internet.

Pour qu’il fonctionne plus rapidement, la suppression de ces fichiers est alors indispensable. Il existe plusieurs outils pour supprimer les anciennes entrées de registre (sur les PC) comme le fait de vider sa corbeille régulièrement, de supprimer les fichiers temporaires Internet et les cookies, ainsi que son historique de navigation. CCleaner est un outil connu gratuit qui peut effectuer ces tâches, néanmoins une plateforme de sécurité complète telle que Kaspersky PURE 3.0 contient des outils pour nettoyer son PC qui pourront réaliser la même opération tout en protégeant également le système.

.            Défragmentation du disque dur. Il s’agit d’une option sur les systèmes Windows qui augmente la vitesse et l’efficacité du système. Sur Windows 8, cette fonctionnalité se trouve dans « Fichiers » en cherchant « défragmenteur », sur une ancienne version de Windows dans « Programme », «Accessoires », et ensuite « Outils système ». L’utilisation du défragmenteur de disque prend un certain temps et oblige de laisser son PC « au repos ». Il est donc préférable de lancer la défragmentation quand l’utilisateur est absent de chez lui ou lorsque qu’il effectue d’autres activités.

.            Suppression des programmes inconnus.  Il y a de grandes chances pour qu’au fil du temps, les programmes inutilisés s’accumulent sur le système. Mais ces programmes occupent de l’espace sur le disque et ralentissent tout le système. Sur Windows, l’opération à suivre est la suivante : cliquer dans le panneau de configuration, puis sélectionner « Ajouter/supprimer des programmes ». Examiner la liste – sélectionner les programmes inutilisés cette année pour les supprimer. Sur Mac, ouvrir le LaunchPad, et déplacer les icônes des applications inutilisées dans la corbeille.

.            Changement des  mots de passe. Il s’agit d’une étape importante à effectuer régulièrement qui peut-être couplée à la mise à jour du système. Le mot de passe idéal doit être long et compliqué : le mélange des lettres et symboles non-alphanumériques permet de complexifier les mots de passe. Le classique « 123456 » est à éviter ! L’accumulation de mots de passe différents et complexes rend difficile leur mémorisation, l’utilisation d’un gestionnaire de mots de passe facilite grandement cette tâche.

.            Installation des mises à jour des programmes. Il est nécessaire de réaliser régulièrement les mises à jour car celles-ci contiennent les derniers patchs de sécurité. Les versions plus anciennes ont plus de risque d’être exploitées par des pirates informatiques qui trouvent des faiblesses dans les programmes dépassés. Sur Windows, cliquer sur le bouton « démarrer » puis se rendre dans le panneau de configuration, cliquer sur « tous les programmes » et ensuite sur « Windows Update ». C’est ici que se trouvent l’ensemble des mises à jour pour l’ordinateur. La dernière étape est de cliquer sur « rechercher des mises à jour » afin de savoir si l’ordinateur est bien à jour.

Hacking

La dernière technologie de reconnaissance faciale atteint une vitesse supersonique

Herta Security(R) annonce le lancement de BioSurveillance Next(TM), la solution de reconnaissance faciale la plus rapide au monde pour les applications de vidéosurveillance. BioSurveillance Next sera présentée au salon international IFSEC consacré à l’industrie de la sécurité, qui se déroulera du 13 au 16 mai à Birmingham (Royaume-Uni). Quarante fois plus rapide que les technologies de reconnaissance faciale traditionnelles basées sur un microprocesseur, BioSurveillance Next peut traiter en temps réel un enregistrement ou une vidéo en direct en haute définition, au débit incroyable de 150 images par seconde à l’aide d’une technologie exploitant un processeur graphique (GPU). Spécialement conçue pour l’identification de visages parmi la foule, la technologie avant-gardiste d’Herta Security fait avancer l’industrie de la sécurité d’un grand pas.

Le Dr Rodríguez Saeta, PDG d’Herta Security, a déclaré :  » Herta s’engage à innover et à fournir des solutions pour la nouvelle ère des caméras de surveillance atteignant le mégapixel. La technologie de vidéo sur IP réalise des progrès quotidiens et il existe d’innombrables possibilités pour la technologie de reconnaissance faciale. Nous sommes surpris par la quantité de demandes provenant de nombreux pays où la sécurité est devenue un facteur crucial pour la croissance des entreprises. BioSurveillance Next est la solution idéale pour réduire la criminalité dans le secteur de la vente au détail, ainsi que dans d’autres secteurs traditionnels tels que les infrastructures sensibles, les banques, les établissements de jeu ou les services des forces de l’ordre. « 

La solution BioSurveillance Next peut être intégrée aux systèmes de vidéosurveillance et de gestion vidéo (SGV) ou fonctionner de manière autonome. Elle peut être ajoutée à des systèmes de vidéosurveillance existants. Entièrement évolutif, le système est capable d’identifier simultanément plusieurs visages en mouvement, ce qui le rend idéal pour les scénarios impliquant une foule. BioSurveillance Next emploie la dernière technologie de processeurs graphiques, un nouveau paradigme de l’industrie dans le domaine de la vision par ordinateur.

Cybersécurité, Twitter

Vague de piratage de comptes Twitter

Un commentaire

Piratage des Twitters de la FIFA, Justin Bieber, Angelina Joli, Guy Birenbaum, … mais comment font les pirates ? Explication ! Depuis quelques semaines, les comptes Twitter de nombreux média, stars ou journalistes se font pirater, un par un. Des attaques qui donnent l’impression aux témoins de la cybercriminalité que nous sommes depuis plus de 20 ans que les pirates ont un « sésame ouvre toi » en main. Ce fameux petit bouton pressoir qui permet de prendre la main sur un Twitter en deux clics de souris.

L’une des possibilités de ces attaques, des cross-sites scripting cachés dans Twitter ou dans des outils tiers comme TwittDeck. Comme le montre les captures écrans si dessous, Twitter recèle quelques XSS, des Cross-Sites Scripting, qui permettent de mettre la main sur le cookies de connexion (bilan, un pirate pourrait prendre la main sur la session en cours) ; afficher une page phishing via l’url officiel (Bilan, l’internaute pense être chez Twitter et se retrouve à fournir login et mot de passe au pirate). Il se peut, aussi, que les malveillants ont réussi à mettre la main sur les données de connexion en piégeant leurs cibles via d’autres outils (Cheval de Troie), page d’hameçonnage ou tout simplement usant de social engineering. Dernière méthode plus hasardeuse, mais qui a déjà prouvé son efficacité. Le mot de passe utilisé n’est-il pas inscrit dans le blog, le Facebook de la personne piratée ? (date de naissance, ville, métier, famille, …)

  

Pour se protéger d’une attaque utilisant une XSS :

1- Ne cliquer sur aucun lien extérieur. Préférez, toujours, taper l’url dans votre navigateur.

2- Après chaque utilisation de Twitter ou tout autre outil, effacez vos cookies. Pour cela, un outil gratuit comme Ccleaner vous sera un précieux allier.

3- Vérifiez toujours que l’url indiqué dans votre barre de recherche est bien https://www.twitter.com

4- Utilisez des applications tiers pour vérifier l’origine du serveur que vous allez utiliser. Netcraft vous prouvera, par exemple, que vous êtes bien sur Twitter (voir notre capture écran) ; Sous FireFox, l’addon NoScript vous indiquera aussi l’utilisation d’une XSS au moment de votre promenade numérique.

5- Un mot de passe fort (chiffres, lettres, ponctuation, …) permet de freiner les assauts d’un malveillant.

6- datasecueritybreach.fr vous conseille aussi d’utiliser un programme qui vous décortique les urls raccourcis. Le site urlex.org, par exemple, vous transforme une adresse http://is.gd/G41r6x, qui ne veut rien dire, en son véritable url, ici Intel.com. Cela permet de s’assurer que derrière le lien recueilli n’est pas un piège. Je vous conseille, cependant, de suivre ma règle n’1. Une extension pour Chrome permet, en passant sa souris sur un lien réduit, de découvrir l’adresse d’origine cachée derrière un tinyurl, bit.ly, is.gd …

Cette hygiène de vie numérique n’est pas infaillible, mais comme pour la grippe, se laver les mains est déjà une premiére protection. Il en va de même sur la toile.

Entreprise, Fuite de données, Leak, Sauvegarde, Sécurité

Piratage de la gestion du bâtiment de Google

Des experts en sécurité informatique de la société américaine Cylance viennent de remettre au goût du jour le piratage des systèmes de gestion des bâtiments. Eaux usées, climatisation, électricité, téléphone, … l’attaque de ce genre d’infrastructure se transforme très vite en un énorme problème pour l’entreprise attaquée. Imaginez, un pirate informatique souhaite mettre en « carafe », en panne, un serveur installé au sein d’une société qu’il décide d’attaquer. Faire déborder les égouts ou éteindre la climatisation pourrait être fatale pour la cible et ses données. Les chercheurs de Cylance ont expliqué que des centaines de sièges d’entreprises, d’administration et de secteurs sensibles comme les hôpitaux, banques basés en Australie sont ouverts à qui sait se faufiler. Parmi les cibles de cette grande chasse au trésor, l’immeuble qui loge Google Australie.

loi, Particuliers

Projet de loi consommation : les DRM expurgés de la future loi Hamon ?

Le projet de loi relatif à la consommation présenté le 2 mai 2013, veille de la Journée internationale contre les DRM, semble vouloir réduire à néant l’information du consommateur sur la présence de menottes numériques.

Le projet de loi relatif à la consommation a été présenté en Conseil des ministres par Benoît Hamon (ministre délégué à l’Économie sociale et solidaire et à la Consommation) le 2 mai 2013 puis déposé à l’Assemblée nationale. Ce projet de loi porte sur la mise en place de l’action de groupe [1] mais également sur la transposition de la directive européenne relative aux droits des consommateurs adoptée en 2011. Celle-ci avait timidement mis en place une information minimale du consommateur concernant les DRM (des menottes numériques, appelées trompeusement « mesures de protection technique » [2]). Ainsi, dans l’article 5 de la directive on peut lire :

    Article 5

    Obligations d’information concernant les contrats autres que les contrats à distance ou hors établissement

    1. Avant que le consommateur ne soit lié par un contrat autre qu’un contrat à distance ou hors établissement, ou par une offre du même     type, le professionnel fournit au consommateur les informations suivantes, d’une manière claire et compréhensible, pour autant     qu’elles ne ressortent pas du contexte :

    […]

    g) s’il y a lieu, les fonctionnalités du contenu numérique, y  compris les mesures de protection technique applicables ;

    h) s’il y a lieu, toute interopérabilité pertinente du contenu numérique avec certains matériels ou logiciels dont le professionnel  a ou devrait raisonnablement avoir connaissance. »

Le projet de loi de Benoît Hamon a réduit fortement cette information. Ainsi, dans l’article 4 du projet de loi on peut lire :

    « Art. L. 111-1. – Avant que le consommateur ne soit lié par un     contrat de vente ou de fourniture de services, le professionnel     communique, de manière lisible et compréhensible, au consommateur     les informations suivantes :

    […]

    4° Les informations relatives à son identité et ses activités, aux     garanties, aux fonctionnalités du contenu numérique et le cas     échéant à son interopérabilité, à l’existence et aux modalités de     mise en œuvre des garanties et aux autres conditions contractuelles,     dont la liste et le contenu sont fixés par décret en Conseil d’État. »

Cette information est donc très limitée, et le texte entretien le flou sur les informations transmises aux consommateurs. Pourtant, ceux-ci ont souvent besoin d’avoir des informations précises sur d’éventuels DRM, car de tels verrous empêchent bien souvent l’usage complet des produits.

« S’assurer que la présence de DRM soit explicitement mentionnée ainsi les restrictions qu’elles entrainent est une base minimale pour l’information des consommateurs. La protection réelle des droits des consommateurs passe par l’interdiction pure et simple de la pratique détestable de ces menottes numériques » a déclaré à datasecuritybreach.fr Frédéric Couchet, délégué général de l’April.

L’April demande donc que le texte soit amendé pour assurer le respect des droits des consommateurs.

Notons qu’une pré-version du projet reprenait les formulations de la directive :

    « Art. L. 111-1. – Avant que le consommateur ne soit lié par un     contrat, le professionnel est tenu de fournir d’une manière claire     et compréhensible au consommateur les informations suivantes :

    […]

    8° S’il y a lieu, les fonctionnalités du contenu numérique, y     compris les mesures de protection technique applicables ;

    9° S’il y a lieu, toute interopérabilité pertinente du contenu     numérique avec certains matériels ou logiciels dont le professionnel     a ou devrait raisonnablement avoir connaissance.

    Ces dispositions s’appliquent également aux contrats portant sur la     fourniture d’eau, de gaz ou d’électricité, lorsqu’ils ne sont pas     conditionnés dans un volume délimité ou en quantité déterminée,     ainsi que de chauffage urbain et de contenu numérique non fourni sur     un support matériel.»

Par ailleurs, le projet de loi remet aussi sur la table le blocage des sites internet.

Références

  * 1. L’action de groupe telle qu’elle est présentée actuellement ne correspond d’ailleurs pas à nos attentes, comme le montre la     réponse de l’April à la consultation publique lancée par le  gouvernement à l’automne 2012 .

  * 2. Pour plus d’information sur les DRM, voir la synthèse publiée par l’April à ce sujet.

Cyber-attaque, Virus

Beta Bot : un nouveau robot sur le marché

Le code malveillant pousse l’utilisateur à valider l’UAC pour infecter le système et désinstaller l’antivirus présent. Ce nouveau bot appelé « Beta Bot » est récemment entré sur le marché parallèle. Disponible pour moins de 500 €, Beta Bot est un robot relativement peu cher compte tenu de sa vaste liste de fonctionnalités. Même si la plupart de ces caractéristiques sont assez standards (attaque DDoS, accès à distance, captures de données et autres méthodes de vols d’informations) une capacité particulière a attiré l‘attention du G Data SecurityLabs : « Désactiver l’antivirus » annonce la publicité affichée sur les forums souterrains. Une annonce suivie d’une liste de près de 30 programmes de sécurité censés être désactivables par Beta Bot.

Quelle est la méthode utilisée ?

Lorsqu’il est installé sur un système, Beta Bot cherche une solution de sécurité qu’il connait. S’il la trouve, le robot commence ses attaques en arrêtant les processus, en désactivant des clés de registre ou en désactivant les mises à jour automatiques. Selon le type de produit de sécurité, Beta Bot tente de contourner les pare-feux en injectant certaines routines dans les programmes qui sont habituellement autorisés à passer le pare-feu, comme Internet Explorer.

Contrôle d’accès utilisateur (UAC) – contourner les permissions Sur les systèmes d’exploitation Windows modernes, les autorisations des utilisateurs sont réparties entre standard (faible niveau d‘autorisation) et administrateur (niveau d’autorisation élevé). Contrairement à un administrateur, un utilisateur standard ne peut pas modifier les parties critiques du système. La décision d’élever le niveau de permission d’un processus est proposée à l’utilisateur par une fenêtre de dialogue spécifique. Celui-ci doit alors valider ou non cette permission. Beta Bot utilise cette boite de dialogue pour gagner des droits élevés sur le système. Bien que beaucoup de codes malveillants se contentent de droits utilisateurs limités pour attaquer le système, Beta Bot doit escalader les privilèges utilisateurs pour s’attaquer aux logiciels de sécurité.  Pour réussir dans cette démarche, la validation de l’utilisateur est nécessaire. Deux astuces sont utilisées par Beta Bot pour convaincre l’utilisateur de valider cette élévation de droits.

Dès que le code malveillant est exécuté sur le système, il affiche une première fenêtre dans la langue du système (10 langues, dont le français, sont disponibles) signifiant un problème de disque dur. Ce faux message critique joue sur la peur de perdre des données et invite l’utilisateur à réparer les dossiers endommagés. L’utilisateur doit choisir l’une des deux options proposées (« Restaurer les fichiers » ou  « Restaurer les fichiers et réaliser une vérification de disque »). C’est alors que le contrôle d’accès utilisateur (UAC) est lancé. C’est à l’autre astuce de prendre le relais : Beta Bot n’est pas directement utilisé pour lancer le processus UAC. C’est le programme cmd.exe, autrement dit l’invite de commande Windows, qui est utilisée pour démarrer le code Beta Bot. L’utilisateur est donc invité à élever les autorisations d’un programme Windows, ce qui est habituellement autorisé par la majorité des utilisateurs.

Logiciels, Virus

VirusKeeper, l’antivirus made in France

VirusKeeper est le seul antivirus 100% made in France. Il a été conçu en 2006 par la société d’édition AxBx, implantée à Villeneuve d’Ascq dans le Nord de la France. Depuis plus de 14 ans, la société AxBx conçoit, développe et commercialise des logiciels innovants dans le domaine des utilitaires systèmes (optimisation du système, sauvegarde, diagnostic, compression de données) et de la sécurité informatique (antivirus, pare-feu, protection USB, ultra sécurité, …) Le logiciel antivirus VirusKeeper repose sur un procédé de détection par analyse comportementale. Les virus et autres programmes malveillants ne sont pas détectés par signature mais par leur comportement. Ce procédé permet à VirusKeeper de détecter rapidement les épidémies de nouveaux virus et malwares qui ne sont pas encore référencés.

Aujourd’hui, avec la généralisation des connexions internet haut débit, tous les ordinateurs sont connectés en permanence et les informations transitent à grande vitesse. Les épidémies de nouveaux virus et de malwares se propagent très rapidement et au niveau mondial. Le procédé classique de détection par signature montre aujourd’hui ses limites. D’un part, ce procédé a toujours « un train de retard » puisqu’il faut qu’au moins un ordinateur soit infecté pour que la signature du virus soit identifiée puis intégrée dans les mises à jour. D’autre part, le nombre de virus et de malwares est tellement élevé que les bases de signatures virales deviennent gigantesques. Les temps de scan sont donc de plus en plus long et la consommation mémoire de plus en plus importante. Le procédé de signature date du début des années 90 et il est aujourd’hui dépassée. Pour fêter le 7ème anniversaire de VirusKeeper, AxBx propose la toute dernière version de son antivirus au prix de 19.90 Euros TTC pour 3 postes, soit une remise de 50% sur le prix public. Une version d’essai gratuite peut également être téléchargée sur viruskeeper.com

Particuliers

Privacy Alert

Depuis plus d’un an, le Parlement européen étudie la proposition de règlement [1] de la Commission européenne qui vise à réformer la législation encadrant la protection des données personnelles au niveau européen. Jusqu’à présent, les différentes commissions parlementaires ayant travaillé sur ce projet se sont exprimées pour l’assouplissement des règles protégeant notre vie privée. Alors qu’un vote crucial approche [2] au sein de la commission « libertés civiles » (LIBE), La Quadrature du Net commence la publication d’une série d’analyses [3] abordant les points clefs, enjeux, progrès et dangers de cette réforme. ***

Face au développement de pratiques dangereuses pour notre vie privée de la part d’entreprises peu scrupuleuses, et afin d’encadrer la collecte, le traitement, et la vente des données personnelles des citoyens européens, la Commission européenne a présenté en janvier 2012 une proposition de règlement [1] destinée à réformer la législation en vigueur, datant de 1995. Ce règlement, qui devrait entrer en vigueur en 2015, sera directement applicable dans l’ensemble des États membres de l’Union européenne et se substituera immédiatement à toutes les lois nationales existantes en la matière [4]. Tel que proposé par Viviane Reding, commissaire à la Justice, aux Droits fondamentaux et à la Citoyenneté, il pourrait constituer une réelle avancée pour la protection de notre vie privée.

Adopté en l’état, le règlement permettrait de :

   – renforcer considérablement les droits des citoyens, les obligations des entreprises et les pouvoirs conférés aux autorités de contrôle, à l’instar de la CNIL [5] en France ;    – définir plus largement la portée de ce cadre légal afin de couvrir les activités de toute entreprise – quelque soit sa situation géographique – analysant les comportements des citoyens européens ou leur proposant des biens ou des services.

Une campagne de lobbying sans précédent

En réponse à la proposition de la Commission, de puissantes entreprises, principalement américaines (banques, assurances et services Internet), ont mené une campagne de lobbying sans précédent [6] afin de faire exclure de la version finale du règlement les propositions destinées à protéger les données personnelles des citoyens. Comme l’a clairement démontré le site Internet LobbyPlag [7], certains députés européens clés ont ainsi recopié mot pour mot les demandes des lobbies dans leurs propositions d’amendements.

Quatre commissions [8] du Parlement européen ont déjà exprimé leur avis sur les modifications à apporter à la proposition de la Commission. Directement influencées par les lobbies, elles se sont chaque fois exprimées en faveur de l’affaiblissement du cadre législatif protégeant la vie privée des citoyens européens et de la réduction des responsabilités incombant aux entreprises.

Ces avis n’ont cependant qu’une valeur consultative, et la situation peut encore être renversée : la liste des amendements que le Parlement européen dans son ensemble pourra adopter lors de la première lecture du texte, prévue pour la fin de l’année 2013, doit être adoptée par la commission « libertés civiles » (LIBE) lors d’un vote devant avoir lieu avant la fin du mois de juin.

Agissons !

Avant ce vote, nous devons nous assurer que ces députés ne céderont pas aux pressions des lobbies, comme ont pu le faire ceux des commissions ayant déjà exprimé leur avis, mais qu’ils garantiront une mise en œuvre efficace des avancées proposées par la Commission. Dès à présent et jusqu’au moment du vote, les citoyens doivent contacter [9] leurs députés européens et réclamer une réelle protection de leur droit fondamental à la vie privée. Comme l’a démontré le rejet d’ACTA [10] l’été dernier, les appels des citoyens à protéger l’intérêt général plutôt que les intérêts privés de quelques uns peuvent être entendus par les élus, à condition que cette mobilisation citoyenne soit suffisamment importante, soutenue et relayée.

Pour permettre à tous de s’approprier les enjeux et points clés de ce débat, La Quadrature du Net démarre la publication d’une série d’analyses présentant les principaux aspects du projet de règlement. Chacune abordera les avancées que pourraient constituer les propositions de la Commission, les raisons pour lesquelles les lobbies de l’industrie s’y opposent et les positions exprimées par les députés européens jusqu’à présent.

Privacy Alert : #1

Le consentement explicite La première analyse (à venir) de cette série abordera la question du « consentement explicite » et son rôle central dans le contrôle de nos données personnelles.

Références

1. http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_fr.pdf

2. Le vote de la commission LIBE était initialement prévu pour les 29-30 mai, mais devrait finalement avoir lieu au mois de juin.

3. https://www.laquadrature.net/fr/privacy-alert-0-introduction#sommaire

4. La Commission européenne est l’institution disposant de l’initiative législative au niveau européen. Le Parlement européen et le Conseil de l’Union européenne (formé de ministres des différents États membres) peuvent amender les textes législatifs proposés par la Commission jusqu’à arriver à un accord sur le texte à adopter, qui entrera alors en vigueur, ou à le rejeter.

Au terme de ce processus, deux types d’actes législatifs peuvent être adoptés : une directive, qui pose des objectifs et des principes que chaque État membre devra intégrer dans son droit national, quitte à adopter une loi nouvelle ; ou un règlement, qui s’appliquera directement à l’ensemble des États membres.

Le choix du règlement semble particulièrement adapté pour contrôler la circulation des données personnelles sur Internet, qui est par essence transfrontalière. L’actuelle réglementation européenne en la matière – la directive de 1995 – pâti, entre autres, d’une transposition et d’une interprétation hétérogènes au sein des différents pays membres de l’Union européenne, dont certaines entreprises peu respectueuses de la vie privée profitent.

5. La Commission nationale de l’informatique et des libertés (CNIL) est une autorité administrative indépendante française. La CNIL est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni à la vie privée, ni aux libertés individuelles ou publiques, ni à aucun autre droit de l’Homme.

6. Voir la page du wiki de La Quadrature [en] recensant un grand nombre des documents envoyés aux députés européens par des entreprises privées : https://www.laquadrature.net/wiki/Lobbies_on_dataprotection

7. http://lobbyplag.eu/

8. Avant de voter en formation plénière, les députés du Parlement européen travaillent au sein de commissions parlementaires, chacune chargée de thèmes différents (libertés civiles, emploi, agriculture, etc) et composées de quelques dizaines de membres. Ces commissions parlementaires étudient les propositions législatives faites par la Commission européenne et proposent les amendements que l’ensemble du Parlement européen votera lors des sessions plénières.

Les commissions « consommateurs » (IMCO), « emploi » (EMPL), « industrie » (ITRE) et « affaires juridiques » (JURI) ont chacune proposé des amendements à la commission « libertés civiles » (LIBE), chargée de rédiger le rapport destiné à l’ensemble du Parlement.

Voir le wiki de La Quadrature pour une analyse détaillée des amendements les plus dangereux proposés par chaque commission : pour IMCO [en] https://www.laquadrature.net/wiki/Data_protection:_IMCO pour ITRE [en] https://www.laquadrature.net/wiki/Data_protection:_ITRE pour JURI [en] https://www.laquadrature.net/wiki/Data_protection:_JURI

9. https://www.laquadrature.net/wiki/Comment_contacter_un_d%C3%A9put%C3%A9_europ%C3%A9en

10. https://www.laquadrature.net/fr/acta-victoire-totale-pour-les-citoyens-et-la-democratie

Argent, Banque, Cyber-attaque, Cybersécurité, escroquerie, Leak

L’auteur de SpyEye extradé aux USA

Hamza Bendellaj, surnommé le « hacker souriant » et reconnu sur la toile sous le pseudonyme de BX1, accusé d’être l’auteur/diffuseur du virus informatique SpyEye, a été extradé vers les Etats-Unis. Pour rappel, le jeune homme avait été arrêté en grande pompe par la police Thaïlandaise le 5 janvier 2013. Il était poursuivi par le FBI depuis son inculpation, en décembre 2011. Hamza Bendellaj a été présenté devant une cour fédérale d’Atlanta. Il est accusé de 23 chefs d’inculpation pour avoir participé au développement, à la vente et à la distribution du virus « SpyEye ».

Ce logiciel malveillant a pour mission de recueillir secrètement des informations financières, mots de passe. But final, détourner l’argent des comptes en banques d’internautes ainsi piéger. Le procureur en charge du cas Hamza, Sally Yates, indique que 253 établissements financiers américains ont été touchés par cette intrusion malveillante. Infiltrations qui auraient rapporté plusieurs millions de dollars au(x) pirate(s). L’Oncle Sam s’intéresse à ce présumé pirate car ce dernier avait loué des serveurs, à Atlanta, ayant permis les attaques informatiques.

« L’acte d’accusation fédéral et l’extradition de Bendelladj doivent être  un message très clair aux cybercriminels internationaux qui se sentent en sécurité derrière leurs ordinateurs dans des pays étrangers : ils sont, en fait, à portée de main», a pu lire datasecuritybreach.fr dans le communiqué de presse diffusé par Mark F. Giuliano agent du FBI d’Atlanta en charge de l’affaire.

BX1 risque 30 ans de prison pour fraude bancaire; 5 ans pour fraude informatique; 5 ans par chef d’accusation. Bref, il risque de perdre rapidement le sourire face à 155 ans de prison ferme !

Cybersécurité, Fuite de données, Leak

Fuites pour la PS4

Street skater fu vient de diffuser un document rigolo concernant un document traitant de la fuite de documents internes chez Sony. Une source anonyme a fourni quelques captures d’écran d’un document baptisé « Report on Implementation of Preventing Information Leaks » – «Rapport sur la mise en œuvre de la prévention des fuites d’information».

Pendant ce temps, les informations concernant la Playstation 4 commencent à arriver. L’une des sources intéressantes sur ce sujet … le logiciel PSN Store Secret Search. Un outil qui permet, entre autres, d’afficher tout ce qui est stocké sur le PlayStation Store. Des informations qui ne sont pas visibles à l’utilisateur lambda. Dans les informations relevées, des tests de Sony pour la mise en ligne de contenus à destination de la PlayStation 4.

A quelques mois du lancement de la machine, il serait peut-être temps de s’y mettre ! Des mots semblent cacher des préparatifs secrets pour la PS4 : Chihiro, Marteau ou encore Espadon. (SKF)

Argent, Logiciels

Wawamania : le pirate Français caché aux Philippines

6 commentaires

Comme l’explique ZATAZ.COM, l’administrateur/fondateur du site de diffusion et partage de fichiers piratés, WawaMania coule des jours heureux aux Philippines. Zac, le pseudo de ce pirate, a fuit la France, la Justice et ses anciens amis. Datasecuritybreach.fr a demandé à l’ancien administrateur du forum Mamie Tracker, Fabien L. (@Skull) ce qu’il pensait de ce P2P là. Fabien a été jugé et condamné, il y a peu, à une très lourde peine en tant qu’administrateur d’un forum « pirate ».

Datasecuritybreach.fr – Que pensez-vous de ce pseudo mode de l’échange communautaire qui engraisse surtout certains ?

Skull : Malheureusement, cela a toujours existé. Dans le peer-to-peer (P2P) il y a deux catégories : il y a ceux qui font cela pour le plaisir du partage ; et ceux qui ne sont là que pour amasser de l’argent. Naturellement, ça nui énormément au peer-to-peer, car depuis quelques années tout le monde est dans le même panier.

Datasecuritybreach.fr – Parlez-nous de ce que vous avez vécu

Pour ma part, j’étais l’administrateur du tracker Mamietracker.com. A la base, j’avais créé ce site justement pour couper le pied aux gros trackers comme T411, Snowtigers et bien d’autres qui étaient/sont là pour le flux d’argent qui draine, ceux qui ne parlent que d’échange, de gratuité, … et qui s’en mettent plein les poches. MamieTracker est né pour cela. Au départ ce n’était que du tout « gratuit », 1 an plus tard il m’a fallu faire un appel aux dons car le site grandissait et il me fallait payer des serveur pour gérer tout cela. Alors oui, certains diront que j’ai gagné de l’argent ce qui n’est pas faux (3.000€ en tout et pour tout sur 3 ans). La suite, vous la connaissez. Visite des policiers et des cyberpoliciers de Bayonne à 6h00 du matin à mon domicile. Des gens très polis et compréhensifs. J’ai été condamné à 6 mois de prison avec sursis – 1000€ d’amende – 300 000 Euros à reverser aux ayants droit (SACEM, Warner, Scpp).

Datasecuritybreach.fr – Aujourd’hui que devennez-vous ?

Aujourd’hui j’ai complètement coupé les ponts avec le peer to peer, passionné d’informatique j’ai remonté un site web nommé www.anywheres.fr, spécialisé dans l’assistance informatique et le dépannage informatique à distance, j’essaie de faire de ma passion mon métier mais les temps sont durs en ce moment il est donc difficile d’acquérir de nouveaux clients.

Datasecuritybreach.fr – Avec le recul, referiez-vous un site d’échange ?

Oui et non. Au niveau du partage et du contact humain oui. Maintenant, le jeu n’en vaut pas la chandelle. J’ai eu très peu de soutient le jour de mon arrestation. Sur mes 120 000 membres actifs, seulement une dizaine de personnes m’ont soutenu. Merci à eux. Les autres ne sont que des bouffeurs de copies. Faut pas croire, passer au tribunal, en correctionnel, c’est nerveusement terrible. Comme j’ai fait appel, je me suis ensuite retrouvé en cour d’assise. Autant vous dire que vous passez un sale quart d’heure (dont 4 heures d’audience, ndlr). Alors non, refaire un site d’échange pour toutes ces raisons, je ne le referai pas! Et je le déconseille à quiconque.

Datasecuritybreach.fr – Existe-t-il une solution pour que les internautes, en mal de nouveautés ?

Oui, aujourd’hui il y’a la VOD. cela reste cependant cher, et les nouveautés sont inexistantes. Des nouveautés qui sortent bien après les diffusions sur le peer-to-peer. Ca reste un vrai problème !

Datasecuritybreach.fr – Vous devez rembourser beaucoup ?

Comme dit plus haut, oui. Je dois payer énormément. Je dirai même que c’est démesuré. Je pense que j’ai servi d’exemple malheureusement. J’assume complétement. Je savais ce que j’encourrai dès le départ. DSB – Comment faites-vous ? Aujourd’hui, je survis. Je suis sans emploi et je m’occupe exclusivement de anywheres.fr. Mentalement j’ai tiré un trait sur MamieTracker. Tout ceci est derrière moi, ce n’est pas simple tous les jours. Je dois verser 300.000€ aux ayants droits. Des huissiers me rendent visite régulièrement. Je sais qu’ils attendent des saisies sur salaires dés que ma situation le permettra. Je me dis que la vie continue et que peut être un jour, je pourrai vivre de ma passion, l’informatique.

Datasecuritybreach.fr -Que pensez-vous du site Wawamania qui fait énormément parler de lui ?

Pour moi, et depuis le début, Wawamania n’est qu’une pompe à fric. Souvenez-vous, il y a 2/3 ans, une association s’était monter pour aider ce pauvre administrateur. Le reportage de TF1 risque d’en faire flipper plus d’un, au sujet du comportement de l’administrateur à l’époque et aujourd’hui. Pour rappel, il s’était vanté, il y a peu, de gagner entre 10 000 et 15 000€ par mois. C’est aussi pour cela qu’il est parti vivre au Philippine. C’est ce genre de type qui nuit au P2P. Les gros sites sont tous dans la course au gain. Regardez FrenchTorrentDB. Les dons sont effectués vers un pseudo hébergeur Canadien, Fouweb. Bilan, Paypal n’y voit rien à redire. Les internautes ne payent pas le pirate, mais font un don à un … herbergeur !

Fuite de données, loi, Particuliers

Un règlement dépouillant les citoyens de leur droit à la vie privée

Une coalition d’organisations internationales et européennes, dont Access, Bits of Freedom, Digitale Gesellschaft, EDRI, La Quadrature du Net, Open Rights Group, et Privacy International, démarre une campagne commune et un site Internet, nakedcitizens.eu. Ce site permet aux citoyens de contacter leurs représentants au Parlement européen pour les appeler à protéger leur droit fondamental à la vie privée.

Un règlement dépouillant les citoyens de leur droit à la vie privée Des organisations citoyennes exigent que les membres du Parlement européen protègent la vie privée des citoyens. Depuis son lancement, la révision de la législation européenne encadrant la protection des données donne lieu à une campagne de lobbying sans précédent de la part d’entreprises privées et de gouvernements étrangers. Le Parlement européen examine en ce moment le texte proposé par la Commission européenne, et envisage d’y faire de dangereux amendements. Selon une coalition d’organisations citoyennes, si ces amendements étaient adoptés, ils dépouilleraient les citoyens de leur droit à la vie privée. Cette affirmation est basée sur l’analyse des 4 000 amendements actuellement examinés par le Parlement européen.

« Sans une protection efficace de nos données, nos vies privées sont mises à nu, pour être utilisées et exploitées abusivement par des entreprises privées et des gouvernements. » déclare Joe McNamee de l’organisation citoyenne European Digital Rights (EDRI) et porte-parole de la coalition. « Nous appelons les membres du Parlement européen à faire primer les droits des citoyens et à rejeter ces propositions dangereuses. »

En prévision du vote final de la commission « libertés civiles » le 29 mai, la coalition de la société civile met en lumière les cinq amendements les plus dangereux proposés par les membres du Parlement européen pour modifier le règlement encadrant la protection des données. Le règlement proposé par la Commission européenne a pour objectif de renouveler et de moderniser le cadre législatif existant pour l’adapter à l’ère numérique, et de conférer aux citoyens un plus grand contrôle sur leurs données personnelles. Le lobbying démesuré venant de grandes entreprises et de gouvernements risque au contraire de réduire à néant ce cadre juridique. Les citoyens doivent pouvoir faire confiance aux services en ligne qu’ils utilisent. Le niveau de confiance exceptionnellement bas rapporté par des études tant européennes qu’américaines n’est tout simplement pas viable, tant pour les citoyens que pour les entreprises. La confiance doit être reconstruite en rendant aux citoyens le contrôle de leurs données grâce aux droits : (1) d’accéder à leurs données personnelles et de les supprimer, (2) de transférer simplement leurs données d’un service à un autre, (3) d’être assurés que leurs données personnelles ne seront utilisées que pour la finalité précise et limitée à laquelle ils ont consenti, (4) d’être assurés que leurs données sont à l’abri des gouvernements étrangers, (5) d’être assurés qu’en cas de faille de sécurité impliquant leurs données, les entreprises responsables les en informeront.

* Références * 1. https://www.accessnow.org/

2. https://www.bof.nl/

3. https://digitalegesellschaft.de/

4. http://www.edri.org/

5. http://www.openrightsgroup.org/

6. https://www.privacyinternational.org/

7. https://nakedcitizens.eu/

8. https://www.laquadrature.net/fr/un-reglement-depouillant-les-citoyens-de-leur-droit-a-la-vie-privee

Logiciels

Dictao Trust Platform première solution de contractualisation numérique certifiée par l’ANSSI

Dictao, éditeur logiciel de solutions de confiance, annonce que sa solution de contractualisation numérique Dictao Trust Platform (DTP) a obtenu la certification CSPN délivrée par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). Le basculement des grandes organisations vers la contractualisation numérique implique qu’elles puissent disposer de preuves de transactions solides et opposables en cas de litige.

Cette nouvelle certification CSPN (Certification de Sécurité de Premier Niveau) de la solution Dictao vient attester et renforcer la fiabilité du processus de souscription numérique qu’elle met en œuvre. L’entreprise dispose alors des garanties nécessaires à la dématérialisation de la relation client pour développer son activité commerciale en ligne et sur mobile, augmenter son taux de transformation et optimiser le temps de traitement de ses dossiers. Cette entreprise permet ainsi à ses clients de marquer leur engagement sur des contrats grâce à la signature électronique tout en disposant d’un dossier de preuves retraçant exactement le processus de contractualisation (contrat signé, preuve d’authentification, pièces justificatives, parcours et actions du client, etc.).

Laurent Fournié, Directeur Architecture de Dictao déclare à Data Security Breach : « Notre solution de contractualisation numérique Dictao Trust Platform (DTP) est la première à obtenir une certification CSPN, attestant la fiabilité du processus de contractualisation et celle du procédé de constitution de la preuve. Cette certification, en complément de notre démarche globale de certifications internationales EAL3+, confirme notre volonté de développer une gamme de produits respectant les critères de sécurité et de conformité en face des cadres techniques et juridiques les plus exigeants. »

Cyber-attaque, Fuite de données, Leak, Virus

Ministère du Travail piraté par des hackers Chinois

3 commentaires

Le Ministère du Travail américain infiltré. Des traces de hackers Chinois retrouvés. Analyse ! DataSecurityBreach.fr vient d’être alerté par Jaime Blasco, directeur du labs d’AlienVault au sujet de plusieurs infiltrations web d’envergure qui semblent être signés par des hackers Chinois. Dans les « cibles », le site du ministère du Travail américain. Les pirates y ont caché un code malveillant.

L’idée des intrus, installer une redirection sur un programme espion. Au cours des dernières heures, Data Security Breach a pu identifier plusieurs autres sites web, moins importants que cet espace ministériel. Les pirates ont profité du site sem.dol.gov pour, ensuite, piéger dol.gov, dol.ns01.us et statse.webtrendslive.com. Lors de la visite de « SEM », l’internaute se retrouvait à lire, via son navigateur, le fichier textsize.js. Un JavaScript qui contient le code suivant malveillant. Le serveur « malicieux » est exécuté via un fichier baptisé xss.php caché sur NS01.

Le script pirate recueille beaucoup d’informations du système et il télécharge les informations recueillies sur le serveur malveillant. L’attaque est intéressante car dans les commandes de l’outil pirate, un détecteur de Flash fonctionnant sur l’ordinateur du visiteur, ainsi que des tueurs d’antivirus. Le code malveillant élimine l’antivirus Bitdefender. Une fonction détermine si BitDefender est exécuté sur le système et le désactive. Même sanction pour Avast antivirus et AntiVir. Pour ce dernier cas, le code pirate cherche la présence de l’extension fonctionnant sou Chrome. Le JavaScript cherche aussi les antivirus : Avira, BitDefender 2013, McAfee entreprise, avg2012, Eset nod32, Dr.Web, Mse, Sophos, f-secure 2011, Kaspersky 2012/2013 ainsi que les versions de Microsoft Office, Adobe Reader installés.

Une fois que toutes les informations ont été collectées, il communique les données via le fichier js.php (caché sur NS01). Cette attaque ressemble à celle lancée, il y a quelques semaines, à l’encontre de plusieurs ONG. La faille exploitée dans le départ de cette attaque a été fixée en début d’année (CVE-2012-4792). Elle avait fait surface en décembre 2012. La charge utile lancée dans le piratage du Ministère Américain est cachée dans le fichier bookmark.png sur NS01.

Une fois dans le pc du visiteur, le fichier espion se cache dans la machine sous le nom de conime.exe. Il se connecte à un C&C sur microsoftUpdate.ns1.name pointant vers un serveur DNS Google 8.8.8.8. Il pointait, quelques temps auparavant sur 173.254.229.176. L’attaque, du moins le code pirate Deep Panda, est connu pour être exploité par un chinois (Mr. Sun, CardMagic, Edward Sun, …). Les premières traces datent de 2007.

Pour se protéger de ce type d’attaque, data security breach vous conseille de mettre à jour l’ensemble de vos outils web (Flash, PDF, navigateur, antivirus) et bloquer JavaScript.