Tous les articles par Damien Bancal

Damien Bancal, expert reconnu en cybersécurité Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles. Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe. Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.
Cybersécurité, Justice, loi, Securite informatique

Le Centre pour la Cybersécurité Belge ne voit pas de menaces pirates venues d’Asie

Il y a quelques jours, le CCB, le Centre pour la Cybersécurité en Belgique, Un ANSSI Royal, a présenté les risques cybers visant le pays. Russie et Chine ne sont pas montrés du doigt.

Voilà qui change ! Les pirates informatiques de la Russie et de la Chine ne sont pas montrés du doigt par le Centre pour la Cybersécurité Belge (CCB). Alors que les Américains et le Royaume-Unis, repris en force par la presse mondiale, affichent la Chine et la Russie comme les premiers « gêneurs »  numériques du monde, le CCB affiche un calme olympien face à ces ennemis 2.0. « Il n’y a actuellement aucun danger concret en provenance de Chine » souligne le CCB lors de sa dernière conférence de presse en date. « Il n’existe pas suffisamment de preuves concrètes susceptibles de causer du souci à la Belgique » confirme Miguel De Bruycker, directeur du CCB.

En ce qui concerne la Russie, le directeur du CCB a été des plus clair dans les colonnes de Le Vif :  « Il y a une grande différence entre une attaque d’un groupe de pirates ordinaire et la cybercriminalité organisée à partir d’un pays« .

Le CCB, à l’image de l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) va lancer son propre système d’alerte. D’ici la fin 2018, les entreprises dites d’importance vitale (OIV) recevront alertes et avertissements plus « poussés » via le « Early Warning System » Belge.

En 2017, deux tiers des entreprises belges auraient été  victimes de la cybercriminalité selon l’entité royale.

Cyber-attaque, Cybersécurité, Hacking, Leak, Piratage, Securite informatique

Chafer : un groupe de cyber attaquants basé en Iran

Un groupe de pirates informatiques, baptisé Chafer s’attaquerait aux entreprises du monde entier. Des amateurs du blackmarket qui officieraient d’Iran.

Chafer, un groupe de pirates informatiques qu’il est possible de croiser, sans grande difficulté, sur plusieurs forums Iraniens dédiés au piratage informatique. L’éditeur de solutions de sécurité informatique américain Symantec a publié une analyse sur leurs activités. Chafer est actif depuis au moins juillet 2014. La plupart des attaques du groupe visent à collecter des informations, à la revendre, à infiltrer pour encore mieux collecter. L’analyse explique que neuf nouvelles organisations ont été touchées au Moyen-Orient. Chafer a ciblé plusieurs organisations au Moyen-Orient (Israël, Jordanie, Emirats Arabes Unis, Arabie Saoudite et Turquie) y compris un important fournisseur de services télécoms dans la région.

En dehors du Moyen-Orient, des preuves d’attaques contre une compagnie aérienne africaine et des tentatives de cyber attaque envers une entreprise internationale dans le secteur du voyage. Une nouvelle méthode d’infection est utilisée par Chafer. Nouvelle méthode, mais qui n’a rien de révolutionnaire. Ils utilisent des documents Excel malveillants diffusés par le biais de mails ciblés (spear phishing).

Le courriel proposant le document Excel piégé permet d’installer un cheval de Troie destiné à dérober des informations et un outil qui pratique des captures d’écrans. Les activités récentes de Chafer indiquent une plus grande dépendance aux nouveaux outils logiciels gratuits, notamment Remcom, un NSSM, un outil de capture d’écran et de presse-papiers, des outils HTTP, GNU HTTPTunnel, UltraVNC et NBTScan . Chafer se dirige vers des attaques ciblant la supply chain, compromettant les organisations au travers de canaux de confiance dans le but d’attaquer ensuite leurs clients.

Le phishing, en tête de pont

Selon un nouveau rapport publié par F-Secure, plus d’un tiers des incidents de cyber sécurité viennent de phishing. Ce nouveau rapport présente les conclusions des enquêtes sur les interventions menées suite à un cyber incident et offre un aperçu des véritables modes opératoires des pirates informatiques.

21 % des cyber incidents analysés par F-Secure dans ce rapport font suite à des attaques ciblant les services web utilisés par les entreprises. Il s’agit du mode d’attaque le plus fréquemment utilisé par les pirates mettre la main sur les données d’une organisation. Toutefois, le phishing et les pièces jointes malveillantes totalisaient, ensemble, environ 34 % des attaques. Pour Tom Van de Wiele, Principal Security Consultant chez F-Secure, les attaques par e-mail constituent donc le plus gros danger pour les organisations. «L’exploitation des vulnérabilités logicielles est typique des attaques opportunistes mais les intrusions informatiques via e-mail sont bien plus fréquentes. Les pirates disposent de tout un éventail d’attaques par e-mail. Elles remportent un franc succès, puisque la plupart des entreprises utilisent les e-mails pour leurs communications », explique Tom Van de Wiele. « Il convient de toujours réfléchir à deux fois avant de cliquer sur une pièce jointe ou sur un lien… mais la pression professionnelle l’emporte souvent sur le bon sens. Les pirates comprennent et exploitent cette logique. »

Android, Antivirus, Chiffrement, Cyber-attaque, Cybersécurité, escroquerie, ios, Logiciels, Particuliers, Piratage, Sécurité, Securite informatique, Smartphone, Vie privée, Virus, Windows phone

Sites pornographiques : Le Français, un chaud lapin 2.0

Selon une étude, 33 % des adultes français consultent des sites pornographiques au moins 1 fois par jour. 40% d’entre eux ont déjà été contaminés par un virus informatique en visitant des sites pour adultes.

Une étude, réalisée en octobre 2017, sur les cyber-risques associés à la consultation de sites pornographiques vient de produire ses chiffres. Réalisée auprès de 1000 Français, cette étude Kaspersky révèle que 33 % des adultes consultent des sites pornographiques au moins 1 fois par jour, et ce pour une durée moyenne de 22 minutes par visite… soit l’équivalent de 4 jours par an ! Et cette pratique n’est pas sans risque : 40% contaminés par un virus informatique en consultant ces sites. Parmi les autres chiffres, 17% ignoraient que les smartphones et tablettes s’infectaient. 18 % croient protéger leur ordinateur en effaçant leur historique de navigation. 20 % pris en flagrant délit de consultation d’un site pour adultes. 23 familles de malwares Android ont été identifiées comme exploitant la pornographie.

Vous retrouverez la liste complète à la fin de cette brève. 21 % des personnes interrogées accusent leurs proches pour ne pas avoir à en assumer la responsabilité. 18 % protégés en utilisant un navigateur web en mode privé. 22 % reconnaissent consulter des sites pornographiques au travail.

Top 10 des virus informatiques

1. Le cheval de Troie : Sous couvert d’un programme d’apparence inoffensive, il véhicule une charge malveillante.
2. Le téléchargement « drive-by » : Il s’agit d’une méthode courante de propagation de malware. Les cybercriminels recherchent des sites web non sécurisés afin d’implanter un script malveillant dans le code de leurs pages.
3. Le détournement de clic : Cette méthode consiste à inciter un utilisateur à cliquer sur un objet sur une page web tout en lui faisant croire qu’il clique sur un autre.
4. Les bots Tinder : Ces programmes automatiques se font passer pour de véritables utilisateurs sur les sites de rencontre.
5. Le chat-phishing : Des cybercriminels fréquentent des sites de rencontre ou des forums, y encourageant les utilisateurs à cliquer sur des liens vers des forums de live sex et autres sites pornographiques.

Ransomware et pornware

6. Le ransomware : Les cybercriminels utilisent des « bloqueurs » pour interdire à la victime l’accès à sa propre machine, invoquant souvent la présence de « contenu pornographique illicite » en misant sur le fait que quiconque ayant consulté des sites pour adultes est moins enclin à se plaindre aux autorités.
7. Le vers : Ce type de programme se reproduit sans écrire son code dans d’autres fichiers. Au lieu de cela, il s’installe une fois sur la machine d’une victime puis recherche un moyen de se propager à d’autres.
8. Le pornware : Il peut s’agir d’un programme authentique mais aussi d’un adware installé par un autre programme malveillant et conçu pour afficher du contenu inapproprié sur la machine de la victime.
9. Le spyware : Logiciel d’espionnage qui permet à un pirate d’obtenir subrepticement des informations sur les activités en ligne de la victime et de les exfiltrer de sa machine.
10. Le faux antivirus : De prétendus logiciels antivirus exploitent la crainte des utilisateurs. Des malwares dans votre machine pendant le visionnage de contenus pornographiques.

Cybersécurité, Emploi, Entreprise, ID, Identité numérique, Justice, loi, Particuliers, Sauvegarde

Votre patron peut ouvrir vos fichiers personnels et privés

2 commentaires

La cours européenne des droits de l’homme indique qu’un dirigeant d’entreprise peut ouvrir les fichiers personnels de ses salariés, sur un poste professionnel, si les documents ne sont pas identifiés de manière précise comme « privé ».

Vous pensiez qu’un dossier personnel, sur le poste informatique prêté par votre employeur, suffisait à protéger le contenu du document ? Vous pensiez qu’indiquer « données personnelles » permettait de ne pas autoriser la lecture du mail par le patron ? La cours européenne des droits de l’homme confirme, dans un arrêt du 22 février 2018, qu’un « employeur peut consulter les fichiers d’un salarié, en son absence, s’ils ne sont pas identifiés comme étant privés. » Comme l’indique Legalis qui diffuse le rendu du jugement, le salarié avait inscrit dans le dit dossier les mots « données personnelles ». Pas suffisant pour la CEDL. Pour la petite histoire, il s’agit d’une affaire concernant un ancien employé de la SNCF. Son employeur, lors de son absence, avait ouvert ses fichiers, dont un personnel. A l’intérieur : 1 562 images pornographiques et une fausse attestation pour un logement ! Les fichiers en question n’ont pas été dûment identifiés comme « privé » en référence à la charte d’utilisation.

Android, Argent, Arnaque, backdoor, Banque, Communiqué de presse, Contrefaçon, Cyber-attaque, Cybersécurité, Entreprise, escroquerie, Fuite de données, ID, Identité numérique, ios, OS X, Paiement en ligne, Particuliers, Piratage, Sécurité, Securite informatique, Smartphone, Windows phone

Chevaux de Troie visant les applications bancaires mobile

La prolifération des chevaux de Troie visant les applications bancaires mobiles expose les particuliers à d’importants risques. De fausses interfaces reproduisent fidèlement les applications bancaires mobiles des plus grandes banques du monde entier. Plus d’un consommateur sur trois est incapable de faire la différence entre une application authentique et sa version piratée.

Les utilisateurs de services bancaires mobiles du monde entier sont confrontés à un risque plus grand d’être piégés par des cybercriminels, et d’être victimes de fraudes. Telle est la conclusion de la nouvelle étude mondiale publiée par Avast, leader mondial des produits de sécurité digitale, qui a demandé à près de 40 000 consommateurs de douze pays, dont la France, de comparer l’interface de plusieurs applis bancaires officielles avec leur version contrefaite.

Au niveau mondial, 58 % des personnes interrogées ont identifié l’interface officielle des applications bancaires mobiles comme frauduleuse, tandis que 36 % prenaient l’interface piratée pour la version authentique. En France, les résultats sont similaires avec respectivement 74 % et 35 % des personnes interrogées. Ces résultats soulignent le niveau de sophistication et d’exactitude qu’ont atteint les cybercriminels pour réaliser des copies extrêmement fiables, ce qui leur permet d’espionner les utilisateurs et de collecter leurs identifiants personnels pour faire main basse sur leur compte en banque.

Ces derniers mois, Avast a détecté plusieurs fausses applications bancaires mobiles qui représentent une menace croissante pour la confidentialité et la sécurité. Parmi les banques visées par les cybercriminels, on retrouve Crédit Agricole, Citibank, Wells Fargo, Santander, HSBC, ING, Chase, Bank of Scotland et Sberbank. En dépit des mesures strictes de sécurité déployées ainsi que des sauvegardes, les importantes bases de données clients de ces organisations constituent des cibles particulièrement attrayantes pour les cybercriminels, pour réussir à créer de fausses applications qui imitent les officielles à la perfection.

 En novembre 2017, l’équipe Threat Labs Mobile a découvert dans Google Play une nouvelle version du cheval de Troie BankBot qui cible les identifiants de connexion bancaire des particuliers. Avast a ainsi analysé la menace, en collaboration avec ESET et SfyLabs. Cette toute dernière variante était dissimulée dans des applications réputées fiables, telles que des lampes de poche et des versions du célèbre jeu Solitaire. Une fois téléchargés, les logiciels malveillants lançaient et ciblaient les applications des plus grandes banques. Lorsqu’un utilisateur ouvrait son appli bancaire, le malware positionnait une fausse interface sur l’appli officielle, afin de collecter les coordonnées bancaires du client et de les transmettre au cybercriminel.

Applications bancaires piégées

« Nous assistons à une augmentation constante du nombre d’applications malveillantes pour Android. Ces applis sont capables d’échapper aux contrôles de sécurité des principales plateformes de téléchargement d’applications, avant de se frayer un chemin jusqu’aux téléphones des consommateurs, confie Gagan Singh, Senior Vice President et General Manager, Mobile, chez Avast. Dans de nombreux cas, elles se font passer pour des jeux ou des applis « lifestyle », et utilisent des tactiques d’ingénierie sociale pour inciter les utilisateurs à les télécharger. »

« En règle générale, les internautes peuvent faire confiance à la fiabilité des plateformes de téléchargement d’applications, telles que celles de Google et d’Apple, pour télécharger des applications bancaires, mais une vigilance accrue est de mise. Il est indispensable de vérifier que l’application utilisée est bien la version officielle, poursuit Gagan Singh. Si l’interface semble étrange, il ne faut pas hésiter à contacter le service client de la banque. Le cas échéant, il est vivement conseillé d’utiliser la fonction d’authentification à deux facteurs et de se protéger en installant un antivirus puissant sur Android, qui détectera et supprimera les logiciels malveillants. »

L’étude menée souligne en outre que les consommateurs du monde entier se disent davantage préoccupés par le vol d’argent sur leur compte bancaire, que par la perte de leur portefeuille ou de leur sac à main ; voire même par le piratage de leurs comptes sur les réseaux sociaux ou la consultation de leurs messages personnels. Au niveau mondial, 72 % des personnes interrogées ont déclaré que la perte d’argent était leur principale préoccupation, contre 67 % en France.

Au niveau mondial, environ deux personnes interrogées sur cinq (43 %) ont déclaré utiliser des applications bancaires mobiles. En France, 38 % ont affirmé les utiliser de façon active. Parmi les personnes interrogées qui ne se servent pas d’un smartphone ou de tablette pour accéder aux services de leur banque, près du tiers (30 %) des français ont indiqué que le faible niveau de sécurité était leur principal souci.

 Cette enquête en ligne a été réalisée dans 12 pays : États-Unis, Royaume-Uni, France, Allemagne, Russie, Japon, Mexique, Argentine, Indonésie, République tchèque, Brésil et Espagne. Au total, 39 091 personnes y ont participé, dont 5 852 français.

Android, Base de données, Chiffrement, Communiqué de presse, Cybersécurité, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, IOT, Particuliers, RGPD, santé, Sécurité, Securite informatique, Smartphone, Social engineering, Vie privée

Domotique : objets connectés sont-ils dangereux ? Test !

Les objets connectés et la domotique sont devenus omniprésents dans notre quotidien, au travail comme à la maison : téléphones, ampoules, enceintes, montres, caméras, voitures, etc. Pourtant, nous devrions nous préoccuper des informations que nous transmettons (mode de vie, habitudes, localisation, photos et vidéos, etc.) et les risques d’un tel partage. À cet effet, ESET reconstitue une maison connectée lors du Mobile World Congress, où différents appareils sont testés afin de mettre en évidence les vulnérabilités liées à ces objets qui nous entourent. Partage de données, virus, informations collectées… Que risque-t-on vraiment en partageant avec ces objets des informations nous concernant ? Nos experts ont testé 12 produits que nous retrouvons habituellement dans une maison connectée.

L’un de ces objets de domotique qui n’a pas été listé ici présentait de nombreuses vulnérabilités importantes. Nous avons averti le fabricant pour qu’il puisse y remédier. Cet appareil est une centrale de commande domotique qui peut gérer les détecteurs de mouvement, les commandes de chauffage, les moteurs de volets roulants, les capteurs d’environnements et les prises intelligentes.

Voici les principales vulnérabilités de cet appareil :

  • Le processus de connexion au réseau local n’est pas entièrement protégé par un système d’authentification. L’option par défaut autorise la connexion automatique, qui contourne le renseignement d’informations d’identification standard telles que l’identifiant et le mot de passe. Le fabricant mentionne ce problème dans une alerte de sécurité et recommande de désactiver cette option par défaut.
  • Comme avec presque tous les systèmes de maison connectée, un service Cloud permet de gérer les appareils connectés depuis un endroit X. Les communications vers le service cloud ne sont pas chiffrées.
  • Le service Cloud des fournisseurs a la possibilité d’établir une connexion VPN (Virtual Private Network – à distance) avec les périphériques distants. Une fois ce tunnel établi, il pourrait être possible de modifier la configuration du réseau distant. Cela pourrait entraîner l’accès au réseau local des utilisateurs sans leur consentement.
  • L’accès au service Cloud nécessite un enregistrement. Si les détails concernant l’utilisateur sont compromis, l’accès VPN au réseau distant peut présenter un risque considérable.

Les autres appareils que nous avons testés et détaillés dans ce rapport permettent de mettre en évidence certaines vulnérabilités qui doivent être prises en compte au moment de l’achat de l’appareil. Par exemple, les caméras D-Link et la connexion TP-Link présentent des problèmes de sécurité. La principale préoccupation de ces caméras est l’absence de chiffrement du flux vidéo, accessible depuis un système d’authentification faible.

La confidentialité de la domotique, un sujet qui nous concerne tous

La radio Internet Soundmaster, qui ne dispose pas entre autres de politique de confidentialité, a alerté nos chercheurs. Les préoccupations les plus importantes concernent les assistants intelligents à commande vocale – en l’occurrence Alexa. Il s’agit d’un service qui sert de conduit à tous les autres appareils et qui stocke ensuite les interactions avec eux. Ni la réputation de l’appareil ni les services d’Amazon ne sont en cause, mais un pirate intelligent qui tente de recueillir des données personnelles pour le vol d’identité pourrait créer une attaque par spear-phishing pour accéder au compte Amazon des victimes.

AMAZON ECHO

Les interactions que vous aurez avec cet appareil permettront d’informer Amazon des produits que vous souhaitez acheter, de ce que vous écoutez, des autres produits connectés que vous avez et ainsi de suite. Cette collecte de données permet de créer un profil qui contient potentiellement des détails très précis sur votre style de vie – le rêve d’un marketeur, et aussi celui d’un cybercriminel. Avec les violations de données fréquentes, tout assistant numérique activé par la voix doit nous préoccuper. Si, par exemple, quelqu’un accède à votre identifiant et votre mot de passe Amazon, il a la possibilité d’écouter vos interactions avec Alexa. Le stockage d’informations stockées constitue un problème de confidentialité.

D-LINK

Les mises à jour de micrologiciels sont au format http et non https (le -s- indique que le protocole est sécurisé), ce qui signifie qu’un pirate pourrait injecter des virus lors d’une mise à jour, car le flux de données n’est pas chiffré. Les caméras incluses dans notre test de maison connectée présentent des faiblesses. La caméra est contrôlée depuis l’application mydlink, qui est chiffrée. Mais si le flux vidéo lui-même est mal protégé, les problèmes de sécurité et de confidentialité se concentrent autour du contenu « capturé ».

NETAMTO

Si vous décidez de partager les données de votre appareil, sachez que votre emplacement est identifié. Jetez un œil ici. Vous comprendrez comment, en sélectionnant l’un des appareils. L’adresse de rue d’un propriétaire de NetAMTO est indiquée.

NOKIA HEALTH

Nous avons tenté d’accéder aux données qui circulent entre l’application Health Mate et le service Cloud affilié. Il était possible de lancer une attaque de type « MitM » entre l’application Android et le Cloud. Ceci signifie que les communications sont interceptées sans que l’utilisateur soit au courant.

Ici, l’attaque à distance n’est pas possible. Cependant, en cas de compromission, les données transmises deviennent lisibles. Ceci dit, pour NOKIA HEALTH, il est peu probable de trouver un scénario où un pirate peut accéder au téléphone, rooter l’appareil, intercepter le téléchargement du firmware, le réécrire, puis appuyer sur un bouton de configuration magique sur les balances réelles et installer le nouveau firmware.

Cependant, lorsque vous associez Nokia Scales à Amazon Echo, vous pouvez poser des questions à Alexa sur les données stockées dans votre compte Health Mate. Sur la page Internet d’Amazon qui détaille l’habileté et l’offre des compétences Nokia, il y a la déclaration suivante : Alexa et Amazon, Inc. ne stockent ni ne conservent vos données Nokia Health, mais les interactions vocales associées à votre compte Amazon peuvent contenir vos données Nokia Health Mate.

Lorsque vous liez Alexa et accordez à Amazon la permission d’accéder à votre compte Nokia Health Mate, vous accordez en réalité à Amazon Alexa l’accès aux données personnelles, y compris le poids, la distance parcourue, le sommeil et les objectifs. Ces informations sont stockées sous forme d’interactions vocales associées à votre compte Amazon.

SONOS

Si, par exemple, vous avez des enceintes dans les chambres de vos enfants, nommer les enceintes en utilisant leurs noms réels peut, par inadvertance, mener à partager des données avec Sonos au sujet des personnes de votre famille.

WOERLEIN

En l’absence de politique de confidentialité, nous devons nous fier à notre enquête pour comprendre la communication entre l’appareil et Internet. Tout d’abord, lors de la configuration de l’appareil pour se connecter au réseau Wi-Fi, le mot de passe n’est pas masqué. Si l’appareil est accessible, par exemple dans un lieu public tel qu’un bureau ou un établissement de vente au détail, les informations d’identification Wi-Fi seront accessibles en cliquant sur les paramètres.

Lors de la sélection d’une station de radio, une instruction est envoyée en clair à mediayou.net, qui semble être un portail d’accès au contenu radio en ligne. Mediayou connaîtra l’adresse IP de la radio qui s’y connecte, la station de radio demandée, ainsi que l’heure et la durée d’écoute.

Aucune politique de confidentialité n’est répertoriée sur le site Internet mediayou.net. Même lors de la création d’un compte sur le site, il n’y avait aucune offre de politique de confidentialité ou de conditions d’utilisation. Faire des recherches sur le domaine mediayou.net pour déterminer qui en est le propriétaire est futile, car les détails du domaine sont cachés derrière un bouclier de confidentialité, ce qui est ironique…

Si vous ne comprenez pas quelles données, le cas échéant, peuvent être collectées et conservées, vous devez envisager le pire : une entreprise pourrait collecter tout ce qu’elle peut et vendre ces données à qui elle veut et quel que soit son choix. À l’heure où les données personnelles ont une valeur et où le vol d’identité est un problème croissant, cette situation est inacceptable.

TP-LINK

Cet appareil présente des vulnérabilités qui incluent un chiffrement facilement réversible entre l’appareil et l’application TP-Link Kasa utilisée pour le contrôler, des problèmes de validation de certificat et des attaques potentielles de type man-in-the-middle.

CONCLUSION

Aucun appareil ou logiciel n’est garanti « totalement sécurisé » ou « sans vulnérabilités potentielles ». Chaque personne qui lit ce rapport aura une vision différente des informations personnelles qu’elle estime pouvoir partager avec une entreprise ou un fournisseur. Il est nécessaire de se renseigner sur le niveau de protection des appareils. Par exemple, est-ce que le fabricant envoie des notifications pour la mise à jour du firmware ? Les assistants personnels vocaux intelligents sont très pratiques. Ils sont également omniscients. Évaluez avec prudence les informations que vous souhaitez partager avec eux.

Les données collectées sur la maison, le style de vie, la santé et même les données de navigation Internet d’une personne ne devraient être autorisées qu’une fois les conséquences prises en compte. Alors que les entreprises découvrent de nouvelles façons de faire du profit avec les données collectées via les objets connectés, soit l’industrie doit s’autoréguler, soit les gouvernements devront renforcer la législation relative à la protection de la vie privée (de la même manière que l’UE a mis en place le RGPD).

Communiqué de presse, Cyber-attaque, Cybersécurité, ID, Identité numérique, Particuliers, Phishing, Piratage, pourriel, ransomware, ransomware, Securite informatique, Social engineering, Vie privée

Cyber incidents en entreprise : les attaques par e-mails continuent de causer les dégâts les plus importants

Le nouveau rapport sur les interventions suite à un cyber incident montre que les boîtes mails constituent le maillon faible de la cyber sécurité des entreprises. Ces dernières éprouvent des difficultés à détecter rapidement et avec précision les incidents de sécurité.

Selon un nouveau rapport publié par F-Secure, plus d’un tiers des cyber incidents de sécurité informatique sont initiés par des mails de phishing ou des pièces jointes malveillantes reçus par les employés d’une entreprise. Ce nouveau rapport présente les conclusions des enquêtes conduites par F-Secure sur les interventions menées suite à un cyber incident et offre un aperçu des véritables modes opératoires des pirates informatiques.

21 % des cyber incidents analysés par F-Secure dans ce rapport font suite à des attaques ciblant les services web utilisés par les entreprises. Il s’agit du mode d’attaque le plus fréquemment utilisé par les pirates mettre la main sur les données d’une organisation. Toutefois, le phishing et les pièces jointes malveillantes totalisaient, ensemble, environ 34 % des attaques. Pour Tom Van de Wiele, Principal Security Consultant chez F-Secure, les attaques par e-mail constituent donc le plus gros danger pour les organisations.

« L’exploitation des vulnérabilités logicielles est typique des attaques opportunistes mais les intrusions informatiques via e-mail sont bien plus fréquentes. Les pirates disposent de tout un éventail d’attaques par e-mail. Elles remportent un franc succès, puisque la plupart des entreprises utilisent les e-mails pour leurs communications », explique Tom Van de Wiele. « Il convient de toujours réfléchir à deux fois avant de cliquer sur une pièce jointe ou sur un lien… mais la pression professionnelle l’emporte souvent sur le bon sens. Les pirates comprennent et exploitent cette logique. »

Cyber incident

● Les organisations sont touchées à la fois par des attaques ciblées et opportunistes, dans des proportions égales
● Les violations de données menées par des acteurs internes à la structure représentaient un cinquième des incidents de sécurité
● Dans près de 80% des cas, les experts en cyber sécurité ont été contactés après une alerte cyber sécurité de l’entreprise.
● Après s’être introduit sur le réseau d’une entreprise, les pirates procèdent le plus souvent à une diffusion de malware (surtout à des fins financières, à des fins d’espionnage, ou pour maintenir un accès ultérieur au réseau)
● 13 % des enquêtes ont révélé des faux positifs

Sur ce dernier point, pour Tom Van de Wiele, les entreprises détectent de trop nombreux faux positifs. « Trop d’organisations éprouvent des difficultés à détecter avec précision les cyber incidents. Elles ne disposent pas de capacités de détection précises. Nous sommes souvent appelés à enquêter sur des activités suspectées à tort. Parfois, il nous est demandé d’intervenir et nous découvrons un simple problème informatique. Ces faux positifs épuisent les ressources de l’entreprise et détournent l’attention des vrais problèmes. »

Le rapport recommande aux entreprises d’améliorer leurs capacités de détection et d’intervention, en investissant, par exemple, dans une solution de détection ou un service d’intervention pour les postes de travail.

Communiqué de presse, Cyber-attaque, Cybersécurité, Piratage, ransomware, Securite informatique, Virus

GandCrab! : découverte d’un nouveau ransomware

Le Trojan nommé par ses auteurs « GandCrab! » attribue l’extension *.GDCB aux fichiers chiffrés. Actuellement, deux versions du ransomware sont connues.

Après son lancement sur une machine attaquée tournant sous Microsoft Windows, GandCrab! peut recueillir des informations sur les processus en cours des logiciels antivirus. Il vérifie en premier lieu s’il a déjà été lancé sur la machine afin d’éviter d’être lancé à nouveau (redémarré), puis force l’arrêt des processus des logiciels selon une liste définie par les pirates. Il installe une copie de lui-même sur le disque et modifie une branche du Registre Windows pour assurer son lancement automatique. Le Trojan chiffre le contenu des disques fixes, amovibles et de réseau, à l’exception de certains dossiers dont quelques dossiers système et service. Chaque disque est chiffré dans un thread séparé. Après la fin du chiffrement, le Trojan envoie au serveur des données sur le nombre de fichiers chiffrés et sur le temps mis pour le chiffrement.

Le Trojan utilise un serveur de contrôle dont le nom de domaine n’est pas autorisé de manière standard. Pour obtenir l’adresse IP de ce serveur, le ransomware exécute la commande nslookup et cherche les données nécessaires dans la sortie correspondant à la commande exécutée. Actuellement, il est impossible de déchiffrer les fichiers touchés par GandCrab! Le moyen le plus fiable pour protéger les fichiers est d’effectuer une sauvegarde régulière de toutes les données importantes sur des supports externes… et de ne pas cliquer sur n’importe quoi. (avec DrWeb)

Hacking

Cryptomonnaie : comment ne pas miner à l’insu de son plein gré !

Arenavision, un site de vidéos d’évènements sportifs à la demande, a été piraté et a ainsi permis de miner de la cryptomonnaie sans que ses utilisateurs ne s’en aperçoivent.

Alors que la France est classée quatrième en termes de nombre de visiteurs sur la plateforme de vidéos sportives ArenaVision, les amateurs de sport ont tout intérêt à rester vigilants face à ce type de menaces. Le site a été piraté.

Les malveillants n’ont pas « defacé » le site (barbouillé), ils ont caché un script qui leur a permis de miner de la cryptomonnaie à chaque passage de spectateurs. Le script utilisait la puissance machine des internautes pour générer des monnaies numériques.

« Les pirates exécutent des calculs de transactions à partir du navigateur de l’internaute ciblé. souligne Michal Salát, Threat Intelligence Director chez Avast. Partant du constat que plus un visiteur reste sur une page, plus un pirate a le temps de créer de la cryptomonnaie« . Plus le site a de l’audience, plus il va rapporter de l’argent aux pirates. Imaginez, le nombre d’internautes regardant un match de football, de rugby, de baseball … La plupart des téléspectateurs les regardent intégralement, donnant alors au pirate tout le loisir de miner !

Selon SimilarWeb, Arenavision a été visité 6,6 millions de fois en décembre dernier, avec une durée moyenne de trois minutes et trente secondes par visite sur la page d’accueil. En imaginant que de nombreux utilisateurs se soient servi d’un PC ou d’un ordinateur portable, l’éditeur estime le nombre de visiteurs à 6 millions au cours de cette période. A partir de ces chiffres, les gains estimés sont de 840 dollars sur le mois pour les pirates et uniquement via la page d’accueil du site.

Les programmes de minage ralentissent les performances des navigateurs, et par conséquent la batterie se décharge plus vite. Les visiteurs des sites ciblés peuvent éventuellement remarquer un fonctionnement général de l’ordinateur plus lent et bruyant. En cas de doute, il est possible de contrôler si un navigateur est secrètement miné grâce à plusieurs techniques : Vérifier quels scripts sont chargés. Si vous remarquez une importante charge de votre processeur mais qu’il n’y a qu’un seul onglet dans le navigateur ouvert, et il n’exécute aucun élément susceptible d’impacter cette charge, alors il est sûrement exploité pour du minage de cryptomonnaie. Bloquer les sites suspectés. Télécharger des bloqueurs de minage.

Selon AdGuard, 500 millions de personnes ont déjà été touchées, en 3 semaines, par les outils JSEcoin, CryptoLoot ou encore MineMyTraffic. 220 sites web, sur 1000 analysés minaient de la monnaie numérique. Bref, chacun fabrique sa petite planche à billet. 18,66% étaient américains ; 13,4% étaient indiens. 12,44% Russes et 8,13% étaient Brésiliens. 22,27% de ce sites proposaient de regarder des films et des vidéos. 17,73% proposaient de télécharger des fichiers. 10% concernaient des espaces pour adultes. 7,73% étaient des médias.

L’espace ZeroDot1 propose une liste de sites et de scritps à bloquer. Pour votre navigateur (sous Chrome), le widget No Coin permet de bloquer les tentatives de minage sur le dos de votre navigateur et CPU. Même action pour MinerBlock.

Base de données, Communiqué de presse, Cybersécurité, Entreprise, RGPD, Securite informatique

Sécurité des documents, une priorité… à maîtriser !

Les enjeux sont tels, qu’il n’est plus une seule organisation qui ne se préoccupe de sécurité. Pour autant, le challenge est grand car non seulement les technologies de l’information et de la communication ont progressé mais surtout, l’interopérabilité est devenue la règle. La complexité est grande et les entreprises doivent déployer de nombreux dispositifs pour résister aux cyber-attaques polymorphes qui ne cessent elles aussi d’évoluer.

Il est clair que les documents et les informations (D&I) des organisations sont au cœur des convoitises des cyber-pirates. Ces derniers savent parfaitement que les points d’entrées sont multiples chez leurs victimes et que notamment, les moyens de capture et d’impression de documents peuvent constituer des prises de choix. En tant que constructeur de tels périphériques, Ricoh sensibilise les clients sur différentes stratégies de résistance et c’est ce que je vais faire ici.

Stratégie d’organisation

Il convient de s’adresser en premier lieu aux employés de votre organisation. Ils constituent les principaux vecteurs de transmission des informations et à ce titre, ils doivent impérativement être sensibilisés et formés aux risques et attitudes à adopter. Chacun doit être en situation d’éviter l’ouverture d’un email malveillant, d’imprimer des documents laissés à la vue de tous dans un bureau ou sur l’imprimante, de classifier les documents avant transmission, de confier ses badges ou codes d’accès à des tiers,… etc.

En second lieu, votre entreprise doit s’assurer d’une prise de conscience collective de la responsabilité portée sur la sécurité des D&I appartenant tant aux services internes qu’à des clients ou prospects. Les fuites d’information provoquent d’importants préjudices aux activités ou à l’image de l’entreprise. Elles peuvent être évitées par une démarche proactive parfaitement décrite par les normes ISO 27000. Celles-ci contribuent à la mise en place d’un système cohérent de gestion de la sécurité de l’information.

En dernier lieu, la société civile et ses organisations publiques doivent faire l’objet d’une écoute attentive. Votre entreprise doit comprendre l’évolution de la loi et des normes relatives à la numérisation des processus métiers. Elle ne doit pas seulement en comprendre les enjeux économiques mais aussi en maîtriser les contraintes de conformité et les risques associés. De la loi Godfrain (No 88-19) du 5 janvier 1988 relative à la fraude informatique à l’application prochaine du Règlement Général sur la Protection des Données (RGPD) en passant par le règlement eIDAS (No 910/2014) du 23 juillet 2014 – ou de la norme Z42-013 de mars 2009 (transposée ISO 14641-1), pour les spécifications des systèmes destinés à préserver les documents stockés, à l’application prochainement possible de la NF Z42-026 sur la copie fidèle qui conduira un jour à la destruction des documents papiers – l’évolution de l’environnement digital n’a de cesse que d’évoluer.

Stratégie technique

Évidemment, si vos employés et votre entreprise sont au fait des normes et des lois de la société, chacun comprendra que les D&I méritent toutes les attentions. Ainsi, les documents doivent être sécurisés par chiffrage, contrôlés dans leur intégrité, signés pour leur authenticité,…etc. Les équipements manipulant les D&I ne sont pas à négliger. Qu’il s’agisse de fermeture des ports, de protection contre les accès non autorisés, du nettoyage des données,… etc. Ils doivent être conçus en gardant à l’esprit qu’ils doivent résister aux risques de sécurité, comme nous le faisons pour nos périphériques de capture et d’impression des documents. Enfin, les logiciels (capture, impression, GED, parc), sont à sélectionner avec soin. Ils sont souvent au cœur des problématiques de sécurité parce que les métiers donnent trop souvent la priorité aux fonctionnalités. Gageons qu’en Mai 2018, la situation changera avec l’application du RGPD. L’entreprise devra être en situation de démontrer qu’elle s’est assurée avoir fait des choix responsables pour faire face aux contraintes de sécurité et protégeant les données privées.

Stratégie d’audit

Quels que soient les dispositifs, quelles que soient les précautions prises, quelles que soient les formations et sensibilisations prodiguées, il faudra contrôler. Pour cela, toutes les actions sont à tracer dans des journaux et des registres. Ceux-ci doivent aussi être considérés comme des documents et être soumis aux mêmes principes de sécurisation. Je ne le dirai jamais assez, la sécurité passe par la surveillance et l’amélioration continue.

Stratégie d’externalisation

La sécurité des D&I est aujourd’hui un tel enjeu, qu’il est de plus en plus délicat d’envisager que l’entreprise seule, puisse maîtriser toutes les subtilités des modalités à respecter. S’il est certain que très peu d’entreprises se constitueront en tiers de confiance pour délivrer la signature électronique, il en ira de même pour l’archivage électronique probant, la lettre recommandée électronique, le courrier numérique sans papier,… etc. Trop de spécialisations et de certifications ne trouveront pas leur retour sur investissement pour une entreprise à elle seule. Il est évident que le recours à l’externalisation est la voie à suivre. C’est pourquoi nous avons fait nos choix de services externalisés pour nos usages et les vôtres. Nous en reparlerons.

La transformation numérique de l’environnement de travail rendue possible par l’évolution du corpus législatif, depuis la loi No 200-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l’information relative à la signature électronique, a fortement accrue la responsabilité des entreprises dans la maîtrise de la sécurité des documents et informations. Le RGPD à lui seul, constitue un marqueur majeur de cette évolution de la responsabilité. En contrepartie, constructeurs et éditeurs de solutions ont mené et mènent des études et des réalisations visant à empêcher et éliminer les failles de sécurité. Je reviendrai sur ces sujets dans deux prochains articles car mon objectif est de contribuer à la sensibilisation à la maîtrise de la sécurité. (Par Jean-Pierre BLANGER – Directeur Solutions, Services & Innovation de Ricoh France).