Tous les articles par Damien Bancal

Entreprise, Propriété Industrielle

Trademark ClearingHouse

Noms de domaine personnalisés : La « Trademark ClearingHouse » au secours des titulaires de marques à partir du 26 mars 2013. Le lancement des nouvelles extensions personnalisées (.PARIS; .SKI; .SNCF) dont la presse s’est largement fait l’écho, est imminent. Plus de 1000 demandes devraient être acceptées cette année qui s’ajouteront aux extensions actuelles génériques (.com, .net, etc.) et régionales (.fr, .eu, etc.), et dans lesquelles des noms de domaine pourront être réservés.

La protection des marques contre le cybersquatting sera, davantage encore, un véritable enjeu stratégique pour les titulaires de droits. Dans cette perspective, l’ICANN a mis en place un mécanisme de protection des droits par la création d’une base de donnée, appelée Trademark ClearingHouse (TMCH), qui sera accessible à partir du 26 mars aux titulaires de marques, sous réserve d’une inscription préalable. La TMCH est un système de déclaration et de veille entre marques antérieures et réservations postérieures de noms de domaine sous les nouvelles extensions.

L’intérêt de l’inscription des marques dans la TMCH est double : – Seule l’inscription d’une marque dans la base permettra de participer aux périodes de réservations prioritaires dites « Sunrise », qui devront être proposées par les Registres pour chaque nouvelle extension. En d’autres termes, le titulaire d’une extension personnalisée, ex: .PARIS ou .SHOP, sera tenu de donner la priorité sur la réservation du nom de domaine au titulaire de la marque antérieure déclarée, ex: www.loreal.paris ou encore www.lacoste.shop.

– Les candidats à la réservation d’un nom de domaine seront, le cas échéant, informés de l’existence d’une marque antérieure inscrite au sein de la TMCH. De leurs côtés, les titulaires de marques seront également informés de la réservation du nom de domaine identique à leurs droits et pourront éventuellement s’y opposer par le biais d’une nouvelle procédure simplifiée de règlement des litiges appelée : Uniform Rapid Suspension (URS). Outre le paiement de taxes et d’annuités, plusieurs conditions sont requises pour le choix, l’inscription et le maintien des marques au sein de la Trademark Clearinghouse, qui nécessiteront un véritable accompagnement personnalisé par le Conseil en propriété industrielle. (William Lobelson et Julien Fialletout, Juriste Conseil en Propriété Industrielle pour DataSecurityBreach.fr)

Android, Cybersécurité, Entreprise, Logiciels, Piratage, Smartphone, Virus

Malware NotCompatible : le retour

En mai 2012, Data Security Breach revenait sur l’annonce de Lookout avec l’apparition de NotCompatible, un programme malveillant diffusé par des sites web piratés. Une fois installé, NotCompatible fait office de serveur proxy, permettant à l’appareil qui l’héberge d’envoyer et de recevoir des données relatives au réseau. Pour la première fois, des sites web piratés ont servi de tremplin pour cibler et contaminer des appareils mobiles spécifiques. Depuis les premiers cas mis au jour, nous avons détecté une activité de NotCompatible faible à modérée par moments, avec des pics. La situation est toute autre depuis plusieurs jours : le réseau de surveillance de Lookout concernant les menaces mobiles (Mobile Threat Network) a détecté une hausse soudaine du nombre de cas qui atteint 20 000 par jour entre dimanche et lundi dernier.

Les nouveautés

NotCompatible n’a guère changé sur le plan de ses capacités techniques et de sa conception depuis les premiers cas décelés, en mai 2012. C’est en revanche son mode de diffusion qui diffère désormais : le programme circule principalement via des messages spam envoyés par des comptes de messagerie Email piratés.

Android dans le collimateur

Les premières campagnes d’infection de NotCompatible visaient spécifiquement les utilisateurs d’appareils sous Android, en repérant la présence d’un en-tête (header) contenant le mot « Android » dans le navigateur : sa détection commandait alors le téléchargement du programme malveillant. Désormais, les liens contenus dans le spam en question utilisent une tactique semblable. La tactique est similaire dans les nouveaux cas. En cliquant sur un lien présent dans un spam, sous Windows, iOS et OSX, l’utilisateur est redirigé vers un article prétendument publié sur Fox News relatif à la perte de poids.

Si l’on clique sur le lien à partir d’un appareil sous Android, le navigateur redirige vers un « site de sécurité pour Android », en vue d’une mise à jour. En fonction de sa version d’Android et du navigateur, l’utilisateur peut être poussé à effectuer un téléchargement, à son insu dans un grand nombre de cas. DataSecurityBreach.fr vous explique souvent ce tour de passe-passe via des kits pirates. Le programme se glissera alors dans le dossier des téléchargements. Dans le cas de Chrome, l’utilisateur verra s’afficher une demande de confirmation du téléchargement.

C’est le cas pour une écrasante majorité des cas détectés lors du récent pic d’activité. Le programme a été installé dans seulement 2 % des cas. Comment s’en prémunir ?  Evitez d’ouvrir des mails de spam. Des messages surprise de vieux amis perdus de vue ayant pour objet « hot news », « Last all Night » ou encore « You Won $1000 », montrent clairement qu’il s’agit d’un spam.

·        Le bon sens doit être de mise avant de cliquer sur un lien. Si le nom du site web vers lequel il pointe ne vous dit rien, mieux vaut s’abstenir. La prudence doit particulièrement être de mise dans le cas de liens au format abrégé tel que bit.ly ou ABCD, car il est encore plus difficile de juger de l’honnêteté du site en question.

·        Si votre appareil mobile lance subitement le téléchargement d’un fichier sans aucune action de votre part, ne cliquez surtout pas dessus et supprimez-le immédiatement.

·        Téléchargez une application de protection mobile qui passe au crible les contenus à la recherche de programmes malveillants éventuels.

Cybersécurité, Entreprise, Hacking, Particuliers

Laisserez-vous disparaitre la protection de vos données ?

La commission des « affaires juridiques » (JURI), menée par Marielle Gallo (France – EPP), vient de voter son avis sur la nouvelle législation relative à la protection des données proposée par la Commission européenne. Avec ce dernier vote pour avis, légèrement moins catastrophique que les précédents, le Parlement européen affaiblit une fois encore la protection des données personnelles des citoyens européens. Les membres des quatre commissions ayant exprimé leur avis ont choisi de se ranger aux côtés des multinationales américaines qui, comme Facebook et Google, collectent, traitent et vendent des données concernant nos vies quotidiennes. La mobilisation citoyenne commence doucement à porter ses fruits, mais doit encore s’intensifier avant le vote crucial de la commission principale « libertés civiles » (LIBE) – actuellement prévu pour les 24-25 April, mais probablement reporté.  ***

Une fois encore, Marielle Gallo (France – PPE) a choisi de protéger les intérêts de l’industrie plutôt que les droits des citoyens, et a conduit la commission « affaires juridiques » (JURI) à voter un avis appelant à affaiblir la protection de la vie privée des citoyens dans la proposition de règlement de la Commission européenne. Des amendements déposés par Marielle Gallo et ses collègues conservateurs (soutenus par les membres du groupe libéral (ALDE)) proposent par exemple d’autoriser les entreprises à traiter les données personnelles des citoyens et à les transmettre à des tiers qui pourront ensuite en faire ce qu’ils voudront, dès lors qu’ils invoqueront un « intérêt légitime » [1]. D’autres amendements adoptés aujourd’hui introduisent toutes sortes de failles juridiques, et invitent par exemple le Parlement européen à autoriser le traitement des données personnelles même lorsque l’objectif de ce traitement est incompatible avec celui décrit lors de la collecte des données [2].

Ainsi, ce vote s’inscrit dans la lignée de ceux des commissions « consommateurs » (IMCO) de janvier [3], et de ceux des commissions « industrie » (ITRE) et « emploi » (EMPL) de février [4], qui reprenaient un grand nombre des demandes des lobbies de l’industrie, et menaçaient les protections proposées par la Commission européenne.

Cependant, ce vote, au même titre que les trois précédents, n’a pas de portée législative. Le prochain vote à en avoir un sera celui de la commission principale « libertés civiles » (LIBE), prévu pour fin avril mais probablement reporté, et qui déterminera réellement si l’Union européenne choisira de laisser à ses citoyens le contrôle de leurs données, ou si elle choisira de copier le modèle américain dans lequel les sociétés peuvent collecter, traiter, stocker et vendre les données personnelles des citoyens sans aucune contrainte.

Le vote d’aujourd’hui a pourtant été légèrement moins catastrophique que les précédents, et démontre que les membres du Parlement européen sont sensibles à la mobilisation citoyenne et à la pression médiatique, et qu’ils protégeraient notre droit à la vie privée si nous les y poussions. Avant le vote de la commission LIBE, les citoyens doivent donc renforcer la mobilisation et continuer à contacter leurs députés européens.

« Les enjeux cruciaux liés à notre vie privée et à l’économie numérique se joueront au sein de la commission principale « libertés civiles ». Les citoyens peuvent mettre leurs élus face à leurs responsabilités en se mobilisant et en exigeant que Facebook, Google et les autres géants du Net n’aient pas un accès « Open Bar » à nos données personnelles. Nous devons garder le contrôle de nos données, afin de garder le contrôle de notre vie en ligne. Tout se jouera à partir de maintenant et jusqu’aux élections européennes. » déclare Jérémie Zimmermann, porte-parole de l’association La Quadrature du Net.

* Références * 1. Am. 24 déposé par Marielle Gallo (France – EPP)

2. Am. 144 déposé par Klaus-Heiner Lehne (Allemagne – EPP)

3. https://www.laquadrature.net/fr/vie-privee-les-entreprises-us-gagnent-en-commission-consommateurs-au-parlement-europeen

4. https://www.laquadrature.net/fr/la-vie-privee-des-citoyens-menacee-dans-les-commissions-parlementaires-europeennes

Cybersécurité, Entreprise, Hacking, Logiciels, Piratage

Certification DSD du gouvernement australien

Good for Enterprise aide les départements du gouvernement à minimiser les risques liés à la cyber-sécurité puis à tirer un meilleur parti de leurs appareils iOS.

Good Technology™, le leader des solutions sécurisées de mobilité d’entreprise, annonce aujourd’hui que Good for Enterprise™ (GFE) est devenue la première solution de sécurité mobile utilisant un conteneur à être certifiée par l’organisme Defence Signals Directorate (DSD) du gouvernement australien. Cette certification, DSD Cryptographic Evaluation (DCE) certification1, permettra aux appareils iOS sécurisés avec Good for Enterprise de communiquer et de stocker des informations classifiés jusqu’au niveau ‘Protected’.

« La certification du niveau de sécurité ‘protected’ est le Saint Graal », a commenté à data security Breach Kevin Noonan, Ovum Public Sector Research Director. « A travers cette large palette de fonctionnalités qu’offre Good, telles que l’accès aux e-mails, au calendrier, aux contacts, à l’intranet et le visionnage des documents, il sera beaucoup plus facile de répondre à la majorité des besoins des professionnels dans la plupart des agences gouvernementales australiennes. »

La DSD est une agence de renseignements du Ministère de la Défense australien. La DSD fournit des recommandations et des services de sécurité principalement aux agences fédérales et gouvernementales australiennes. La DSD travaille également en étroite collaboration avec les industriels pour développer et déployer des produits cryptographiques sécurisés.

« En tant que ministère rattaché au CommonWealth, nous avons des exigences élevées concernant la protection et la sécurisation des informations du gouvernement » a declaré à Datasecuritybreach.fr Al Blake, Chief Information Officer, au Département d’Etat du Développement Durable, de l’Environnement, de l’Eau, de la Population et des Collectivités. « En déployant Good, avec son conteneur chiffré, cela permet aux utilisateurs finaux d’utiliser l’appareil mobile de leur choix, ce qui minimise les frais de gestion des terminaux tout en ayant le niveau de sécurité élevé dont nous avons besoin pour les informations gouvernementales. Le déploiement a été un énorme succès et a permis d’augmenter considérablement la connectivité du personnel et la flexibilité au travail. »

En plus de la solution GFE récemment certifiée, les solutions de Good fournissent une plateforme de mobilité complète au gouvernement. Bien que DSD l’ait certifié pour iOS, GFE prend également en charge Android et Windows Mobile. Les ministères australiens peuvent également bénéficier du meilleur des applications développées par des éditeurs tiers, comme des éditeurs de documents, SharePoint, toutes sécurisées par la plateforme de développement d’applications de Good, Good Dynamics.

En outre, Good Dynamics permet aux utilisateurs de créer et de déployer leurs propres applications sous iOS, enrichissant ainsi l’expérience utilisateur et améliorant la productivité tout en assurant la sécurité des données.

La certification par la DSD du conteneur sécurisé de Good Technology permet aux ministères d’utiliser de manière bien plus productive leurs terminaux iOS, sans faire de compromis sur la cyber-sécurité. La principale exigence pour les organisations du secteur public devrait être de minimiser le risque de compromission des données, telles que des fuites depuis des terminaux ou des réseaux.

La solution de Good Technology de gestion des périphériques mobiles (MDM) offre non seulement une solution complète sécurisé de bout en bout, mais fournit également aux administrateurs la possibilité de surveiller, de gérer et d’aider les utilisateurs d’iOS. Le support technique peut rapidement résoudre les problèmes, et donne une vision complète de tous les appareils iOS déployés au sein d’un département grâce au tableau de bord. A tout moment et de n’importe où, les administrateurs peuvent protéger les réseaux et les données en bloquant l’accès à partir des appareils ‘jailbreakés’, et en effaçant à distance les smartphone et tablettes volés ou perdus.

 

1 : Common Criteria (CC) certification is ongoing

Cybersécurité, Entreprise, Logiciels, Particuliers

Smartphone quasi indestructible

La perte de données peut aussi se dérouler après la chute de son portable. Imaginez, sur les pistes, et … paf! … e portable termine sa course contre un sapin. Cet hiver, la neige était au rendez-vous et bon nombre d’utilisateurs de smatphones sont encore sur les pistes à profiter du sport de glisse préféré des français. Avec la croissance effrénée des nouvelles technologies, rester connecter même sur les pistes, devient un jeu d’enfant. Mais qu’en est-il des chutes à grande vitesse lorsque son smartphone dernier cri est dans la poche de sa combinaison ? Températures extrêmes, chutes ou encore neige qui s’insinue partout, beaucoup de smartphones ne tiennent pas le choc face aux conditions hivernales. Caterpillar lève le voile sur son nouveau mobile idéal pour la saison du ski : le Cat B15.

A toutes épreuves

• Protéger des chutes : L’appareil est protégé par de l’aluminium anodisé argent et un caoutchouc absorbant les chocs.

• Waterproof : Le Cat B15 est certifié IP67. Ce standard industriel signifie que le dispositif est étanche, capable de résister à l’immersion dans un mètre d’eau pendant 30 minutes. Pas de problème d’utilisation lorsque les mains sont mouillées.

• Résistance aux températures extrêmes : Le Cat B15 fonctionne par des températures allant de -20º C à +55º C. Il est donc protégé de la neige mais également du sable pour les vacances d’été !

Cybersécurité, Entreprise, Logiciels, Particuliers, Piratage, Virus

Qui connaît son ennemi comme il se connaît…

Cette citation de Sun Tzu, issue de l’Art de la Guerre et écrite dès le Vème siècle avant Jésus-Christ, continue d’inspirer nombre de stratégies militaires ou commerciales, mais ne vaut que si l’on considère l’ensemble du constat : « Qui se connaît mais ne connaît pas l’ennemi sera victorieux une fois sur deux. Que dire de ceux qui ne se connaissent pas plus que leurs ennemis ? ». Par Eric Soares, Vice-président France de Symantec pour Data Security Breach.

Les entreprises et les gouvernements ont-ils conscience de la multiplication des cyber-menaces ? Les plus connues d’entre elles  ne cessent de baisser : seules 4 % d’entre elles sont des virus ; le taux de spam a baissé de plus de 30 % sur les douze dernier mois. Ces « vieilles » menaces sont connues des individus, des entreprises et des gouvernements, qui se sont, au cours des années équipés pour les contrer. Néanmoins, les attaques malveillantes avaient augmenté de 81 % en 2011, les attaques web de 36 % et le nombre de variantes uniques de code malveillant atteignait les 403 millions, des tendances qui n’ont cessé de s’affirmer depuis, avec le succès dont on entend trop souvent parler hélas. Les entreprises et gouvernements doivent en outre faire face à l’augmentation des attaques ciblées, qui touchent non seulement les dirigeants, mais également les différentes fonctions de l’organisation ouvertes sur l’extérieur. Il convient également de tenir compte des attaques visant la production-même des entreprises ou leur fonctionnement, telles que le désormais très connu Stuxnet ou la plus discrète Narilam, qui modifiait des bases de données comptables. Enfin, à ces menaces externes viennent s’ajouter les risques internes : selon une étude récente menée avec le Ponemon Institute, 60 % des employés ont déclaré prendre des données appartenant à leur employeur lorsqu’ils le quittent.

Qu’elles soient internes ou externes, les entreprises tout comme les gouvernements doivent non seulement avoir conscience mais également la connaissance des cyber-menaces qu’elles doivent affronter.

Le périmètre des risques doit également être réévalué. Il y a encore quelques années, les systèmes d’information étaient limités aux ordinateurs et serveurs se trouvant dans les murs des organisations. La moitié de leurs données se trouvent désormais en dehors de leur pare-feu. Aujourd’hui le développement du cloud et celui de la mobilité, séparément et conjointement, sont certes porteurs de nouvelles opportunités pour les entreprises et les gouvernements, mais signifient également  une multiplication des points d’entrée pour les menaces et nécessite une approche in-extenso de la sécurité.  Celle-ci est en effet l’une des premières préoccupations des entreprises qui transfèrent tout ou partie de leur capital informationnel vers le cloud. C’est également une opportunité majeure de sécurité accrue… à condition de s’être assuré que ce même cloud, qu’il soit privé, public ou hybride, répond aux exigences de sécurité et aux obligations réglementaires les plus rigoureuses.

Le développement des terminaux mobiles à usage professionnel n’est évidemment pas un phénomène que l’on peut contrer, mais qu’il convient d’accompagner, là encore, afin de protéger au mieux les informations de l’entreprise. Aujourd’hui, 23 % des collaborateurs accèdent aux informations de l’entreprise via un appareil mobile. Il s’avère donc nécessaire de renforcer les politiques de sécurité, dont les niveaux doivent varier selon le propriétaire du terminal, et bien sûr de son utilisation.

Les organisations doivent donc tenir compte de ces nouveaux développements dans leur approche de la sécurité de leurs données, ou d’intégrer cette dernière dès la phase initiale de leurs projets de cloud et de mobilité la dimension sécurité. Mais est-ce toujours le cas ?

Les défis à relever sont particulièrement nombreux pour être « cyber-ready » et assurer la cyber résilience d’une organisation. Le risque 0 n’existe certes pas, mais il convient  d’apprendre et de comprendre la multiplication et les différents types de cyber-menaces ainsi que les nouveaux périmètres à considérer, pour assurer une protection optimale et maximale des informations.

Cybersécurité, Entreprise, Hacking, Logiciels, Particuliers, Piratage, Virus

Astuces pour protéger les données de votre entreprise

Soyez attentifs ! Quelques astuces pour garder les données de votre entreprise à l’abri de l’intérêt de personnes mal intentionnées. Par Wieland Alge, pour Data Security Breach, Vice président Europe – Barracuda Networks.

Pour les informations importantes, n’utilisez que des sources que vous savez être sûres. De manière générale, ne faites pas confiance à un tiers si vous n’avez pas été l’auteur du premier contact. Si votre banque vous téléphone et vous demande des informations spécifiques, évitez de les donner. À la place, il vaut mieux que vous contactiez vous-même votre banque en utilisant les numéros de contact que vous savez être sûrs. Ils sont généralement inscrits au dos de votre carte bancaire ou sur le site internet de votre banque.

Ayez le même réflexe avec vos emails.

Au lieu d’utiliser les URL contenues dans vos emails pour vous assurer qu’elles renvoient bien aux bonnes adresses, il est préférable de ne pas cliquer sur ces liens, car il est toujours possible de tomber dans un piège. Les emails provenant de Paypal ou d’organismes similaires doivent être ignorés. À la place, rendez-vous sur le site internet de l’organisme en question en tapant manuellement l’URL dans votre navigateur, puis connectez-vous à votre compte. S’il y a réellement quelque chose que vous devez savoir, cela sera très clairement indiqué après votre connexion.

Mettez au point une technique d’interrogatoire.

La mise en place de ce genre de technique au sein d’une entreprise est contre nature et peut demander des efforts, mais elle permet également de stopper une grande partie des attaques et de résoudre certains problèmes organisationnels. Il faut régulièrement demander à tous les employés, nouveaux comme anciens, de présenter un badge lorsqu’ils souhaitent accéder à une zone sensible ou à des données importantes. Ils doivent savoir qu’ils sont responsables de leur badge et de l’utilisation qu’ils en font. Cette technique permet également de stopper les employés qui s’accordent plus de permissions sans y être autorisés. Félicitez publiquement ceux qui signalent les problèmes éventuels et qui prennent des mesures pour les corriger, et récompensez-les si possible.

Gardez des rapports d’entrée et de sortie pour les zones sensibles.

Assurez-vous que les employés comprennent que ce n’est pas parce qu’une personne est haut placée dans la hiérarchie de l’entreprise qu’elle peut transgresser les règles.

Méfiez-vous de ceux qui s’intéressent trop à votre entreprise.

si vous les avez rencontrés dans le bar ou le café du coin : ce ne sont probablement que des commerciaux, mais il pourrait aussi s’agir d’escrocs. Vous ne perdrez généralement pas grand-chose à éviter ces deux types de personnes.

Ayez conscience que la technologie et la nature humaine ont leurs limites.

Malheureusement, les configurations techniques en matière de sécurité ont toujours des limites. Une fois que vous l’aurez compris, cela pourra vous aider à prévenir les attaques. Dans le meilleur des cas, les paramètres ne sont juste pas assez suffisants, et même avec des programmes adéquats et des contrôles d’accès, la sécurité est à la merci de l’utilisateur : intermédiaire à la fois le plus fort et le plus faible.

Quelques conseils de Datasecuritybreach.fr pour les entreprises afin d’éviter les vols de données sur les différents réseaux de communication :

Téléphone :

1.   Ne donnez jamais à personne vos mots de passe de sécurité.

2.   Ne divulguez jamais les informations sensibles de votre entreprise, à moins que ce ne soit à une personne que vous connaissez dans la vraie vie et qu’il ou elle ait une autorisation. Même pour les appels des personnes qui déclarent vouloir joindre le patron de votre entreprise, il vous faut vérifier l’identité de l’appelant avec les protocoles de sécurité de l’entreprise.

3.   Donnez l’alerte si vous entendez un de vos collègues transgresser les règles précédentes.

Internet :

4.   Soyez toujours prudents avec les URL des pages internet et des emails. Avant de cliquer sur un lien, passez votre souris dessus pour vous assurer qu’il renvoie à la bonne adresse, ou tapez l’URL manuellement dans votre navigateur.

5.   Soyez vigilants face aux emails inhabituels dans votre boite de réception. Si vous y répondez, revérifiez le contenu de votre email et de votre liste de destinataires CC.

En personne :

6.   Demandez toujours aux employés de présenter leur badge d’identité lorsqu’ils entrent sur le lieu de travail.

7.   Utilisez des badges d’identité temporaires pour les visiteurs, les amis, le personnel de service et de distribution ; et raccompagnez-les à chaque fois.

8.   Formez vos employés afin qu’ils aient les connaissances appropriées en matière de sécurité, et plus particulièrement ceux qui sont les cibles les plus faciles à atteindre comme le personnel de l’accueil, du service client ou du service commercial.

Cybersécurité, Entreprise, Particuliers

Rentabiliweb atteint le plus haut degre de securite en matiere de transactions bancaires

Be2bill, solution spécialisée dans le paiement en ligne éditée par Rentabiliweb Europe, est le premier établissement acquéreur en France à être certifié « Merchant Agent » et la troisième société française à se voir délivrer cette certification de tiers de confiance par VISA, premier réseau mondial. En effet, les réseaux bancaires imposent désormais aux commerçants, pour continuer à garantir leurs transactions, de travailler exclusivement avec des opérateurs agréés comme Be2bill.

Par ailleurs, Rentabiliweb Europe annonce le renouvellement et l’extension de sa certification PCI DSS (Payment Card Industry Data Security Standard) au niveau 1 Service Provider, soit le plus haut niveau d’exigence en matière de sécurité informatique sur le traitement des données bancaires. Largement répandu dans les pays anglo-saxons et de plus en plus en France, le standard PCI DSS est avant tout une mesure de protection des données bancaires pour tous les sites marchands et fournisseurs de solutions de paiement qui traitent, transportent et stockent des données de cartes bancaires.

Etre conforme au standard PCI DSS, ou passer par un prestataire de services de paiement (PSP) certifié, affranchit le marchand de sa responsabilité sur le traitement des données bancaires, notamment en cas de point de compromission (POC) avéré. Dans un environnement PCI DSS, le marchand ne risque plus de subir les pénalités, souvent très lourdes, de la part des réseaux interbancaires (VISA, Mastercard, GCB).

Obtenir la certification PCI DSS est un processus lourd, contraignant et chronophage pour les commerçants. Grâce à la solution de paiement Be2bill, les marchands confient la sécurisation de leurs transactions à un tiers de confiance certifié au plus haut niveau. Be2bill gère en effet 100% du processus de traitement des données bancaires, en assume l’entière responsabilité et permet à ses clients de se consacrer entièrement au développement de leur activité.

En tant que PCI DSS service provider niveau 1, Rentabiliweb Europe se soumet à un audit de conformité rigoureux effectué par un organisme indépendant et reconnu, le Qualified Security Assessor (QSA). Rentabiliweb s’appuie sur une référence française en matière d’audit de sécurité informatique : Hervé Schauer Consultants. Les audits de contrôle seront trimestriels et porteront sur la fiabilité du réseau, l’analyse des règles de configuration, l’absence de failles de sécurité, etc. Ils seront réalisés par un Approved Scanning Vendors : Qualys.

L’extension du certificat PCI DSS au plus haut niveau de sécurité, au-delà des bénéfices qu’elle apporte au groupe et à ses clients, est une étape indispensable pour Rentabiliweb dans la préparation de son dossier d’établissement de crédit. « Depuis 10 ans nous travaillons non seulement à la mise en conformité, mais également à la définition de nouveaux standards de sécurisation des datas. La certification PCI DSS, qui a porté sur 12 exigences et plus de 120 points de contrôle, récompense les investissements humains et techniques que nous avons massivement déployés au cours des 20 derniers mois précise à datasecuritybreach.fr Romain Pera, Directeur technique de Rentabiliweb Europe. « Je m’étais engagé à amener le groupe Rentabiliweb au plus niveau technique en termes de traitement de données sensibles, afin de servir nos clients e-commerçants les plus exigeants. C’est chose faite.» indique à Data Security Breach Jean-Baptiste Descroix-Vernier, président du groupe Rentabiliweb.

*La norme PCI DSS est prescrite par les principaux fournisseurs de cartes de paiement. Elle détermine les règles et processus à respecter par les entreprises qui traitent, transportent et stockent des données de cartes bancaires.

Cybersécurité, Entreprise, Particuliers

Aux calendes grecques la protection des données

Après les Commission du Marché intérieur et de l’Industrie, c’était au tour de la Commission des Affaires juridiques de se prononcer sur la proposition de la Commission européenne. En adoptant aujourd’hui l’avis Gallo (14 voix pour, 6 contre, 1 abstention), la Commission des Affaires juridiques a vidé encore un peu plus de son contenu la proposition de la Commission européenne visant à renforcer la protection des données personnelles. L’eurodéputée socialiste Françoise Castex dénonce, auprès de Datasecuritybreach.fr, le compromis de l’UDI Marielle Gallo avec les ultralibéraux: « le résultat de cette alliance est déplorable pour le consommateur et fait le jeu des géants Google et autres Facebook. Marielle Gallo, qui se prétend depuis des années le héraut de l’identité culturelle française, a sacrifié les données personnelles des citoyens européens sur l’autel des multinationales américaines (…) Comment peut-on être arc-bouté sur les droits de propriété intellectuelle et être aussi hermétique au droit à disposer de ses données personnelles ? Mme Gallo n’aime décidemment pas les internautes!« , ironise-t-elle.

Pour le Vice-présidente de la Commission des Affaires juridiques: « Nous devons renforcer les droits des citoyens si nous voulons restaurer leur confiance dans les entreprises sur internet. La droite, qui avait soutenu la résolution du Parlement du 6 juillet 2011 sur le renforcement de la protection des données, à cédé aux sirènes des lobbyistes et fait marche arrière! Force est de constater qu’elle n’a pas eu le courage d’imposer les règles claires et protectrices qu’elle appelait de ses vœux il y a à peine deux ans. C’est déplorable!« 

Pour l’eurodéputée socialiste, « Nous devons exiger un consentement explicite, préalable et informé de l’utilisateur pour chaque acte de collecte, de traitement ou de vente de ses données. Il nous faut par ailleurs protéger les citoyens de toute forme de discrimination résultant des mesures de profilage en encadrant strictement ce dernier. Pour ce faire, nous devons sanctionner lourdement les entreprises dans les cas d’abus et les mettre devant leurs responsabilités en cas de négligences conduisant à la fuite de données personnelles. » Avant de conclure: « Garder la maîtrise de ses données personnelles doit être un droit fondamental. »

Cybersécurité, Entreprise, Piratage

Bouleversements sécuritaires en 2013 ?

L’Internet que nous connaissons existera-t-il encore dans quelques années ? Est-ce un bouleversement sur « Qui contrôle Internet » ? La découverte d’une nouvelle épidémie de malware Mac ? Une attaque de type DDoS des Smart TV? Peu importe ce que nous réserve 2013, il est certain que ce sera une année charnière. Voici ce que le F-Secure Labs prévoit à DataSecurityBreach.fr pour l’année à venir.

1.       Et si c’était la fin d’Internet tel que nous le connaissons ? « Selon les échanges survenus lors de la World Conference on International Telecommunications (qui a eu lieu en décembre à Dubaï), 2013 devrait être une année riche en évènements », déclare Sean Sullivan, Security Advisor chez F-Secure Labs à Data Security Breach. Cette conférence pourrait avoir un impact majeur sur Internet tel que nous le connaissons aujourd’hui: « Internet pourrait se morceler en une série de petits Internets », avance Sean Sullivan. « Il est aussi possible qu’Internet devienne un espace financé par des grands groupes de fournisseurs de contenus, tels que Facebook, Google ou Youtube. Et que ceux-ci imposeraient des taxes aux internautes souhaitant accéder aux informations qu’ils proposent. »

Le WCIT (World Congress on Information Technology) est une conférence organisée par l’International Telecommunication Union (ITU) pour finaliser le traité des « International Telecommunications Regulations ». Parmi les participants, on trouve des représentants des gouvernements de tous les pays, dont de nombreux opposants à une utilisation libre d’Internet. Il s’agit notamment de régimes gouvernementaux qui aimeraient reprendre le contrôle d’Internet, actuellement aux mains des « geeks », explique Sean Sullivan à DataSecurityBreach.fr. De nouvelles mesures ont même déjà été proposées, avançant des raisons de sécurité. Toutefois, les défenseurs de la vie privée estiment que ces mesures entraineraient la fin de l’anonymat sur Internet.

2.       Des fuites nous révèleront une augmentation des outils d’espionnage financés par les gouvernements « Il est clair que depuis les dernières fuites liées à Stuxnet, Flame et Gauss, la course aux cyber-armement est belle et bien lancée », déclare Mikko Hypponen, Chief Research Officer. Même si nous ne serons pas toujours au courant des cyber-opérations lancées par des états-nations, nous pouvons nous attendre à ce que ces activités soient de plus en plus utilisées par les gouvernements. En 2013, il est fort probable de voir une augmentation de telles fuites, y compris en provenance de pays qui n’ont jamais été à l’origine d’attaques à ce jour. Avec le lancement d’une véritable course à l’armement, les fuites ne cesseront d’augmenter.

3.       L‘utilisation des malware mobile se démocratisera Android s’est développé comme aucun autre système d’exploitation par le passé, passant des smartphones aux tablettes puis aux Smart TV. Et plus un système d’exploitation se généralise, « plus il est facile de créer des malware performants, et plus il y aura d’opportunités pour les criminels de mettre en place des activités lucratives » déclare à Data Security Breach Sean Sullivan. Les malware ciblant les mobiles seront facile d’accès, grâce à des kits d’outils créés et vendus par des cybercriminels spécialistes du hack à d’autres criminels, non experts. En quelques sortes, des « malware-as-a-service », pour Android.

4.       Une autre épidémie de malware frappera l’univers du Mac Le scareware appelé Mac Defender fut propagé en 2011 ; En 2012, Flashback profita des failles de Java. Pour 2013, le Labs prévoit la découverte d’une autre épidémie de malware Mac qui devrait faire des ravages au sein de la communauté Mac. « L’auteur du Cheval de Troie FlashBack est toujours en fuite. Il paraîtrait même qu’il serait en train de travailler sur une nouvelle offensive» estime Sean Sullivan à Data Security Breach . « Malgré les améliorations en sécurité apportées à Mac OS, une partie des utilisateurs Mac continue de rester inconsciente des risques encourus, ce qui les rend vulnérables face aux nouveaux malware. »

5.       Les Smart TV deviendront une nouvelle cible pour les hackers Les Smart TV sont connectées à Internet. Elles sont très puissantes mais ne sont généralement pas sécurisées… et deviennent donc vulnérables aux attaques. Elles sont d’autant plus vulnérables que, contrairement aux ordinateurs, elles sont souvent connectées à Internet sans le nécessaire pour empêcher le trafic indésirable. Par ailleurs, les consommateurs oublient souvent de changer le nom d’utilisateur et le mot de passe par défaut, ce qui facilite l’accès aux hackers. « C’est très facile pour les hackers de rechercher et trouver les Smart TV sur Internet, » dit à Datasecuritybreach.fr Sean Sullivan. « Une fois trouvées, ils n’ont plus qu’à utiliser le nom d’utilisateur par défaut et le mot de passe de la TV en question, et le tour est joué. » En 2012, une famille de malware, LighAidra, a infecté des décodeurs. En 2013, les Smart TV pourraient être utilisées pour des fraudes utilisant les clicks (le Bitcoin mining) ou encore des attaques de type DDoS.

6.       Les logiciels espions pour mobiles seront de plus en plus nombreux 2013 sera l’année des logiciels de tracking, dont la côte qui monte en flèche. Ces derniers seront utilisés pour des raisons autres que celle du contrôle parental. Il y a eu une nette croissance du nombre d’applications de sécurité pour les enfants, permettant de surveiller les activités et comportements de ces derniers sur la toile, et notamment sur Facebook. « Il apparait évident que ce type de logiciel peut également être utilisé pour espionner n’importe qui, et pas seulement les enfants » déclare Sean Sullivan à Data Security Breach. «Plus l’utilisation du smartphone sera répandue, plus les gens chercheront  ce type de logiciels,  par exemple pour savoir ce que deviennent leurs ex ! ».

Cybersécurité, Entreprise, Hacking, Logiciels, Piratage, Virus

La NSA recrute ses tueurs numériques

Un commentaire

La NSA recrute ses tueurs numériques La NSA recrute son armée numérique. Pendant ce temps, un hacktivistes passe par son espace privée dédié à l’emploi. « Notre pays est entré dans une ère nouvelle qui apporte de profonds changements » explique l’espace emploi de la NSA. Un espace publique qui annonce que la National Security Agency lance une série de recrutements de personnel qui sera intégré aux opérations de réseau informatique (CNO). « Cette mission très importante est composé de trois grandes parties: le réseau de défense, d’attaque de réseau, et de l’exploitation des réseaux informatiques. Afin de s’acquitter de ses missions, la NSA est à la recherche de personnes qui sont hautement qualifiées et passionnées pour gagner la guerre dans le cyberespace. »

Bon, ne courez pas proposer votre CV. La NSA ne recrute que de l’américain pur souche. Toujours est-il que les emplois sont « variés » demandant « une bonne connaissance des techniques de pénétration du réseau » (…) « Si vous avez l’habitude visiter les sites Web de sécurité de réseau, assister à des conférences, ou de maintenir votre propre réseau, nous aimerions vous parler ! » Comme le montre la capture écran de cet article, des postes partout aux USA, des employés pour le « computer Network Operation » ; des chercheurs informatiques ; descodeurs/programmeurs … et des pirates informatiques. Comme nous vous l’avons entouré, le poste « Intrusion Analyst Skill Developpement program ». du Ethical Hacking à la sauce « Homme en noir ».

A noter, d’ailleurs, que lors du Defcon 20 de Las vegas, un concours renvoyait les vainqueurs du « Capture the flag » sur un espace numérique du site NSA.GOV dédié : www.nsa.gov/careers/dc20/. A première vue, un poste qui n’a pas encore trouvé preneur. L’hacktiviste Sl1nk (En interview dans l’émission de janvier de zatazweb.tv) a réussi à s’inviter dans l’espace emploi du site officiel de la NSA. Une visite qui lui a permis de se créer un compte « utilisateur ». Nous vous laissons imaginer la suite !

Pendant ce temps, les grandes banques américaines se sont tournés vers la National Security Agency pour demander de l’aide à la suite de plusieurs attaques informatiques lancées durant les fêtes de fin d’année. Les banques ont demandé à la NSA de protéger leurs systèmes informatiques. Autant dire que l’idée est intéressante. Demander au plus gros espion de la planète de sécuriser des banques. vous commencez à sentir le souffle chaud de big brother dans sa belle chemise de « protection » contre les DDoS. Les attaques sur les sites bancaires, qui ont commencé il y a un an, et qui se sont intensifiées en Septembre, auraient connu une nouvelle sophistication inquiétante. La NSA, la plus grande agence mondiale d’espionnage électronique, a été priée de fournir une assistance technique pour aider les pauvres banquiers. En gros, entre les connexions pirates, mais aussi les légitimes, et les banques, il y aurait donc dorénavant les grandes oreilles de l’Oncle Sam. La NSA a refusé de commenter, sauf une déclaration lapidaire, une aide « en pleine conformité avec toutes les lois et réglementations applicables. ». Fermé le ban !

Cybersécurité, Entreprise, Particuliers, Piratage

Rendre la transparence des cyber-attaques obligatoire

Propositions de la Commission européenne de rendre la transparence des cyber-attaques obligatoire dans certaines industries. La proposition de la Commission européenne reflète la prise de conscience que les cyber-attaques ne sont pas uniquement un problème militaire. Comme dans tous les conflits, les infrastructures critiques seront aussi prises pour cible. Les gouvernements doivent avoir une idée claire et immédiate de la menace qui impose aux entreprises d’industries critiques, de signaler l’intégralité des attaques dont elles sont victimes, dès qu’elles sont découvertes. Il est également essentiel de partager les informations sur les attaques, les vulnérabilités et les dégâts causés, pour pouvoir développer des moyens de lutte qui permettront à d’autres entreprises de ne pas être victimes du même genre d’attaques.

Les protestations des entreprises concernant des données confidentielles et les secrets commerciaux ne sont pas fondées. En ne se focalisant que sur leur réputation et leur valeur boursière, les entreprises oublient le fait que ce sont les données des utilisateurs qui sont la cible d’une attaque. C’est-à-dire, nos données.

Nos informations ont été volées ? Il nous faut le savoir ! L’entreprise risque d’en souffrir et nous devons être tenus au courant des attaques secondaires potentielles, auxquelles nous pourrions avoir à faire face, pour des données que nous pensions en sécurité avec nos fournisseurs de services, nos banques, nos hôpitaux, et même les magasins où l’on fait nos achats et les médias auxquels on s’abonne. N’importe quelle information sensible nous concernant, nous ou notre conduite, pourrait être la cible d’attaques « phishing » (comme celles qui ont été utilisées pour pirater l’éditorial du New York Times). Il est donc clair que la prochaine ébauche de proposition de l’Union Européenne pour la Stratégie de la Cybersécurité a besoin d’une clause obligeant les entreprises à signaler leurs attaques sur des systèmes publics, puisque leur propre bon sens ne les a pas encore convaincues de le faire.

Cybersécurité, Entreprise, Logiciels, Particuliers, Piratage, Virus

Etude mondiale sur la sécurité de l’information

Alors que 71% des entreprises affirment avoir toute confiance dans leur système de sécurité de l’information, seules 8% d’entre elles disposent d’une organisation adaptée aux nouvelles menaces informatiques.

Selon la 15ème étude « Global State of Information Security Survey 2013 »  de PwC et CIO Magazine, la sécurité de l’information reste un enjeu majeur pour les entreprises à travers le monde. Les cyberattaques sont même plus redoutées par les dirigeants que l’éclatement de la zone euro ou les catastrophes naturelles.

2012 a ainsi vu s’accroître le nombre d’incidents dans ce domaine. 27% des dirigeants interrogés en France affirment avoir connu plus de 10 incidents de sécurité l’an passé, contre 21% en 2011.  Au total, 62% des répondants français déclarent avoir connu au moins un incident de sécurité en 2012.

Avec l’émergence de nouvelles technologies, les menaces liées à la sécurité de l’information ne cessent de croître. PwC estime à 500 milliards de dollars la fourchette basse des dépenses mondiales de sécurité dans le monde. Si les budgets des entreprises françaises sont en hausse – 45% des entreprises françaises prévoient d’augmenter leurs dépenses en sécurité de l’information (vs 41% en 2011), ils ne permettent pas de proposer une réponse adaptée à ces nouvelles menaces informatiques.

Les nouvelles technologies augmentent les risques à gérer pour les entreprises…

Cloud computing, réseaux sociaux, 3G, appareils mobiles… Les nouveaux outils technologiques se sont multipliés et complexifiés lors de ces dernières années. En effet, entre 2007 et 2011, Facebook a multiplié par 115% son nombre d’utilisateurs, quand Twitter l’a vu croître de 151% sur la même période[1]. Le cloud computing devrait continuer sa progression : le marché global du Cloud computing sera 20 fois plus important en 2020 qu’en 2008.

Avec ces nouvelles pratiques, deux nouveaux risques émergent pour les entreprises, notamment le Bring Your Own Device (BYOD), qui consiste pour les salariés à utiliser leurs outils personnels au travail, et les réseaux sociaux, sur lesquels de plus en plus de collaborateurs postent des informations concernant leur entreprise.

Et parmi les menaces les plus redoutées des dirigeants, les cyberattaques sont considérées comme le troisième scénario ayant le plus d’impact sur leur organisation, bien avant le potentiel éclatement de la zone euro ou une catastrophe naturelle, selon l’étude annuelle de PwC « CEO Survey » lancée à Davos.

… mais celles-ci ne savent pas sécuriser ces nouvelles menaces.

Si l’adoption des nouveaux outils technologiques croît de manière exponentielle, leur sécurisation est beaucoup plus lente : seules 30% des entreprises françaises interrogées possèdent une stratégie de sécurité pour le Cloud, et seules 35%  ont mis en place une stratégie de sécurité spécifique à l’utilisation des appareils personnels (BYOD).

L’enquête de PwC révèle la difficulté des entreprises à gérer l’utilisation de leurs données. Si 80% des directeurs de sécurité interrogés affirment que la protection des données de leurs clients et de leurs salariés est un enjeu important pour leur entreprise, ils ne sont que 31%  à savoir exactement où les données personnelles de leurs clients et collaborateurs sont collectées, transmises et stockées – et seulement 23% en France. Ce décalage est d’autant plus risqué que selon une étude récente[2] de PwC, 73% des consommateurs interrogés affirment être prêts à partager des informations personnelles avec des entreprises mais 87% souhaitent contrôler la quantité d’information partagée.

 « Le “combat” des entreprises pour la sécurité de l’information est devenu complètement asymétrique.  La surface d’exposition des entreprises aux attaques informatiques ne cesse de croître, et il suffit à un attaquant de trouver une faille – le maillon le plus faible dans la surface exposée –  pour pénétrer dans les systèmes d’information et dérober des informations sensibles. Les règles ont changé, et les adversaires – anciens et nouveaux – se sont armés de compétences d’experts en technologie. Les risques encourus n’ont jamais été aussi élevés pour les entreprises » explique à Datasecuritybreach.fr Philippe Trouchaud, associé PwC, spécialiste de la sécurité informatique.

Un niveau de confiance des entreprises démesuré par rapport à la faiblesse des moyens mis en œuvre

Paradoxalement, alors que les menaces n’ont jamais été aussi fortes pour les entreprises, les dirigeants interrogés restent extrêmement confiants en France et dans le monde. En 2012, 63% des sondés en France, et 71% dans le monde affirment ainsi avoir toute confiance en l’efficacité de leurs systèmes de sécurité de l’information. Or, PwC n’a identifié que 8% des entreprises interrogées comme « leader », celles ayant su s’adapter, mettre en place la stratégie et les savoir-faire adaptés pour vaincre les nouvelles menaces.

L’étude montre aussi que seules 49% des entreprises réalisent une évaluation des menaces et des vulnérabilités.

« Cette confiance des entreprises dans leur système de protection semble démesurée. » commente à Data Security Breach Philippe Trouchaud. « Etant donné l’environnement actuel de menace élevée, les entreprises ne peuvent plus se permettre de jouer à un jeu de hasard. Elles doivent s’adapter à de nouvelles règles du jeu, qui exigent des niveaux de compétences plus élevés, des outils plus performants et une nouvelle stratégie pour gagner. »

Les budgets dédiés à la sécurité de l’information sont en faible hausse

Les budgets dédiés à la sécurité de l’information augmentent en France, mais faiblement. En 2011, 41% des entreprises françaises interrogées prévoyaient d’augmenter leur budget, elles sont 45% à le prévoir en 2012. Les entreprises françaises ont ainsi rattrapé le niveau mondial, qui lui accuse un net retrait, passant de 51% de dirigeants anticipant une hausse de leur budget sécurité en 2011 à 45% en 2012. Ce recul s’explique en grande partie par le contexte économique tendu.

En effet, presque la moitié des répondants (46%) classent les conditions économiques comme le principal facteur orientant les dépenses de sécurité. En France, le poids comparatif des conditions économiques dans l’orientation des budgets est encore plus net, puisque 44% des dirigeants interrogés expliquent que leur choix budgétaire en matière de sécurité de l’information est réalisé en fonction des conditions économiques, loin devant le risque pour l’image de l’entreprise – 27%.

Méthodologie « Global State of Information Security Survey 2013

L’Enquête « Global State of Information Security Survey 2013 » sur l’état général la sécurité de l’information a été publiée par PwC, CIO magazine et CSO magazine. Elle a été réalisée via internet du 1er février 2012 au 15 avril 2012. Plus de 9 300 CEO, CFO, CISO, CIO, CSO, vice présidents, et directeurs des technologies et sécurité de l’information de 128 pays étaient invités par mail à répondre à l’enquête.

Cybersécurité, Logiciels, Particuliers

Vidéos : attention aux contenus inappropriés

Les enfants et adolescents raffolent d’internet. Visionnage, micro-blogging, medias-sociaux, chats : internet est une fenêtre sur l’extérieur, une connexion avec ses amis et proches, un lieu  d’apprentissage  et de divertissements. Mais, c’est aussi un lieu où les contenus se mélangent, et ils se trouvent potentiellement exposés à toutes sortes de contenus et rencontres. « Autant d’interactions qu’il faut savoir anticiper pour préserver les plus sensibles et vulnérables », met en garde David Emm expert analyste de Kaspersky Lab.

 Avertissement : les plus jeunes à seulement quelques clics de contenus inappropriés ou/et pour adultes 

L’expérience menée est simple pour qui a déjà visionné un dessin animé jusqu’au bout. Passées les publicités, quels sujets sont vraiment recommandés à la fin d’un épisode de leur dessin animé préféré ? D’ailleurs, certains contenus proposés dès la 1ère page du site, surtout lorsque la fonction sécurité du site est désactivée, peuvent déjà paraitre peu adapté à une audience en bas âge.

Après examen des vidéos «suggérées» à la fin des épisodes d’émissions populaires chez les plus jeunes, force est de constater que, en moyenne, les utilisateurs ne sont qu’à 3 à 5 clics de contenu non adapté à leur âge.

 Sensibiliser à la nécessité de découvrir le monde numérique en toute sécurité

Ces résultats mettent en évidence les risques potentiels que ces sites posent si le contrôle parental est désactivé ou si les enfants sont laissés sans surveillance pendant la navigation. Certains clips mettant en vedette violence, armes, langage inapproprié ou nudité. On peut citer aussi comme exemple les compilations d’accidents de voitures qui font partie des vidéos les plus virales du moment et rarement adapté aux plus jeunes.

Internet est un outil du quotidien, un passe temps simple d’accès pour ces plus jeunes générations qui ont toujours connu internet. Les sites de partage sont volontairement intuitifs, ce qui rend leur contenu facilement accessible, mais ne permet pas toujours d’afficher le contenu approprié pour les yeux des enfants.

David Emm, expert analyste chez Kaspersky Lab commente à Data Security Breach « Les jeunes générations sont nées avec internet et les parents sont, quant à eux, souvent tentés d’utiliser les fabuleuses ressources d’internet comme moyen de divertir leurs enfants. Cette expérience souligne l’importance de prendre des mesures pour les protéger lorsqu’ils sont connectés et d’adopter un comportement plus responsable. Avoir le contrôle parental en place est essentiel et peut être très efficace dans la lutte contre un contenu répréhensible. En outre, le mode sécurité des principaux sites de partage de vidéo vise à aider les parents, mais il ne peut pas fournir une protection à 100%. »

Les 3 conseils de Datasecuritybreach.fr

1.     Supervision

Cela peut sembler évident, mais surveiller l’utilisation d’Internet des enfants est un conseil qu’on ne répète jamais assez. Encouragez-les à visiter et rester sur les sites que vous connaissez. Si vous avez des doutes, vous pouvez consulter leur historique de navigation. Assurez-vous de connaître tous les sites protégés par mot de passe auxquels ils pourraient avoir accès et leur demander de partager leurs informations de connexion avec vous

2.     Dialogue 

Encouragez votre enfant à parler ouvertement de ce qu’ils font en ligne et avec qui ils socialisent. Développez une culture de « prévention » au sein de la maison et d’éveiller leurs attentions sur les dangers potentiels.

3.     Protection

Mettez en place un contrôle parental sur les sites pour lesquels vous voulez défendre votre enfant d’y accéder – c’est un moyen facile d’éviter le désastre.

Entreprise, Logiciels, Piratage

Piratage : 1 million € en france pour 2012

L’utilisation des logiciels piratés a coûté plus d’1 million d’euros aux entreprises françaises en 2012

Les actions juridiques et judiciaires intentées par BSA | The Software Alliance ont ciblé plus d’une centaine d’entreprises de l’hexagone ; le total des réparations / indemnisations versées pour utilisation non conforme de licences logicielles dépasse le million d’euros, une somme qui correspond à environ 12% du montant global versé par les entreprises en Europe (9 millions €).

Ce montant inclut à la fois les dommages et intérêts liés aux infractions constatées, ainsi que les coûts additionnels liés à la mise en conformité du parc de logiciels des entreprises concernées se retrouvant dans l’obligation de racheter les licences logicielles pour pouvoir continuer à les utiliser.

Augmentation de 50% du nombre d’actions en 1 an !

A travers la publication de ses chiffres annuels, la BSA souhaite attirer l’attention des entreprises sur les risques juridiques et financiers ; elle veut surtout les sensibiliser à la nécessité d’une gestion rigoureuse des licences de logiciel, y compris dans une optique de rationalisation et d’optimisation des portefeuilles d’actifs logiciels.

Au final, sur 2012, le nombre d’entreprises visées a augmenté de 50% en France par rapport à l’année 2011 ; et ce coût d’utilisation de logiciels sans licence pour les entreprises en France de plus d’1 million d’euros en 2012, représente près de 12% du montant global collecté dans la zone Europe, qui s’élève pour sa part à 9 millions d’euros.

Les secteurs de l’Architecture et du Design en première ligne…

Pour bien prendre la mesure du problème, on citera à titre d’exemple le cas d’une entreprise française à qui le non-respect de la règlementation vis-à-vis des licences logicielles a coûté près de 200 000 € en 2012. Notons qu’en n’acquittant pas le coût des licences, cette société allégeait artificiellement ses charges et s’aménageait ainsi frauduleusement un avantage compétitif vis-à-vis des entreprises de son secteur d’activité.

Par ailleurs, on note que toujours en 2012, l’utilisation de logiciels sans licence a touché en premier lieu le secteur de l’Architecture et du Design avec un total de près 370 000 € ; suivent le secteur de l’Industrie (281 000 €) et celui de l’Ingénierie (180 000 €). C’est également le cas pour ce qui concerne la zone européenne avec respectivement pour ces 3 secteurs 1,162 million €, 615 400 € et 584 000 € versés.

BSA | The Software Alliance : avant tout l’éducation !

« Le piratage de logiciels expose ainsi les entreprises à des risques financiers et d’image importants, sans compter les menaces liées à la sécurité, qui peuvent s’avérer d’autant plus pénalisants en période de crise économique. Ces chiffres démontrent bien que les entreprises françaises et européennes ont encore besoin d’être informées sur les risques encourus en matière d’utilisation de logiciels illégaux », déclare ainsi François Rey, Président de la BSA en France.

« Bien entendu, certaines entreprises ne prévoient pas d’utiliser de façon intentionnelle des logiciels sans licence. Cependant, chaque société doit avoir conscience de l’importance de gérer correctement ses actifs logiciels afin de s’assurer qu’elle a le bon nombre de licences. Et justement, la BSA participe actuellement en France aux travaux de l’AFNOR visant à élaborer un guide d’application de la norme applicable en matière de Gestion des Actifs Logiciels (SAM, pour Software Asset Management) ; il s’agit de permettre aux entreprises de réduire les risques et de diminuer les coûts globaux liés à leur système d’Information », ajoute-t-il.

La BSA encourage le signalement de cas de piratage de logiciels concernant toute entreprise utilisant des logiciels sans licence, ou tout individu ou organisation vendant de façon illégale des logiciels sur Internet, par exemple. Des rapports confidentiels peuvent être effectués sur www.bsa.org. Le site web de la BSA fournit également des guides et des données qui peuvent aider les entreprises à s’assurer qu’elles agissent bien efficacement et légalement. Plus d’information et d’outils relatifs à la règlementation en matière de logiciels sont disponibles sur www.bsa.org.

Cybersécurité, Entreprise

Fortinet protége Eurosport

Fortinet annonce aujourd’hui qu’Eurosport, première chaine de télévision sportive pan-européenne, a déployé les appliances de sécurité réseau FortiGate® pour protéger un réseau de 1000 collaborateurs répartis sur 17 pays à travers l’Europe, le Moyen-Orient et l’Asie. Eurosport a également implémenté les points d’accès sans-fil FortiAP de Fortinet pour offrir à ses salariés un accès Internet Wifi sécurisé. Les appliances Fortinet ont été choisies principalement pour leurs performances, leurs capacités de redondance ainsi que leurs facilités de déploiement et de gestion.

Eurosport, 1ère chaîne de télévision pan-européenne disponible en 20 langues est diffusée dans 130 millions de foyers à travers 54 pays. Le siège social du Groupe Eurosport est basé à Issy-les-Moulineaux, en région parisienne, en France. En outre, le Groupe dispose de 17 bureaux à travers l’Europe, le Moyen-Orient et Asie: l’Allemagne, l’Italie, les Pays-Bas, la Suisse, la Suède, le Danemark, la Norvège, la Finlande, la Pologne, l’Espagne, le Royaume-Uni (2 bureaux), la Grèce, le Portugal, les Emirats Arabes Unis, le Japon et Hong Kong. En 2012, le groupe Eurosport décide de remplacer ses anciennes solutions de pare-feu Check Point et Juniper par une solution mutualisée de pare-feu et VPN SSL offrant plus de souplesse en termes de gestion et d’administration. Après avoir analysé les différentes offres existantes du marché, le département informatique d’Eurosport a sélectionné les appliances de sécurité multi-menaces FortiGate pour les raisons principales suivantes: une gamme d’appliances dotées de différents niveaux de performances adaptés aux besoins des différents sites, une performance trois fois supérieure par rapport à Check Point, des options de redondance simples et économiques, l’authentification nominative de chaque utilisateur, la standardisation des configurations des pare-feux, et la facilité de déploiement et d’administration.

« Nous sommes présents dans 17 pays sans pour autant disposer de ressources techniques dans chacun de ces pays, c’est pourquoi notre priorité était la simplicité d’administration et de gestion. Fortinet a été le seul fournisseur à pouvoir entièrement satisfaire cette priorité grâce à l’option de configuration et de mises à jour des boitiers via une simple clé USB. Ainsi, pour configurer les appliances situées à Tokyo par exemple, nous avons envoyé par mail le fichier de configuration ainsi que le firmware que nous souhaitions intégrer au dispositif, puis nos commerciaux de l’agence de Tokyo ont transféré ces fichiers sur une clé USB, l’ont ensuite branché à l’appliance Fortinet, allumé celle-ci et 5 minutes après, la FortiGate était opérationnelle » déclare Thierry Landeau, Chef de projet Réseau et Sécurité chez Eurosport.

En raison d’une demande importante de bande passante, trois clusters Fortinet ont été déployés sur le site central du groupe Eurosport en France : l’un, comprenant deux appliances FortiGate-1000C, et les deux autres, dotés de deux appliances FortiGate-200B. Egalement, 15 clusters FortiGate-80C ont été déployés au sein des agences situées aux Pays-Bas, Norvège, Danemark, Finlande, Pologne, Suisse, Grèce, Italie, Espagne, Portugal, Emirats Arabes Unis, Japon et Hong Kong tandis que 4 clusters FortiGate-110C ont été déployés au sein des agences basées au Royaume-Uni, Allemagne et Suède car ces dernières comptent environ une cinquantaine de salariés et donc requièrent une demande de bande passante plus importante.

De plus, avec la prolifération et l’utilisation des appareils mobiles tels que les smartphones et tablettes PC en entreprise, le groupe Eurosport avait décidé de se doter d’un accès Internet Wifi sécurisé pour permettre à ses salariés, notamment à ses commerciaux, d’effectuer des démonstrations de leurs services sur les plateformes mobiles. Le département informatique a de nouveau opté pour Fortinet plutôt que pour des spécialistes de sécurité de réseau sans-fil tels que Aruba Networks : « Etant donné que les appliances FortiGate de Fortinet sont dotées de contrôleurs Wifi, il nous a semblé judicieux de choisir les points d’accès sans-fil FortiAP de Fortinet dans le but d’homogénéiser les constructeurs au sein d’Eurosport et d’éviter les multiples exploitations et administrations », déclare à Data Security Breach Pascal Delorme, Responsable Système, Réseaux et Télécoms chez Eurosport.

« Les FortiAP de Fortinet répondent parfaitement à notre besoin de mobilité optimisée car ces appliances nous ont permises de normaliser le Wifi, c’est-à-dire d’attribuer le même nom et le même SSID sur toutes les agences. Ainsi, aujourd’hui, un salarié du Groupe Eurosport qui se connecte habituellement en Wifi au bureau de Paris, pourra se connecter dans n’importe quelles autres agences du groupe avec le même SSID et mot de passe », ajoute à DataSecurityBreach.fr Nicolas Perrault, Ingénieur Réseau et Sécurité chez Eurosport. 23 FortiAP-220B sont déployés au sein des différentes agences.

L’implémentation est en phase finale et le déploiement des FortiGate et FortiAP s’est déroulé progressivement depuis Avril 2012 sur les différents sites distants. Ces solutions sont infogérées depuis le siège social en France par un système d’administration centralisé, le FortiManager™-100C. Le FortiAnalyzer™-400B, outil de reporting de Fortinet, permet quant à lui, de collecter de façon sécurisée les données quotidiennes des boitiers FortiGate et de générer des rapports techniques et des statistiques sur les événements de sécurité survenus.

« Nous sommes très fiers de compter parmi nos clients le groupe Eurosport qui, en déployant les solutions Fortinet, dispose aujourd’hui d’une sécurité et d’un contrôle plus étendus sur l’ensemble de leur infrastructure, tout en optimisant les coûts et la facilité de gestion et d’administration » déclare à Data Security Breach Patrice Perche, Vice Président Sénior des Ventes Internationales et du Support chez Fortinet. « Nous nous positionnons comme un partenaire de sécurité de bout en bout auprès de sociétés internationales telles que le Groupe Eurosport et ce, de façon unique grâce à l’intégration la plus complète et ultra performante des services de sécurité clés de l’entreprise. »

Cybersécurité, Particuliers, Piratage

The Secret Files

Britney Spears, Mel Gibson, Arnold Schwarzeneger, Beyonce, Jay Z, Hulk Hogan piraté via l’infiltration d’un serveur de la société de crédit Equifax. Dans la série, j’ai une faille dans mon serveur, la société de crédit Equifax ne pouvait pas faire pire. La semaine dernière, le 11 mars, un pirate informatique a diffusé via un site créé pour l’occasion, et baptisé Exposed, les données sensibles et privés d’une quinzaine de vedettes américaines. Des peoples acteurs ou politiques comme Kim Kardashian, Donald Trump, le patron du FBI Robert Mueller, le boss de la police de Los Angeles Charlie Beck, Eric Holder l’US Attorney General, Hillary Clinton, Joe Biden, Sarah Palin, Britney Spears, Mel Gibson, Ashton Kutcher, Paris Hilton, Al Gore, Arnold Schwarzenegger, Beyonce, Jay Z ou encore Hulk Hogan. Le pirate a pu récupérer, dans ce piratage, les adresses de ces personnalités, leurs numéros de sécurité sociale, téléphones et, plus grave, les données financières. Les sociétés Equifax et TransUnion Inc Corp ont confirmé une intrusion dans leurs systèmes. Une troisième société de crédit, Experian, recherche toujours à savoir si quelqu’un était passé dans ses bits. La question est de savoir si le pirate n’est pas passé par le portail Annualcreditreport.com, via une injection SQL. Ce site regroupe les informations financières des clients des trois sociétés de crédits cités dans cet article. Le pirate, dans un dernier défit, affichait avant la fermeture de son compte Twitter et site web « Si vous croyez que Dieu fait des miracles, vous devez vous demander si Satan en a quelques-uns dans sa manche« .

Entreprise, Piratage

Eurograbber : braquage numérique à 30 millions d’euros

Ou comment une fraude aussi complexe, infectant à la fois les ordinateurs et les terminaux mobiles, a pu prendre une telle ampleur et se classer parmi les attaques les plus fructueuses à ce jour… et quelles sont les implications en matière de sécurité pour les banques et leurs clients. Par Terry Greer‐King, pour DataSecurityBreach.fr, chercheur britannique pour Check Point ayant découvert la fraude en association avec Versafe.

Dans l’histoire des braquages de banque, le vol des 30 millions € (47 millions USD) perpétré en 2012 dans le cadre de l’attaque Eurograbber se classe parmi les plus grands méfaits de tous les temps, à l’échelle mondiale. Et sachant que cette somme a été dérobée sur les comptes de plus de 30 000 clients ouverts auprès d’une trentaine de banques dans quatre pays européens, via un logiciel malveillant affectant à la fois les ordinateurs et les téléphones portables des particuliers, on peut également dire que l’on a affaire à l’un des vols lesplus complexes jamais commis au jour.

Toutefois, le plus inquiétant dans l’histoire, c’est que l’attaque Eurograbber s’est jouée du système d’authentification à deux facteurs des banques, de façon que les transactions frauduleuses leur paraissent parfaitement légitimes. C’est l’une des raisons pour lesquelles Eurograbber a pu rester en activité pendant des mois sans se faire détecter, permettant ainsi aux criminels responsables de voler toujours plus d’argent. Comment les pirates sont‐ils parvenus à mettre en oeuvre l’attaqueEurograbber ? Et comment les banques et leurs clients peuvent‐ils se prémunir à l’avenir contre ce genre de menaces ?

La réussite d’Eurograbber repose avant tout sur la connaissance approfondie qu’avaient les pirates du mode de fonctionnement des systèmes bancaires en ligne des particuliers et des entreprises. L’attaque ciblait spécifiquement la méthode d’authentification à deux facteurs consistant à envoyer un code à usage unique par SMS vers un terminal mobile, lequel était intercepté afin que les pirates puissent exploiter les données authentiques.

Une attaque menée sur deux fronts Les pirates ont procédé en deux temps. Lors de la première phase, il s’agit d’infecter l’ordinateur du client de manière transparente et de récupérer ses informations bancaires par le biais d’un e‐mail d’hameçonnage contenant un lien frauduleux ou lors de la consultation d’une page Internet malveillante.

Cette action déclenche le téléchargement, sur l’ordinateur du client, d’une version personnalisée du cheval de Troie bien connu dénommé Zeus, lequel reste inactif jusqu’à ce que le client accède à son compte bancaire. Le programme lance alors une version frauduleuse du site Web de la banque qui contient des instructions de « mise à niveau » du système bancaire en ligne de l’utilisateur. Ce dernier est alors invité à saisir de nouveau ses numéros de compte et autres renseignements bancaires, mais aussi son numéro de téléphone portable. La page demande ensuite à l’utilisateur de suivre les instructions qui vont lui être envoyées par SMS afin de finaliser la mise à niveau.

C’est la deuxième phase de l’attaque. Lorsque l’utilisateur reçoit le message, apparemment en provenance de sa banque, il a pour instruction de cliquer sur un lien hypertexte afin d’achever la « mise à niveau des services bancaires ». Or cette action déclenche le téléchargement de la version mobile du cheval de Troie Zeus (baptisée ZITMO) sur le téléphone portable. Si le modèle est compatible (Blackberry, Android ou Symbian), le terminal est infecté. Pas besoin de faux codes d’authentification de la transaction C’est ainsi que l’ordinateur et le téléphone portable de l’utilisateur sont pris pour cible. À partir de là, à chaque consultation des comptes bancaires en ligne, le programme malveillant réalise une transaction visant à transférer des fonds. L’attaque fonctionne selon le schéma suivant : le cheval de Troie sur l’ordinateur détecte l’accès au système bancaire en ligne et envoie à la banque, de façon transparente, une demande de virement vers le compte « mule » du pirate. Lorsque la banque reçoit cette requête, elle génère le code d’authentification de la transaction et l’envoie par SMS sur le téléphone portable du client, où il est intercepté par le cheval de Troie. Ce dernier extrait alors le code à partir du SMS et le renvoie à la banque pour finaliser la transaction bancaire illicite.

Les transactions frauduleuses sont complètement transparentes pour le client, étant donné qu’il ne voit pas les SMS envoyés par la banque sur son téléphone portable. Et la banque n’a aucune raison de douter de leur légitimité. Les pirates ont même configuré le programme de façon à limiter le montant des fonds transférés à chaque transaction en fonction d’un pourcentage du solde du compte, ce qui a contribué à ce que leurs méfaits passent inaperçus.

Questions relatives à la sécurité Quels enseignements peut‐on tirer de l’attaque Eurograbber sur le plan de la sécurité ? Les pirates sont effectivement parvenus à trouver la faille des méthodes d’authentification hors bande, dans le cadre desquelles un code à usage unique est créé et envoyé vers un téléphone portable — système qui s’avère relativement fréquent en Europe. Même si les banques ayant recours à d’autres méthodes d’authentification n’ont pas été inquiétées par l’attaque Eurograbber, cette dernière souligne bien qu’il est possible de mettre au point un exploit visant un système d’authentification en particulier… et que les pirates ont la patience et les ressources nécessaires pour parvenir à leurs fins. Il y a deux ans à peine, le code de la solution d’authentification à deux facteurs numéro un sur le marché avait été dérobé, la rendant ainsi vulnérable à d’éventuelles attaques. Aucune solution d’authentification n’est donc à l’abri. Cependant, cette attaque met également en lumière le rôle essentiel joué par les usagers des services bancaires en ligne sur le plan de la sécurité. Eurograbber a pris pour cible les clients, et non directement les banques. Par conséquent, pour se protéger au mieux contre d’éventuelles attaques de type Eurograbber, il convient de veiller à ce que les clients des banques en ligne se dotent d’un système de défense à jour opérant en deux points stratégiques : au niveau du réseau d’accès Internet utilisé pour consulter leurs comptes bancaires et au niveau de l’ordinateur servant à réaliser leurs opérations bancaires en ligne.

Protection des usagers Il est important de répéter aux usagers des services bancaires en ligne que les banques ne leur enverront jamais d’e‐mails non sollicités. Ils ne doivent donc pas répondre à ce type de message, car il s’agit de tentatives d’hameçonnage. Les utilisateurs sont encouragés à protéger leur ordinateur personnel à l’aide d’un logiciel antivirus à jour et d’un pare‐feu. La question du coût ne se pose pas ici : il existe des solutions gratuites, ZoneAlarm ou autres, qui assurent une protection équivalente aux meilleurs produits payants du marché. Elles sont en mesure de détecter les variantes du cheval de Troie Zeus avant qu’il ait infecté l’ordinateur de l’utilisateur. Autre mesure préventive capitale : l’installation régulière des mises à jour logicielles sur l’ordinateur, de façon à maintenir un système de sécurité aussi récent que possible. Si le cheval de Troie d’Eurograbber est déjà présent sur l’ordinateur, il tentera de se connecter à son serveur de contrôle et de commande (C&C) pour infecter sa cible et réaliser des transferts de fonds depuis le compte bancaire du client. Dans ce cas, l’installation d’un pare‐feu permettra de bloquer cette communication et la mise à jour du logiciel antivirus, suivie d’une analyse, devrait détecter l’infection et l’éliminer.

En conclusion, il n’existe pas de « solution miracle » garantissant la protection contre les cyberattaques de type Eurograbber. Il faut simplement rester constamment vigilant et s’assurer que les protocoles de sécurité mis en oeuvre par les banques et leurs clients sont les plus complets et les plus à jour possible. Ces mesures offrent la meilleure chance de contrer la prochaine tentative des cybercriminels.

Entreprise, Logiciels

Ensemble cherry : cryptage AES pour votre clavier

Grand confort d’utilisation, fiabilité au quotidien et sécurité maximale de transfert de données : voici les avantages du nouvel ensemble sans fil B. UNLIMITED AES (JD-0400) de CHERRY. Cet ensemble classique est composé d’un élégant clavier à frappe ultra-silencieuse et d’une souris symétrique 3 boutons avec capteur infrarouge de précision. L’énergie est stockée durablement par des batteries NiMH de haute qualité. Lorsque les réserves d’énergie sont faibles, la souris et le clavier peuvent être rechargés par câbleUSB, même pendant l’utilisation. L’utilisateur peut ainsi poursuivre son travail en toute tranquilité.

A l’abri des interférences et de toute interception

La technologie sans fil 2,4 GHz et sa portée de 10 m rend cet ensemble idéal pour toutes les utilisations professionnelles. Le cryptage AES 128‑Bit garantit une haute protection contre l’interception, particulièrement importante pour la saisie des informations critiques et des données confidentielles. Advanced Encryption Standard est un algorithme symétrique de cryptage qui s’est imposé comme le standard de facto pour la sécurisation des transferts de données.

Grand confort d’utilisation

Le clavier élégant offre un grand confort d’utilisation et se distingue par son ergonomie parfaite et sa frappe particulièrement silencieuse. La souris symétrique 3 boutons qui complète l’ensemble offre un capteur infrarouge de précision et une résolution commutable (1000/2000dpi). Grâce à la configuration Plug and Play et aux batteries NiMH préchargées, les deux périphériques sont immédiatement prêts à fonctionner. Il suffit de brancher le mini-récepteur USB pour commencer à travailler.

Prix et disponibilité : L’ensemble sans fil CHERRY JD-0400 est d’ores et déjà disponible dans le commerce spécialisé au prix de 69,99 euros TTC.

Cybersécurité, Entreprise, Particuliers, Piratage

Convention entre la Cyber Police et la CNIL

Les amis du petit déjeuner et la CNIL vont coopérer pour renforcer la lutte contre la cybercriminalité. A quelques jours du Forum International de la CyberSecurité (28 & 29 janvier – Lille), le FIC 2013, l’AFP nous apprend que le ministre de l’Intérieur Manuel Valls et la ministre de l’Economie numérique Fleur Pellerin ont décidé de renforcer la lutte contre la cybercriminalité sur le territoire Français. Pour cela, une convention a été signée. Cette convention a été noircie par les « Amis du petit déjeuner » (terme inventé par zataz.com, ndlr Datasecuritybreach.fr) de l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC) et la Commission nationale de l’informatique et des libertés. « La Cnil et la police vont coopérer ensemble » souligne le Ministre de l’Intérieur, M. Valls. Parmi les propositions : dialogue avec les dirigeants de Twitter, Facebook et autres réseaux sociaux pouvant regrouper des « vilains ; meilleures coopérations entre les Etats et le privé ; le blocages actifs des sites illicites et quantifier et qualifier le phénomène.

Argent, Banque, Entreprise, Fuite de données, Leak

France : Le fisc peut saisir tout document informatique où qu’il soit stocké

La Cour de cassation a confirmé que le fisc pouvait saisir tous les documents informatiques qu’il trouve, alors même qu’ils ne seraient stockés sur le lieu de la perquisition. Les juges ont estimé qu’il suffisait que les fichiers utiles à l’enquête soient accessibles par le réseau depuis le lieu de la perquisition.

Espionnae, Particuliers

Espionnage sur Sina Weibo

La Chine n’aime pas la critique et le site de micro blogging Sina Weibo est surveillé en permanence. Une équipe de chercheurs a surveillé les messages d’un panel de 3.567 internautes connus pour être critiques dans leurs post afin de déterminer à quelle vitesse les autorités effaçaient les messages non conformes à la ligne politique locale. Les tweets sont supprimés en 10 minutes, les retweets presque complètement éradiqués en 24 heures. (Source : 01net /ebusiness)

Chiffrement, cryptage, Cybersécurité, Hacking, Linux

Cracker 350 milliards de mots de passe par seconde

Un commentaire

Un chercheur en informatique met en place un ordinateur capable de cracker 350 milliards de mot de passe par seconde.

Voilà un « crack jack » dès plus efficace. Imaginez ! Cinq serveurs, qui composent un cluster, capable d’égrainer des milliards de mots de passe en une fraction de seconde. Plus exactement, 350 milliards de mot de passe à la seconde.

Jeremi Gosney, le fondateur et PDG de Stricture Consulting Group a exposé son monstre, en Norvège, la semaine dernière, lors du Passwords 12 conference d’Oslo. Bilan, les possibilités de sécurité par mot de passe d’un Windows utilisant l’algorithme cryptographique NTLM (Il est inclus dans toutes les versions de Windows depuis Server 2003) ne tiendront pas 6 heures.

La machine est constituée de 5 serveurs et de 25 cartes graphiques AMD Radeon. Par conséquent, la machine peut essayer une étonnante combinaisons qui, en seulement 5.5 heures, est assez forte pour casser un mot de passe de huit caractères, contenant lettres majuscules, minuscules, des chiffres et des symboles. La solution hardware est secondée par le couteau Suisse dédié aux mots de passe ocl hash cat.