Archives de catégorie : Communiqué de presse

backdoor, Chiffrement, Communiqué de presse, cryptage, Cybersécurité, Entreprise, Fuite de données, IOT, Mise à jour, Patch, Propriété Industrielle, Securite informatique

De multiples vulnérabilités zéro day découvertes dans les technologies d’accès aux bâtiments

Un commentaire

Un attaquant pourrait prendre le contrôle sur des bâtiments en exploitant des failles non corrigées pour créer des badges frauduleux et désactiver les serrures des bâtiments.

La société de « Cyber Exposure » Tenable, annonce avoir découvert plusieurs vulnérabilités du système de contrôle d’accès PremiSys™ développé par IDenticard. Lorsqu’elle est exploitée, la vulnérabilité la plus grave donne à l’attaquant un libre accès à la base de données du système de badges, ce qui lui permet d’entrer clandestinement dans les bâtiments en créant des badges frauduleux et en désactivant les serrures des bâtiments. D’après les informations disponibles sur son site Web, IDenticard compte des dizaines de milliers de clients dans le monde entier, y compris des entreprises Fortune 500, des écoles primaires et secondaires, des universités, des centres médicaux et des agences gouvernementales.

Zero-day

Aujourd’hui, toute entreprise dispose d’une infrastructure numérique extrêmement complexe composée à la fois d’actifs classiques et récents – depuis les postes de travail, les serveurs sur site jusqu’aux systèmes de sécurité des bâtiments. Sans oublier les dispositifs intelligents. Ce niveau de complexité a rendu de plus en plus difficile pour les équipes de sécurité d’établir des réseaux sécurisés. D’autant plus que les environnements d’entreprises en perpétuelle évolution.

Les « zero-days » nous rappellent que l’adoption massive des technologies émergentes brouille les frontières entre la sécurité physique et numérique. Cette découverte survient quelques mois à peine après que Tenable Research ait découvert une autre faille appelée Peekaboo, dans des logiciels de vidéosurveillance déployés à l’international.

Accès illimités

La technologie PremiSys permet aux clients d’accorder et de restreindre l’accès aux portes. Mais aussi aux installations de verrouillage et à la vidéosurveillance.

La faille la plus grave donnerait l’accès à l’ensemble de la BDD du système de badges. un accès via le terminal de service PremiSys Windows Communication Foundation (WCF). En utilisant les privilèges d’administrateur, les attaquants peuvent effectuer différentes actions. Télécharger le contenu intégral de la base de données du système, modifier son contenu ou supprimer des utilisateurs.

Bâtiments à l’ère numérique

« L’ère numérique a rapproché les mondes cybernétique et physique grâce, en partie, à l’adoption de l’IoT. La sécurité d’une organisation ne repose plus sur un pare-feu, des sous-réseaux ou un périmètre physique – elle n’a maintenant plus de frontières. C’est pourquoi il est essentiel que les équipes de sécurité aient une visibilité complète sur l’endroit où elles sont exposées et dans quelle mesure« , a déclaré Renaud Deraison, co-fondateur et directeur de la technologie chez Tenable. « Malheureusement, de nombreux fabricants d’IoT ne comprennent pas toujours les risques des logiciels non corrigés, laissant les consommateurs et les entreprises vulnérables à une cyberattaque.« 

Dans ce cas, les organisations qui utilisent PremiSys pour le contrôle d’accès courent un risque énorme. Les correctifs ne sont pas disponibles.

Au-delà de cette problématique spécifique, l’industrie de la sécurité a besoin d’un dialogue plus large sur les systèmes embarqués. Sans oublier leur maintenance dans le temps.

La complexité de l’infrastructure numérique ainsi que sa maintenance augmentent. Les fournisseurs doivent s’engager à livrer les correctifs de sécurité en temps opportun et de façon entièrement automatisée. Tenable Research s’engage à collaborer avec les fournisseurs qui le souhaite. Mission, coordonner les diffusions afin d’assurer la sécurité des consommateurs et des organisations. La collaboration de l’industrie est essentielle pour aider les clients à gérer, mesurer et réduire leur exposition.

Cinq CVE

Pour conclure, Tenable Research a divulgué les vulnérabilités (CVE-2019-3906, CVE-2019-3907, CVE-2019-3908, CVE-2019-3908, CVE-2019-3909). Ils affectent la version 3.1.190 chez IDenticard selon les procédures standard décrites dans sa politique de diffusion de vulnérabilité. L’équipe a tenté à plusieurs reprises de communiquer avec le fournisseur. Le 19 novembre 2018, Tenable a informé le CERT.

Pour réduire les risques, les utilisateurs doivent segmenter leur réseau. S’assurer que les systèmes comme PremiSys sont isolés autant que possible des menaces internes et externes.

Pour plus d’informations, lisez l’article du blog Tenable Research Advisory.

Cloud, Communiqué de presse, Entreprise

Le casse tête de la sauvegarde de données pour PME

3 commentaires

La sauvegarde informatique plus que jamais est devenue un élément indispensable pour les utilisateurs de données numériques. Si pour les particuliers la question ne se pose pas trop à la vue du nombre de possibilités « gratuites » mises en place, il n’en va pas de même pour les PME confrontées aux problématiques du coût/sécurité/efficacité/souplesse.

L’idée de ce petit article est venue en rencontrant de nombreux responsables de PME/PMI. Sur cinquante représentants croisés, plus de la moitié se contentaient d’une sauvegarde approximative. Par ce terme, comprenez sans redondance, sans chiffrement et le disque dur/NAS perpétuellement connecté à l’ordinateur sauvegardé.

Autant dire que cela me parait inquiétant. Un tiers faisait confiance au commercial, à la secrétaire, … Dix m’ont avoué passer par des ‘cloud’ généralistes, dont les américains Drive et Dropbox.

Bref, il est impératif que les PME et PMI s’inventent une réelle stratégie de sauvegarde de leurs données. D’autant plus qu’à la moindre fuite, la moindre modification, perte… une nouvelle épée de Damoclès apparait, le Règlement Général des Données Personnelles, le RGPD.

Pour rappel, derrière ces quatre lettres, et en cas de faute grave, cela pourra coûter jusqu’à 4% du chiffre d’affaire de la PME. Avez-vous vraiment envie de jouer avec le feu ? Il existe de nombreuses solutions de sauvegarde, vous pouvez trouver de nombreuses possibilités dans ses colonnes. Aujourd’hui, petit détour du côté de chez Beemo.

L’entreprise, basée à Paris, propose des solutions complètes pour assurer la sauvegarde des données et la reprise d’activité en cas de sinistre. Autant dire que face à un ransomware par exemple, et dites-vous que cela n’arrive pas qu’autres, la sauvegarde sera votre unique bouée de sauvetage.

Beemo propose par exemple, Bee2Cloud. La solution s’annonce sécurisée grâce à la triple sauvegarde des données. Chiffrement et rapport qualité/prix en font un partenaire intéressant à suivre. Plusieurs Data Centers basés en France (conforme RGPD) et plus précisément à Lyon et Marseille. Rassurant, le contrôle quotidien des sauvegardes par les équipes techniques.

Bref, une solution française à suivre de prés. Pour en savoir plus site beemotechnologie.com.

backdoor, Chiffrement, Communiqué de presse, cryptage, Cybersécurité, Entreprise, Fuite de données, IOT, Mise à jour, Patch, Propriété Industrielle, RGPD, Securite informatique

Vulnérabilités pour les caméras de surveillance Guardzilla Indoor Security

Des experts en cybersécurité passent au banc d’essai la caméra de surveillance pour la maison, Guardzilla Indoor Security. Ils découvrent de nombreuses vulnérabilités.

Guardzilla produit des caméras de surveillance, discrètes, faciles à utiliser et à installer à la maison. Il s’agit de produits très abordables dont l’objectif principal est de fournir une sécurité physique contre l’effraction. Elles s’intègrent également de manière transparente aux réseaux domestiques et sont faciles à utiliser via des smartphones et une application Guardzilla dédiée. Il n’y a pas de frais et de coûts supplémentaires associés au produit.

Un produit assez populaire dans sa catégorie : plus de 100 000 installations et 4000 commentaires vérifiés enregistés par Google Play. En plus des utilisateurs d’Android, il existe une forte communauté Apple qui utilise Guardzilla. Les recherches de Bitdefender Labs estiment le nombre d’appareils Guardzilla activés à environ 410 000, ce qui donne un bon indice sur leur popularité.

Prise de contrôle à distance, accès au flux vidéo en direct…

L’analyse révéle de nombreuses vulnérabilités au sein de la caméra Guardzilla Indoor Security. Ces vulnérabilités peuvent être exploitées pour compromettre totalement la caméra, ce qui se traduitrait par un grave impact sur la vie privée de ses utilisateurs. Les criminels peuvent se connecter à distance à la caméra, avoir un accès complet pour faire fonctionner l’appareil, et également accéder au flux vidéo en direct.

Trois types d’attaques potentielles, offrant chacune un contrôle total à la caméra :

A – Prise de contrôle total de la caméra en altérant le service d’authentification Guardzilla et en usurpant l’identité d’un utilisateur légitime. En forçant brutalement des ID de comptes uniques, l’attaquant peut demander des noms d’utilisateurs (adresses e-mail) et des mots de passe et les modifier sans aucune confirmation.

B – Prise de contrôle total de la caméra et exécution du code à distance en exploitant un composant Cloud.

C – Obtention du contrôle total de l’appareil en usurpant l’identité d’une fausse mise à jour. Connaissant l’ID utilisateur et le mot de passe des périphériques (voir attaque A), l’attaquant peut accéder au système en abusant de la commande de mise à jour à distance.

Informé en août 2018, le fabricant n’a pas donné suite aux alertes

Les chercheurs ont établit un premier contact avec le fournisseur en août 2018. Ils demandent une clé PGP ou un canal sécurisé pour une divulgation privée des vulnérabilités. Aucun accusé de réception, ni réponse. Après une relance en septembre 2018, les CVE (Common Vulnerabilities Exposures) suivants : CVE-2018-18600, CVE-2018-18601, CVE-2018-18602 en préparation pour publication. Ces CVE accordés en moins de 24h. Finalité, un rapport publié. Une décision de diffusion motivée par l’absence complète de réponse du fournisseur. Le délai de 90 jours pour la divulgation des vulnérabilités expire. Bitdefender décide de prolonger ce délai. Une partie des vulnérabilités identifiées sont toujours à ce jour présentes dans le firmware de la caméra.

Adobe, backdoor, Communiqué de presse, Cybersécurité, Logiciels, Microsoft, Mise à jour, Patch, Securite informatique

47 vulnérabilités dont 7 critiques corrigées en janvier 2019

De taille moyenne, le premier Patch Tuesday de l’année 2019 permet de résoudre 47 vulnérabilités dont seulement 7 sont considérées comme critiques.

26 de ces vulnérabilités concernent les serveurs Windows et des systèmes d’exploitation pour postes de travail. Deux des vulnérabilités critiques concernent Hyper-V et pourraient conduire à l’exécution de code à distance (RCE) sur le système hôte. En outre, Microsoft a publié un correctif en urgence en décembre pour les versions 9 à 11 d’Internet Explorer en raison d’attaques actives à l’aveugle. Quant à Adobe, l’éditeur a publié des correctifs en urgence la semaine dernière pour Acrobat et Reader afin de résoudre deux vulnérabilités critiques.

Patches pour postes de travail

Les patches pour les navigateurs et le moteur de script sont une priorité pour les équipements de type poste de travail, c’est-à-dire tous les systèmes utilisés pour accéder à sa messagerie ou à Internet depuis un navigateur. Concernés, les serveurs multi-utilisateurs comme poste de travail distant. Quatre des sept vulnérabilités critiques concernent Chakra / Microsoft Edge. ils devraient être traitées rapidement pour ces types de systèmes.

Patch pour IE en urgence

Le 19 novembre, Microsoft a publié un patch en urgence (CVE-2018-8653) pour les versions 9 à 11 d’Internet Explorer à cause d’attaques actives en mode aveugle contre cette vulnérabilité. Ce patch est également une priorité pour tous les équipements de type poste de travail.

Hyper-V

Deux des vulnérabilités concernent Hyper-V et pourraient conduire à un exploit de type Évasion de machines virtuelles (VM). Microsoft les considère comme moins susceptibles d’être dangereuse, mais le déploiement de ces correctifs critiques sur les hôtes Hyper-V doit rester prioritaire.

Patches Adobe

Adobe a publié des patches pour Flash, mais ces derniers ne contiennent pas de mises à jour de sécurité. Des patches sécurité publiés pour Adobe Digital Editions et Adobe Connect afin de traiter deux vulnérabilités CVE importantes. En outre, Adobe a publié des patches urgents pour traiter deux vulnérabilités critiques dans Acrobat et Reader.

Ces patches doivent également être déployés en priorité sur tous les équipements de type poste de travail. (Par Jimmy GrahamThe Laws of Vulnerabilities)

Communiqué de presse, Cybersécurité, Securite informatique

Tendances cyber sécurité 2019 : des menaces de plus en plus complexes et difficiles à contrer

Avec l’explosion de l’IoT, des réseaux sociaux, du Cloud et les smartphones, de nouveaux vecteurs d’attaques apparaissent. Les cyberattaques se renforcent et des menaces de plus en plus complexes sont à prévoir pour l’année à venir.  Naaman Hart, Manager Services Security Engineer chez Digital Guardian fait le point pour DATASECURITYBREACH.fr sur l’année écoulée pour anticiper les évolutions à venir.

Windows 7 continuera de poser problème. Lorsque Microsoft a lancé Windows 10, l’éditeur l’a distribué gratuitement à travers le monde essentiellement afin de perturber le nombre important de machines qui fonctionnaient encore sous Windows XP – dont beaucoup étaient connues pour faire partie des plus grands botnets au niveau mondial. Difficile de comprendre que Microsoft ait prolongé le support des mises à jour de sécurité pour Windows 7 jusqu’en janvier 2023, alors que ce dernier devait être abandonné.

Cela retarde davantage la migration des entreprises, et ce malgré la pression exercée pour les inviter à passer à des systèmes d’exploitation plus récents et moins vulnérables. C’est à se demander ce qui a été appris des problèmes causés par les machines tournant sous Windows XP. Windows XP avait 14 ans lorsque Microsoft a lancé Windows 10. En étendant la commercialisation d’un produit lancé en juillet 2009 au-delà de son 13e anniversaire Microsoft a donné le ton.

Alors que les entreprises ont encore à subir les effets de la maintenance de Windows 7 pour les 5 années à venir elles peuvent s’attendre à avoir également à se défendre contre les réseaux de botnets constitués de cet OS. Si les entreprises tardent à faire les investissement IT nécessaires, elles risquent de se retrouver face à des attaques internes et externes rendues viables par le même système d’exploitation auquel elles sont si étroitement accrochées.

Le « whaling » : une technique efficace et lucrative

La compromission des emails professionnels va se poursuivre. Généralement, les entreprises s’évertuent à mettre en place des formations afin de sensibiliser leurs employés au danger des courriels et liens suspects mais combien d’entre elles forment leur personnel à refuser l’ordre d’un cadre supérieur ? La technique de phishing appelée «Whaling » consiste à compromettre l’adresse email d’un dirigeant de l’entreprise et à l’utiliser afin de demander aux collaborateurs d’effectuer des paiements sur les comptes bancaires frauduleux. Comme ces attaques sont généralement efficaces et lucratives, elles continueront d’attirer davantage de groupes cybercriminels désireux de s’y essayer.

« Il est donc indispensable que des règles de sécurité soient intégrées au quotidien dans l’entreprise. En effet, les outils de sécurité informatique ne sont pas infaillibles face au comportement humain et les personnes malveillantes s’appuient sur la confiance que les employés portent à leurs supérieurs et la crainte d’être sanctionnés s’ils n’agissent pas de la manière attendue par ces derniers. Former et sensibiliser le personnel à exiger la validation d’une tierce partie pour toute transaction financière ou introduire des procédures de paiement nécessitant plusieurs personnes indépendantes peuvent être de bonnes façons de renforcer la sécurité. », déclare Naaman Hart, Managed Services Security Engineer chez Digital Guardian.

La protection des données encore une fois au centre de la stratégie de sécurité en 2019

Nous allons voir une demande croissante de solutions pérennes de gestion d’incidents centrées sur les données tout au long du cycle de vie de ces dernières. Alors que le volume de données ne cesse d’augmenter et que les cybermenaces et systèmes informatiques deviennent de plus en plus complexes à contrer, les entreprises cherchent une solution offrant une bonne visibilité des mouvements de leurs données qu’elles soient dans le cloud, sur un terminal ou sur le réseau. Afin de se conformer aux réglementations sur la protection des données, les organisations devront prouver que les données qu’elles détiennent sont correctement protégées et qu’en cas d’incident, elles disposent d’une procédure et d’une politique de réponse solides pour atténuer le risque de perte de données.

Cloud computing, : vers des services de sécurité gérés

Dans un contexte de menaces de plus en plus complexes et une pénurie persistante de compétences, la technologie cloud computing offre un véritable confort et 2019 verra une augmentation des demandes pour bénéficier de services de sécurité gérés. Les solutions gagnantes seront celles qui profiteront de la puissance de l’Intelligence Artificielle et du machine learning, pour aider à identifier et faire face aux menaces cachées au sein des données produites par les organisations.

Vers une consolidation du marché en 2019

Le marché de la cybersécurité est actuellement très fragmenté ce qui conduira nécessairement à une consolidation du marché au sein de l’écosystème des fournisseurs, ainsi qu’au niveau des portefeuilles proposés par les partenaires channel. Pour ces derniers d’ailleurs, il ne s’agit plus seulement de disposer de l’expertise et du talent pour chacun de leurs fournisseurs, mais d’être en mesure de déployer des efforts plus larges en matière de planification, de ventes et de marketing. En l’état actuel, compte tenu des efforts et investissements nécessaires pour bien faire les choses, ce business model n’est pas durable. Nous le constatons également chez les fournisseurs, qui sont de plus en plus nombreux à adopter une approche de type plateforme. Le résultat est que les partenaires channel réduiront le nombre de fournisseurs de leurs portefeuilles, ce qui aura pour conséquence de contribuer à combler la pénurie d’experts en cybersécurité, à réduire les frais généraux des entreprises pour, au final, les aider à être plus rentables.
Communiqué de presse, Cybersécurité, Mise à jour, Securite informatique

La langue s’enrichit : Le meilleur et le pire de l’internet

Dans les entreprises, le développement des techniques du numérique et de l’internet transforme en profondeur la gestion des ressources humaines et celle des relations avec la clientèle. On parle de système d’engagement (system of engagement) pour désigner l’ensemble des services qu’une organisation met en ligne pour renforcer ses liens avec ses clients, ses partenaires extérieurs ou impliquer ses employés et créer des relations entre eux.

Pour les entreprises, la visibilité sur la toile est un tel enjeu – en termes de revenus publicitaires principalement – que les référenceurs développent toutes sortes de stratégies d’optimisation qui vont jusqu’à leurrer les moteurs de recherche qui classent les annonces en fonction du nombre de liens pointant vers elles. Certaines techniques abusives consistent par exemple à remplir une page de mots-clés en surnombre (pour attirer les utilisateurs de moteurs qui font une recherche sur ces mots) ou à créer des dizaines de sites qui pointent les uns vers les autres pour améliorer leur classement dans les moteurs de recherche. Contrairement à ce que laisse entendre son équivalent anglais spamdexing, le référencement abusif ne repose pas sur l’envoi de messages publicitaires en nombre à des destinataires au risque de les importuner (arrosage, en anglais spamming) mais cherche à leurrer pour obtenir un meilleur référencement des pages ou des sites.

Le masquage (en anglais cloaking qui signifie « dissimulation ») est une des techniques de « référencement abusif » sur la toile.

Utilisons nos neurones pour comprendre les machines qui imitent nos neurones…

Qu’elle suscite la crainte ou l’admiration, l’« intelligence artificielle » s’est invitée en quelques années dans notre quotidien : des robots « intelligents » s’adaptent à l’environnement et sont capables de résoudre des problèmes, de prendre des décisions, d’interpréter des signaux…

Le terme intelligence artificielle s’est imposé en français, souvent abrégé par le sigle IA (AI en anglais, pour artificial intelligence) et a entraîné avec lui la création d’une famille de termes : neurone artificiel ou neurone formel, réseau de neurones artificiels.

Pour désigner un logiciel spécialisé dans le dialogue en langage naturel avec un humain, on aura recours en français au terme dialogueur ou agent de dialogue, plutôt qu’au terme anglais chatbot, et en évitant « agent conversationnel » calque de l’anglais conversational agent.

En termes familiers on dit que « les robots apprennent », c’est-à-dire que les algorithmes sont programmés pour modifier leurs réponses futures en fonction de leur expérience passée.

On distingue différents types d’apprentissage : l’apprentissage automatique ou apprentissage machine. Un exemple simple d’apprentissage automatique est celui de la classification : étiqueter chaque donnée en l’associant à une classe. L’apprentissage supervisé (supervised learning) recourt le plus souvent aux réseaux de neurones artificiels et est utilisé pour la reconnaissance d’images et la traduction automatique. L’apprentissage non supervisé (data clustering) est utilisé pour l’identification de comportements et la recommandation d’achats.

Lorsque le réseau de neurones artificiels est composé de couches de plus en plus complexes, on parle d’apprentissage profond (deep learning). Enfin l’apprentissage par renforcement est un apprentissage automatique capable d’améliorer ses performances jusqu’à ce qu’il atteigne un objectif préalablement fixé.

Ces termes ont été publiés au Journal officiel le 7 décembre 2018.

Chiffrement, Communiqué de presse, cryptage, Cybersécurité, double authentification, Entreprise, Fuite de données, Securite informatique

1 consommateur 3 aurait vu ses données confidentielles compromises

Selon un communiqué de presse envoyé à toutes les rédactions françaises, 1 consommateur sur 3 aurait ses données confidentielles compromises. Les fêtes de fin d’année, avec les cadeaux de Noël, le Nouvel An, puis les soldes de janvier sont une période de consommation importante, notamment en ligne. Mais pour les cybercriminels qui ciblent les informations bancaires des clients ou leurs comptes en ligne, ces périodes de fêtes peuvent aussi être très fructueuses. Le rapport de Kaspersky Lab intitulé « From festive fun to password panic: Managing money online this Christmas » fait le point sur les risques.

Selon les chiffres de Kaspersky, ils sont à prendre avec des pincettes car ils ne concernent que leurs clients et une petite partie de possibles fuites d’informations, Noël 2018 aurait été particulièrement intéressant pour les pirates comme le montre le graphisme qu’ils ont diffusé dans leur communiqué de presse [voir ci-dessous].

Le large éventail de méthodes de paiement numériques donne aux clients la liberté de choisir leur mode d’achat préféré pour les biens ou services. Les méthodes les plus populaires sont toujours les cartes de débit et de crédit, les virements directs à partir de comptes bancaires et les portefeuilles électroniques, par ex. PayPal. Cependant, d’autres méthodes de paiement gagnent en popularité. Les achats fréquents permettent aux utilisateurs de collecter des points via des programmes de fidélité et de les utiliser lors de la visite à un détaillant pour en acheter davantage. Et grâce aux smartphones et aux smartwatches, les consommateurs n’ont même plus besoin de transporter leur portefeuille, leur argent ou même de cartes en plastique. Cela a contribué à accroître la popularité des paiements sans contact sur les appareils, tels que PayPass et ApplePay, avec un tiers des acheteurs (31%) les utilisant régulièrement. (Le rapport)

 

Chiffrement, Communiqué de presse, cryptage, Cybersécurité, Securite informatique

Etude de cas CD&B : Sécuriser les fichiers grâce à un audit

Les serveurs de fichiers sont connus pour être la principale cible pour les attaques (Verizon, Data Breach Investigations Report 2017). Afin de pouvoir garder leurs fichiers sécurisés, et ne permettre que l’accès à ceux qui en ont besoin, les organisations ont besoin d’une visibilité sur qui a accès, qui utilise l’accès et quelles actions sont effectuées sur les fichiers.

Cet audit de fichiers permet aux entreprises de sécuriser leurs données sensibles. Lorsqu’un bon audit de fichier est en place, il peut aider à identifier une violation de données ainsi qu’à en arrêter une. Fonctionnalités d’un audit de fichiers. La société IS Decisions propose d’examiner les fonctionnalités qui devraient faire partie de l’audit des fichiers. Des fonctionnalités qui peuvent s’appliquer à la fois aux outils Windows natifs et aux solutions tierces. Nous y retrouvons, l’Enregistrement qui correspond à tous les accès et modifications aux fichiers et dossiers, y compris les données et les autorisations, doivent être enregistrés. La Visibilité : toutes les données du journal d’audit doivent être facilement accessibles pour être consultées, filtrées, recherchées, etc. Les Alertes : les notifications doivent être envoyées en fonction des critères correspondants aux actions jugées suspectes. Et les Rapports. Une option un peu compliqué, mais même les outils natifs ont la possibilité d’exporter les données du journal. Donc, même si ce n’est pas joli, la capacité de générer des «rapports» partageables devrait faire partie de l’audit des fichiers. Pour en savoir plus sur la sécurisation des fichiers via un audit approprié, c’est à lire ici.

Banque, Communiqué de presse, Cybersécurité, double authentification, Securite informatique

Authentification forte : les commerçants pas au courant des nouvelles réglementations qui entreront en vigueur en 2019

2 commentaires

Les commerçants doivent se préparer à fournir une authentification forte (SCA) pour éviter l’insatisfaction des clients.

Le 13 décembre 2018 – L’essor du e-commerce est une bouée d’oxygène pour de nombreux commerçants. Cependant, une étude Mastercard ciblant un petit groupe de e-commerçants en Europe a révélé que 75% des commerçants en ligne en Europe ne sont potentiellement pas au courant d’une nouvelle norme de sécurité qui entrera en vigueur l’année prochaine.[1]

Conçu pour améliorer l’expérience des paiements numériques, EMV 3-D Secure (ou EMV 3DS) va ouvrir une nouvelle ère de sécurité pour les transactions en ligne et permettra à l’authentification de bénéficier d’un standard prenant en compte les nouvelles technologies telles la biométrie. Malgré ces changements, seuls 14% de cet échantillon de commerçants en ligne européens ont déjà implémenté SCA, et 51% déclarent ne pas pouvoir être prêts pour septembre 2019 ou n’ont aucun plan pour le supporter.

Le SCA sera obligatoire en vertu de la DSP2 à compter de septembre 2019. Cependant, avant cela, les commerçants en ligne doivent être préparés. Ci-dessous, deux actions que les e-commerçants doivent effectuer avant l’été 2019 :

Contacter leur acquéreur ou leur fournisseur de services de paiement (PSP) pour s’assurer que leur entreprise est prête et enregistrée dans Identity Check.
Accompagner leurs clients en les informant des changements qui seront apportés à leur expérience de paiement en en soulignant les avantages (plus besoin de se rappeler de mots de passe et une réduction probable de la fraude).

Authentification biométrique

Parallèlement, les banques enregistreront également leurs titulaires de carte au sein d’Identity Check et leur offriront des méthodes d’authentification améliorées, dont l’authentification biométrique.

Dans le but d’offrir aux consommateurs une expérience de paiement en ligne plus fluide, Mastercard déploie Mastercard® Identity Check™, une solution d’authentification de nouvelle génération basée sur EMV 3DS qui offre une expérience de paiement en ligne plus fluide pour les consommateurs. Avec un très grand nombre de consommateurs habitués à payer en un seul clic, cette nouvelle solution Mastercard est conçue pour minimiser les perturbations et les frictions inutiles au moment du paiement. Identity Check répond aux exigences SCA de la Directive sur les Services de Paiement 2 (DSP2) qui sera applicable à partir du 14 septembre 2019 dans 31 pays européens.

Milan Gauder, Executive Vice President, Services, Mastercard Europe affirme : « Le e-commerce continue de croître plus rapidement que les achats physiques et, bien que ce soit extrêmement positif pour les commerçants en ligne, cela exige d’eux de s’assurer que les transactions numériques sécurisées et transparentes. Nous avons mené à bien la première transaction EMV 3DS en septembre. Nous sommes ravis de migrer notre solution Identity Check avec EMV 3DS, en utilisant des méthodes d’authentification en temps réel telles que les mots de passe dynamiques, la biométrie (incluant la reconnaissance d’empreintes digitales, faciales, d’iris et vocale), pour offrir une expérience en ligne plus sécurisée et adaptée à l’avenir du e-commerce. »

Paiement en ligne

Avec des taux d’approbation plus faibles et des taux de fraude plus élevés, l’écart entre les achats e-commerce et en magasin demeure un problème. Le taux de fraude pour les paiements en ligne est dix fois plus élevé que pour les transactions sur un terminal de paiement en Europe, ce qui a un impact négatif sur l’utilisation et l’attrition.

Pour se préparer au déploiement de Mastercard® Identity Check™, Mastercard a lancé une phase pilote dont les résultats indiquent que la nouvelle solution permet de réduire la fraude, de diminuer le nombre de refus de cartes et de faciliter l’authentification pour le consommateur. Non seulement l’expérience utilisateur est optimisée, mais les profits des commerçants et des émetteurs ont également augmenté.

« Avec le commerce en ligne qui devient la norme, et de nouvelles exigences réglementaires, il est nécessaire de proposer des solutions innovantes pour s’assurer que les e-commerçants continuent à satisfaire leurs clients. Avec la possibilité d’échanger entre les commerçants et les émetteurs 10 fois plus d’informations que de messages d’authentification aujourd’hui, et avec les nouvelles fonctionnalités mobiles, nous relevons la barre en matière d’authentification« , a ajouté Milan Gauder.

Communiqué de presse, IOT, Logiciels, Securite informatique

Un MOOC afin de mieux comprendre l’open source

2 commentaires

A l’occasion du Paris Open Source Summit 2018, l’Open Source School lance un MOOC de 28 chapitres, disponible gratuitement en ligne et sous licence libre, afin de mieux comprendre l’open source.

En effet, que ce soit par ses logiciels, ses méthodes de développement et d’organisation ou encore ses valeurs, le mouvement de l’open source est aujourd’hui devenu incontournable. Toutes les organisations, privées ou publiques, intègrent progressivement le meilleur de l’open source dans leur système d’information et dans leurs produits.

Si ce constat est unanime, il reste néanmoins encore certaines interrogations dans les entreprises quant aux mécanismes sous-jacents qui nécessitent de s’approprier un modèle de développement nouveau, un changement culturel important et une composante juridique et communautaire forte.

Pour le Groupe Société Générale, l’open source est un vecteur puissant pour innover

Les entreprises doivent monter en compétence sur le sujet pour être compétitives, mais aussi pour pouvoir suivre et s’adapter aux modèles déjà complètement intégrés par notamment les générations plus jeunes : communauté, valeurs, …

A titre d’exemple, au sein du Groupe Société Générale, les premières réflexions ont porté sur les politiques de contribution à l’open source, les stratégies de support des logiciels libres ou encore l’augmentation de l’empreinte open source. Cela a été jusqu’à l’implication du Comité Exécutif du groupe pour accélérer cette transformation et au cofinancement de ce MOOC.

« L’open source est un vecteur puissant pour innover, accélérer notre transformation digitale et attirer des talents. En 2020, nous visons 80 % de serveurs dans le cloud et 30 % de nos bases de données en open source  » indique Alain Voiment, Head of the Business Solutions Center et Sponsor open source, au sein du Groupe Société Générale

“Apprendre l’open source”

Ces différents éléments traduisent un besoin fort de monter en compétence au niveau interne pour chacun de ces acteurs et c’est notamment pour cela qu’a été financée la réalisation de ce MOOC, intitulé « Apprendre l’open source ».

Ce MOOC de 28 chapitres, présenté par Benjamin Jean – juriste de formation, spécialisé en propriété intellectuelle et fondateur du cabinet Inno³ – et réalisé par Elephorm pour le compte de l’Open Source School, présente les particularités de l’open source mais aussi les modèles de collaboration et les nouveaux usages tels que l’open data et l’innovation ouverte.

Il a pour ambition de participer à une plus grande connaissance des grands principes du modèle de l’open source et apporte un premier éclairage des subtilités économiques et juridiques sous-jacentes.

Diffusé sous licence Creative Commons CC BY-SA 4.0, son accès est libre et gratuit. L’Open Source School espère qu’il contribuera à diffuser les valeurs de l’open source et à lever les freins qui peuvent rester dans certaines entreprises et administrations.

Communiqué de presse, Cybersécurité

86 % des RSSI estiment que les failles de sécurité dans les réseaux d’entreprise sont inévitables

Les responsables de la sécurité des systèmes d’information des entreprises (RSSI) à travers le monde se retrouvent démunis lorsqu’il s’agit de combattre la cybercriminalité. Ils manquent d’influence auprès de la direction et éprouvent des difficultés à justifier les budgets dont ils ont besoin, ce qui conduit inévitablement à rendre leur entreprise plus vulnérable. C’est l’un des enseignements d’une nouvelle étude de Kaspersky Lab, révélant que 86 % (80% en Europe) des RSSI jugent aujourd’hui les failles de cybersécurité inévitables, les groupes cybercriminels à motivations financières étant leur principale préoccupation.

La montée des cybermenaces, conjuguée à la transformation numérique qu’opèrent actuellement de nombreuses entreprises, rend le rôle du RSSI de plus en plus important dans l’entreprise moderne. L’étude de Kaspersky Lab révèle que les RSSI sont aujourd’hui soumis à une pression sans précédent : 57 % d’entre eux estiment que les infrastructures complexes liées au cloud et à la mobilité représentent un défi majeur et 50 % s’inquiètent de la recrudescence continue des cyberattaques.

Les RSSI pensent que les bandes cybercriminelles à motivations financières (40 %) et les attaques venant de l’intérieur (29 %) constituent les principaux risques pour leur entreprise. Or il s’agit de menaces extrêmement difficiles à prévenir, soit car elles émanent de cybercriminels « professionnels », soit parce qu’elles bénéficient de l’aide d’employés indélicats.

Les difficultés à justifier les budgets mettent les RSSI en concurrence avec les autres départements de l’entreprise

Les budgets affectés à la cybersécurité tendent à croitre. Un peu plus de la moitié (56 %) des RSSI interrogés prévoient une augmentation de leur budget à l’avenir (seuls 49% en Europe), tandis que 38 % (49% en Europe) s’attendent à ce qu’il demeure stable.

Néanmoins, les RSSI se heurtent à des obstacles budgétaires majeurs car il leur est quasi impossible de garantir un retour clair sur investissement (ROI) ou une protection à 100 % contre les cyberattaques.

Par exemple, plus d’un tiers (36 %) des RSSI se disent dans l’incapacité d’obtenir le budget nécessaire en matière de sécurité informatique, faute de pouvoir garantir l’absence de faille. En outre, lorsque le budget de la sécurité s’inscrit dans les dépenses informatiques globales, les RSSI doivent rivaliser avec les autres départements. Le deuxième obstacle le plus fréquent à l’obtention d’un budget est en effet l’intégration de la sécurité dans l’ensemble des dépenses informatiques. En outre, un tiers des RSSI (33 %) indiquent que le budget qu’ils pourraient se voir attribuer va en priorité au numérique, au cloud ou à d’autres projets informatiques susceptibles de démontrer un ROI plus clair.

Les RSSI ont besoin d’une audience au sein de la direction à mesure que la transformation numérique se déroule

Les cyberattaques peuvent avoir des conséquences catastrophiques pour les entreprises : plus d’un quart des participants à l’enquête de Kaspersky Lab citent les atteintes à la réputation (28 %) et les préjudices financiers (25 %) comme effets les plus critiques d’une cyberattaque.

Cependant, en dépit de l’impact négatif d’une cyberattaque, seuls 26 % des responsables de la sécurité informatique sont membres de la direction de leur entreprise. Parmi ceux qui n’en font pas partie, un sur quatre (41% en Europe) pense que ce devrait être le cas.

La majorité des responsables de la sécurité informatique (58 %) s’estiment suffisamment associés aux prises de décisions dans leur entreprise à l’heure actuelle. Cependant, à mesure que la transformation numérique devient essentielle pour l’orientation stratégique des grandes entreprises, il doit en aller de même pour la cybersécurité. Le rôle du RSSI doit évoluer afin de refléter ces changements et de le mettre en capacité d’influer sur ces décisions.

Budget et cybersécurité

Maxim Frolov, Vice-président des ventes mondiales de Kaspersky Lab, commente : « Traditionnellement, les budgets de la cybersécurité étaient perçus comme des dépenses informatiques moins prioritaires mais ce n’est plus tellement le cas. Il est en effet temps d’éduquer les équipes dirigeantes des entreprises de la nécessité d’investir dans la cybersécurité. Il ne s’agit pas de garantir la prévention complète des incidents de sécurité, il s’agit surtout d’augmenter le coût d’une cyberattaque pour un attaquant. L’objectif est de rendre une attaque hors de portée financièrement, et de décourager les attaquants, faute de rentabilité. »

Plus important encore, il s’agit de permettre à l’équipe de sécurité de contrer immédiatement toute tentative de compromission des systèmes et réseaux de l’entreprise. Une faille majeure coûte en moyenne 1,08 millions d’euros à une grande entreprise, mais en prenant les mesures de sécurité nécessaires, ce montant peut décroître, voir disparaître. Ce qui ressemble alors à une décision business pertinente.

Banque, Bitcoin, Communiqué de presse, Cybersécurité, Securite informatique, Social engineering

Le minage de crypto-monnaies pirate dépasse les ransomwares

L’usage des ransomware a drastiquement chuté au profit du minage de crypto-monnaies. Pendant les trois premiers trimestres de l’année 2018, 5 millions d’utilisateurs ont été attaqués en ligne, par des mineurs de cryptomonnaie, contre 2,7 millions en 2017.  Les infections sont dues, en grande majorité, au téléchargement et à l’installation de logiciels sans licence, ce qui implique un ciblage des victimes plutôt orienté vers le grand public.

Le principe même de la criminalité, qu’il s’agisse du cyber ou du physique, repose sur l’appât du gain, la possibilité de gagner beaucoup d’argent, en très peu de temps. Pendant plusieurs années, le prix des crypto monnaies a été très élevé. Aujourd’hui, les cours sont fluctuants, voire  en chute libre depuis quelques semaines. Très vite, le minage de crypto monnaies ne sera plus rentable car les gains ne couvriront plus les investissements en temps. Ce sera particulièrement vrai si les criminels continuent de cibler les machines individuelles, plutôt que les grandes entreprises disposant de fortes puissances de calcul. En revanche, si les crypto monnaies continuent leur démocratisation, il faudra surveiller les plates-formes d’échange qui pourront devenir de véritables nids d’opportunités pour les criminels dans des opérations de phishing de leur client ou de piratage direct.

 L’extorsion de fonds à grande échelle

Ronan Mouchoux du GReAT explique : «  En mars 2010, la plate-forme pionnière d’échange de cryptomonnaies, BitcoinMarket, effectuait la toute première transaction financière entre bitcoin et monnaie fiduciaire. Un bitcoin échangé alors pour 0.003 dollar US. Huit ans plus tard, l’écosystème s’est développé, avec des milliers de nouvelles blockchains et des centaines de plates-formes de trading. Sur cette durée, au moins 31 piratées pour un montant de 1,3 milliard de dollars. Les détenteurs de crypto monnaies, les développeurs de blockchains et les plates-formes d’échange sont les trois cibles des cybercriminels. Rien qu’au deuxième trimestre 2018, plus de 2 millions de dollars extorqués à des possesseurs de crypto monnaies par phishing ou arnaque. En septembre dernier, l’une des principales plates-formes japonaises d’échange, Zaif, se faisait voler l’équivalent de 60 millions de dollars. »

 

 Investisseurs individuels vs. banques : une inégalité en matière de sécurité

Les crypto monnaies se démocratisent toujours davantage et sont désormais accessibles à la plupart des investisseurs. La tendance devrait encore se renforcer grâce à l’ouverture annoncée du marché directement via les buralistes en 2019. Il faut s’attendre à d’importantes tentatives d’exploitation de failles de sécurité. Les détenteurs de crypto monnaies, les développeurs de blockchain et les plates-formes d’échanges doivent impérativement accroître leur niveau de sécurité, encore beaucoup trop faible par rapport aux banques historiques et traditionnelles. Preuve en est, le plus gros casse bancaire de l’histoire se baptise Carbanak : l’attaque avait entrainé le vol de 1 milliard de dollars. Durant le premier semestre 2018 au Japon, près de 500 millions de dollars dérobés par piratage de plusieurs plateformes d’échanges de ce pays. De quoi attirer les cybercriminels, bien plus qu’avec le minage.

 Comment se protéger ?

Il est primordial pour les utilisateurs de choisir leur plate-forme en fonction de leur sécurité. Pour les plus gros détenteurs de cryptoactifs, on ne peut que recommander fortement d’investir dans un porte monnaies physique à la réputation éprouvée. Quant aux développeurs de blockchain et aux plates-formes d’échanges, ils doivent utiliser des solutions et recruter de véritables experts en cybersécurité. Tout ce qui est tendance sur un marché, l’est aussi pour la cybercriminalité. Bien entendu comme toute activité qui implique un accès en ligne, disposer d’appareils et de solutions à jour et ne pas installer de logiciels non certifiés font partie des recommandations basiques. (Rapport)

Antivirus, Communiqué de presse, Cybersécurité, Entreprise, Fuite de données, Logiciels, Mise à jour, Patch, Propriété Industrielle, Securite informatique, Virus

L’intelligence artificielle pour lutter contre la cybercriminalité

L’éditeur allemand G DATA, annonce l’intégration de DeepRay dans ses solutions de sécurité.

Avec la nouvelle technologie de détection DeepRay basée sur l’apprentissage machine et l’intelligence artificielle, les solutions de sécurité de G DATA disposent d’une capacité de détection accrue face aux menaces connues et inconnues. G DATA fut, il y a plus de 30 ans, l’un des premiers éditeurs de solutions antivirus. Aujourd’hui, l’entreprise démontre une fois de plus sa force d’innovation en présentant DeepRay, une nouvelle technologie qui utilise le machine learning pour évaluer et détecter la dangerosité des codes malveillants.

Réseau neuronal en action

Les solutions de sécurité G DATA pour les particuliers utilisent désormais un réseau neuronal composé de modèles mathématiques de type « Perceptron » pour identifier et analyser les processus suspects. Ce réseau fonctionne avec un algorithme continuellement amélioré par l’apprentissage adaptatif et l’expertise des analystes G DATA. Les différents types de fichiers exécutables sont catégorises à l’aide d’indicateurs, tel que par exemple le rapport entre la taille du fichier et le type de code exécutable, la version du compilateur utilisée ou encore le nombre de fonctions système importées.

Analyse des processus en mémoire

Si DeepRay définit un fichier comme suspect, une analyse approfondie se lance dans la mémoire du processus correspondant. Il s’agit alors d’identifier le fonctionnement du fichier et de le rapprocher à un modèle de familles de logiciels malveillants connus ou à un comportement malveillant en général. Grâce à DeepRay, les solutions de sécurité G DATA détectent bien plus tôt les fichiers malveillants dissimulés et préviennent ainsi des dommages qu’ils peuvent causer au système.

« Avec DeepRay, nous changeons les règles du jeu. Grâce à cette nouvelle technologie, nous pouvons regarder au-delà de la dissimulation des logiciels malveillants et repousser efficacement les campagnes d’infection à développement rapide. La protection de nos clients est considérablement augmentée« , déclare Andreas Lüning, fondateur et CEO de G DATA Software AG.

Communiqué de presse, Cybersécurité, Securite informatique

Détecter et prévenir la menace interne

Qu’il s’agisse d’utilisateurs malveillants, négligents ou exploités, il est communément admis que le plus grand risque pour toute entreprise provient de la menace interne. Rappelez-vous également que presque toutes les attaques externes finissent par ressembler à des attaques internes.

Selon le Data Breach Investigations Report 2018 de Verizon, l’utilisation d’informations d’identification internes compromises par un attaquant externe constitue la menace la plus courante dans les violations de données. C’est pourquoi il est important d’identifier les menaces internes le plus tôt possible.

Le risque zéro n’existe pas, mais il y a un moyen de réduire significativement les risques potentiels.

Alors, de quelle façon les organisations peuvent-elles identifier la menace interne, de préférence avant qu’une action ait lieu ?

Se contenter de surveiller toute l’activité réseau n’est pas suffisant pour protéger une organisation contre les activités malveillantes ou imprudentes. Il faut donc rechercher des indicateurs avancés d’un comportement inapproprié, malveillant ou négligent des employés.

Pour cela, il est important de concentrer vos efforts sur la partie de l’attaque qui ne peut être contournée – la connexion.

DÉTECTER ET PRÉVENIR LES MENACES INTERNES

Presque chaque action de menace interne nécessite une connexion à l’aide d’identifiants internes. Il s’agit de l’action la plus simple et commune pour les attaques internes.

L’accès aux points de terminaison, le mouvement latéral entre les points de terminaison, l’accès externe via VPN, l’accès au bureau à distance, etc., ont tous en commun la sollicitation d’une connexion.

Il faut donc surveiller la connexion pour diminuer le risque. Le concept de gestion de la connexion se structure autour de quatre fonctions essentielles qui agissent ensemble pour maintenir un environnement sécurisé :

  • Politique et restrictions – Établit qui peut se connecter quand, depuis où, pendant combien de temps, combien de fois et à quelle fréquence (sessions simultanées). On peut également limiter les types d’ouverture de session spécifiques (tels que les connexions basées sur la console ou RDP).
  • Surveillance en temps réel et reporting – Chaque connexion est surveillée et testée par rapport aux stratégies existantes pour déterminer si une connexion doit être autorisée. Le reporting aide à obtenir des informations détaillées pour toute enquête.
  • Alertes pour l’informatique et l’utilisateur final – Informe le service informatique et l’utilisateur de l’activité de connexion inappropriée et des tentatives infructueuses.
  • Réponse immédiate – Permet au service informatique d’interagir avec une session suspecte, de verrouiller la console, de déconnecter l’utilisateur ou même de les empêcher de se connecter ultérieurement.

Finalement, la gestion des connexions fait de la connexion elle-même un événement scruté et protégé.

Le but d’avoir une solution de gestion des connexions en place est de pouvoir détecter immédiatement une tentative d’accès anormale grâce aux stratégies de connexion personnalisées et granulaires définies pour ce compte particulier (employé). Cette même solution pourra ensuite agir en conséquence – soit en refusant, soit en approuvant la connexion – et en informant le service informatique (ou l’utilisateur lui-même) si cela est stipulé.

La gestion de la connexion est un moyen simple, efficace et rentable de contrecarrer les menaces internes potentielles. Elle fournit une couche de protection à la connexion, qui existe logiquement avant que l’action ne se produise, pour arrêter complètement la menace. Autrement dit, aucune connexion, aucune menace.

Parmi les scénarios de menaces internes potentiels qui sont actuellement contrecarrés, citons :

  • Les connexions authentiques mais compromises d’utilisateurs exploités sont désormais inutiles pour les employés malveillants ou les attaquants potentiels.
  • Les comportements imprudents de l’utilisateur, tels que le partage de mot de passe, les postes de travail partagés laissés déverrouillés ou des connexions simultanées à plusieurs ordinateurs, sont maintenant éradiqués.
  • L’accès à toute donnée / ressource est désormais toujours identifiable et attribué à un utilisateur individuel. Cette responsabilité décourage un employé d’agir avec malveillance et rend tous les utilisateurs plus attentifs à leurs actions.
  • Une activité suspecte est alertée pour permettre à l’équipe informatique de réagir instantanément.
  • Les utilisateurs sont avertis par un message et des alertes sur mesure, y compris des alertes sur leur propre accès sécurisé. Les employés informés représentent une autre ligne de défense.

 STOPPER LES MENACES INTERNES

La menace interne est réelle. Elle est présente sur votre réseau. Ce sont les employés avec lesquels vous travaillez tous les jours, où leur passage au statut d’attaquant interne peut dépendre d’une simple relation brisée, une promotion passée ou des difficultés personnelles. Ainsi, il est essentiel de disposer d’une solution proactive et économique pour faire face aux menaces internes. C’est aussi important que la protection de vos points de terminaison, les pares-feux et la passerelle de messagerie.

Le facteur commun à chaque scénario d’attaque interne est la connexion. Avec les connexions en tant que votre indicateur clé de menace interne :

  1. Vous identifiez le potentiel de menace très tôt dans le processus.
  2. Les faux positifs sont évités grâce à des stratégies granulaires (par compte, si nécessaire) qui définissent ce qui est et n’est pas « normal ».
  3. La connexion est refusée, arrêtant la menace.

En tirant parti de la gestion des connexions, vous placez la détection et la réponse aux menaces internes bien au-delà des actions malveillantes qui pourraient avoir lieu, arrêtant ainsi tout risque interne, avec un contrôle total de l’équipe informatique.

Chiffrement, Communiqué de presse, cryptage, Cybersécurité, Entreprise, Fuite de données, ransomware, Securite informatique

Observation de l’évolution des tactiques de diffusion des ransomwares

Il y a quatre ans de cela, les criminels envoyaient des mails à des millions d’adresses, diffusant des variantes de logiciels rançonneurs, via des liens infectés ou des documents Word, sans logique ou ciblage apparent. Aujourd’hui, les ransomware se professionnalisent !

Lorsque les logiciels rançonneurs ont commencé à chiffrer les ressources disponibles sur les réseaux, les entreprises ont commencé à y prêter un peu plus attention. Cette étape de l’évolution des logiciels rançonneurs a vu la méthode de diffusion éparpillée précédemment mentionnée se combiner au chiffrement de fichiers disponibles aussi bien sur le serveur local que sur les serveurs d’entreprise. Le chiffrement du serveur de fichiers d’une infrastructure ou de son système de stockage en réseau entraîne plus de dommages pour l’entreprise que le chiffrement d’un poste de travail individuel. Dans ce contexte, la hotline de notre équipe d’intervention a commencé à recevoir plus d’appels, au cours desquels les administrateurs informatiques des systèmes touchés par des logiciels rançonneurs ont commencé à se poser des questions très sérieuses sur les conséquences associées au paiement des rançons.

Cette tendance des ransomwares à chiffrer les partages réseau, et l’attention accrue qui en résulte, est probablement à l’origine des phases suivantes de leurs techniques de déploiement.

Frappes de précision : l’essor du protocole RDP (Remote Desktop Protocol)

En 2016, nous avons commencé à constater des infections massives de logiciels rançonneurs au cours desquelles plusieurs actifs essentiels de l’environnement des victimes étaient simultanément infectés, et avons donc constaté davantage d’interactions entre les agresseurs et leurs victimes (en raison de l’impact de leurs logiciels rançonneurs sur l’environnement des victimes). La communauté de sécurité s’est livrée à des enquêtes plus poussées qui ont confirmé ces soupçons : des cybercriminels utilisaient le protocole RDP, un protocole propriétaire conçu par Microsoft, pour fournir aux utilisateurs l’interface graphique d’un système distant, afin de s’introduire dans l’environnement des victimes.

Une fois en place, les agresseurs déployaient généralement des outils permettant de rechercher et d’exploiter des relations utilisateur/groupe/administrateur mal configurées ou non intentionnelles. Les paramètres Active Directory mal configurés ou non intentionnels sont les meilleurs alliés des cybercriminels, en leur permettant d’accéder aux privilèges de l’administrateur du domaine. Dès que le compte de ce dernier est compromis, les hackers ont la possibilité d’effectuer une reconnaissance du réseau pour identifier les actifs les plus critiques et les infecter.

Après avoir identifié les serveurs critiques et les systèmes de sauvegarde dans l’environnement, les hackers peuvent désormais utiliser les outils d’administration système intégrés à Windows pour déployer largement leurs logiciels rançonneurs.

A ce stade, les agresseurs n’essayaient donc plus d’envoyer un email à chaque personne présente sur le web. Avec le protocole RDP, ils savaient exactement qui et quoi cibler, en infectant simultanément des ressources critiques grâce à leur nouvel accès à l’environnement des victimes.

La prochaine étape des logiciels rançonneurs : les botnets

La tactique consistant à utiliser le RDP comme base initiale pour ces déploiements de logiciels rançonneurs en volume, interactifs, programmés ou manuels, était devenue si courante qu’elle faisait l’objet de nos premières questions lors de la prise en charge de nouveaux incidents. Cependant, pour les cas récents tels que le logiciel rançonneur Ryuk [1], nous assistons à une autre évolution des tactiques de diffusion. Lorsque nous enquêtons sur les victimes pour déterminer si elles sont exposées au niveau du RDP, nous pouvons constater que ce protocole n’est pas activé, ou que l’accès se fait via VPN. Dans cette mesure, il n’expose pas directement les victimes sur Internet.

Ces cas nécessitent des enquêtes plus approfondies. Dans plusieurs cas récents, nous découvrons des infections de bots corrélées à la chronologie des infections de logiciels rançonneurs.

Au cours du mois dernier, nous avons observé des infections de TrickBot, d’Emotet et d’AdvisorsBot qui correspondent parfaitement au moment du déploiement des logiciels rançonneurs. Ces infections par bots sont généralisées dans l’environnement des victimes, et tirent également parti des relations d’approbation mal configurées dans Active Directory pour se répandre latéralement. Cette tendance à l’utilisation des bots pour s’implanter ne fait qu’augmenter.

Dans ces cas, nous constatons que des e-mails de phishing contenant des documents Word malveillants sont le vecteur de diffusion des bots. Ces documents Word malveillants contiennent un contenu exécutable appelé macros. Lors de nos analyses des infections par TrickBot et AdvisorsBot relatives aux logiciels rançonneurs, nous constatons que les victimes ont ouvert le mail. Ouvert les documents joints. Permis aux macros de s’éxecuter.

À ce stade, le contenu exécutable dans les macros installe un bot ou contacte le serveur de commande et de contrôle du botnet pour obtenir du code malveillant supplémentaire, qui est finalement le véritable logiciel malveillant.

C’est une évolution des tactiques de déploiement des logiciels rançonneurs. La tendance observable de diffusion des ransomwares, allant de l’email de phishing opportuniste jusqu’à l’implantation et la reconnaissance via une configuration RDP compromise, se poursuit aujourd’hui par une implantation avancée au cœur du réseau grâce à des infections par bots qui se propagent latéralement.

En conclusion, la tendance d’implantation des bots pour propager des logiciels rançonneurs continuera à se développer. A l’avenir, différents bots seront utilisés simultanément. Mais le fait qu’ils offrent une persistance et facilitent le déploiement de logiciels malveillants supplémentaires en font un choix évident en matière d’implantation malveillante.

Conseil de l’équipe d’intervention Check Point

Au cours des différentes enquêtes, il a été découvert que la plupart des victimes avaient involontairement autorisé l’accès RDP au réseau depuis Internet en raison de la configuration des règles de sécurité sur le pare-feu, autorisant trop de ports ou configurant incorrectement l’IP/le masque réseau. La fonctionnalité « Packet Mode » de R80.10 [1] nous permet de vérifier rapidement si les ports RDP sont exposés sur Internet. Les règles de la blade Compliance (conformité) peuvent également être configurées pour émettre une alerte en cas d’exposition accidentelle de RDP. (Par l’équipe d’intervention de Check Point).

APT, backdoor, Chiffrement, Communiqué de presse, cryptage, Cybersécurité, Mise à jour, Securite informatique

Sofacy, un groupe de pirates omniprésent sur la toile

L’Unité42, unité de recherches de Palo Alto Networks, dévoile aujourd’hui une nouvelle étude sur le groupe Sofacy et le nouveau malware utilisé par le groupe pour mener des attaques de cyber-espionnage contre différentes agences gouvernementales partout dans le monde.

Sofacy continue ses attaques mondiales et sort un nouveau cheval de Troie « Cannon ». Découverte d’un nouveau malware « Canon », un cheval de Troie pour donner un accès distant (RAT pour Remote Access Trojan) : ce nouveau malware a été utilisé par Sofacy pour mener des attaques de cyber-espionnage. Ce groupe continue aussi à utiliser Zebrocy (un RAT déjà connu) dans leurs attaques. Utilisation de diverses techniques pour éviter d’être détecté et analysé : 1) au lieu d’inclure le code malicieux en pièce jointe, Sofacy le télécharge à distance à l’ouverture du document, 2) le groupe utilise des courriels pour envoyer et recevoir des instructions et 3) le groupe utilise également des macros spécifiques pour détourner les tentatives d’analyse du code malicieux. Ingénierie sociale : Sofacy a utilisé le récent crash aérien affectant Lion Air comme leurre dans l’une de leurs attaques — ce qui est un exemple de leur volonté permanente d’utiliser l’ingénierie sociale pour déployer leur malware.

Sofacy, l’ogre à données piratées

Depuis la fin du mois d’octobre 2018, Unit 42 a intercepté une série de documents vérolés en utilisant une technique qui fait appel à des modèles de mise en page distants contenant des macros dangereuses. Ce genre de document infecté n’est pas rare.

Les systèmes d’analyses automatisés ont plus de mal à les identifier comme dangereux en raison de leur nature modulaire. La particularité de cette technique est la suivante : si le serveur C2 (ou C&C pour Command and Control, le serveur utilisé par les cybercriminels pour finaliser l’infection et contrôler les machines infectées) n’est pas disponible au moment de l’exécution, le code malicieux ne peut être récupéré, et les documents délivrés sont alors sans danger.

Documents infectés

Ensuite, ces documents infectés ciblaient différentes agences gouvernementales à travers le monde, y compris en Amérique du Nord, en Europe, ou dans un des États de l’ancienne URSS. Heureusement, les serveurs C2 de plusieurs de ces documents étaient encore opérationnels, ce qui a permis de retrouver les macros dangereuses et les téléchargements qui y sont liés. L’analyse a révélé que le premier téléchargement lié était le cheval de Troie bien connu Zbrocy. D’autres données collectées ont dévoilé un deuxième téléchargement que l’Unit42 a surnommé « Canon ». Enfin, canon n’avait jusqu’ici pas encore agi via le groupe Sofacy, il contient une nouvelle voie de communication avec les serveurs C2 en passant par la messagerie électronique.

crash list(Lion Air Boeing 737).docx

Pour conclure, l’activité concerne plus précisément deux documents infectés bien spécifiques qui partage des données communes comme une adresse IP commun pour le serveur C2, un nom d’auteur commun, et des tactiques communes. Des données complémentaires ont révélé une campagne d’attaque importante associée avec le cheval de Troie Canon sur lequel l’Unit42 reviendra dans un prochain billet de blog. Un des aspects les plus intéressants des documents les plus récents utilisés par l’adversaire pour son infiltration était le nom du fichier : crash list(Lion Air Boeing 737).docx. Ce n’est pas la première fois qu’un groupe ennemi utilise les événements récents comme un leurre. Il est intéressant de voir que ce groupe essaie de miser sur des événements catastrophiques pour lancer leurs attaques. (U42)

Base de données, Chiffrement, Communiqué de presse, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Securite informatique

Six étapes pour empêcher la perte ou le vol de données

Avec le déclin du périmètre réseau traditionnel, il est désormais essentiel d’adopter une stratégie de sécurité axée sur les données afin de protéger les informations de l’entreprise contre la fuite ou le vol.

Nous assistons depuis plusieurs années à la dissolution du périmètre réseau identifiable. Le personnel mobile et les télétravailleurs, qui ont besoin d’un accès universel aux informations et aux ressources pour organiser leur collaboration, ont rendu entièrement obsolète le concept de périmètre réseau traditionnel — celui qui était auparavant défini par les limites géographiques et technologiques des serveurs et appareils de l’entreprise. L’écosystème mondial de l’information se bâtit désormais sur un modèle de collaboration ouverte, de confiance et de flux constants d’informations — précisément les caractéristiques qui sont actuellement exploitées par les cybercriminels.

Dans un monde numérique sans frontières, il est impératif de redéfinir l’approche de la sécurité. Il est important de s’éloigner d’une simple protection du périmètre réseau pour se concentrer sur la sécurisation des données, où qu’elles passent et où elles se trouvent. Voici six étapes permettant de mener cette opération à bien avec efficacité.

1. Identifier et classer les données sensibles

La première étape de toute stratégie de sécurité des données efficace consiste à déterminer la sensibilité de vos données et à repérer où elles résident, que ce soit dans le cloud, sur des disques partagés, des bases de données ou les trois à la fois. Il vous faut ensuite décider si ces données nécessitent une protection ou pas, et dans quelle mesure. La classification des données sert tout d’abord à identifier les données, où qu’elles se trouvent. Elle trie ensuite les données dans des catégories appropriées, en fonction de leur sensibilité et d’autres critères, et crée des politiques pour déterminer qui sont les employés autorisés à accéder à ces données, et les façons dont ils peuvent les utiliser. La classification des données peut constituer une aide précieuse pour les entreprises en matière de gouvernance, de conformité et de mandats de réglementation tels le PCI DSS et le RGPD, ainsi que dans le cadre de la protection de la propriété intellectuelle.

2. Attention à la menace interne accidentelle

Les employés font peser un grand risque sur les données internes, en dépit de la classification des données et des contrôles d’accès en vigueur. Les équipes informatiques doivent mener un audit et mettre en place une approche visant à définir un niveau de risque associé à chaque employé en fonction de ses possibilités d’accès aux données de l’entreprise. En effet, certains employés présentent un risque supérieur aux autres. Par exemple, les employés possédant des identifiants d’administrateur réseau posent un risque bien plus élevé que ceux qui n’ont qu’un accès utilisateur local. Les employés des services financiers, d’un autre côté, peuvent constituer une cible tentante pour les cybercriminels en raison des données lucratives qu’ils traitent. Comprendre quels employés posent les plus grands risques pour vos données et adapter vos défenses en fonction peut permettre à vos équipes informatiques de réduire considérablement la menace interne.

3. Ne pas se fier qu’à des technologies ponctuelles

La plupart des outils de sécurité actuels sont axés sur la visibilité et cherchent à faire barrage au point d’entrée pour protéger les systèmes. Ils balaient les fichiers à un moment précis pour déterminer s’ils sont malveillants. Mais des attaques avancées peuvent survenir à tout moment du jour ou de la nuit et en quelques secondes, exposant les actifs les plus sensibles des entreprises. Des technologies de détection en temps réel fournissent une vigilance constante et démontrent le sérieux de la stratégie mise en œuvre en matière de protection des données.

4. Comprendre les subtilités de la DLP

Bien que les cybercriminels représentent effectivement une menace pour les entreprises, le risque de perte de données accidentelle n’est pas à sous-estimer. Prenez par exemple un employé qui envoie un email confidentiel au mauvais destinataire, ou oublie une clé USB dans un train. Sans la DLP, ces actions pourraient entraîner une fuite de données et une violation des normes de conformité. Les technologies de DLP sécurisent les données en fonction des politiques prédéfinies et de la sensibilité des données. Si les données sont extrêmement sensibles et qu’un employé ne possède pas les autorisations d’accès nécessaires, il ou elle ne pourra pas copier ces données. Si la copie est autorisée, les données seront chiffrées pour garantir leur sécurité, où qu’elles soient transportées.

La DLP vient compléter la stratégie de sécurité d’une entreprise. L’approche réseau suffisait jusqu’ici. Maintenant que les informations voyagent sur de grandes distances, il est beaucoup plus facile de pénétrer à l’intérieur du périmètre étendu d’une entreprise. Sans la DLP, l’attaquant aurait accès à une manne de données sensibles. Avec la DLP en place, même en cas de faille dans le périmètre, l’attaque a bien moins de possibilités de nuire et de voler des données sensibles, ou quoi que ce soit d’ailleurs. En associant la sécurité réseau, la DLP et des mesures de sécurité comme la protection avancée contre les menaces, une entreprise peut rendre le vol de ses données presque impossible.

5. Au-delà de la conformité

Bien que de nombreuses industries et régions soient soumises à des exigences de conformité, notamment HIPAA, PCI et RGPD, ces normes ne sont qu’une première étape dans la protection des données sensibles. Elles forment une base solide, mais il faut poursuivre la démarche pour assurer la sécurité des données sensibles critiques, au-delà des numéros de cartes bancaires et de sécurité sociale. Pour véritablement vous assurer que la sécurité de vos données est parfaitement étanche, vous devez penser la conformité et la sécurité au-delà de simples cases à cocher.

6. Comprendre la diversité des menaces ciblant les données

Les outils que vous choisissez pour la sécurité doivent être réactifs et tenir compte des menaces externes comme les programmes malveillants et les attaques par force brute. Beaucoup de solutions de DLP se concentrent sur les fuites de données accidentelles — la menace interne — mais n’ont pas la possibilité de prendre en compte les menaces externes qui font également peser un risque sur les données. Les solutions de DLP intelligentes tiennent compte de la possibilité de vol d’identifiants par des attaques externes pour pénétrer le réseau sous l’identité d’un employé. Il devient capital de bénéficier d’un service de renseignement sur les menaces. Supposons qu’un pirate corrompe le compte d’un administrateur. Une solution intelligente et complète empêchera l’administrateur de déplacer des données ou du moins les chiffrera, en raison du caractère inhabituel de ce comportement ou de l’emplacement d’où a lieu la connexion.

Beaucoup de produits de sécurité prétendent protéger les données alors qu’ils ne sont pas dynamiques et ne tiennent pas compte du contexte.

Pour empêcher la perte ou le vol des données, il convient de prendre en compte l’évolution du périmètre réseau traditionnel et adopter une combinaison de solutions de sécurité régies par politiques et de sensibilisation des employés. En identifiant les emplacements où résident les données sensibles, en définissant des politiques pour les gérer et en mettant en œuvre des contrôles d’accès appropriés, les entreprises se placent en position de force pour se défendre contre les menaces internes et externes. Avec le déclin du périmètre réseau traditionnel, il est essentiel d’adopter une solution de sécurité avec un axe sur les données pour protéger les informations de l’entreprise contre la fuite ou le vol. (Par Jan van Vliet, Responsable EMEA, Digital Guardian)

Communiqué de presse, Cybersécurité, double authentification, IOT, Securite informatique, Social engineering

Fake news lors du Forum de la Gouvernance de l’Internet 2018

Le programme du OFF met la lutte contre les fake news à l’honneur.

En parallèle du Forum de la Gouvernance de l’Internet, qui se tient à Paris du 12 au 14 nombre prochain, l’Internet Society France co-organise un OFF, qui sera l’occasion de mettre en lumière certaines préoccupations des parties-prenantes. Le OFF référence ainsi plus d’une vingtaine d’événements du numérique qui ont lieu pendant le Forum. L’Internet Society France s’engage sur le sujet de la désinformation en ligne.

Un hackathon sur le thème des troubles informationnels pour des solutions concrètes

Nicolas Chagny, président de l’Internet Society France, commente : « les fake news sont un défi majeur de la gouvernance de l’Internet. Les solutions autoritaires sont tout aussi démagogues que les auteurs de fake news ; pour cette raison, nous souhaitons proposer une réponse collective à ces défis ». Organisé par l’Agence France Presse, Renaissance Numérique et Savoir*Devenir et l’Internet Society France, le hackathon a pour thème les troubles informationnels à l’ère numérique et les propos haineux. Il rassemblera experts, chercheurs, associations, développeurs, journalistes, et étudiants pour apporter des solutions multidisciplinaires à ces problématiques, alliant à la fois sciences sociales mais aussi le développement informatique.

3 jours de travail, 3 parcours de réflexion

Le hackathon autour de trois parcours : lutte contre les propos haineux sur Internet ; fausses vidéos et troubles informationnels ; éducation aux médias et au numérique.

Ce hackathon sera l’occasion d’aborder l’amélioration du projet InVID porté par l’Agence France Presse, qui ambitionne de fournir un outil de vérification des images et vidéos, et aussi l’internationalisation de la plateforme Seriously (www.Seriously.ong), outil de lutte contre les discours de haine sur Internet conçu par Renaissance Numérique.

Inscription au hackaton : https://igf2018-leoff.paris/hackathon

Android, backdoor, Chiffrement, Communiqué de presse, cryptage, Cyber-attaque, Cybersécurité, Espionnae, ID, Identité numérique, Logiciels, Mise à jour, Particuliers, Patch, Phishing, Piratage, Securite informatique, Smartphone, Téléphonie, Vie privée

Les cyberattaques ciblant Android en hausse

Les analystes de G DATA ont comptabilisé plus de 3,2 millions de nouvelles applications malveillantes à la fin du troisième trimestre 2018. Cela représente une augmentation de plus de 40 % par rapport à la même période en 2017. Les cybercriminels se concentrent sur les appareils mobiles, en particulier sous le système d’exploitation Android. La raison : huit personnes sur dix dans le monde utilisent un appareil Android.

À la fin du troisième trimestre, les analystes de G DATA ont recensé près de 3,2 millions de nouvelles applications malveillantes Android sur l’année, soit en moyenne 11 700 nouveaux dangers par jour. Il s’agit d’une augmentation de plus de 40 % par rapport à la même période de l’année précédente. En termes de sécurité, Android doit également lutter contre les équipements obsolètes. Dès 2017, Google a réagi avec le Project Treble, une fonctionnalité sous Android 8 qui permet une distribution plus rapide des mises à jour. Mais Android 8 est pour le moment dans un peu moins d’un appareil sur cinq – plus d’un an après son lancement en août 2017. Quant à la version actuelle 9, sa diffusion est inférieure à 0,1 % du parc.

Distribuer plus rapidement les mises à jour de sécurité

L’une des clés d’une meilleure protection réside dans la distribution rapide de mises à jour de sécurité. Selon « The Verge », depuis cet été Google oblige contractuellement les fabricants de smartphones sous Android à fournir des mises à jour de sécurité pour au moins deux ans. En détail, les appareils doivent recevoir au moins quatre mises à jour de sécurité Google au cours de la première année. Au cours de la deuxième année, les fabricants doivent assurer une fréquence de mise à jour qui permet de protéger les appareils des vulnérabilités datant de plus de 90 jours.

Un contrat qui comporte toutefois certaines limites. Seuls les smartphones de 100 000 utilisateurs concernés. En outre, l’accord ne s’applique qu’aux équipements mis sur le marché à partir de février 2018, avec une certaine tolérance admise jusqu’au 31 janvier 2019.

Le risque des logiciels espions

Les fonctionnalités étendues des logiciels espions ciblant le système Android sont une source d’incertitude. Ces codes malveillants rivalisent de techniques pour accéder au contenu des appareils. Dernièrement, les analystes de G DATA détaillaient le fonctionnement d’un trojan capable de lire les conversations WhatsApp. Les Smartphones contenant un nombre croissant d’informations sensibles, les attaquants ont bien compris l’intérêt de ces types de codes malveillants.

Virus Bulletin : Google parle d’Android

Lors de la conférence Virus Bulletin qui s’est tenue à Montréal en octobre, des chercheurs de Google ont fait deux présentations qui montrent que la sécurisation de la plateforme Android est un défi quotidien. L’analyste Maddie Stone a par exemple présenté une application malveillante qui déploie un niveau inhabituellement élevé de techniques pour ne pas être détecté par les systèmes automatisés de Google.

L’expert en sécurité Łukasz Siewierski a quant à lui présenté une campagne de logiciels malveillants préinstallés sur les smartphones Android. Selon son analyse, le malware était déjà installé pendant la phase de développement. G DATA a traité d’un sujet similaire lors du Virus Bulletin 2015 et pour la première fois en 2014.

backdoor, Chiffrement, Communiqué de presse, cryptage, Cybersécurité, IOT, Mise à jour, Patch

Craquer un mot de passe Wi-Fi WPA2 n’a jamais été aussi facile

Il n’est pas toujours facile de sécuriser un réseau domestique, même quand toutes les précautions possibles sont prises. Beaucoup de facteurs entrent en jeu et l’un d’entre eux est bien sûr le routeur. Jusqu’à présent, tout ce qu’il vous fallait était un mot de passe assez fort et un chiffrement WPA2. Mais les choses ont changé. Les chercheurs ont découvert un nouveau moyen apparemment très facile de pirater les réseaux Wi-Fi compatibles WPA/WPA2 PSK.

Cette nouvelle méthode de piratage des mots de passe Wi-Fi a apparemment été découverte par hasard : les chercheurs en sécurité travaillant sur Hashcat, un outil de craquage de mot de passe très populaire, essayaient en fait de trouver de nouvelles façons de craquer le protocole de sécurité sans fil WPA3 lorsqu’ils sont tombés sur cette nouvelle méthode WPA2. La nouvelle méthode pourrait permettre aux pirates d’obtenir la clé pré-partagée (pre-shared key, PSK) pour le Wi-Fi, ce qui leur donnerait accès au réseau. La grande différence par rapport aux méthodes précédentes est apparemment que les cybercriminels n’ont pas besoin de capturer un 4-Way Handshake complet. Au lieu de cela, la nouvelle attaque est menée sur le RSN IE (l’élément d’information réseau de sécurité robuste) d’une seule trame EAPOL.

Selon les chercheurs, l’attaquant qui communique maintenant directement avec le point d’accès n’a plus besoin qu’un utilisateur se connecte au réseau cible pour capturer ses données de connexion (ce qui était nécessaire auparavant). Cette attaque sans client apporte quelques autres avantages : plus d’éventuels mots de passe invalides, plus de trames EAPOL perdues à cause d’un point d’accès trop éloigné des cybercriminels, plus de formats de sortie spéciaux pour les données finales.

La plupart des routeurs modernes sont vulnérables

Bien que les chercheurs ne sachent pas encore avec certitudes quels fournisseurs et quels modèles de routeurs seront affectés par cette technique, les perspectives ne sont pas réjouissantes : tous les réseaux 802.11i/p/q/r avec des fonctions d’itinérance activées pourraient être sensibles à la nouvelle attaque ; par conséquent, cela affecterait la plupart des routeurs modernes. Malgré cette triste réalité, il y a deux choses que vous pouvez faire pour vous assurer de rester le plus en sécurité possible jusqu’à l’arrivée sur le marché de WPA3, qui est immunisé contre cette attaque :

Utiliser un mot de passe fort : Même avec cette attaque, le pirate devra attaquer votre mot de passe en force brute. Choisissez donc un mot de passe Wi-Fi fort, très fort. En cas de doute, vous pouvez toujours compter sur un gestionnaire de mots de passe pour faire le travail à votre place. Mettre à jour votre routeur : Mettez à jour votre routeur dès que des mises à jour sont disponibles. Si vous avez un très vieux routeur qui ne reçoit plus de mises à jour, il est recommandé d’en acheter un nouveau, au plus tard dès que les nouveaux routeurs WPA3 seront disponibles. (Par Nicole Lorenz, Avira)

backdoor, Chiffrement, Communiqué de presse, cryptage, Cybersécurité, IOT, Mise à jour, Patch, santé

Pirater des cerveaux pour manipuler et voler des souvenirs : la technologie de base existe

Organe en perpétuelle évolution, le cerveau et son fonctionnement posent de nombreuses questions. Ainsi, les scientifiques travaillent sur la découverte du mode de création des souvenirs dans le cerveau pour pouvoir les cibler, les restaurer et les enrichir au moyen d’ implants, et les technologies nécessaires existent d’ores et déjà sous la forme de dispositifs de stimulation profonde du cerveau.

Néanmoins, à l’avenir, des cyberattaques pourraient exploiter des implants mémoriels pour voler, espionner, modifier ou contrôler des souvenirs humains, même si les menaces les plus extrêmes ne se profileront pas avant plusieurs décennies. Il existe donc, dans les logiciels et le matériel connectés, des vulnérabilités qu’il importe de traiter pour nous préparer aux menaces qui nous attendent, selon une nouvelle étude réalisée par des chercheurs de Kaspersky Lab et le Groupe de neurochirurgie fonctionnelle de l’Université d’Oxford, publiée à l’occasion du sommet annuel Kaspersky NeXT à Barcelone.

Des implants de stimulation cérébrale, utiles à la médecine, mais vulnérables aux cyberattaques.

Les chercheurs ont associé une analyse pratique et théorique afin d’explorer les vulnérabilités actuelles des implants utilisés pour la stimulation cérébrale profonde. Appelés générateurs d’impulsions implantables (IPG) ou neurostimulateurs, ces dispositifs envoient des impulsions électriques vers des cibles spécifiques dans le cerveau pour le traitement de troubles tels que la maladie de Parkinson, le tremblement essentiel, la dépression majeure ou les TOC (troubles obsessionnels compulsifs). La dernière génération en date de ces implants s’accompagne de logiciels de gestion pour les médecins comme les patients, installés sur des tablettes et smartphones professionnels. La connexion entre les différents appareils repose sur le protocole standard Bluetooth.

Les chercheurs ont établi un certain nombre de scénarios de risques existants et potentiels, dont chacun pourrait être exploité par des attaques :
· Exposition des infrastructures connectées : les chercheurs ont découvert une vulnérabilité grave et plusieurs mauvaises configurations préoccupantes dans une plate-forme de gestion en ligne très répandue parmi les équipes chirurgicales, des failles susceptibles de conduire un intrus vers des données sensibles et des procédures de traitement.

· Le transfert de données non sécurisées ou non cryptées entre l’implant, le logiciel de programmation et les réseaux associés pourrait permettre la manipulation malveillante des implants d’un patient, voire de groupes entiers de patients connectés à la même infrastructure. Il risquerait d’en résulter la modification de réglages entraînant une douleur, une paralysie ou encore le vol de données personnelles, privées et confidentielles.

· En raison de contraintes de conception, la sécurité des patients prend le pas sur celle des données. Par exemple, un implant médical doit pouvoir être contrôlé par les médecins dans les situations d’urgence, notamment lorsque le patient est hospitalisé loin de son domicile. Cela exclut l’utilisation de tout mot de passe qui ne soit pas largement connu du personnel médical. En outre, cela implique que ces implants soient dotés par défaut d’un « backdoor » (un accès dérobé).

· Comportement non sécurisé du personnel médical : des logiciels critiques conservent souvent leurs mots de passe par défaut, utilisés pour l’accès à Internet ou à des applications complémentaires téléchargées.

Des méthodes scientifiques et médicales en perpétuelle évolution, qui nécessitent un accompagnement en cybersécurité

Il est indispensable de remédier à ces vulnérabilités car les chercheurs estiment qu’au cours des prochaines décennies, des neurostimulateurs plus avancés et une compréhension plus approfondie de la formation et de la mémorisation des souvenirs dans le cerveau humain vont accélérer le développement et l’utilisation de ce type de technologies et susciter de nouvelles possibilités de cyberattaques.

Dans les cinq années à venir, des scientifiques pensent pouvoir enregistrer sous forme électronique les signaux cérébraux qui créent les souvenirs, puis les enrichir voire les réécrire avant de les réimplanter dans le cerveau. D’ici une dizaine d’années pourraient apparaître sur le marché les premiers implants commerciaux destinés à stimuler la mémoire et, dans une vingtaine d’années, la technologie pourrait avoir suffisamment progressé pour permettre une prise de contrôle poussée des souvenirs.

Parmi les nouvelles menaces qui en découleront pourrait notamment figurer la manipulation de masse de populations par l’implantation ou l’effacement de souvenirs relatifs à des événements politiques ou à des conflits, tandis que des cybermenaces « réorientées » pourraient cibler de nouvelles opportunités de cyberespionnage ou bien le vol, la suppression ou le « verrouillage » de souvenirs (par exemple pour l’extorsion d’une rançon en échange de leur déblocage).

Au sujet des résultats de l’étude, Dmitry Galov, chercheur junior en sécurité au sein de l’équipe GReAT de Kaspersky Lab, commente : « Les vulnérabilités actuelles sont à prendre au sérieux car la technologie existant aujourd’hui préfigure ce qui verra le jour à l’avenir. Même si aucune attaque visant des neurostimulateurs n’a encore été observée, il existe des faiblesses qui ne seront pas difficiles à exploiter. Il nous faut réunir les professionnels de santé, les spécialistes de la cybersécurité et les fabricants pour étudier et corriger toutes les vulnérabilités potentielles, qu’elles soient déjà visibles actuellement ou qu’elles apparaissent dans les années à venir. »

Laurie Pycroft, chercheuse doctorale au sein du Groupe de neurochirurgie fonctionnelle de l’Université d’Oxford, ajoute : « Les implants mémoriels sont une perspective bien réelle et passionnante, offrant des bienfaits considérables pour la santé. Si l’idée de pouvoir modifier et enrichir nos souvenirs à l’aide d’électrodes paraît relever de la science-fiction, elle repose sur des fondements scientifiques solides qui existent dès à présent. L’arrivée de prothèses mémorielles n’est qu’une question de temps. La collaboration afin de cerner et de traiter les risques et vulnérabilités qui arrivent, et ce alors que cette technologie est encore relativement neuve, se révèlera payante à l’avenir. »

L’étude, intitulée The Memory Market: Preparing for a future where cyber-threats target your past, est disponible ici.

Communiqué de presse, Cybersécurité, Justice, loi, Mise à jour, RGPD, Securite informatique

RGPD : la CNIL précise les compétences du DPO

Le RGPD est entré en vigueur depuis plus de 5 mois et le ratio du nombre d’entreprises en conformité serait encore faible (inférieur à 25%) en France, si l’on en croit différentes études récentes et non-officielles. On sait en revanche que la CNIL, garante de la protection des données des citoyens français, a reçu 13 000 déclarations de DPO, soit seulement 16% des 80 000 estimées nécessaires. Le Délégué à la Protection des Données est pourtant considéré par la CNIL comme la clé de voûte de la conformité au règlement européen.

Pour mémoire, le RGPD est la nouvelle réglementation mise en place le 25 mai 2018 par l’Union Européenne pour contraindre toutes les organisations à garantir leur contrôle sur la collecte, le stockage et l’utilisation des données à caractère personnel des ressortissants européens. Les conséquences peuvent être très lourdes pour les entreprises, avec des amendes pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial. Sans compter bien sûr le risque sur la réputation de la société, sa perte de clientèle, les frais de procédures en cas de plaintes, etc.

RGPD et DPO : quelles sont les obligations de l’entreprise ?

Pour être en mesure de tenir leurs engagements, les entreprises doivent donc se doter d’un DPO, dont les missions sont stratégiques : conseils organisationnels, techniques et juridiques sur la bonne sécurité des données, relations avec la CNIL et les autres DPO, gestion des demandes d’exercice des droits, du respect des règles (Accountability) et des risques encourus.

D’après la CNIL, dans le cadre de la mise en application du RGPD, l’entreprise a l’obligation de :
Choisir son DPO en fonction de son expertise.
Veiller à ce que son expert reçoive la formation et les moyens matériels, financiers et intellectuels nécessaires pour mener à bien sa mission.
Veiller à ce que son DPO exerce ses activités sans conflit d’intérêts, en toute indépendance, qu’il puisse rendre compte de son action au plus haut niveau de l’entreprise.

Le choix du DPO doit être pris en fonction de ses compétences, mais aussi de son expérience de la protection des données, selon l’exposition aux risques identifiés de l’entreprise (classement risques EBIOS) :
Exposition basse : un minimum de 2 ans d’expérience peut être suffisant.
Exposition très haute : un minimum de 5 à 15 ans d’expérience peut s’avérer nécessaire.

Si l’on considère la pénurie actuelle de DPO et le caractère récent du métier, ces exigences d’expérience peuvent apparaître compliquées à remplir par tous.

Compétences et savoir-faire du DPO

Pour répondre aux nombreux questionnements des entreprises, la CNIL a publié au Journal Officiel le 11 octobre un référentiel listant les 17 critères cumulatifs auxquels un DPO doit pouvoir répondre pour être certifié par un organisme certificateur. Une démarche d’autant plus attendue que les profils ont été jugés très hétérogènes parmi les 13 000 DPO déclarés à la CNIL. Les compétences et savoir-faire que les DPO doivent satisfaire peuvent être regroupés en trois catégories, organisationnelle, juridique et technique :

Les savoirs organisationnels : le DPO conseille l’entreprise dans l’élaboration de procédures et politiques, ce qui induit des connaissances en gouvernance des entreprises. Par ailleurs, il est en mesure de mener un audit de conformité et de proposer des mesures de réduction ou gestion des risques, de les évaluer et d’en surveiller la mise en œuvre.

Les savoirs techniques et informatiques : le DPO doit mettre en œuvre les principes de minimisation ou d’exactitude, d’efficacité et d’intégrité des données et pouvoir exécuter les demandes de modification et d’effacement de données, ce qui impacte les systèmes et solutions de l’entreprise. Le DPO doit être ainsi force de conseils et de recommandations pour la mise en œuvre du « Privacy by Design » dans l’entreprise.

Les savoirs juridiques

Le DPO est un expert en protection juridique et règlementaire des données à caractère personnel. Outre le RGPD, il peut conseiller l’entreprise en cas de conflit de lois. Il participe à l’élaboration des contrats avec les partenaires, peut négocier avec le DPO du partenaire les clauses de protection de données personnelles. Il a également un rôle essentiel à jouer en matière de contentieux : il est l’interlocuteur de la CNIL et il instruit les plaintes des personnes concernées.

Avec ce référentiel de certification, l’entreprise dispose donc désormais d’éléments pour vérifier l’adéquation des savoirs en place en interne. Et force est de constater que le DPO doit faire figure de super-héros multi-compétences aux expertises transverses dans de nombreux domaines. Par ailleurs, il s’avère dans la pratique que la seule connaissance du texte de loi est insuffisante pour être en mesure de répondre à ces exigences.

La nécessaire montée en expertise du DPO

L’entreprise qui constate ne pas être en capacité à répondre aux critères du référentiel se trouve dans une position potentiellement à risque. Si elle dispose déjà d’un DPO en place, déclaré à la CNIL ou pas encore, il s’agit de mesurer l’écart d’expertise à combler et de l’accompagner en mettant à sa disposition les moyens matériels, financiers et intellectuels pour lui permettre d’atteindre les objectifs.

Selon l’exposition aux risques identifiées par l’entreprise, elle peut faire le choix d’une montée en expertise dans les catégories prioritaires pour elle. Par exemple, si l’organisation a une part importante de son activité en gestion par des prestataires externes. Elle devra les auditer régulièrement et réviser sa politique contractuelle. Le DPO, très attendu sur les aspects juridiques et audits. Il pourra alors avoir besoin d’un soutien sur des points précis tels que : auditer un traitement ou une conformité, mener un DPIA et gérer les risques, élaborer une procédure…

Le référentiel de la CNIL fixe le plancher des connaissances au suivi d’une formation de 35h sur le RGPD, afin d’en avoir une vision synthétique. Cela pourra s’avérer insuffisant tant la plupart des missions du DPO requiert des expertises fines dans des domaines très divers.

En prenant en compte l’isolement du DPO dans ses fonctions du fait de leur nature, et que la collaboration ou l’émulation avec des profils plus seniors dans l’entreprise est donc rarement possible, il n’est effectivement pas simple d’organiser un accompagnement dans sa montée en compétence. La CNIL encourage donc les DPO à s’organiser en groupes de travail réunis par secteurs d’activité, territoires ou même pour les indépendants à mutualiser leurs fonctions pour plusieurs entreprises. Cette approche ne produira néanmoins des résultats qu’à moyen terme et remplacera difficilement un transfert de savoir-faire par des DPO seniors.

Le choix de l’externalisation

Si l’entreprise ne dispose pas encore de DPO, ou si l’écart d’expertise à combler est trop important, l’externalisation totale ou partielle des fonctions de DPO peut être une option viable. Pour une entreprise de petite ou moyenne taille qui ne souhaite pas disposer d’un DPO en interne, avoir recours à des services extérieurs mutualisés est une des possibilités les plus pertinentes. Mais une externalisation partielle présente aussi l’avantage d’accompagner le DPO interne dans une partie de ses activités, avec un partage des pratiques professionnelles à l’aune des contraintes de l’entreprise. Une approche qui gagnera en efficacité si elle envisage un plan global de formation du DPO. (Par Patricia Chemali-Noël, Expert en Protection des Données chez Umanis)

Chiffrement, Communiqué de presse, Cybersécurité, IOT, Securite informatique, VPN

Risques ! En vacances, hors de vos murs, le WIFI ne s’utilise pas sans VPN

3 commentaires

Une enquête menée par HideMyAss! révèle en effet que, si la grande majorité (80 %) des Français sont conscients des risques de sécurité en ligne, près d’un internaute sur cinq (17 %) se connecte toujours à des réseaux Wi-Fi gratuits dans des lieux publics.

Selon une étude récente, partir en vacances est un besoin vital pour 55 % des Français. Seulement, à l’approche des vacances de la Toussaint, le même dilemme se pose pour toutes les familles qui ont décidé d’en profiter pour voyager : comment occuper les enfants ? Sécurité des données ! Selon Harris Interactive, disposer d’un accès à Internet constitue un critère important pour 71 % des Français, pour choisir leur lieu de vacances. En effet, ils vont se connecter, entre autres, pour rester en contact avec des proches, planifier des loisirs ou encore surveiller leur compte bancaire.

Pour Brad Pool, Responsable chez HideMyAss!, bien que cela soit pratique, se connecter à n’importe quel endroit, à tout moment, comporte de nombreux risques, si on ne se montre pas vigilant : « Une enquête menée par HideMyAss! révèle en effet que, si la grande majorité (80 %) des Français sont conscients des risques de sécurité en ligne, près d’un internaute sur cinq (17 %) se connecte toujours à des réseaux Wi-Fi gratuits dans des lieux publics. Parmi ces derniers, près de la moitié des répondants (47 %) admet préférer se connecter aux réseaux Wi-Fi gratuits qui ne nécessitent ni inscription, ni mot de passe. Or, ces critères de connexion attestent en réalité de leur manque de sécurisation. ».

Risques réels

Les risques augmentent d’autant plus pour les personnes qui se connectent au Wi-Fi de leur hôtel. L’année dernière, des recherches ont ainsi montré que le groupe de hackers russes ‘Fancy Bear’ ciblait les réseaux Wi-Fi d’hôtels dans toute l’Europe, pour installer des logiciels malveillants sur les appareils des vacanciers. Pour s’immiscer dans les terminaux et récupérer des informations personnelles, les cybercriminels créent aussi de faux réseaux Wi-Fi, dotés d’un nom proche de celui de l’hôtel, pour inciter les voyageurs à s’y connecter.

Près de la moitié des utilisateurs français (47 %) se fient à un logiciel, ou une application, pour assurer leur sécurité en ligne, et 28 % affirment éviter de saisir des informations sensibles sur un réseau Wi-Fi public, telles que des identifiants de connexion ; mais de nombreuses personnes ne sont pas aussi prudentes. Presque un répondant sur dix pense que la sécurité du fournisseur réseau le protège, et seuls 12 % des français utilisent un proxy ou un réseau privé virtuel (VPN) pour sécuriser leur connexion.

Trois démarches clés peuvent aider les familles à protéger leurs données

  1. S’assurer que la connexion Wi-Fi est sécurisée. Les points d’accès Wi-Fi publics sont en effet des cibles de choix pour les pirates. S’ils se connectent au même réseau qu’un internaute, ils peuvent facilement voir les sites web visités, leur historique de navigation, ainsi que leurs mails et identifiants de connexion. Pour toute navigation hors du réseau domestique, il est donc fortement conseillé d’installer un VPN sur ses appareils pour sécuriser la connexion, et de minimiser les risques de compromission avec des extensions de navigateur telles que « HTTPS Everywhere ».
  1. Désactiver les services de géolocalisation et, si possible, l’extraction de métadonnées sur les appareils et navigateurs. Dans le cas contraire, le simple fait de partager une photo sur un réseau social permet de révéler sa position, ou celle d’un membre de sa famille.
  1. Installer un logiciel de sécurité de confiance sur les smartphones et les tablettes. De très bonnes versions gratuites sont disponibles, et réduisent tout risque de perte de données personnelles ou de vol d’identité.

Si, comme l’indique le rapport Harris Interactive, plus de 8 Français sur 10 utilisent Internet durant leurs congés pour rester en contact avec leurs proches, ou pour planifier et réserver des activités, les pirates informatiques sont eux aussi au rendez-vous et profitent de chaque vulnérabilité pour opérer. Partant du constat que les cyberattaques ont augmenté de 100 % ces deux dernières années, d’après un rapport publié par ThreatMetrix, il est urgent que les vacanciers connaissent et adoptent les bonnes pratiques en ligne pour y faire face et pour protéger leurs informations sensibles, non seulement en voyage, mais également le reste de l’année.

Communiqué de presse, Cybersécurité, Emploi, Entreprise, Fuite de données, Securite informatique

Élaborer une stratégie de sécurité des données – pourquoi les acteurs du marché doivent collaborer

D’ici 2025, près de 90 % des données créées dans le monde nécessiteront un certain niveau de sécurité, mais moins de la moitié seront sécurisées.

L’augmentation de l’influence des données sur nos données personnelles, nos vies personnelles et professionnelles au cours des dernières années a été plus rapide que ce que l’on pouvait imaginer. Le rythme du changement devrait se poursuivre : selon le rapport Data Age 2025 d’IDC et de Seagate, d’ici 2025, le volume de données mondial pourrait atteindre 163 zettaoctets et 90 % de ces données nécessiteront un certain niveau de sécurité, mais moins de la moitié seront sécurisées. Face aux cas de violation de données et de cybercriminalité qui font beaucoup parler d’eux dans les médias, les entreprises de différents secteurs, tels que la finance, le transport, la santé et la distribution, reconnaissent le besoin urgent d’investir dans la sécurité des données.

Comme on pouvait s’y attendre, ce regain d’intérêt pour les produits de sécurité des données n’a pas échappé au marché de la sécurité. Celui-ci est à présent sous de nouvelles offres de produits et solutions qui prétendent répondre aux préoccupations des entreprises et aux nouvelles réglementations gouvernementales, telles que le règlement général sur la protection des données (RGPD) de l’Union européenne. Selon un récent rapport de MarketsandMarkets, le marché mondial de la cybersécurité pourrait atteindre 231 milliards de dollars d’ici 2022.

Manque de vision d’ensemble

Bien que l’augmentation des dépenses puisse être une bonne chose pour la sécurité des données, il est à craindre que, dans la course visant à être le premier à commercialiser de nouveaux produits et services, les fournisseurs du secteur de la sécurité n’aient pas de vision d’ensemble. La sécurité est un cercle et non une ligne : il incombe à chaque acteur impliqué dans la gestion et le traitement des données de garantir leur sécurité. Concrètement, cela implique de recentrer l’attention sur les domaines de la protection matérielle et logicielle qui n’ont jamais été au centre des préoccupations ou fait l’objet d’importants investissements de la part des entreprises, la sécurité au niveau des disques étant à cet égard un parfait exemple.

Un problème de silos

Comme pour bon nombre d’autres questions liées aux technologies de l’information, le problème commence par les silos. Aujourd’hui, les données se déplacent fréquemment, ce qui augmente les problèmes de sécurité. Pour le moment, tous ceux impliqués dans la gestion et le traitement des données – des opérateurs de réseaux aux fabricants de matériel en passant par les éditeurs de logiciels Cloud – ont chacun leurs propres techniques pour sécuriser leur petite partie de la chaîne de valeur des informations et vont rarement plus loin.

Cela devient un réel problème à l’heure où l’environnement mondial des données gagne en complexité. Nous assistons à l’essor de l’IdO, des systèmes embarqués, de l’apprentissage automatique et de l’analyse en temps réel, qui peuvent tous être en fonction dans des systèmes complexes tels que les véhicules autonomes et les drones. Plus il y a d’étapes dans le transfert de données, plus il y a de risques d’infiltration de malfaiteurs dans le système.

Pour fournir à leurs clients les environnements les plus fiables, les fournisseurs du secteur de la sécurité devront garder une longueur d’avance sur plusieurs aspects : la manière dont les entreprises mettent en œuvre leurs technologies, quels sont les autres produits utilisés dans la même pile et comment ces différents produits peuvent fonctionner ensemble pour créer une boucle de protection des données des clients.

Données personnelles : sécurité au niveau des disques

Dans un monde où les propriétaires d’informations sont constamment sous les attaques de type WannaCry, il est important de s’assurer que chaque maillon de la chaîne de sécurité est en place et que tous les éléments matériels et logiciels qui gèrent des contenus sensibles disposent de fonctions de sécurité adéquates. Selon un récent rapport Thales Data Threat, les outils de protection des données inactives sont systématiquement considérés comme le meilleur moyen de protéger les données après l’infiltration d’attaquants. Le chiffrement des données inactives fonctionne comme une dernière ligne de défense : si un malfaiteur parvient à violer des couches de sécurité externes en utilisant des informations d’identification piratées ou frauduleuses, le chiffrement au niveau du matériel peut protéger l’entreprise contre le vol de données.

Cependant, malgré les avantages évidents, ce type de chiffrement est en retard sur d’autres domaines, tels que la sécurité des réseaux et des terminaux, en termes d’investissement. Selon le rapport Thales Data Threat mentionné précédemment, en 2016, la sécurité des données inactives figurait au bas de l’échelle de l’augmentation des dépenses : +44 %, contre +62 % pour la sécurité des réseaux et +56 % pour la sécurité des terminaux.

Données personnelles : boucler la boucle

Selon l’étude Cost of Cybercrime d’Accenture, le nombre de violations de données a augmenté de 27,4 % en 2017 par rapport à 2016. Il devient de plus en plus difficile de se protéger contre ce type d’attaques.

Pensons, par exemple, à la multitude d’entreprises qui utilisent des services hébergés dans un Cloud. Compte tenu de l’augmentation des données stockées dans le Cloud, les entreprises doivent se préparer à faire face à des problèmes de sécurité majeurs en cas de défaillance de la technologie du Cloud. Et il y en a de nombreux exemples. De même, le développement rapide de la technologie de la chaîne de blocs (blockchain) et les attaques de logiciels malveillants tels que WannaCry présentent des menaces beaucoup plus graves que celles auxquelles les entreprises s’habituent.

Il n’y a pas de réponse unique à ces différentes menaces, et c’est vraiment le point le plus important. À l’époque où nous vivons, la sécurité dans cette nouvelle ère exige que plusieurs systèmes de défense complexes fonctionnent harmonieusement les uns avec les autres. Ces systèmes, y compris le chiffrement au niveau des disques, doivent communiquer entre eux et former une boucle de sécurité autour des données sensibles. Les acteurs du marché de la sécurité doivent collaborer et être compétitifs pour pouvoir servir efficacement leurs clients. (Par Raghavan Srinivasan, directeur de l’entité Enterprise Data Solutions chez Seagate Technology pour DataSecurityBreach)

Communiqué de presse

RENFORCER LA SÉCURITÉ RÉSEAU DES CENTRES D’APPELS : ETUDE DE CAS TELEPERFORMANCE

Les centres d’appels (aussi appelés call centers) permettent de prendre en charge la relation à distance entre une marque et son marché. Ils opèrent dans des domaines à haut risque tels que les canaux de service client, c’est pourquoi la protection des données client, des données de paiement et d’autres informations sensibles est particulièrement importante pour les centres d’appels. Certaines normes telles que ISO 27001 et PCI DSS indique clairement aux clients que la société prend la sécurité au sérieux. Ainsi, ils ont besoin d’une solution pour renforcer la sécurité de leur réseau tout en garantissant la conformité aux réglementations en vigueur. Explication par IS Decisions.

blockchain, Communiqué de presse, Cybersécurité, Justice, loi

Contrats juridiques sécurisés par la blockchain

Rocket Lawyer, leader mondial des services juridiques en ligne, s’est associé à ConsenSys, leader mondial de la technologie « Blockchain » Ethereum, et la start-up OpenLaw (Groupe ConsenSys) afin d’accélérer l’implémentation de son service « Rocket Wallet »* qui permet l’exécution de contrats sécurisés par la blockchain.

Blockchain – Rocket Lawyer est l’une des plates-formes en ligne de contrats juridiques qui connaît la croissance la plus rapide au monde. Rocket Lawyer est à l’origine de l’utilisation croissante de contrats juridiques dans le cloud par des millions de personnes et d’entreprises. Ainsi, chaque année, des millions de documents juridiques sont créés, signés ou stockés, mais des éléments clés du processus, notamment ceux liés à l’exécution des contrats et au règlement des litiges, restent à optimiser.

Fonctionnant avec la blockchain Ethereum et s’appuyant sur le protocole OpenLaw, Rocket Lawyer va déployer des transactions plus intelligentes gérées par un réseau plutôt que par une autorité centrale. De cette manière, Rocket Lawyer aspire à limiter le partage d’informations personnelles et à renforcer la sécurité et la confidentialité des données.

« La collaboration entre ConsenSys, OpenLaw et Rocket Lawyer nous permettra de travailler ensemble au développement de contrats juridiques intelligents« , a déclaré Joe Lubin, fondateur de ConsenSys et co-fondateur d’Ethereum. “Nous sommes impatients de rationaliser la mise en œuvre des contrats de manière à réduire les frictions et à créer des accords juridiques basés sur la blockchain, ce qui est un développement important pour l’écosystème Ethereum”.

Après avoir développé la manière la plus simple de créer et de signer des documents juridiques, Rocket Lawyer rendra la signature des contrats et la résolution des litiges, sûrs et abordables, en devenant la première société de la legaltech à intégrer la technologie de la blockchain dans les transactions juridiques quotidiennes à grande échelle.

« Rocket Wallet » (dépôt de brevet en cours) est d’ores et déjà disponible en version bêta aux États-Unis. Le lancement officiel est quant à lui prévu au premier semestre 2019.

Communiqué de presse, Cybersécurité, Mise à jour, Patch, Securite informatique

61 Vulnérabilités corrigées en septembre

Le Patch Tuesday de ce mois corrige 61 vulnérabilités dont 20 classées comme critiques. Parmi ces dernières, la plupart sont liées aux navigateurs tandis que les autres concernent Windows, Hyper-V et l’infrastructure .Net. Une vulnérabilité (CVE-2018-8475) d’exécution de code à distance divulguée publiquement. Elle peut apparaître sous la forme d’un fichier image compromis. En outre une vulnérabilité (CVE-2018-8457) dans le moteur de script.

Correctifs pour les postes de travail

Les patches destinés aux navigateurs et au moteur de script doivent être déployés en priorité sur tous les systèmes bureautiques qui utilisent un navigateur pour accéder à la messagerie et à Internet. La visionneuse PDF, le système d’analyse des images de Windows, l’infrastructure .Net et la bibliothèque de polices Windows bénéficient aussi de patches pour des vulnérabilités basées sur l’interaction de l’utilisateur avec un site ou un fichier malveillant. Deux de ces vulnérabilités étant divulguées publiquement, il est important de définir les priorités pour le déploiement des correctifs sur les postes de travail Windows.

Attaque Escape dans l’hyperviseur Hyper-V

Deux vulnérabilités avec exécution de code à distance (RCE) sont corrigées dans l’Hyper-V. Elles permettaient à un utilisateur authentifié sur un système invité d’exécuter du code arbitraire sur le système hôte. Microsoft signale que l’exploitation de cette vulnérabilité est moins probable, mais ces patches restent tout de même une priorité pour les systèmes Hyper-V.

FragmentSmack

Même si cette vulnérabilité n’a pas été corrigée, Microsoft a publié des recommandations pour la vulnérabilité FragmentSmack qui est un déni de service contre la pile IP.

Vulnérabilité 0-Day ALPC

La menace 0-Day mentionnée hier dans le billet de blog a été corrigée dans la publication de ce mois-ci. Cette vulnérabilité entraînait une élévation de privilèges locaux, des attaques actives ont été lancées à l’aveugle en s’appuyant sur cette vulnérabilité.

Adobe

Adobe publie des correctifs pour Flash et Coldfusion. Tandis qu’Adobe classe la CVE-2018-15967 comme une élévation de privilèges « importante » contre Flash, Microsoft indique cette vulnérabilité comme critique, elle est identifiée comme exécution de code à distance (RCE). Concernant les patches Coldfusion, 9 vulnérabilités CVE sont traitées dont 6 classées critiques. Fin août, Adobe a également publié des patches en urgence pour Adobe Photoshop CC et Creative Cloud. Deux vulnérabilités CVE dans Photoshop sont classées critiques et une vulnérabilité dans Creative Cloud est classée comme importante. (Par Jimmy Graham dans The Laws of Vulnerabilities pour DataSecurityBreach.fr)

Argent, Communiqué de presse, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, ID, Logiciels, Microsoft, Mise à jour, Particuliers, Patch, Piratage, Propriété Industrielle, Sauvegarde, Securite informatique

Menace : les documents Office peuvent être dangereux

Nous utilisons quasiment tous des documents Microsoft Office. Qu’il s’agisse de documents de travail, de reçus électroniques ou du bail d’un nouvel appartement, les documents Office sont utiles à chacun d’entre nous et c’est en partie la raison pour laquelle nous sommes susceptibles de les ouvrir lorsque nous en recevons en pièce jointe d’un e-mail. Connaissant la propension de nombreux utilisateurs à ouvrir la quasi-totalité des documents, même ceux provenant d’une source non fiable, des individus malintentionnés choisissent couramment ces fichiers pour attaquer et infecter un système.

Nous allons ici passer en revue cinq techniques différentes permettant de détourner les documents Office pour en faire des armes d’attaque et d’infection des postes de travail Windows. Nous en avons déjà évoqué certaines précédemment, tandis que d’autres sont nouvelles.

Macros

Les macros sont le moyen le plus simple pour un assaillant d’infecter des documents Office. Les applications Office intègrent un moteur de scripts capable d’exécuter le langage VBA (Visual Basic for Applications). Du code malveillant contenu dans ces scripts peut ainsi s’exécuter sur le système dès l’ouverture du document, sans aucune intervention de l’utilisateur (à condition toutefois que ce dernier ait au préalable activé les macros). Si l’utilisateur n’a pas activé les macros, un message apparaît pour lui demander s’il souhaite le faire. Il s’agit de l’un des divers mécanismes de sécurité mis en place par Microsoft afin d’atténuer le risque présenté par les macros. Microsoft impose également une autre extension de nom de fichier (.docm au lieu de .docx pour les nouveaux documents contenant des macros). En dépit de ces mesures de sécurité, des utilisateurs décident néanmoins d’ouvrir ces fichiers et d’activer leur contenu, de sorte que les macros demeurent un vecteur courant, aussi bien pour des attaques vastes et simples destinées à propager un ransomware, telles que Emotet, que pour des campagnes élaborées, à l’image de Sofacy.

Comme l’illustre cet exemple, les auteurs des attaques tentent de convaincre les utilisateurs de désactiver les mécanismes de sécurité mis en place par Microsoft. Ils usent, pour ce faire, de techniques d’ingénierie sociale, persuadant l’utilisateur d’activer le contenu afin de pouvoir consulter l’intégralité du document. Dans l’exemple Sofacy, les assaillants ont simplement coloré le texte en blanc, de sorte que celui-ci était bien présent avant que l’utilisateur n’active les macros, mais invisible.

Fichiers Flash incorporés

En dehors des fonctionnalités intégrées telles que les macros, les documents Office peuvent aussi incorporer des objets externes, par exemple des fichiers Adobe Flash. Ces objets étant transmis au logiciel approprié pour leur traitement, toute vulnérabilité éventuellement présente dans ce logiciel peut également être exploitée par son incorporation dans le contenu Adobe Flash à l’intérieur du document Office. Un exemple de ce vecteur d’attaque est la faille Zero Day CVE-2018-4878dans Adobe Flash Player, exploitée par l’incorporation de fichiers SWF malveillants dans des documents Excel. Dans les attaques de ce type, le document Excel infecté incorpore un contenu Adobe Flash capable de déclencher la vulnérabilité Flash et d’exécuter du code shell intégré.

Editeur d’équations Microsoft

Comme pour les fichiers Adobe Flash incorporés dans un document Office, il est également possible d’insérer dans des documents des équations mathématiques qui seront interprétées par l’Editeur d’équations Microsoft, un outil ayant pour vocation de faciliter leur écriture :

Comme dans notre exemple précédent, des vulnérabilités dans l’éditeur d’équations s’exploitent par l’intermédiaire de documents Office malveillants. Nous en avons observé des cas tout récemment lorsque la faille CVE-2017-11882 a été exploitée, ouvrant la voie à d’autres, telles que CVE-2018-0802. Toutes deux touchent l’éditeur d’équations, ce qui permet d’amener l’utilisateur à ouvrir un document Office pour l’exécution de code à distance. Des vulnérabilités similaires dans l’Editeur d’équations Microsoft, telles que CVE-2018-0807 et CVE-2018-0798, identifiées par les chercheurs de l’Unité 42.

Il est à noter que, l’Editeur d’équations Microsoft s’exécutant sous la forme d’un processus distinct (eqnedt32.exe), les protections spécifiques à Microsoft Office, telles que EMET et Windows Defender Exploit Guard ne sont pas efficaces par défaut, car elles protègent uniquement les processus Microsoft Office (par exemple winword.exe).

Objets OLE et handlers HTA

Les objets OLE et les handlers HTA sont des mécanismes pour les documents Office. Ils font référence à d’autres documents inclus dans leur contenu. Ils peuvent servir à infecter un poste de travail de la manière suivante :

Un objet OLE2 (lien) s’incorpore dans un document Microsoft Word. Une fois le document ouvert, le processus Word (winword.exe) envoie une requête HTTP à un serveur distant afin de télécharger un fichier HTA contenant un script malveillant. Winword.exe recherche alors dans le handler le type « application/hta » via un objet COM, ce qui entraîne le chargement et l’exécution du script malveillant par l’application Microsoft HTA (mshta.exe).

Cette fonctionnalité a été exploitée dans la vulnérabilité CVE-2017-0199, permettant l’exécution de code à distance dans Microsoft Office/WordPad et corrigée par Microsoft en septembre 2017. Diverses campagnes y ont eu recours, par exemple OilRig.

Aux côtés des vulnérabilités OLE et HTA décrites plus haut, les auteurs des attaques ont découvert que des fichiers RTF peuvent également exécuter des objets OLE de type mime « text/html », au moyen de MSHTML. Cela signifie que les documents RTF présentent la même vulnérabilité aux attaques qu’Internet Explorer.

CVE-2018-8174

L’exploitation de cette vulnérabilité logique, nommée CVE-2018-8174, permet aux auteurs d’attaques d’exécuter du code HTML/JavaScript/VBScript arbitraire. Tandis que le code exécuté de cette façon se place dans une « sandbox » (où il ne peut lancer de nouveaux processus, écrire dans le système de fichiers ou effectuer d’autres opérations) à l’instar de tout autre code exécuté à partir d’Internet Explorer. Cette faille peut servir à en exploiter d’autres, par exemple une vulnérabilité UAF de corruption de mémoire dans le moteur VBScript, pour permettre l’exécution de code arbitraire dans le cadre de l’application Word (winword.exe) et la prise de contrôle du système.

Tandis que les attaques utilisant des documents comme vecteur sont courantes depuis plus d’une dizaine d’années, nous observons une augmentation récente de leur fréquence et de leur complexité. Cette tendance pourrait s’expliquer par la difficulté croissante d’exploiter les vulnérabilités des navigateurs, en raison du renforcement de leur protection par leurs développeurs. Quoi qu’il en soit, il est important pour les entreprises de savoir comment se défendre.

Android, Argent, Arnaque, backdoor, Communiqué de presse, Cyber-attaque, Cybersécurité, Leak, Particuliers, Piratage, Sécurité, Securite informatique, Smartphone, Téléphonie

Cybersécurité : Les Chevaux de Troie bancaires mobiles atteignent un niveau historique

Une société de cybersécurité constate lors de ces trois derniers mois que les chevaux de troie ont atteint le haut de la pile des cyber casse-tête.

Cybersécurité – Le nombre de packs d’installation pour les services bancaires mobiles – permettant d’apporter des modifications qui aident les attaquants à éviter la détection par les solutions de sécurité – a atteint plus de 61 000. Cela représente un sommet historique ; Plus du triple par rapport au premier trimestre de 2018, et plus du double par rapport au premier trimestre de 2017.

Les Chevaux de Troie mobiles sont les malwares les plus impopulaires, créés pour voler de l’argent directement depuis les comptes en banque.

Les Etats-Unis, la Russie et la Pologne sont les 3 pays avec la plus grande proportion d’utilisateurs ciblés par les malwares bancaires mobiles.

Le Cheval de Troie Hqwar est la principale source de cette croissance, avec plus de la moitié des modifications enregistrées relatives à ce malware.

De tels chiffres pour les malwares bancaires mobiles peuvent s’expliquer par l’augmentation de l’intérêt pour les malwares mobiles de manière générale (+ 421 000 sur Q2).

61 045

C’est le nombre de chevaux de Troie bancaires mobiles enregistrés sur le 2e trimestre 2018. Le pic le plus haut jusqu’alors datait de Q4 2016 et n’atteignait pas 40 000.

351 913 075

URLs uniques reconnues comme malveillantes (+24% par rapport à Q1) par des composants antivirus web.

215 762

C’est le nombre de tentatives d’infections par malware ayant pour but de voler de l’argent.

962 947 023

Attaques malveillantes en provenance de ressources en ligne de 187 pays du monde repoussées par Kaspersky ce trimestre (+20% par rapport à Q1).

backdoor, BYOD, Communiqué de presse, cryptomonnaie, Cybersécurité, Entreprise, Securite informatique

Cryptojacking : le danger des objets connectés résidentiels

Un commentaire

Un nouveau rapport de sécurité révèle que les objets connectés résidentiels constituent une nouvelle cible pour le cryptojacking.

Quasiment aucune entreprise n’échappe à un exploit majeur : l’analyse des événements critiques souligne une tendance inquiétante : 96% des entreprises ont subi au moins un incident majeur de sécurité. En clair, les entreprises, dans leur quasi-totalité, cèdent au moins une fois aux attaques des cybercriminels. De plus, près d’un quart des entreprises ont été confrontées à un malware de cryptojacking, tandis que six variantes de malwares ont, à elles seules, impacté plus de 10 % de toutes les organisations. FortiGuard Labs a également identifié 30 nouvelles vulnérabilités zero-day sur ce trimestre.

Le cryptojacking s’en prend aux objets connectés résidentiels : pour renforcer le minage des crypto-monnaies, les objets connectés résidentiels – et notamment les dispositifs multimédias – sont désormais ciblés. Ces dispositifs présentent un attrait certain compte tenu de leurs ressources informatiques importantes pouvant être détournées à des fins malveillantes. Les assaillants tentent ainsi d’inoculer un malware qui assurera un minage permanent, puisque ces appareils sont généralement toujours actifs. De plus, leurs interfaces sont exploitées en tant que navigateurs web modifiés, ce qui étend le nombre de vulnérabilités et de vecteurs de minage. La segmentation devient ainsi essentielle pour cloisonner ces dispositifs personnels si leurs utilisateurs les connectent à des réseaux d’entreprise.

La créativité des cybercriminels au service des botnets : la tendance en matière de botnets illustre comment les cybercriminels maximisent l’impact de ce type de malware grâce à de multiples actions malveillantes. WICKED, une nouvelle variante du botnet Mirai, s’est ainsi enrichi de trois nouveaux exploits pour cibler les objets connectés non patchés. VPNFilter, l’attaque sophistiquée qui cible les environnements industriels SCADA/ICS grâce à une surveillance des protocoles MODBUS, est devenue une menace majeure qui exfiltre les données et peut mettre à l’arrêt un dispositif, voire un groupe de dispositifs. La variante Anubis du malware Bankbot a fait l’objet de plusieurs innovations : elle agit en tant que ransomware et enregistreur de frappe, mais peut également assurer une fonction de cheval de Troie (avec accès distant malveillant), intercepter des SMS, verrouiller les écrans et transférer des appels. Ces évolutions au niveau des attaques doivent être suivies précisément, grâce notamment à une veille pertinente sur les menaces.

Cryptojacking, malware and co !

Les concepteurs de malware misent sur un développement agile : les malwares ont longtemps été polymorphes pour éviter de se faire détecter. Les récentes attaques soulignent une adoption des pratiques de développement agile pour rendre la détection des malwares plus complexe et contourner les toutes dernières fonctions des produits anti-malware. GandCrab compte déjà plusieurs versions cette année et ses concepteurs continuent à le faire évoluer rapidement. L’automatisation des attaques, tout comme les méthodes de développement agile, pose un réel défi aux organisations ciblées, ces dernières ne disposant pas toujours du savoir-faire nécessaire pour contrer des menaces toujours plus furtives. Le développement agile utilisé par les cybercriminels incite à déployer des fonctions évoluées de protection et de détection pour combattre ces attaques de nouvelle génération.

Un ciblage efficace des vulnérabilités : les cybercriminels sélectionnent avec précision les vulnérabilités qu’ils souhaitent exploiter. Ces dernières sont sélectionnées compte tenu de leur prévalence et du volume d’exploits détectés : ainsi seules 5,7% des vulnérabilités connues sont réellement exploitées. Mais si la majorité d’entre elles ne seront pas exploitées, elles doivent néanmoins être restaurées proactivement par les entreprises.

L’utilisation des applications dans les secteurs de l’enseignement et des services publics : lorsqu’on compare le nombre d’applications utilisées par secteur d’activité, l’utilisation d’applications SaaS dans le secteur public surperforme la moyenne de 108%. D’autre part, ce secteur est devancé par celui de l’enseignement sur le critère du nombre total d’applications utilisées chaque jour, ce chiffre étant de 22,5% et 69% supérieur à la moyenne, respectivement. Le besoin pour un panel diversifié d’applications explique le taux d’utilisation plus important sur ces deux secteurs d’activité. Il s’agira néanmoins de décloisonner ces différentes applications au sein des environnements multi-cloud, pour renforcer la visibilité et appliquer les fonctions de sécurité. (Merci à Fortinet)

Argent, Arnaque, backdoor, Banque, Chiffrement, Communiqué de presse, cryptage, Cyber-attaque, Cybersécurité, DDoS, escroquerie, Fuite de données, ID, Identité numérique, Leak, Particuliers, Piratage, ransomware, Securite informatique

Cybermenaces : Que font les pirates en 1 minute ?

Cybermenaces : Les pirates feraient perdre plus de 1 million de dollars par minute dans leurs actions malveillants.

Alors que les cybercriminels et les cybermenaces ont coûté 600 milliards de dollars à l’économie mondiale l’an dernier, la société RiskIQ, spécialiste dans la gestion des menaces numériques, a fait appel à des recherches exclusives pour examiner le volume croissant d’activités malveillantes sur Internet.

L’étude montre que, dans une seule minute employée par les pirates informatique du globe, 1 138 888 dollars sont perdus. Dans ce même laps de temps, 1 861 personnes sont victimes d’un acte de piratage. Malgré les efforts des entreprises pour se protéger contre les cybermenaces externes, en dépensant jusqu’à 171 233 dollars en 60 secondes aux USA, les pirates continuent à proliférer et à lancer des campagnes malveillantes.

« Alors qu’Internet et sa communauté continuent de croître à un rythme rapide, le ciblage de la menace se développe également à grande échelle« , déclare à DataSecurityBreach.fr le PDG de RiskIQ, Elias Manousos.

Les tactiques d’attaque

Les méthides d’attaques ? Elles vont des logiciels malveillants au phishing en passant par les attaques de chaînes d’approvisionnement ciblant des tiers. Les motivations pirates incluent l’argent, les dommages à la réputation à grande échelle, la politique et l’espionnage. Les cybercriminels continuent de réussir à déployer des tactiques à partir de 1 274 logiciels malveillants uniques (par minute) et à déployer plus de neuf publicités piégées.

Activités malveillantes

Selon la société américaine RiskIQ, toutes les minutes, 1,5 entreprises de part le monde touchée par un ransomware. Coût moyen pour les entreprises : 15 221 $. (corrections, pertes …) ; En une minute, 17 applications mobiles se retrouvent sur liste noire. 21 nouveaux domaines sont créés pour du phishing et un nouveau site utilisateur (volontaire ou non) du script d’extraction de crypto-monnaie CoinHive voit le jour.

Chiffrement, Communiqué de presse, cryptage, Cybersécurité, Mise à jour, Securite informatique

L’audit de fichier : quel rôle pour une bonne conformité ?

Les mandats de conformité ont tous un point en commun, la volonté de sécuriser des données protégées. Pour ce faire, il ne faut permettre l’accès à certaines données qu’à ceux qui en ont besoin pour des raisons professionnelles. Pour pouvoir prouver aux auditeurs que c’est le cas pour les données protégées de votre organisation, il faut avoir une certaine visibilité sur qui a accès, qui utilise l’accès, et quelles actions sont effectuées sur les données protégées. Comment utiliser l’audit de fichier pour la conformité ? La société IS Decisions revient sur cette problématique en plusieurs questions comme « Faut-il utiliser une solution tierce ou un outil natif ? » ou encore « Comment garantir la conformité« .

Android, Antivirus, APT, backdoor, Communiqué de presse, Cyber-attaque, Cybersécurité, Logiciels, Piratage, ransomware, Sécurité, Securite informatique, Smartphone, Virus

Les malwares les plus actifs en France en juillet 2018

3 commentaires

Le Global Threat Index pour le mois de juillet 2018 affiche le top 10 des virus et codes malveillants les plus répandus en France.

Ce dernier rapport virus et malware met en lumière l’augmentation des attaques ciblant l’IoT et la vulnérabilité des réseaux, comme en témoigne l’entrée dans le Top 10 des « Vulnérabilités les plus exploitées au monde » de 3 vulnérabilités en lien avec l’IoT : MVPower DVR router Remote Code Execution (5ème place), D_Link DSL-2750B router Remote Command Execution (7ème place) et Dasan GPON router Authentication Bypass (10ème place).

Au total, ce sont 45% des entreprises du monde entier qui ont été touchées par des attaques ciblant des vulnérabilités en lien avec l’IoT, contre 35% en juin 2018 et 21% en mai. Ces dernières permettent aux cybercriminels d’exécuter des codes malveillants dans le but d’obtenir le contrôle à distance de dispositifs cibles.

Point d’entrée facile

« Ces vulnérabilités, malwares et et virus offrent aux cybercriminels un point d’entrée facile dans les réseaux d’entreprise, ce qui leurs permet de propager un large éventail d’attaques « , a commenté Thierry Karsenti, vice-président technique Europe pour Check Point. « Une fois qu’un dispositif est compromis, il est très facile d’infiltrer d’autres dispositifs connectés. Il est donc essentiel que les entreprises se protègent efficacement et à tous les niveaux.« 

Il est important de noter que Coinhive reste le « malware » le plus répandu dans le monde, avec un impact sur 19% des entreprises mondiales. Cryptoloot et Dorkbot se classent respectivement en deuxième et troisième position, avec un impact global de 7% chacun. Pour rappel, CoinHive n’a rien d’illégal. C’est son utilisation par des malveillants qu’il faut montrer du doigt.

Top 10 des virus et malwares

Nom du malware Description Impact mondial Impact sur le pays
1 – Coinhive Ce cheval de Troie est conçu pour effectuer l’extraction en ligne de la crypto-monnaie Monero lorsqu’un internaute visite une page Web. Le script java implanté utilise les ressources informatiques des utilisateurs finaux pour extraire de la monnaie cryptée. 18.60% 16.02%
2 – Roughted Campagne de publicité malveillante à grande échelle, elle est utilisée pour diffuser divers sites Web et charges embarquées malveillants tels que des escroqueries, des logiciels publicitaires, des kits d’exploitation de vulnérabilité et les logiciels de rançon. Il peut être utilisé pour attaquer n’importe quel type de plateforme et de système d’exploitation, et utilise le contournement des bloqueurs de publicités pour attaquer de la manière la plus efficace. 5.85% 11.60%
3 – Cryptoloot Ce malware utilise la puissance du processeur ou du GPU de la victime et les ressources existantes pour le crypto-miningen ajoutant des transactions à la chaîne de blocage et en libérant de nouvelles devises. Similaire à Coinhive, ce programme est implanté sur des pages Web et utilise le pouvoir de traitement des internautes pour exploiter tous types de crypto-monnaies. 92829 6.92% 7.07%
4 – Conficker Conficker est un virus / ver informatique qui cible le système d’exploitation Windows. Il exploite les vulnérabilités de l’OS pour voler des données telles que des mots de passe. Ainsi, il prend le contrôle des ordinateurs touchés, les transformant en « zombie ». Les ordinateurs contrôlés forment alors un réseau, utile aux hackers. 3.50% 4.09%
5 – Jsecoin Ce mineur JavaScript peut être intégré à n’importe quel site Web.  JSEcoin permet de lancer un mineur directement dans le moteur de recherche en échange d’une navigation Web sans publicité. 5.92% 3.76%
6 – Dorkbot Dorkbot est un virus / ver basé sur un IRC conçu pour permettre l’exécution de code à distance, ainsi que le téléchargement de logiciels malveillants vers le système déjà infecté. Ce dernier permet de voler des informations sensibles et de lancer des attaques par déni de service. Il installe un rootkit en mode utilisateur pour empêcher l’affichage ou l’altération des fichiers et modifie le registre pour s’assurer qu’il s’exécute chaque fois que le système démarre. Il enverra des messages à tous les contacts de l’utilisateur infecté ou détournera un thread existant pour diffuser un lien renvoyant vers la copie du ver. 6.91% 2.98%
7 – Locky Locky est un cheval de Troie ransomware qui cible la plate-forme Windows. Ce logiciel malveillant envoie des informations système à un serveur distant et reçoit une clé de cryptage permettant de crypter les fichiers présents sur le système infecté. 1.72% 2.10%
8 – Fireball Fireball est un logiciel publicitaire largement distribué par la société chinoise de marketing numérique Rafotech. C’est un détourneur de navigateur qui change le moteur de recherche par défaut et installe des pixels de suivi, mais qui peut aussi servir à télécharger des logiciels malveillants. 3.02% 1.99%
9 – Nivdort Appartenant à la famille de chevaux de Troie ciblant la plate-forme Windows, il est capable de recueillir des mots de passe et des informations sur le système ou les paramètres telles que la version Windows utilisée, l’adresse IP, la configuration du logiciel et l’emplacement approximatif. Certaines versions de ce malware sont aussi en mesure de collecter les frappes de touches afin de modifier les paramètres DNS. Nivdort se propage via des pièces jointes de courriers indésirables ou des sites Web malveillants. 2.57% 1.88%
10 – Andromeda Repéré pour la première fois en 2011, Andromeda est un bot modulaire principalement utilisé comme porte dérobée afin de diffuser des logiciels malveillants supplémentaires sur les systèmes infectés. Il peut aussi être modifié dans le but de créer différents types de botnets. 6.35% 1.66%
10b – Ramnit Ramnit est un ver qui se propage principalement par l’intermédiaire de disques amovibles et de fichiers téléchargés vers des services FTP publics. Le logiciel malveillant crée une copie de lui-même pour infecter le système. 2.71% 1.66%

 

APT, backdoor, Communiqué de presse, Cyber-attaque, Cybersécurité, Hacking, Piratage, Securite informatique

TEMP.Periscope : Des pirates Chinois, amateurs d’éléctions présidentielles ?

4 commentaires

Il n’y aurait pas que les pirates Russes amateurs d’éléctions ? Le groupe d’espionnage chinois TEMP.Periscope cible le Cambodge avant les élections de juillet 2018, et révèle un large éventail d’activités au niveau mondial.

TEMP.Periscope – La société américaine FireEye, une des « sources » des médias concernant les « pirates Russes« , annonce avoir examiné une série d’activités du groupe d’espionnage chinois TEMP.Periscope, qui révèlent un intérêt majeur pour les événements politiques au Cambodge, illustré par des cyber attaques actives contre de multiples acteurs cambodgiens liés au système électoral du pays. Ceci comprend des cyber attaques contre des entités gouvernementales cambodgiennes chargées du contrôle des élections, ainsi que le ciblage de figures de l’opposition. Cette campagne a lieu alors que se préparent les élections générales dans le pays, qui auront lieu le 29 juillet prochain. TEMP.Periscope a utilisé la même infrastructure pour une série d’activités visant des cibles plus traditionnelles, dont l’industrie de la défense aux Etats Unis et une société de l’industrie chimique en Europe. Voir notre article précédent consacré au ciblage par le même groupe de sociétés d’ingénierie et de transport maritime aux Etats Unis.

Gloabalement, selon FireEye, cette activité indique que le groupe exploite une importante architecture d’intrusion et un large éventail d’outils, et cible des victimes très diverses, ce qui est en ligne avec la stratégie traditionnelle des acteurs chinois en matière d’APT (menaces persistantes avancées). Nous pensons que cette activité fournit au gouvernement chinois une visibilité étendue sur les élections cambodgiennes et les actions du gouvernement de ce pays. De plus, ce groupe est clairement capable de mener simultanément plusieurs intrusions à grande échelle ciblant un large éventail de types de victimes.

Notre analyse a également renforcé notre affirmation que ces activités peuvent être attribuées à ce groupe de pirates chinois. Nous avons observé les outils que nous avions précédemment attribués à ce groupe, les cibles visées sont en ligne avec ses actions passées et sont également très similaires aux operations APT connues menées par le Chine. En outre, une adresse IP originaire de Hainan en Chine a été enregistrée pour des activités C2 (command and control).

TEMP.Periscope en bref

Actif depuis au moins 2013, TEMP.Periscope s’est principalement intéressé à des cibles du secteur maritime dans de nombreux domaines, dont l’ingénierie, le transport, la fabrication, la défense, les agences gouvernementales et la recherche universitaire. Toutefois, le groupe a également ciblé des services de consulting et les industries high tech, de la santé et des medias. Ses cibles identifiées sont principalement basées aux Etats Unis, même si des organisations en Europe et au moins une à Hong Kong ont également été touchées. TEMP.Periscope coincide en termes de ciblage, ainsi que de tactiques, techniques et procédures (TTPs), avec le groupe TEMP.Jumper.

Description de l’incident

FireEye a analysé trois serveurs qu’il pense être contrôlés par TEMP.Periscope, ce qui lui a permis d’obtenir des informations sur les objectifs et les tactiques opérationnelles du groupe, ainsi qu’un grand nombre de données techniques d’attribution/validation. Ces serveurs était “open indexés” et donc accessibles par quiconque sur l’Internet public, sans exiger la moindre identification. Ce type d’erreur permet d’obtenir des informations intéressantes sur les activités d’un groupe car, à la différence de données contenues dans des messages de spear phishing, des acteurs malveillants n’anticipent pas que ces données puissent être analysées. L’analyse de FireEye couvre la période allant d’avril 2017 jusqu’à aujourd’hui, la plupart des opérations actuelles étant concentrées sur les élections au Cambodge. Pour l’heure, nous retenons les domaines concernés.

Deux serveurs, Domain 1 et Domain 2, fonctionnent comme des serveurs C2 et des sites d’hébergement traditionnels, alors que le troisième, Domain 3, fonctionne comme un serveur SCANBOX actif. Les serveurs C2 contenaient à la fois les logs et le malware. Une étude des trois serveurs a révélé une adresse IP d’un acteur potentiel située à Hainan en Chine, et des données volées provenant d’attaques potentielles ciblant d’autres industries et secteurs dont l’éducation, l’aviation, la chimie, la défense, les administrations gouvernementales, le monde maritime et le high tech dans de multiples régions du monde. Les fichiers sur les serveurs comprenaient des malwares nouveaux (DADBOD, EVILTECH) et précédemment identifiés (AIRBREAK, EVILTECH, HOMEFRY, MURKYTOP, HTRAN, and SCANBOX ) utilisés par TEMP.Periscope.

Attaques sur les entités liées aux élections cambodgiennes

L’analyse des logs des victimes associées avec les serveurs identifiés a révélé des attaques ciblant de multiples entités cambodgiennes, principalement celles liées aux élections de juillet 2018. De plus, un email de spear phishing séparé analysé par FireEye a mis en évidence une action simultanée ciblant des figures de l’opposition au Cambodge. L’analyse a révélé que des organisations gouvernementales cambodgiennes et des individus ciblés avaient été attaqués comme la Commission Nationale des Elections, Ministère de l’Intérieur, Ministères des Affaires Etrangères et de la Coopération Internationale, Sénat du Cambodge, Ministère de l’Economie et des Finances. Des membres du Parlement représentant le Parti cambodgien du Sauvetage National. De multiples personnalités cambodgiennes partisans des droits de l’homme et de la démocratie ayant écrit des articles critiquant le parti actuellement au pouvoir. Deux diplomates cambodgiens en poste à l’étranger et de multiples organes de presse au Cambodge.

Le Domain 2 a été identifié comme le serveur C2 pour un malware AIRBREAK attaché à un message leurre envoyé à Monovithya Kem, Directeur Général Adjoint, Affaires Publiques, Parti Cambodgien du Sauvetage National (CNRP), et à la soeur de Ken Sokha, leader (emprisonné) d’un parti cambodgien de l’opposition. Le document leurre prétend provenir de LICADHO (une ONG cambodgienne fondée en 1992 pour promouvoir les droits de l’homme).

Une infrastructure également utilisée pour des opérations contre des entreprises privées

’infrastructure décrite plus haut a également été utilisée contre des entreprises privées en Asie, en Europe et en Amérique du Nord. Ces entreprises appartiennent à des industries très diverses, dont l’éducation, l’aviation, la chimie, le monde maritime et le high tech. Beaucoup de ces attaques sont en ligne avec les activités précédentes de TEMP.Periscope en direction des secteurs du maritime et de la défense. Toutefois, nous avons également découvert une attaque visant une société européenne dans la chimie très implantée en Asie, ce qui démontre que ce groupe est une menace pour des entreprises partout dans le monde, et particulièrement celles ayant des intérêts en Asie.

Un malware MURKYTOP de 2017 et des données contenues dans un fichier lié au domain 1 suggère qu’une entreprise impliquée dans l’industrie de la défense aux Etats Unis, peut être en lien avec la recherche maritime, a également été attaquée. De plus, des attaques probables d’une entreprise du secteur américain de la défense et d’une entreprise européenne dans la chimie ayant des bureaux en Asie ont été découvertes sur les serveurs “open indexés”.

Les Downloaders et Droppers AIRBREAK révèlent des indicateurs leurres

Les noms de fichiers pour les downloaders AIRBREAK trouvés sur les sites “open indexés” suggèrent aussi un intérêt marqué pour des cibles associées à la géopolitique liée à l’Asie orientale. De plus, l’analyse des sites downloaders AIRBREAK a révélé un serveur associé qui souligne l’intérêt de TEMP.Periscope pour la politique au Cambodge. Les downloaders AIRBREAK redirigent les victimes vers les sites indiqués pour afficher un document légitime mais leurre tout en téléchargeant un contenu malveillant AIRBREAK à partir d’un des serveurs C2 identifiés. A noter que le site hébergeant les documents légitimes n’a pas été compromis. Un domaine C2 supplémentaire, partyforumseasia[.]com, a été identifié comme la fonction de rappel (callback) pour un downloader AIRBREAK référençant le Parti Cambodgien du Sauvetage National.

Le serveur SCANBOX utilisé pour prévoir des opérations futures

e serveur SCANBOX actif, Domain 3, héberge des articles liés à la campagne actuelle au Cambodge et à des opérations plus larges. Les articles trouvés sur le serveur indiquent le ciblage d’intérêts liés à la géopolitique Etats Unis – Asie orientale, à la Russie et à l’OTAN. Les victimes sont probablement attirées sur le serveur SCANBOX soit via une attaque stratégique de site web soit via des liens malicieux dans des emails ciblés, l’article étant présenté comme un leurre. Les articles proviennent de contenus open source disponibles directement en ligne.

La suite de malwares de TEMP.Periscope

L’analyse du catalogue de malwares contenus sur les trois serveurs révèle une suite classique de contenus malveillants utilisés par TEMP.Periscope, dont les signatures d’AIRBREAK, MURKYTOP, et de HOMEFRY. De plus, l’enquête de FireEye a révélé de nouveaux outils, EVILTECH et DADBOD.

Les données contenues dans les logs renforcent l’attribution à la Chine

FireEye suit les activités de TEMP.Periscope depuis 2013 et de multiples facteurs nous conduisent à affirmer qu’il agit au nom du gouvernement chinois. Notre analyse des serveurs et des données associées dans cette dernière campagne renforcent cette affirmation. Les données du log d’accès au panneau de contrôle indique que les opérateurs sont probablement basés en Chine et travaillent sur des ordinateurs fonctionnant en langue chinoise. Les cibles historiques de TEMP.Periscope restent cohérentes avec les objectifs du gouvernement chinois, et les outils qu’il utilise sont cohérents avec ceux utilisés par de nombreuses autres équipes chinoises. Un log sur le serveur a révélé des adresses IP qui avaient été utilisées pour se connecter au logiciel employé pour communiquer avec le malware implanté sur des machines victimes. L’une de ces adresses IP, 112.66.188.xx, est située à Hainan, en Chine. D’autres adresses appartiennent à des serveurs virtuels privés, mais des éléments indiquent que les ordinateurs utilisés pour se connecter sont configurés pour fonctionner en chinois.

Perspectives et Implications

Les operations révélées ici fournissent un nouvel éclairage sur les activités de TEMP.Periscope. Nous connaissions déjà l’intérêt de cet acteur pour les affaires maritimes, mais cette campagne malveillante apporte des indications supplémentaires indiquant que ce groupe va cibler le système politique de pays possédant une importance stratégique. Le Cambodge a été un supporter fiable de la position de la Chine dans le Sud de la Mer de Chine au sein de forums internationaux tels que l’ASEAN, et figure parmi les partenaires importants du pays. Bien que le Cambodge soit classé comme Autoritaire dans le Democracy Index de The Economist, le récent renversement surprise du parti au pouvoir en Malaisie peut motiver la Chine à surveiller étroitement les élections du 29 juillet au Cambodge.

Le ciblage de la commision électorale est particulièrement significatif, en raison du rôle stratégique qu’elle joue pour inciter les gens à voter. Nous n’avons pas encore suffisamment d’informations expliquant pourquoi cette organisation a été attaquée – simplement pour récolter des informations ou dans le cadre d’une opération plus complexe. Quelle que soit la raison, cet incident est l’exemple le plus récent de l’implication aggressive d’un état nation dans les processus électoraux dans le monde. Bien que des activités liées à des élections aient seulement été découvertes en Asie du Sud Est, ce serait une erreur d’assumer que ces menaces ne peuvent pas se reproduire ailleurs.

Nous pensons que TEMP.Periscope va continuer à cibler un large éventail d’entités gouvernementales, d’organisations internationales et d’entreprises privées, particulièrement celles travaillant dans l’ingénierie ou des processus chimiques utilisés par des navires. Nous ne pensons pas qu’il va modifier beaucoup voire même un seul élément révélé par cette enquête, mais il continuera probablement à développer de nouvelles architectures d’intrusion via de nouveaux domaines, sites compromis, certificats et outils. FireEye prévoit que ces intrusions vont se poursuivre et monter en puissance aussi longtemps que le groupe y trouvera un intérêt.

Communiqué de presse, Cybersécurité, Securite informatique

COMMENT SÉCURISER LES PETITES ET MOYENNES ENTREPRISES (PME) ?

Les petites et moyennes entreprises (PME) sont devenues une cible facile, lucrative et croissante pour les cyberattaquants.

D’après l’étude du Ponemon Institute 2017, plus de 61% des PME ont été victimes d’une violation de données au cours des 12 derniers mois contre 55% en 2016. Même si de nombreuses PME sont conscientes du risque, elles trouvent difficile d’obtenir des mesures de sécurité efficaces en place.

Défis auxquels sont confrontées les PME

La plupart des PME n’ont pas suffisamment de défenses en place pour protéger, détecter ou réagir aux attaques, ce qui les rend faciles à attaquer. En réalité, l’étude du Ponemon Institute a constaté que seulement 14% des PME considèrent leur propre sécurité comme «très efficace».

  • Manque de ressources
  • Manque d’expertise
  • Manque d’information et de formation
  • Manque de temps

A cause de cela, la majorité des PME se focalise sur une sécurité protectrice. Elles mettent en place un antivirus, des filtres de messagerie, une liste blanche des applications et peut-être un système de détection d’intrusion ou d’authentification à deux facteurs pour les comptes les plus privilégiés.

Il n’y a pas de mal à cela. Ces mesures de protection et de détection doivent évidemment être mises en place, mais cela ne suffit pas. Malgré tous ces efforts, la compromission persistera. Les attaquants s’améliorent, cherchent de nouvelles façons d’attaquer et le problème est que personne ne le détecte. Et s’il n’y a pas de détection, il n’y a pas non plus de réponse.

Développer une stratégie de sécurité proactive adatée aux PME

Une stratégie de protection doit être validée au fil du temps si elle se veut être efficace. «Détection et réaction» devrait être utilisé pour s’assurer que les mesures préventives fonctionnent – il faut repérer et réagir à une activité anormale ou suspecte.

Les PME ont besoin d’une défense conçue pour les grandes entreprises en termes de concentration et d’efficacité et adaptée aux PME en termes de mise en œuvre et d’utilisation. Cette infographie vous détaille 8 critères adaptés aux PME pour atteindre un impact maximum avec un minimum d’effort.

Ce qu’il faut aux PME c’est une stratégie de sécurité proactive. Elles doivent être en mesure d’identifier quand n’importe quel type d’acteur de menace essaie de frapper. Il existe un certain nombre d’indicateurs de compromission mais il est impossible de tout surveiller en même temps. Il convient donc de déterminer quel indicateur est le plus facilement détectable, tout en fournissant le meilleur indicateur de compromission.

La gestion des connexions – la solution pour les PME !

Une PME peut rechercher des compromis de plusieurs façons, mais au final, une vérité fondamentale ressort – un attaquant est incapable de faire quoi que ce soit dans votre organisation à moins de pouvoir compromettre un ensemble de informations d’identification internes.

Autrement dit: pas de connexion, pas d’accès.

Mais pour un administrateur de sécurité, il peut être fastidieux d’essayer d’identifier une activité suspecte lorsque l’adversaire dispose d’informations d’identification valides et autorisées.

Un indicateur de compromis inclut les anomalies de connexion suivantes:

  • Point de terminaison utilisé: le PDG ne se connecte jamais à partir d’une machine située dans le département comptabilité, n’est-ce pas?
  • Heure d’utilisation – Un utilisateur avec un travail de 9h à 17h se connectant un samedi à 3h du matin? Oui, c’est suspect.
  • Fréquence – Un utilisateur se connecte normalement une fois le matin et se déconnecte le soir, s’il est soudainement en train de se connecter et déconnecter plusieurs fois en très peu de temps, cela peut indiquer un problème.
  • Sessions simultanées – La plupart des utilisateurs se connectent à un seul point de terminaison. Voir un utilisateur se connecter soudainement à plusieurs terminaux simultanément est un indicateur évident.

La visibilité est la clé. En surveillant vos connexions, vous aurez une meilleure idée des risques auquel l’organisation est confrontée quotidiennement. Néanmoins, vous devez également mettre en place des contrôles pour limiter le comportement à risque si vous voulez que votre organisation commence à améliorer sa position en matière de sécurité et à limiter les risques de compromission.

Avec UserLock, les équipes informatiques peuvent s’assurer que les utilisateurs authentifiés sont ceux qu’ils prétendent être, même lorsque les identifiants sont compromis. Les tentatives de connexions qui ne satisfont pas aux restrictions établies sont automatiquement bloquées avant que tout dommage ne soit causé. Les outils de détection des risques alertent sur des activités suspectes offrant aux administrateurs informatiques la possibilité de réagir instantanément. Travaillant aux côtés d’Active Directory, UserLock étend la sécurité bien au-delà des stratégies de groupe et des fonctionnalités Windows natives.

Pour en savoir plus sur comment sécuriser les PME, lisez le livre blanc intitulé Le défi de sécuriser les petites et moyennes entreprises (PME).

backdoor, Communiqué de presse, Cybersécurité, Mise à jour, Patch, Securite informatique

Malware Zacinlo : outil pour fraude publicitaire

2 commentaires

Un nouveau malware appelé Zacinlo, spécialisé dans la fraude publicitaire découvert. Il infecte le PC de l’utilisateur pour ensuite ouvrir des sessions de navigateur invisibles dans le but de charger des bannières publicitaires et de simuler des clics sur ces dernières, ou encore remplacer les publicités naturelles dans le navigateur par celles du pirate pour détourner les revenus publicitaires générés.

Cet adware a plusieurs caractéristiques qui ont attiré l’attention  :

  • Zacinlo contient un driver de type rootkit, qui se protège lui-même ainsi que ses autres composants. Celui-ci peut stopper des processus jugés dangereux pour le fonctionnement de l’adware, tout en empêchant son arrêt ou sa suppression. Les chercheurs ont également relevé la présence de fonctionnalités « man-in-the-browser » qui interceptent et déchiffrent les communications SSL. Cela permet à l’adware d’injecter du code JavaScript personnalisé dans les pages Internet visitées par l’utilisateur. Les malwares basés sur des rootkits sont EXTRÊMEMENT rares, et constituent généralement moins de 1% des menaces habituelles. Ils sont également très difficiles à éliminer car ils s’intègrent profondément au système d’exploitation.
  • Zacinlo inclut un programme de nettoyage d’adware, utilisé pour éliminer la « concurrence » potentielle pour l’espace publicitaire. Il est plutôt générique et ne cible pas de famille ou de type d’adware en particulier.
  • Il collecte des informations à propos de l’ordinateur infecté. Par exemple, si un logiciel antivirus est installé ou non (et si oui, lequel), quelles applications se lancent au démarrage, etc.
  • Il prend des captures d’écran et les envoie au serveur de commande et contrôle pour analyse. Cette fonctionnalité menace la vie privée des victimes car les captures d’écran peuvent contenir des informations sensibles telles que des e-mails, des conversations privées, des identifiants ou des coordonnées bancaires.
  • Il peut faciliter l’installation de quasiment n’importe quel nouveau logiciel de manière transparente, sans arrêter de fonctionner et ainsi étendre ses fonctionnalités.
  • Il ajoute ou remplace des publicités lors de la navigation en cherchant des objets de type « DOM » par taille, par style, par classe ou expressions régulières spécifiques.
  • Il extrait des publicités de plusieurs plateformes, dont Google AdSense.
  • Il ouvre des pages Internet en arrière-plan dans des fenêtres cachées, et interagit avec elles comme un utilisateur normal : en les faisant défiler, en cliquant et en utilisant le clavier. Il s’agit d’un comportement typique des fraudes publicitaires, qui inflige d’importants dommages financiers aux plateformes publicitaires en ligne.
  • Zacinlo utilise énormément de projets et de bibliothèques Open-Source (ex : chromium, cryptopop, jsoncpp, libcef, libcurl, zlib).
  • Il utilise des scripts Lua pour télécharger différents composants (très certainement afin de passer inaperçu aux yeux de certains programmes antivirus qui détectent les téléchargements suspects et les bloquent).
  • Il dispose d’un design extrêmement paramétrable et hautement modulaire, ce qui lui permet d’étendre ses fonctionnalités grâce à des scripts et des fichiers de configuration disponibles via les infrastructures de commande et contrôle.

Ce malware est présent principalement aux États-Unis et semble avoir une certaine affinité pour Windows 10. La France et l’Allemagne font également partie des pays qui en sont victimes, bien que le nombre d’infections soit un peu plus bas qu’aux États-Unis jusqu’ici.  Un livre blanc édité par BitDefender détaille ce nouveau malware ICI .

Communiqué de presse, Cybersécurité, DDoS, Mise à jour, Piratage, Securite informatique

Retour en force des attaques DDoS en Europe en 2018

2 commentaires

Les attaques par déni de service, ou DDoS, avaient marqué les esprits à la fin de l’année 2016. Perpétrées grâce au botnet « Miraï », l’un des premiers « thingbots » constitué exclusivement d’objets connectés (Internet of Thing), les deux attaques de plusieurs Tbit/s lancées contre OVH et DynDNS, avaient ébranlé le web mondial.

De l’avis des experts, ce type d’attaques était voué à se multiplier en 2017. Il n’en fut rien et les attaques tant redoutées ne se sont jamais produites. Pourtant les pirates n’ont pas mis un terme à leurs attaques volumétriques massives. Ils n’ont simplement pas exploité au maximum de leurs capacités, les impressionnantes cyberarmes à leur disposition.

F5 fait état d’une véritable explosion des attaques DDoS depuis janvier 2018 :   

  • Le thingbot « JenX » proposant ses services pour mener des attaques DDoS (DDoS-for-hire) a tout d’abord été découvert en janvier. Celui-ci permet de lancer des attaques DDoS de 300 Gbit/s pour la modique somme de 20 dollars, plaçant ainsi la neutralisation d’une cible à la portée de tous.
  • En mars, c’est un nouveau record du monde qui a été établi : le site de développement collaboratif GitHub a été ciblé par une attaque DDoS d’une puissance sans précédent, atteignant un débit de 1,35 Tbit/s. Techniquement, l’attaque a été lancée depuis des systèmes de mémoire cache (« memcached ») non sécurisés.

Le centre des opérations de sécurité (SOC) de F5 Silverline fait état d’une véritable explosion des attaques DDoS en 2018. Jusqu’à présent, le SOC F5 a écarté des attaques volumétriques de haut débit comprises entre 100 et 300 Gbit/s. Les attaques volumétriques reviennent ainsi sérieusement jouer les trouble-fête.

F5 a observé plusieurs tendances dans les attaques menées à la fin de l’année 2016 et les nombreuses attaques réapparues lors du 1er trimestre 2018.

  • Les entreprises de la zone Europe, Moyen-Orient et Asie-Pacifique sont désormais toutes autant ciblées que leurs homologues nord-américaines.
  • Les établissements financiers et les hébergeurs continuent de figurer parmi les secteurs les plus ciblés. Mais sur le 1er trimestre 2018, ce sont les sociétés de jeu en ligne qui ont été particulièrement ciblées. A eux trois, ces secteurs ont subi 76 % des attaques DDoS au 1er trimestre 2018.
  • Cependant, avec la montée en puissance de ressources à la location, bon marché, qui facilitent le ciblage de tout type d’entreprise, l’écart se rétrécit entre ces secteurs historiquement ciblés et les autres.
  • Le SOC de F5 a commencé à neutraliser des attaques DDoS ciblant directement des applications (et non le réseau) au 3ème trimestre 2016, et cela risque de devenir un vecteur d’attaque en hausse à mesure que les entreprises évoluent vers des processus de virtualisation de services orientés applications.
  • Après un hiatus en 2017, les attaques volumétriques à haut débit ont repris au premier trimestre 2018. En mars 2018, le SOC de F5 a neutralisé une attaque multi-vecteurs de 325 Gbit/s, principalement issue de systèmes basés aux États-Unis.

Vincent Lavergne, expert attaques DDoS de F5 explique : « Avec l’explosion des objets connectés, du Cloud computing et des bases de données en ligne, les pirates disposent plus que jamais de systèmes plus vulnérables leur permettant de lancer des attaques DDoS dévastatrices ».

Rappel – Quelques bonnes pratiques pour se prémunir de ce type d’attaques :

  1. Ne pas exposer l’administration à distance à l’ensemble du réseau Internet, en particulier aux appareils IoT ou aux bases de données en ligne.
  2. Protéger ses systèmes au moyen de protocoles d’accès sécurisés, d’identifiants d’administration complexes (ou de clés SSH lorsque cela est possible), et ne pas laisser se produire des attaques par force brute.
  3. Appliquer régulièrement des correctifs sur tous les systèmes en contact avec Internet, et immédiatement dès la détection d’une faille dans l’exécution de code à distance ou d’un défaut de conception susceptible de conduire à une exploitation à distance.

L’analyse approfondie menée par F5 révèle également les enseignements suivants :

  • Croissance des attaques mondiales

Le nombre d’attaques neutralisées au niveau mondial par F5 entre 2016 et 2017 a augmenté de 26 %. Sur le premier trimestre 2018 (vs le 1er trimestre 2017), F5 a analysé une augmentation plus significative, de 33% du nombre d’attaques.

Toutes les zones observées par F5 ont connu une hausse constante des attaques depuis 2016, mais le nombre d’attaques DDoS commises contre des cibles dans la région Asie-Pacifique (APAC) augmente plus rapidement que dans n’importe quelle autre région du monde.

L’Amérique du Nord, historiquement la zone la plus touchée par les attaques DDoS, est depuis 2017 passées sous la barre des 50% du total d’attaques DDoS mondiales, alors que les attaques DDoS ciblant la région EMEA ont augmenté d’environ un tiers. La région APAC a, quant à elle, fait un bond de 8 % en 2016 à 17 % en 2017. Au premier trimestre 2018, les entreprises de la région APAC ont subi presque autant d’attaques que les entreprises situées en Amérique du Nord.

  • Répartition des attaques par secteur

Les hébergeurs Web et les établissements financiers ont toujours figuré parmi les principales cibles d’attaques DDoS, une tendance qui ne s’est pas démentie en 2017.

Vincent Lavergne explique : « Dans ces deux secteurs, tout temps d’arrêt se traduit directement en pertes financières. C’est pourquoi les attaques DDoS avec chantage à la clé sont très lucratives, car le fait de payer la rançon est pour les entreprises un moyen efficace de régler le problème ».

Le fossé se rétrécit entre les principales cibles traditionnelles et d’autres secteurs ; les profils des cibles sont variés et comptent notamment les fournisseurs de technologies, les FAI, l’univers du jeu en ligne et les fournisseurs de services aux entreprises.

Vincent Lavergne ajoute : « Chaque année, nous continuons à observer un plus large éventail de cibles d’attaques DDoS, en corrélation avec la hausse des services « DDoS for hire » à des prix extrêmement abordables et la mise à disposition des outils DDoS accessibles même aux néophytes ».

  • Origine des attaques

F5 a analysé un ensemble d’attaques de très fort débit, persistantes pendant 4 jours en mars 2018 et a observé que les 10 principaux pays à l’origine du trafic ont conservé le même débit tout au long des attaques, ce qui pourrait laisser entendre que ces attaques ont été lancées par les mêmes systèmes sur toute la durée de quatre jours. Ce type de comportement d’attaque cadre avec l’utilisation d’objets connectés, dans lesquels des failles et les attaques qui en découlent ne sont pas détectées, ou, dans un scénario moins probable, avec la compromission de systèmes appartenant à des entreprises (qui ne sont pas au courant de la faille) et qui sont utilisés pour lancer des attaques.

Fait inhabituel, la plus importante source de cette campagne d’attaques est venue des États-Unis. Cela indique qu’un nombre significatif de systèmes vulnérables (appareils IoT ou systèmes « memcached » potentiellement compromis) est ciblé aux États-Unis pour lancer des attaques DDoS.

APT, backdoor, Communiqué de presse, Cybersécurité, Securite informatique

Les fraudes sur les réseaux sociaux augmentent de 200%

2 commentaires

Chaque jour, les chercheurs analysent plus de 5 milliards de messages électroniques, des centaines de millions de messages sur les réseaux sociaux, et plus de 250 millions d’échantillons de logiciels malveillants pour protéger les entreprises du monde entier contre ces menaces.

Le Proofpoint Quarterly Threat Report met en lumière l’évolution des systèmes sophistiqués de menaces, que ce soit à travers les emails, les réseaux sociaux ou plus largement sur internet. Conçu pour mieux combattre les menaces d’aujourd’hui et anticiper les attaques émergentes, il permet de découvrir les tendances du premier trimestre de 2018 en termes de cyberattaques :

Attaques sur les réseaux sociaux et les moteurs de recherche en forte augmentation avec une hausse de phishing

La fraude par les réseaux sociaux, et le  » phishing « , ont explosé au T1 2018, avec une augmentation de 200% par rapport au trimestre précédent. 30 % des enregistrements de domaines liés au Bitcoin étaient suspects, mais les nouveaux enregistrements ont fortement diminué alors que la valeur du Bitcoin a continué à baisser au cours du premier trimestre. 84% des PDG du Fortune 500 ont été victimes de menaces et de discours haineux sur Twitter et sur le dark web en février 2018.

Tendances des menaces par email : les chevaux de Troie bancaires reprennent la première place tandis que le phishing explose

Au premier trimestre, 59% des messages malveillants étaient des chevaux de Troie bancaires.

Pour la première fois depuis le deuxième trimestre 2016, les chevaux de Troie bancaires ont remplacé les ransomwares en tant que principaux logiciels malveillants dans le domaine de la messagerie électronique.

Les voleurs d’informations confidentielles et les adeptes du téléchargement représentaient le reste des menaces malveillantes avec respectivement 19 % et 18 % des courriels malveillants. L’accalmie des ransomwares et les volumes généralement plus faibles d’emails malveillants au premier trimestre semblent être associés à une perturbation du botnet Necurs, mais ont été accompagnés de charges utiles plus diverses, y compris des RAT et des backdoors. Emotet était le cheval de Troie bancaire le plus largement distribué, représentant 57% de l’ensemble des chevaux de Troie identifiés. 40 % des organisations ciblées ont été attaquées entre 10 et 50 fois au T1 2018, et le nombre d’entreprises recevant plus de 50 attaques a augmenté de 20% par rapport au dernier trimestre de 2017.

Menaces sur le Web : Les kits d’exploitation continuent de décliner à mesure que de nouvelles menaces émergent. Le trafic des kits d’exploitation (EK) a continué à baisser de 71 % par rapport au trimestre précédent. Environ 95% des attaques basées sur le Web sont maintenant redirigées vers des schémas d’ingénierie sociale au lieu de kits d’exploitation. Les chercheurs de Proofpoint ont joué un rôle clé dans le naufrage de l’EITest, la plus ancienne chaîne d’infection du web, empêchant jusqu’à deux millions de redirections malveillantes par jour.

Pour plus de détails.

Android, Communiqué de presse, Smartphone

Enquête sur la diffusion de la propagande de l’État Islamique sur Internet

Des analystes d’une société américaine ont infiltré les deux principaux forums de l’EI sur le Deep & Dark web pour définir les plateformes de diffusion de contenus les plus populaires.

Entre janvier 2015 et décembre 2017, les analystes de Flashpoint ont infiltré et étudié les deux principaux forums de l’EI sur les réseaux du Deep & Dark web. Ces deux forums sont appelés « Forum 1 » et « Forum 2 » dans l’enquête présentée par Flashpoint. Les analystes de Flashpoint ont plus particulièrement analysé les liens URL partagés par les membres de ces deux forums – soit 290 000 liens sur le Forum 1 et 730 000 liens sur le Forum 2 (certains liens étant dupliqués sur les deux forums) – afin de définir les plateformes d’hébergement de contenus les plus populaires.

Archive.org, véritable « librairie » de l’Etat Islamique sur Internet

Comme le révèle le tableau ci-dessous, le site Archive.org est depuis plus de 3 ans, la plateforme d’hébergement de contenus extrémistes la plus utilisée par l’EI et ses partisans pour diffuser leur propagande. Archive.org est un site légitime qui est à l’origine un projet d’un spécialiste de l’intelligence artificielle du célèbre institut américain MIT et qui a pour objectif d’archiver le « Web » à l’intention des futures générations. Mais l’enquête de Flashpoint démontre que le site offre à l’Etat Islamique le meilleur moyen d’héberger des contenus sur la durée. En effet, même si certains contenus ont été effacés, de nombreux autres sont restés accessibles sur Archive.org durant les 3 ans de l’enquête.

Plusieurs célèbres plateformes sont également très populaires et positionnées en haut du top 10 des principales plateformes utilisées pour diffuser du contenu de propagande. Même si son utilisation a légèrement décliné entre 2015 et 2017, Youtube fait toujours parti du Top 5 de ces plateformes, tout comme Google. Il est tout de même à noter que même si Twitter et Youtube n’ont pas rendu public l’ensemble de leurs actions pour éradiquer les contenus extrémistes de leur plateforme, leurs efforts ont eu des résultats. Twitter a ainsi disparu du top 10 des plateformes les plus populaires.

D’après les messages récupérés par les analystes de Flashpoint sur les forums, le groupe EI semble regretter ce manque de présence sur Twitter. Dans un post publié sur le Forum 2 en janvier 2018, l’auteur d’un fil de discussion a partagé une capture d’écran d’un tweet qui déclarait, en langue arabe, que « l’une des plus grandes pertes de l’État islamique est la perte de ce que l’on appelait « Wilayat Twitter » (pouvant être traduit littéralement par « région administrative Twitter »).

Malgré cela, le groupe tente toujours en vain d’inciter ses partisans à revenir sur Twitter. Les analystes de Flashpoint citent par exemple un partisan de l’EI qui réagissait au tweet d’une capture d’écran soulignant la chute de l’utilisation de Twitter par l’EI, par un appel : « Nous vous demandons jour et nuit de revenir sur Twitter… »

Ce à quoi un autre partisan répondait (également traduit de l’arabe) : « Frère, cette tâche est impossible. J’ai moi-même eu plus de 120 comptes fermés sur Twitter. Parfois, trois comptes étaient fermés le même jour. Même si je n’étais pas aussi actif que d’autres comptes. Quelle est l’utilité d’un compte fermé une heure après son ouverture ? »

Telegram, un outil de diffusion efficace mais à l’audience trop limitée

L’enquête révèle que les unités médias de l’EI ont utilisé l’application de messagerie chiffrée Telegram de manière très efficace pour diffuser du matériel de propagande vers un public très ciblé. Néanmoins, la guerre de l’information leur impose de diffuser largement leurs messages pour qu’ils soient efficacement consommés par l’ensemble de leurs cibles (partisans, personnes vulnérables et radicalisables, voire même aux opposants de l’EI). Par conséquent, l’EI a besoin d’autres plates-formes pour diffuser la propagande.

L’un des principaux distributeurs de propagande de l’EI sur les réseaux, « Nashir News » a ainsi réalisé plusieurs tentatives pour s’implanter sur d’autres plates-formes, et encouragé les partisans à créer des comptes sur celles-ci pour redistribuer du contenu. Au cours de l’année 2017, le groupe a tenté d’établir des comptes sur Twitter et d’autres plateformes et agrégateurs de médias sociaux. En outre, le groupe a publié des messages via Telegram pour appeler les partisans à établir des comptes Twitter et à redistribuer du matériel de propagande. Malgré ces efforts, les comptes étaient généralement fermés dans les heures suivant leur ouverture.

Ken Wolf, Analyste Intelligence Senior de Flashpoint, l’un des principaux auteurs de l’enquête, explique : « Les géants mondiaux de la Tech sont confrontés au défi de la propagande extrémiste. Non content de voir leurs plateformes utilisées à des fins malveillantes, ils sont également sous le feu des critiques pour leur incapacité à éradiquer ce fléau. Depuis décembre 2017, plusieurs gouvernements européens ont annoncé des plans pour taxer les entreprises de la Tech qui n’éliminent pas le contenu extrémiste de leur site Web (UK, Allemagne, etc.). Des mouvements d’Hacktivisme attaquent également la présence de l’EI en ligne comme OpISIS qui signale, détourne ou prend le contrôle des comptes de propagande. Certains mouvements peuvent également représenter un risque pour les plateformes elles-mêmes comme ce fut le cas en 2015 lorsque le groupe AttackNodes a mis Archive.org hors service au moyen d’une attaque DDoS pour alerter sur les contenus de propagande que le site hébergeait ».

Ken Wolf conclut : « Même si la plupart des plateformes mettent en place des actions pour les stopper, ou qu’ils sont signalés, les djihadistes font preuve d’une grande adaptabilité et résilience dans leurs efforts pour distribuer leur propagande. Alors que la guerre continue et que l’Etat Islamique subi des pertes territoriales, Internet va certainement se développer encore plus pour diffuser le plus largement possible l’idéologie du groupe et pour élargir la base de soutien de l’EI. Pour ces raisons, accroitre l’efficacité des programmes visant à stopper la présence en ligne de l’EI doit être un objectif majeur pour lutter et vaincre l’Etat Islamique ».

Communiqué de presse, Cybersécurité, double authentification, Facebook, Mise à jour, Particuliers, Securite informatique

Facebook annonce son entrée au conseil d’administration de l’Alliance FIDO

Un commentaire

Alliance FIDO : Facebook rejoint d’autres grandes entreprises du secteur high-tech, de la finance et du commerce en ligne pour réduire la dépendance des utilisateurs vis-à-vis des mots de passe.

L’Alliance FIDO annonce l’entrée de Facebook au sein de son conseil d’administration. Le réseau social rejoint ainsi d’autres grands noms des secteurs des hautes technologies, des services financiers et du commerce en ligne, afin de concrétiser la vision stratégique de l’Alliance de réduire la dépendance des utilisateurs du monde entier vis-à-vis des mots de passe, grâce à une authentification plus forte et plus simple.

L’Alliance FIDO développe des spécifications d’authentification forte interopérables pour les plateformes informatiques, ainsi que les applications web et mobiles. Grâce à l’intégration de la technique de chiffrement à clé publique dans des outils d’authentification simples d’emploi, tels que les clés de sécurité ou la biométrie, l’approche proposée par l’Alliance FIDO se distingue par un plus haut niveau de sécurité, de confidentialité et de simplicité que les mots de passe et autres formes d’authentification forte.

« Les mots de passe faibles continuent de causer des problèmes inutiles qui pourraient être évités en déployant et en utilisant des techniques d’authentification forte sur une plus grande échelle. Nous sommes fiers de rejoindre le conseil d’administration de l’Alliance FIDO et d’aider ses membres à atteindre leur objectif : élargir et simplifier la disponibilité de l’authentification forte sur les navigateurs web, ainsi que sur les plateformes mobiles et de bureau », a déclaré Brad Hill, ingénieur logiciel, chez Facebook.

Malgré son arrivée toute récente au sein du conseil d’administration de l’Alliance, Facebook a joué un rôle actif en faveur de l’authentification préconisée par l’Alliance FIDO depuis janvier 2017 en permettant à ses 2 milliards d’utilisateurs quotidiens d’utiliser une clé de sécurité compatible FIDO pour s’identifier et accéder à leur compte.

Outre Facebook, de nombreux prestataires de services de premier plan, parmi lesquels Aetna, Google, PayPal, Samsung, Bank of America, NTT DOCOMO, Dropbox ou Github, mettent la technologie d’authentification FIDO à la disposition de leurs vastes bases d’utilisateurs. Le mois dernier, Google, Microsoft et Mozilla se sont ainsi engagés à prendre en charge la norme WebAuthn récemment annoncée dans leurs navigateurs, rendant l’authentification FIDO accessible aux internautes aux quatre coins du Web.

« Nous sommes heureux d’accueillir Facebook parmi les membres de notre conseil d’administration, a déclaré Brett McDowell, Directeur Exécutif de l’Alliance FIDO. Facebook est l’un des services web et mobiles les plus largement utilisés à travers le monde et, à ce titre, contribuera fortement à la mission de l’Alliance FIDO, à savoir proposer des expériences d’authentification à la pointe de l’innovation qui satisfont pleinement les utilisateurs, tout en résolvant les problèmes de sécurité liés à l’utilisation de mots de passe. »

Communiqué de presse, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Logiciels, Microsoft, Mise à jour, Patch, Piratage, Securite informatique

Une exploit 0-Day pour Internet Explorer utilisée in the wild

Un commentaire

Fin avril 2018, un exploit inconnu jusqu’alors détécté. Après analyse, il s’avère que cet exploit utilise une vulnérabilité zero-day CVE-2018-8174 pour Internet Explorer. L’exploit a été utilisé dans des attaques ciblées. Depuis le 8 mai, Microsoft propose la contre-mesure de sécurité.

Il est intéressant de noter que l’exploit Internet Explorer a été téléchargé au sein d’un document Microsoft Word. C’est la première fois que l’on note l’utilisation d’une telle technique. A noter également qu’une version de Microsoft Word entièrement patchée a été exploitée avec succès. Après cette découverte, Microsoft diffuse un patch disponible ici, depuis mardi 8 mai.

Un exploit est une forme de logiciel qui se sert des bugs ou des vulnérabilités d’autres logiciels pour infecter des victimes avec un code malveillant. Les exploits sont utilisés très largement par les cybercriminels à la recherche de profits mais aussi par des acteurs plus sophistiqués, qui disposent de soutiens étatiques, dans un but malveillant.

Dans ce cas particulier, l’exploit identifié se base sur le code malveillant exploitant la vulnérabilité zero-day – un bug typique « use-after-free » quand un code exécutable légitime, comme celui d’Internet Explorer, comporte une logique de traitement de la mémoire incorrecte. Cela conduit à la communication d’un code avec de la mémoire disponible. Alors que dans la plupart des cas, cela débouche sur un simple crash du navigateur, l’exploit permet aux attaquants de prendre le contrôle de l’appareil.

Des analyses approfondies de l’exploit ont permis de mieux comprendre la chaine d’infection :

  • La victime reçoit un document Microsoft Office RTF malveillant
  • Après avoir ouvert le document malveillant, la seconde phase de l’exploit est téléchargée – une page HTML avec un code malveillant
  • Le code déclenche un bug UAF de corruption de la mémoire
  • Le shellcode qui télécharge la charge malveillante est alors exécuté.

« Cette technique, jusqu’à ce qu’elle soit corrigée, permettait aux criminels de forcer le chargement d’Internet Explorer, peu importe le navigateur habituellement utilisé par la victime. Cela démultiplie le potentiel de l’attaque, pourtant déjà énorme. Heureusement, la découverte proactive de la menace a permis à Microsoft de sortir un patch correctif dans les temps. Nous invitons les organisations et utilisateurs à installer les patchs les plus récents immédiatement après leur disponibilité, car il ne faudra pas beaucoup de temps avant que les exploits de cette vulnérabilité ne trouvent leur place dans des kits d’exploits populaires et soient utilisés non seulement par les acteurs de menaces sophistiqués, mais également par des cybercriminels de plus petit calibre », explique Anton Ivanov, Security Researcher, Kaspersky Lab

APT, backdoor, Communiqué de presse, Cyber-attaque, Cybersécurité, Mise à jour, Piratage, Securite informatique

ZooPark : une nouvelle campagne de malware Android propagée par l’infection de sites web légitimes

Des chercheurs en cybersécurité viennent de découvrir ZooPark, une campagne élaborée de cyberespionnage. ZooPark cible depuis plusieurs années les utilisateurs d’appareils Android dans divers pays du Moyen-Orient. Se servant de sites web légitimes comme sources d’infection, cette campagne paraît être une opération étatique visant des organisations politiques, des activistes et d’autres cibles dans la région.

Dernièrement, les chercheurs ont reçu ce qui semblait être un échantillon d’un malware Android inconnu. De prime abord, le malware ne paraissait guère sérieux, tout au plus un outil de cyberespionnage très simple sur le plan technique. Les chercheurs ont alors décidé d’enquêter plus avant et n’ont pas tardé à découvrir une version bien plus récente et complexe du même logiciel, qu’ils ont dénommé ZooPark. Sa cible : le Maroc, l’Egypte, le Liban, la Jordanie et l’Iran.

Certaines applications du code malveillant ZooPark sont diffusées à partir de sites d’actualités ou politiques très consultés dans certaines zones du Moyen-Orient. Elles se dissimulent sous la forme d’applications légitimes portant des noms tels que « TelegramGroups » ou « Alnaharegypt news ». Une fois l’infiltration réussie, le malware offre à l’auteur de l’attaque de nombreuse possibilités. Parmi les actes possibles : Exfiltration des contacts, identifiants de comptes, journaux et enregistrements audio des appels. A cela se rejoute les photos stockées sur la carte SD de l’appareil. Bien entendu, la localisation GPS. Les SMS. Les détails des applications installées, données du navigateur. Enregistrement des frappes clavier et contenu du presse-papiers. La backdoor peut envoyer, discrtement, des SMS. Téléphoner à des numéros, comme des lignes surtaxées.

Une autre fonction malveillante cible les messageries instantanées (Telegram, WhatsApp, IMO), le navigateur web (Chrome) et plusieurs autres applications. Elle permet au malware de dérober les bases de données internes des applications attaquées. Par exemple, dans le cas du navigateur, il s’agit des identifiants enregistrés pour d’autres sites web, susceptibles d’être infectés à la suite de l’attaque.

Les investigations laissent penser que les attaques ciblent en priorité des utilisateurs en Egypte, en Jordanie, au Maroc, au Liban et en Iran. En fonction des thèmes d’actualité choisis par les assaillants pour inciter par tromperie leurs victimes à installer le malware, des membres de l’Office de secours et de travaux des Nations Unies (UNRWA) font partie des cibles potentielles de ZooPark.

« Les utilisateurs sont de plus en plus nombreux à se servir de leur mobile comme principal voire unique moyen de communication. Or cette tendance n’est certainement pas passée inaperçue aux yeux des acteurs malveillants étatiques, qui développent leur arsenal afin de le rendre suffisamment efficace pour pister les utilisateurs mobiles. La menace persistante avancée (APT) ZooPark, qui espionne activement des cibles dans des pays du Moyen-Orient, en est un exemple mais il n’est sans doute pas isolé », commente Alexey Firsh, expert en sécurité chez Kaspersky Lab. Au total, au moins quatre générations du malware espion lié à la famille ZooPark ont été détéctées depuis 2015.

Arnaque, Communiqué de presse, Cybersécurité, escroquerie, Identité numérique, Mise à jour, Particuliers, Patch, Phishing, Securite informatique, Vie privée

Nouvelle vague de phishing détectée. 550 millions de mails bloqués

Grâce à sa technologie prédictive basée sur une intelligence artificielle, Vade Secure a découvert début janvier une vague d’attaque de phishing d’un nouveau genre. Habituée à des mails usurpant l’identité de banques, de fournisseurs d’accès internet ou de grands noms de la grande distribution en ligne, dans le but de voler les identifiants de connexion de la victime, la société  a détecté en janvier une nouvelle vague de phishing frappant la France.

Représentant un volume mondial cumulé de 550 millions de mails sur le premier trimestre 2018, cette nouvelle vague d’arnaque se présente sous la forme d’un mail marketing proposant un coupon de réduction ou la participation à un concours en ligne. Cet mail usurpant des marques de la grande distribution, de services de streaming en ligne ou bien encore d’opérateurs télécoms géolocalise la victime et adapte son discours en fonction de la langue. Cf. les captures d’écran ci-dessous.

Sébastien Gest, Tech Evangéliste de Vade Secure explique : « La finalité de cette attaque réside dans le fait de voler les coordonnées bancaires de la victime à la suite d’un quizz dans le but de gagner le fameux coupon réduction ». 

Quelle est la nouveauté dans cette attaque ? 

Habituellement les pages de phishing sont hébergées sur des sites internet piratés. Ce n’est pas ici le cas, les adresses IP, les serveurs et les noms de domaines semblent loués et donc légitimes. Après analyse, le coût de l’infrastructure engagée par les pirates semble très important, pouvant se chiffrer à plusieurs dizaines de milliers d’euros. Afin de brouiller les outils de détection, les pirates ont utilisé en série des outils permettant de raccourcir les URL dans le but de masquer l’adresse de destination du lien. Cette technique a été utilisée en chainant plusieurs centaines d’URL entre elles.

Du fait de ces différentes techniques de nombreuses solutions basées sur des technologies de réputation ne détectent pas cette nouvelle vague, qui nécessite des techniques avancées d’analyse des liens et du contexte de la menace pour être bloquée.

Quelques conseils à destination des particuliers :

o    Ne jamais cliquer sur un lien si la sollicitation vous semble suspecte.

o    Si vous avez un doute allez sur isitphishing.ai et entrez l’adresse pour valider si la page est une page légitime ou une page de phishing.

o    Toujours être vigilant devant un mail même si la marque vous semble familière.

o    Une entreprise ne demandera jamais vos identifiants par mail. ​

Communiqué de presse, Securite informatique

Le droit à la déconnexion : comment l’intégrer et l’adapter à votre entreprise ?

Le droit à la déconnexion a fait son entrée dans le code du travail le 1er Janvier 2017. Il doit permettre l’équilibre entre vie professionnelle et vie personnelle et familiale des salariés.

Avec les nouvelles technologies, désormais incontournable dans le monde du travail, ce sont les modes de travail qui évoluent. Le lieu de travail n’existe plus dans bien des secteurs, les salariés sont de plus en plus « connectés » en dehors des heures de travail, la frontière entre vie professionnelle et personnelle est mince, le temps de travail n’est plus continu… C’est donc pour s’adapter à cette réalité et créer les protections nécessaires à la santé des salariés actuelle qu’un droit à la déconnexion est inscrit dans la loi.

Le problème aujourd’hui, plus d’un an après son entrée en vigueur, c’est qu’il ne fonctionne tout simplement pas. Pourquoi ? Le droit à la déconnexion n’est pas une obligation, c’est une suggestion. Les utilisateurs actuels sont obstinés et ne se déconnectent pas ! Ce qu’il faut mettre en place c’est une stratégie qui restreint les comportements et qui soit adaptée aux besoins de chaque entreprise.

Pourquoi est-il nécessaire ?

Voyons quelques chiffres pour expliquer cette nécessité.

  • 78% des cadres consultent leurs communications professionnelles pendant leur temps de loisirs (week-ends et vacances)[1]
  • 82% juge anxiogène cette connexion quasi-permanente[2]
  • 72% des cadres considèrent que les outils connectés tendent à augmenter la charge de travail[3]
  • 60% qu’ils dégradent la qualité de vie
  • 89 % estime que les Technologies de l’Information et de la Communication (TIC) contribuent à les faire travailler hors de l’entreprise

Le droit à la déconnexion est ainsi apparu afin que chacun puisse limiter la surcharge d’information et les risques associés (problématique de sommeil, stress, burnout,…).

Le problème c’est la suggestion !

La loi El Khomri ne donne pas de définition claire du droit à la déconnexion. Les entreprises elles même doivent définir les modalités du droit à la déconnexion. Pour cela, elles doivent rédiger une charte.

« La seule obligation est d’élaborer une charte, qui n’engage à rien.  Clairement, les organisations qui ne veulent pas s’embarrasser de ce problème la signent, et c’est tout. » Caroline Sauvajol-Rialland, spécialiste de l' »infobésité ».

Sébastien Crozier, président du syndicat CGC-Orange témoigne : « C’est un texte qui dit grosso modo ‘vous n’êtes pas obligés de lire vos mails le week-end, et vous n’êtes pas obligés d’y répondre’. Mais si les employés  sous pression décident néanmoins de franchir la ligne, on ne leur dira rien… »

 « Elles n’ont aucune valeur juridique », ajoute-t-il.

La loi est entrée en vigueur en janvier 2017 mais selon une étude IFOP menée en juillet 2017 78% des cadres ouvrent encore leur messagerie en dehors des heures de bureau. Une majorité de cadres (52%) affirme que son entreprise ne s’est pas engagée dans l’application du droit à la déconnexion. Cette proportion s’élève à 63 % dans les entreprises de moins de 50 salariés.

Sébastien Crozier  est formel « Le droit à la déconnexion, ça ne marche pas. Ça ne fonctionne pas. Les gens ne se déconnectent pas. La rupture ne se fait pas. »

Il faut mettre en place une stratégie qui restreint le comportement des utilisateurs…

Si le droit à la déconnexion ne fonctionne pas, c’est parce que les utilisateurs (les humains) ont besoin d’être guidés. La suggestion ne leur suffit pas. Ils arriveront toujours à contourner le problème. Aujourd’hui, ce qu’il faut aux entreprises c’est une solution qui restreint carrément le comportement.

Jean-Claude Delgenes, directeur général du cabinet Technologia, s’exprime « Mais s’il y a une incitation, il n’y a pas de contrainte. Il n’y a pas de trêve organisée, il aurait fallu aller plus loin, proposer une base minimale obligatoire de déconnexion. »

L’objectif est de pousser les utilisateurs à se déconnecter et les aider à séparer leur vie professionnelle et leur vie personnelle.

… et une stratégie propre à chaque organisation !

Certaines entreprises ont mis en place des solutions. Volkswagen, en Allemagne, comptabilise toutes les heures travaillées en dehors du bureau, qui sont intégrées dans le calcul des congés. Daimler a lancé en 2014 l’opération « mail on holiday », qui consiste, quand vous partez en vacances, à être automatiquement déconnectés. Plus près de nous, en France, Renault a mis en place pour les mails internes un délai de réponse suivant les demandes, qui permet de sortir du sentiment d’urgence. Michelin, a quant à elle engagé une  démarche de contrôle de connexion des managers.

Il ne faut pas oublier de prendre le temps de réfléchir aux impacts des mesures de déconnexion que vous prenez. Il faut comprendre qu’une action qui a fonctionné dans une entreprise peut très bien ne pas fonctionner dans une autre. C’est pourquoi il est important de mettre en place une stratégie adaptée aux besoins de chaque organisation.

« Toutes les entreprises sont différentes et il serait stupide de vouloir imposer un modèle unique à tout le monde », estime Laurent Riche de la Confédération française démocratique du travail (CFDT).

Quel outil utiliser ?

Dans le cadre de la mise en place du droit à la déconnexion dans votre entreprise, UserLock est un logiciel simple et intuitif qui s’adapte à vos besoins et qui vous permet d’appliquer des règles spécifiques et granulaires d’accès au réseau en temps réel pour renforcer la conformité aux réglementations en vigueur.

Avec UserLock vous pouvez :

  • Explorer l’utilisation générale et générer des rapports sur tous les accès (PC, ordinateur portable, tablette ou téléphone) pour obtenir les données les mieux adaptées à vos besoins
  • Restreindre les connexions utilisateurs pour adopter toute politique d’entreprise
    • Par machine ou adresse IP : limiter l’accès à une certaine machine ou à une certaine zone géographique – exemple :  refuser l’accès en dehors du pays/continent dans lequel opère l’entreprise
    • Par temps de connexion : ne pas autoriser l’accès après une certaine heure ou un certain nombre d’heure de connexion – exemple : arrêter l’accès après 19h tous les jours ou après 35h de travail par semaine
    • Par type de session : différencier l’accès pour chaque type de session – exemple : arrêter l’accès à distance après 19 heures mais pas si la personne se trouve au bureau sur son ordinateur
  • Surveiller l’ensemble des événements de session utilisateur et recevoir des alertes en temps réel afin de répondre immédiatement et de manière appropriée à tout comportement inadapté.

[1] Étude IFOP 2017

[2] Étude IFOP 2016

[3] Étude APEC 2014

Chiffrement, Communiqué de presse, cryptage, Cybersécurité, Justice, loi, Securite informatique

Données personnelles : le RGPD et les collectivité territoriales

Données personnelles : la commission des lois du Sénat reste ferme sur la défense des libertés publiques et des collectivités territoriales et s’inquiète pour l’équilibre de nos institution.

Après l’échec de la commission mixte paritaire et une nouvelle lecture à l’Assemblée nationale, la commission des lois du Sénat s’est réunie pour examiner à son tour, en nouvelle lecture, le projet de loi relatif à la protection des données personnelles qui doit mettre la loi Informatique et libertés en conformité avec un règlement et une directive de l’Union européenne.

Lors de cette discussion, tous les intervenants ont déploré l’attitude du groupe majoritaire de l’Assemblée nationale qui, malgré les efforts des présidents et des rapporteurs des commissions des lois des deux chambres, a refusé tout compromis avec le Sénat. Ils y ont vu un signe préoccupant dans la perspective de la révision constitutionnelle annoncée.

Le président Philippe BAS (Les Républicains – Manche) a exprimé sa surprise qu’aucun terrain d’entente n’ait pu être trouvé entre les deux assemblées sur un texte urgent d’adaptation du droit interne au droit européen, dont les principales orientations sont consensuelles et pour lequel le législateur national ne dispose que d’une marge de manœuvre limitée. « Alors que l’avant-projet de loi constitutionnelle soumis par le Gouvernement au Conseil d’État comporte des dispositions qui affaiblissent le Parlement et portent atteinte à la séparation des pouvoirs, la méconnaissance par la majorité présidentielle du fonctionnement normal du bicamérisme a de quoi inquiéter. »

Sur le fond, le rapporteur Sophie JOISSAINS (Union Centriste – Bouches-du-Rhône) a rappelé que le Sénat, fidèle à son rôle traditionnel de chambre des libertés, s’était attaché en première lecture à rééquilibrer le projet de loi afin de renforcer les garanties pour les droits et libertés des citoyens. Le Sénat a notamment prévu de rétablir l’autorisation préalable des traitements de données pénales et de ne pas étendre inconsidérément leur usage, d’encourager le recours au chiffrement des données personnelles, de maintenir le droit à la portabilité des données non personnelles, de s’assurer que les utilisateurs de terminaux électroniques aient le choix d’y installer des applications respectueuses de la vie privée, et d’encadrer plus strictement l’usage des algorithmes par l’administration pour prendre des décisions individuelles, tout en renforçant les garanties de transparence en la matière, par exemple pour les inscriptions à l’université (« Parcoursup »).

« Comment admettre que les lycéens qui seront sélectionnés par les universités sur la base d’un algorithme ne puissent en connaître les paramètres ? N’y a-t-il pas là une contradiction flagrante avec les promesses de transparence réitérées par le Président de la République lors de son discours du 28 mars au Collège de France ? » s’est interrogée Sophie JOISSAINS.

Le rapporteur a également rappelé que le Sénat avait souhaité prendre en compte les difficultés spécifiques rencontrées par les collectivités territoriales, en prévoyant des mesures adaptées. «  Une collectivité n’est pas une start-up ! » a insisté Sophie JOISSAINS. « Les collectivités territoriales sont soumises à des sujétions tout à fait particulières, qui sont le corollaire de leurs missions de service public et de leurs prérogatives de puissance publique. Si elles mettent en œuvre des traitements de données personnelles, ce n’est pas pour en tirer profit, mais parce qu’elles y sont obligées par la loi ou pour rendre un meilleur service à nos concitoyens ! »

La commission des lois, tout en acceptant en signe de bonne volonté certaines modifications apportées au projet de loi par l’Assemblée nationale, a estimé nécessaire de rester ferme sur les principes défendus en première lecture. Elle a donc rétabli les principales dispositions alors adoptées par le Sénat.

Le projet de loi doit être examiné par le Sénat en séance publique les jeudi 19 et vendredi 20 avril 2018.

Communiqué de presse, Cybersécurité, Securite informatique

Montée en puissance de l’ANSSI

Agence nationale de la sécurité des systèmes d’information (ANSSI) : michel canévet, rapporteur spécial de la commission des finances, fait le point sur la montée en puissance de l’agence.

Dans un contexte où les questions de cyber-sécurité prennent une importance croissante, M. Michel Canévet (Union Centriste – Finistère), rapporteur spécial de la commission des finances, a souhaité faire le point sur la montée en puissance de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et sur le suivi des recommandations qu’il avait formulées en 2015, lors d’un premier contrôle budgétaire consacré à ce sujet.

À l’issue de ce nouveau contrôle, M. Michel Canévet a pu constater qu’en dépit d’une montée en charge importante de l’ANSSI en termes de budget et d’effectifs (+153 ETP en trois ans), dont il se félicite, l’agence continue de ne bénéficier que d’une autonomie de gestion limitée par rapport au Secrétariat général de la défense et de la sécurité nationale (SGDSN), auquel elle est rattachée.

Il déplore en outre que malgré une prise de conscience des enjeux de cyber-sécurité par les acteurs publics, le niveau de sécurité des systèmes d’information de l’État demeure, selon l’agence, « inégal et souvent trop faible ». Cette situation est susceptible de causer de graves dysfonctionnements administratifs en cas d’attaque massive sur un ministère.

Le rapporteur spécial réitère donc sa proposition, formulée en 2015 et restée lettre morte, de créer un budget opérationnel de programme (BOP) ainsi que des indicateurs de performance propres à l’ANSSI. Cela procurerait à l’agence une marge de manœuvre plus importante dans la gestion de ses crédits et de son personnel, tout en permettant au Parlement d’assurer un meilleur suivi du budget et des actions menées par l’agence.

  1. Michel Canévet partage par ailleurs la préoccupation de l’ANSSI concernant la rémunération jugée insuffisante de ses agents contractuels qui, chaque année, sont 19 % à quitter l’agence, le plus souvent vers le secteur privé. Il encourage donc la mise en œuvre d’une politique indemnitaire volontariste visant à retenir les compétences numériques, très convoitées en dehors de l’agence.

Enfin, il se félicite du déploiement, depuis fin 2015, de référents ANSSI en régions. Afin de renforcer l’action de l’agence au niveau local, il appelle à la poursuite de ce déploiement dans l’ensemble des régions, en particulier en Outre-mer. Il encourage également le renforcement des relations entre l’ANSSI et les services interministériels départementaux des systèmes d’information et de communication (SIDSIC).

Communiqué de presse, Cybersécurité, Justice, loi, Patch, Securite informatique

Pour un cyberespace plus sûr

Un commentaire

Pour un cyberespace plus sûr : Microsoft signe un accord mondial aux côtés d’une trentaine d’entreprises internationales pour une meilleure protection des citoyens

Au cœur de notre société, le cyberespace fait désormais partie de notre quotidien. Protéger de tout risque potentiel la confidentialité et l’intégrité de nos données, les services et objets connectés, l’accès et l’utilisation des réseaux… constitue une priorité, et cela, quel que soit le secteur concerné. C’est en ce sens que 30 des plus importants acteurs de l’IT et de la Sécurité, dont Microsoft, ont signé un Cybersecurity Tech Accord à l’occasion de la conférence RSA qui se déroule actuellement à San Francisco. Cet accord a pour objectif de renforcer la cybersécurité à travers le monde afin de protéger les organisations, entreprises et particuliers contre les attaques malveillantes quelle qu’en soit l’origine. Parmi les signataires de ce texte figurent les principaux acteurs du secteur, qu’ils soient experts en cybersécurité comme Cisco, Symantec, CA Technologies, FireEye, F-Secure, TrendMicro, ou acteurs majeurs des technologies tels que Facebook, HP, Microsoft, Nokia, Oracle ou encore SAP.

Les principaux engagements de cet accord

Assurer la protection de toutes les organisations et de tous les individus

Qu’il s’agisse d’un individu, d’une organisation ou d’un état, les signataires s’engagent à les protéger de la même manière dans le monde entier, et ce, quelles que soient la nature et l’origine de la menace.

Renforcer la sécurité et la protection des utilisateurs et des clients face aux cyberattaques criminelles et gouvernementales

Aucune des entreprises engagées n’apportera son soutien à un état qui souhaiterait lancer une cyberattaque contre un autre état, une entreprise ou un individu. De même, elles lutteront contre le détournement et la falsification de leurs services et solutions à des fins malveillantes.

Proposer aux utilisateurs, clients et développeurs des outils et des solutions fiables

Chacun des signataires s’engage à accroitre la protection des développeurs comme des utilisateurs de leurs services contre toute attaque. Une collaboration active pour le déploiement de nouvelles pratiques et de nouvelles fonctionnalités au profit d’une sécurisation renforcée est également prévue.

Agir conjointement en faveur d’une cybersécurité renforcée

Les signataires s’engagent à collaborer plus étroitement avec l’ensemble des parties prenantes pour coordonner la publication de failles, partager les menaces, lutter contre les codes malveillants introduits dans le cyberespace… tout en améliorant la collaboration sur un plan technique.

Cet accord reste ouvert aux partenaires de confiance qui souhaiteraient s’engager en faveur de ces principes et contribuer à renforcer la sécurité du cyberespace.

La signature de ce Cybersecurity Tech Accord s’inscrit dans le cadre des engagements de Microsoft en matière de cybersécurité prônant une coopération renforcée entre les États et les acteurs privés de l’IT. Cette accord fait également écho aux déclarations de Brad Smith, Président et Directeur juridique de Microsoft, qui appelait les États, en février dernier, à créer une convention de Genève du numérique destinée à inciter les gouvernements à adopter les normes internationales nécessaires à la protection des citoyens dans le cyberespace.

Communiqué de presse, Cybersécurité, Entreprise, Sauvegarde, Securite informatique

Sauvegarde en entreprise

Il semble impératif que votre entreprise mette en place une réelle stratégie de sauvegarde de ses données. Faire face à la perte d’une part ou de la totalité de vos informations et fichiers peut avoir des conséquences particulièrement lourdes pour votre société. La sauvegarde des données peut être réalisée grâce à plusieurs solutions. Nous avons suivi des conseils avisés sur appvizer.fr qui nous ont permis de mieux comprendre la nécessité de la sauvegarde en entreprise, mais aussi pour choisir efficacement les logiciels de sauvegarde en ligne. Voici quelques informations pour vous accompagner dans la sélection de la solution de sauvegarde de données qui conviendra le mieux à votre entreprise.

Pour quelles raisons est-il important de sauvegarder les données en entreprise ?

Imaginez devoir faire face à la disparition d’un fichier clients ou de vos données comptables ! La perte des données entraîne de lourdes conséquences sur le fonctionnement de votre entreprise. Il ne faut pas minimiser les risques de disparitions de fichiers. Elles sont liées à des erreurs humaines mais également à des incidents tels qu’un incendie ou une inondation. Il est donc important que vous réalisiez régulièrement la sauvegarde de vos informations afin de faire face à ces imprévus pouvant avoir un effet désastreux sur votre fonctionnement.

La diversité des procédures de back-up

Le back-up ou sauvegarde de données est une action réalisée en vue de protéger vos données en totalité ou par sections. Les solutions de back-up sont nombreuses et vous n’aurez aucune difficulté à trouver la meilleure façon de mettre en sécurité vos informations.

  • Le disque dur externe : Les données sont transférées du disque dur de votre ordinateur vers un disque dur uniquement utilisé pour la sauvegarde en entreprise. Solution peu coûteuse, mais vous vous heurterez rapidement aux limites de ce type de sauvegarde, en particulier si votre entreprise compte un grand nombre de postes informatiques.
  • Les bandes magnétiques : Elles enregistrent de plus grandes quantités de données qu’un simple disque dur externe. Elles sont peu coûteuses mais la restitution des données est parfois plus fastidieuse.
  • Le serveur en entreprise : Ce dernier enregistre le back-up de toutes vos informations depuis tous les postes informatiques. Ce type de sauvegarde est intéressant si vous possédez des employés dédiés à l’informatique. Il faut investir dans un matériel solide et suivre régulièrement l’évolution de ce serveur. Il faut prendre en considération que ce serveur local peut également tomber en panne.
  • Le NAS mutualisé : Un NAS est un Network Attached Storage, autrement dit un système de stockage. Il peut être mutualisé afin de vous faire bénéficier d’un service professionnel pour un coût réduit. Vous pouvez choisir ainsi votre capacité de stockage et adapter le tarif.
  • Les logiciels de serveur en ligne : Grâce à Appvizer, nous avons découvert des logiciels de sauvegarde en ligne sérieux et qui proposent des formules tarifaires variées. Pratique, ce système de sauvegarde doit être sélectionné avec grand soin afin de ne pas subir de désagréments handicapants pour votre entreprise.

Les solutions de sauvegarde en ligne

Les logiciels de sauvegarde en ligne sont un formidable outil pour toutes les entreprises. Peu importe que vous soyez à la tête d’une TPE, d’une PME ou d’une grande entreprise, la sauvegarde en ligne s’adapte à vos besoins.

Il est important de faire attention à certaines caractéristiques de ces logiciels de sauvegarde en ligne :

  • La capacité de stockage : Pas la peine de choisir une formule trop importante si vous n’avez que peu de fichiers à stocker. Adaptez cette capacité en fonction de vos attentes car bien souvent le tarif est adapté à la capacité demandée.
  • La redondance des stockages : La solution logicielle de sauvegarde en ligne propose-t-elle des enregistrements réguliers ? Inutile de vous engager avec un fournisseur de logiciels qui ne réalisera qu’une sauvegarde de temps en temps ! La sauvegarde doit se faire très régulièrement afin de vous assurer une protection de toutes les dernières données enregistrées sur vos postes informatiques.
  • Le tarif : Calculez pour définir si cette solution logicielle est réellement intéressante pour votre entreprise. Elle vous évite de faire appel à un informaticien dédié à l’entretien d’un NAS si vous n’en avez pas besoin.
  • La sécurité des données : Il est très important que vous sélectionniez un fournisseur de solutions logicielles qui a fait ses preuves et qui est apte à vous garantir la plus grande sécurité pour vos données. Les informations de votre entreprise ne doivent pas être éventées ni être piratées.

Comment bien choisir le mode de sauvegarde en entreprise ?

Confrontez vos attentes avec les différentes solutions proposées. Il est inutile de se lancer dans un investissement lourd si vous n’avez que peu de données à sécuriser. Le stockage sur les serveurs locaux engage à un suivi régulier de votre matériel et nécessite un véritable savoir-faire.

L’avantage d’un stockage en ligne est que vous n’aurez pas à gérer cette partie du travail. Le fournisseur de logiciel en ligne vous accompagne dans la protection de vos données, la régularité des enregistrements mais également la restitution des fichiers en cas de défaillance de votre matériel informatique.

Si vous optez pour un stockage manuel sur un disque dur externe ou un serveur local, pensez à réaliser des sauvegardes régulières afin de toujours conserver les dernières versions de votre travail ou de vos informations professionnelles. Le choix d’une sauvegarde en ligne est aussi plus aisé si vous travaillez à plusieurs sur les mêmes fichiers. Ainsi chaque collaborateur a accès à la bonne version d’un fichier, ils peuvent s’y connecter à distance afin de le consulter même en dehors de l’entreprise.

Ne négligez pas la sauvegarde de vos informations professionnelles car une perte de vos fichiers peut avoir un impact fort sur le fonctionnement de votre entreprise, mais aussi sur l’image que vous allez renvoyer à vos clients. N’hésitez pas à comparer les différentes solutions de sauvegarde en entreprise avant de vous lancer et mettez en concurrence les fournisseurs de logiciels afin de sélectionner la solution la plus intéressante et la plus ergonomique pour votre société.

Base de données, Communiqué de presse, Cybersécurité, Fuite de données, RGPD, Securite informatique

Données personnelles : les consommateurs craignent de trop se dévoiler. Ils demandent plus d’informations et de transparence.

Une enquête menée en France, aux États-Unis, au Royaume-Uni et en Allemagne sur le rapport des consommateurs à leur identité numérique révèle qu’ils sont une majorité à s’inquiéter de partager trop d’informations personnelles en ligne. 3 sondés sur 5 connaissent mal leurs droits, voire pas du tout.

L’enquête a été menée par ComRes Global pour le compte de ForgeRock, société experte en gestion d’identité numérique. Elle révèle que 53% des 8 000 sondés (en France, 48%) s’inquiète d’avoir partagé trop d’informations personnelles en ligne. Un tiers des parents (30%) craint d’avoir partagé trop d’informations sur leurs enfants. Un autre enseignement de l’étude est le manque de sensibilisation quant au volume d’informations disponibles en ligne. En France, 48% des sondés affirment ne pas connaître la quantité de données disponibles à leur égard, et beaucoup sous-estiment cette quantité. 76% des adultes sondés utilisent Internet pour acheter des produits et services, mais seulement 49% d’entre eux pensent avoir partagé les données relatives à leur moyen de paiement ; près de la moitié des consommateurs (49%) pense que Facebook détient des informations qui permettent de savoir s’ils ont des enfants ou non ; seuls 22% pensent que Twitter a accès à des informations permettant de déterminer leurs affinités politiques ; seuls 37% des consommateurs croient qu’Instagram a accès aux données de localisation de ses utilisateurs ; 20% des consommateurs estiment même que Facebook n’a accès à aucune donnée personnelle relative à ses utilisateurs.

Un franc rejet des marques qui partagent les données de leurs utilisateurs.

En France comme dans les autres pays, les utilisateurs s’inquiètent de voir leurs données partagées avec des tiers. Seuls 26% sont prêts à partager leurs données personnelles afin de profiter d’offres personnalisées, contre une majorité (50%) qui ne souhaite pas que leurs données soient partagées avec des tiers, et ce quelle que soit la raison. À peine 15% affirment être susceptibles de vendre leurs données personnelles à un tiers. « Ce sondage révèle les craintes des consommateurs, qui ne savent pas à quel point leurs données personnelles sont partagées en ligne, ou comment elles sont utilisées par des tiers, » affirme Eve Maler, Vice-Présidente Innovation & Technologies Emergentes auprès du CTO de ForgeRock. Elle ajoute : « À choisir, la majorité préférerait partager moins d’informations. Cela doit alerter les entreprises, qui sont nombreuses à s’appuyer sur la data client pour piloter leur activité et augmenter leurs revenus. Les organisations doivent prendre en compte ces préoccupations, renforcer la confiance et la loyauté de leurs consommateurs en leur donnant plus de visibilité et de contrôle sur la manière dont leurs données sont collectées, gérées et diffusées. »

Les entreprises profitent de la donnée : elles en sont donc responsables.

Les consommateurs ont l’impression que l’utilisation de leurs données profite davantage aux entreprises qu’à eux-mêmes : 41% des personnes interrogées estiment que leurs données personnelles servent surtout, voire exclusivement, les intérêts de l’entreprise à qui elles les confient. En comparaison, ils ne sont que 17% à estimer que ces données sont utilisées principalement pour le bénéfice des consommateurs. En France, ce constat est à nuancer puisque seuls 29% estiment que leurs données personnelles servent surtout aux entreprises ; et 29% trouvent qu’elles sont utilisées principalement pour le bénéfice des consommateurs.

Mais dans tous les cas, les sondés considèrent que les entreprises sont responsables de la protection des données de leurs clients. En France, pour 9% d’entre eux à peine, ce sont d’abord les individus qui en sont les responsables, contre 50% qui estiment que cette responsabilité incombe à l’entreprise qui stocke les données. Par ailleurs, seuls 17% des sondés seraient prêts à payer pour récupérer des données volées.

Les consommateurs envoient un signal d’alerte aux entreprises qui partageraient leurs données sans leur consentement :

51% des sondés sont prêts à cesser d’utiliser les services de l’entreprise si cette dernière partage leurs données sans leur permission ;
46% retireraient, ou supprimeraient toutes leurs données stockées chez cette société ;
45% recommanderaient à leur famille et amis de ne plus utiliser cette entreprise ;
Un tiers (29%) engagerait une procédure judiciaire ;
30% informeraient la police, et 27% demanderaient une réparation financière.

Si c’est gratuit, alors c’est vous le produit : en matière de données personnelles, les banques plus fiables que les réseaux sociaux.

Les banques et les organismes de cartes de crédit sont désignés comme étant les plus fiables pour détenir des données personnelles. En France, 76% des consommateurs déclarent leur faire confiance pour stocker et utiliser leurs données personnelles de manière responsable. Amazon est également considéré comme fiable, puisque les deux tiers des consommateurs (66%) font confiance au géant du e-commerce pour gérer leurs données personnelles. Les réseaux sociaux sont plus clivants : Facebook et Twitter par exemple, totalisent respectivement 45% et 43% de sondés déclarant leur faire confiance pour gérer leurs données personnelles de manière responsable.

Il existe une forte corrélation entre les entreprises en qui les sondés font confiance, et le sentiment de contrôle qu’elles peuvent leur accorder : les banques et les sociétés émettrices de cartes de crédit (53%), Amazon (49%), ou encore les opérateurs de téléphonie mobile (51%) ont été désignés comme accordant le plus de contrôle aux utilisateurs. Tandis que seuls 39% des sondés déclarent se sentir en contrôle de leurs données sur Facebook et 23% sur Twitter.

Les usagers ne connaissent pas leurs droits.

Bien que les consommateurs soient préoccupés par la façon dont leurs données personnelles sont gérées et partagées, seule une minorité sait comment les protéger. Un tiers seulement des consommateurs (32%) sait comment supprimer les informations personnelles qui ont été partagées en ligne ; 57% affirment ne rien savoir ou presque de leurs droits concernant les données personnelles partagées en ligne ; Moins d’un tiers (26%) sauraient dire qui est responsable en cas de vol ou fuite de leurs données personnelles.

En Europe, le Règlement Général sur la Protection des Données (RGPD) entre en vigueur cette année. Il renforce les droits relatifs au stock et au partage des données personnelles des consommateurs. Malgré cela, deux tiers des français (69%) affirment ne jamais avoir entendu parler de la législation, ou ne rien savoir de cette dernière. Eve Maler : « Notre étude révèle le fort besoin d’information sur la façon dont les données personnelles sont gérées et partagées en ligne. Les nouvelles réglementations, telles que le RGPD, visent à redonner au public le contrôle de leurs données, mais il est très clair que les consommateurs ne sont pas conscients de leurs droits et que beaucoup ne se sentent pas maîtres de leur identité numérique. L’industrie doit se réunir avec les pouvoirs publics pour sensibiliser les consommateurs sur les droits et protections mis en place. Sans cela, le public perdra confiance dans les marques qu’il rencontre en ligne, ce qui nuira au chiffre d’affaires et à la réputation.

Communiqué de presse, Cybersécurité, Securite informatique

Failles logiciels : niveau record de 20 000 vulnérabilités enregistrées en 2017

Failles logiciels : Les conclusions du rapport montrent que malgré la hausse des risques, les organisations restent impréparées et exposées face aux failles logiciels.

Failles logiciels : L’éditeur Flexera vient publier son Rapport annuel sur les tendances mondiales relatives aux vulnérabilités logicielles rédigé par les chercheurs de sa filiale Secunia Research. Ce document aide les organisations à comprendre les tendances en la matière, et à élaborer des stratégies afin de se protéger. Les failles sont à l’origine de graves problématiques de sécurité. En effet, des erreurs au sein de logiciels peuvent faire office de points d’entrée pour les pirates, et ainsi être exploitées pour accéder à des systèmes d’information.

Hausse des vulnérabilités

Le rapport publié cette année révèle que la flambée des vulnérabilités se poursuit. Le nombre de failles enregistrées en 2017 a en effet augmenté de 14 % par rapport à l’année précédente (19 954, contre 17 147 en 2016). Les entreprises sont donc exposées à des risques de sécurité toujours plus importants, ce qui souligne la nécessité pour elles de conserver en permanence une visibilité sur leurs actifs logiciels et les vulnérabilités qui les affectent. Les organisations doivent également s’assurer de trier les failles critiques par ordre de priorité et de les corriger avant que le risque qu’elles soient exploitées n’augmente.

« Les résultats de cette année sont sans appel : la menace reste omniprésente », déclare Kasper Lindgaard, directeur de recherche et de la sécurité chez Flexera. « Face à la hausse du risque de violations de données, les dirigeants se doivent d’augmenter leur vigilance en mettant en œuvre de meilleurs processus opérationnels, au lieu de se contenter de réagir aux menaces faisant la une des médias et perturbant leurs activités. Tels sont les enseignements à tirer de la fuite de données dont a été victime Equifax et des attaques WannaCry. »

Éviter les attaques est possible : 88 % des patches sont disponibles le jour même où les vulnérabilités sont divulguées

Une lueur d’espoir subsiste pour les entreprises cherchant à réduire le risque d’être victimes d’incidents : 86 % des failles disposent de correctifs le jour même où elles sont divulguées. En outre, les vulnérabilités zero-day (soit celles qui sont exploitées avant que leur existence ne soit révélée au public) restent rares ; seuls 14 % des 19 954 des failles enregistrées en 2017 tombent dans cette catégorie, ce qui représente une baisse de 40 % par rapport 2016.

Principaux enseignements du rapport Vulnerability Review de 2018

En 2017, l’équipe Secunia Research de Flexera a détecté 19 954 vulnérabilités au sein de 1 865 applications en provenance de 259 éditeurs. Cela représente une hausse de 38 % sur les cinq dernières années, et de 14 % par rapport à 2016.86 % des vulnérabilités repérées bénéficiaient de correctifs le jour même de leur divulgation, contre 81 % l’année précédente.

Seules 14 vulnérabilités zero-day (exploitées avant d’avoir été révélées au public) ont été découvertes au total, contre 23 en 2016.

17 % des vulnérabilités découvertes en 2017 étaient classées comme « Très critiques », et 0,3 % com me « Extrêmement critiques ».Les réseaux distants sont le principal vecteur utilisé pour déclencher des attaques (55 % des cas). (rapport)

Communiqué de presse, Cybersécurité, IOT, Mise à jour, Patch, Securite informatique

Pas (encore) de normes de sécurité pour les objets connectés

De nombreux objets connectés iot pour la maison et le bureau ne sont tout simplement pas sécurisés. On ne compte plus les histoires sur les vulnérabilités des objets connectés – particulièrement ceux utilisés à domicile. Bien que certaines aient l’air « tirées par les cheveux » – comme celle de la caméra pour bébé piratée qui répondait à sa mère – d’autres, comme le botnet Mirai, montrent que les problèmes de sécurité liés aux petits objets peuvent rapidement prendre de l’ampleur. Bref, difficile d’oublier que nombre d’objets connectés ne sont pas très sécurisés.

Camouflés derrière le plastique lustré de ces appareils connectés iot tout neufs pour la maison, de nombreux facteurs contribuent pourtant à créer cet environnement à risque. Voici les trois facteurs principaux, mais il en existe d’autres :
1.Les mots de passe codés en dur
2.Les mots de passe par défaut difficiles à changer
3.Les vulnérabilités non corrigées

La balle n’est PAS dans votre camp (mais vous êtes quand même coupable)
Avec un ordinateur à la maison, vous pouvez suivre de bonnes mesures de sécurité. Cela signifie entre autres, avoir installé un antivirus et faire en sorte que toutes vos applications et pilotes soient à jour (voire même utiliser un programme qui s’en charge tout seul). Et puis il y a cet élément important du piratage psychologique, vous en tant qu’utilisateur, ne cliquez pas sur des offres trop alléchantes sur Internet sans en être sûr.

Mais avec les objets connectés, impossible de suivre ce genre de précautions. Dans le meilleur des cas, vous pouvez modifier le mot de passe par défaut, mais ça s’arrête là. Le plus souvent, vous ne saurez même pas avec qui votre télé connectée communique et de quoi elle parle. Et ces appareils recueillent un tas de données potentiellement compromettantes sur vous et vos activités. En fait, même si votre caméra de surveillance faisait partie d’une armée internationale de botnets par DDoS, vous ne le sauriez pas.

SOS, mais qui pouvez-vous appeler ?
Les failles de sécurité de nombreux objets connectés ont lancé le débat sur les moyens des autorités ou des instances de réglementation pour remédier au problème. Aux États-Unis, une loi a été proposée qui obligerait les objets connectés achetés par le gouvernement fédéral à répondre à certaines normes. L’entrée en vigueur de cette loi aurait des répercussions sur la sécurité, car les fabricants devraient faire en sorte que leurs appareils soient plus sécurisés pour les clients du secteur public. Puis, cette certification pourrait également être utilisée pour d’autres types de clients.

Dans l’Union européenne, la Commission européenne dispose de l’AIOTI, l’Alliance for Internet of Things Innovation, un groupe de travail qui souhaiterait que les labels sur les produits – comme ceux utilisés pour présenter les données sur la consommation d’énergie – s’étendent aussi aux objets connectés.

Toutefois, cet autre concept d’auto réglementation ferait encore appel à des organismes de tests indépendants comme l’American Underwriters Laboratories, le German Stiftung Warentest ou l’AFNOR en France.

Il est temps de faire vos propres recherches sur la sécurité
Cependant, toutes ces options n’en sont encore qu’à leurs balbutiements et au moment d’acheter un objet connecté sécurisé, vous êtes encore livré à vous-même. La seule option pratique qui vous soit disponible pour le moment est de faire des recherches pour écarter toute marque ou modèle lié(e) à un problème de sécurité. Vous pouvez également jeter un œil à la liste de Krebsonsecurity des objets considérés comme problématiques. Cependant, cette approche en mode « système D » ne mettra pas au jour les composants génériques d’objets connectés, qui ont été intégrés à un système.

Il existe aussi des solutions qui peuvent vous aider à sécuriser vos connexions telle que Avira Home Guard. Il s’agit d’une application gratuite pour Windows qui scanne les objets intelligents connectés au réseau, identifie les vulnérabilités de sécurité, suggère des solutions et conserve un inventaire des appareils connectés. Cette solution vous donne une vue complète des appareils connectés à votre réseau et de leurs failles potentielles. Avira Home Guard est inclue dans le tableau de bord Avira pour Windows.

Communiqué de presse, Cybersécurité, RGPD, Securite informatique

GDPR : 4 étapes essentielles pour se préparer avant mai 2018

Il ne reste plus que quelques semaines avant l’entrée en vigueur du Règlement général sur la protection des données (GDPR). Évolution majeure de la Loi informatique et libertés de 1978, GRPD renforce les droits individuels pour devenir le nouveau texte de référence dans l’Union Européenne. La réglementation impose aux entreprises d’adopter un comportement responsable en améliorant l’évaluation des risques concernant les données collectées.

Il s’agit également d’harmoniser le paysage juridique à échelle européenne afin de construire un seul et même cadre pour tous les Etats membres.  Qualifiée de « bombe à retardement » ou de « contrainte », GRPD est souvent perçue comme une loi aux impacts négatifs aux yeux des entreprises. Une étude menée par Vanson Bourne révélait en avril dernier que près de la moitié des entreprises dans le monde redoutait de ne pas pouvoir répondre à la réglementation, faute de technologie adaptée. 20% d’entre elles craignaient même de devoir mettre la clé sous la porte à la vue du montant des pénalités (jusqu’à 4% du chiffre d’affaires annuel) en cas de non-conformité. S’il est maintenant de plus en plus évident que les entreprises ne seront pas totalement conformes le 25 mai prochain, elles doivent en revanche pouvoir prouver en cas de contrôle de l’Autorité responsable, qu’elles ont initié les mesures nécessaires pour s’assurer que les données collectées soient bien protégées.

Pour les appuyer dans cette démarche, voici les 4 étapes essentielles à prendre en compte dès aujourd’hui pour bien commencer leur entrée dans la conformité :

Avoir une vision et une gestion des données à 360 degrés

La première étape incontournable pour être en conformité à GDPR est d’adopter une approche holistique de la gestion des données qui va bien au-delà du simple stockage. Avec une réglementations plus stricte que les précédentes, les entreprises doivent s’assurer d’avoir une visibilité complète de leurs données, y compris sur la nature des informations stockées, la manière dont elles sont utilisées, mais aussi qui détient ces données et peut y avoir accès.

Cette approche doit inclure la possibilité de classer automatiquement de gros volumes de données, les numériser et les étiqueter de la manière la plus intelligente et la plus détaillée possible, afin de garantir que les informations sont gérer efficacement et restent à portée de main.

Se doter d’une solution qui permet de localiser et d’identifier rapidement les données personnelles est donc la première des priorités. A long terme, ce type de solution permettra également de déterminer comment exploiter les données et en extraire de la valeur.

 Pouvoir notifier une faille de données dans les 72 heures

Près de la moitié des entreprises qui pensent être conformes (48%) n’ont pas de visibilité totale sur les incidents de pertes de données personnelles. De plus, 61% d’entre-elles admettent qu’il est difficile d’identifier et de signaler une faille de données personnelles dans les 72 heures – une exigence fondamentale de la réglementation GDPR quand il y a un risque pour les individus concernés. Il s’agit de la deuxième priorité, considérée comme l’une des plus importantes de la réglementation. En effet, toute entreprise incapable de signaler la perte ou le vol de données personnelles – telles que les dossiers médicaux, les adresses e-mail et les mots de passe – à l’organe de surveillance dans ce délai est en rupture avec cette exigence clé.

L’exercice du droit à l’oubli

Avec GDPR, les entreprises doivent s’assurer que les données personnelles ne sont utilisées que pour les raisons pour lesquelles elles ont été collectées et doivent être supprimées lorsqu’elles ne sont plus nécessaires. En effet, dans le cadre du « droit à l’oubli », les citoyens européens auront le droit de demander la suppression de toutes leurs données personnelles des bases de données d’une entreprise. Les entreprises qui n’ont pas les capacités de rechercher et d’analyser les données personnelles pour détecter des références explicites ou implicites d’un individu sont encore très nombreuses. Se doter des outils pour visualiser avec précision la localisation des données ainsi qu’identifier les sources de dépôts fait donc partie des priorités essentielles.

Insuffler une culture de la conformité en interne

Si la plupart des entreprises admettent ne pas posséder une bonne culture de gouvernance des données et de conformité en interne, ces dernières sont tout de même conscientes qu’inciter les employés à adopter la bonne attitude vis-à-vis des données est primordial pour impulser de véritables changements culturels au sein de l’entreprise. Nombreuses sont celles qui comptent mettre en place des sessions de formations, instaurer des primes ou encore ajouter le respect obligatoire de mesures concernant GDPR dans les contrats d’embauche.

Initier sa conformité à GDPR et mettre en place les bonnes pratiques passent d’abord par les salariés. Prendre des mesures concrètes pour conduire à un changement culturel en interne fait également partie des priorités. Les salariés peuvent ainsi réaliser leur rôle à jouer concernant la protection des données et pourront voir leurs avantages positivement impactés, puisque ces derniers contribuent à promouvoir une bonne gouvernance des données au sein de l’entreprise.

Les entreprises qui savent créer de nouvelles opportunités business en s’appuyant sur les exigences réglementaires tireront un avantage certain. En étant conformes à GDPR, elles ne réduisent pas seulement le risque d’être exposées à des amendes, mais ont également l’opportunité d’offrir à leur clients une meilleure expérience à travers une bonne gestion des données, ce qui peut avoir un impact favorable sur la fidélité des clients, le chiffre d’affaires et la réputation de la marque. Mais plus encore, GDPR est aussi un réel moyen de redonner confiance aux citoyens dans leurs entreprises ainsi que d’instaurer une meilleure gestion et une diminution non négligeables des risques liés au numérique (cyberattaques, fraudes, etc.) (Par Daniel de Prezzo, Head of Technologies Southern Europe chez Veritas Technologies)

Argent, Base de données, Communiqué de presse, Cybersécurité, Entreprise, Fuite de données, Particuliers, RGPD, Securite informatique

Les cyber attaques contre le secteur financier de la zone EMEA ont diminué de 24% en 2017

FireEye vient de publier son rapport annuel M-Trends, qui révèle que les attaques contre le secteur financier de la zone EMEA ont diminué au cours de l’année écoulée. En 2016, 36% des cyberattaques observées dans la région EMEA ont ciblé le secteur financier. Cependant, en 2017, ce nombre a diminué d’un tiers à 24%. Malgré cette baisse du nombre d’attaques, le secteur financier est toujours victime des attaques les plus importantes, suivi de près par la haute technologie et les soins de santé.

  • Les attaques répétées sont une tendance croissante – Les organisations sont de plus en plus ciblées de nouveau. 49% des clients ayant au moins une découverte hautement prioritaire ont été attaqués de nouveau dans un délai d’un an. 56% des organisations mondiales qui ont reçu un soutien en cas d’incident ont été ciblées à nouveau par le même groupe d’attaque motivé de la même manière.
  • Le temps de séjour des organisations EMEA est de 175 jours – Le temps d’attente médian (la durée d’un acteur de la menace dans l’environnement d’une organisation avant qu’il ne soit détecté) est de 175 jours, soit environ six mois. La durée médiane de séjour est de 101 jours dans le monde entier, ce qui fait que les organisations de l’EMEA ont un délai de réponse inférieur de 2,5 mois à la médiane mondiale.
  • L’activité cyber-menace iranienne était prédominante – Tout au long de 2017, l’Iran est devenu plus capable d’une perspective offensive. Nous avons observé une augmentation significative du nombre de cyberattaques provenant d’acteurs menacés par l’Iran.

En toile de fond, le rapport est basé sur des informations recueillies lors d’enquêtes menées par les analystes de sécurité en 2017 et révèle les nouvelles tendances et tactiques utilisées par les acteurs de la menace pour compromettre les organisations.

Cyber attaques, 49% des victimes sont revisitées par les attaquants après la première détection contre seulement 37% en 2013

Comme tous les ans FireEye publie le rapport MTRENDS. Le rapport 2018 met à jour la collecte d’informations lors des interventions Mandiant et des analyses basées sur le renseignement FireEye Isight de définir les grandes tendances 2017 en termes de cyber-attaques ainsi que les prévisions pour 2018.

Cette édition du rapport, la septième depuis 2011, offre un comparatif détaillé sur des métriques précis lié à la cyber menace. Ainsi nous pouvons observer cette année les éléments suivants :

–          Un abaissement du temps de résidence moyen de l’attaquant sur le réseau de sa victime lors d’une détection interne, avec une moyenne qui passe de 80 jours en 2016 à 57,5 jours en 2018.Néanmoins le temps de détection moyen global lui reste quasi inchangé en passant de 99 jours à 101 jours en 2018

–          Une volonté de réattaque des victimes par leurs attaquants avec 49% des victimes revisitées par les attaquants après la première détection contre seulement 37% en 2013.

–          Des attaquants qui pendant nos investigations en Europe (EMEA) sont restés 54% des fois plus de 121 jours sur le réseau de leur victime.

–          Plus aucun secteur d’activité n’est épargné par les attaquants, de la cyber criminalité au cyber espionnage toutes les industries même les associations caritatives sont aujourd’hui des cibles. Néanmoins le TOP3 des industries visées par de multiples attaques simultanées est : High Tech, Education, Télécommunication

Le rapport permet aussi de mettre en avant des informations sur les grandes tendances 2017 et les risques associés :

–          Les attaquants utilisent de plus en plus le Phishing et les attaques ciblées à travers l’ingénierie sociale.

–          Les entreprises manquent de ressources et de talents pour faire face à l’industrialisation des attaquants et mettre en place des plans de réponses à incidents Adhoc.

–          L’IRAN a été une des sources les plus active en 2017 avec les publications sur les groupes spécifiques comme APT33, 34 et 35

–          La cyber revêt une importance capitale dans le positionnement géopolitique de certains pays, c’est ainsi que l’on voit apparaître de nouveaux pays sur l’échiquier du risque cyber avec à titre d’exemple en 2017, APT32 au Vietnam

–          Les attaquants sont de plus en plus rapides dans l’utilisation de zero days, ils utilisent aussi de manière massives les outils « autorisés » et la « supply chain » pour attaquer leurs victimes.

–          Les groupes chinois continuent leur moisson de patrimoine informationnel en Europe.

Enfin le rapport permet de mettre en avant les tendances à venir sur 2018, avec un contexte géopolitique tendu qui se traduit déjà par une menace cyber de plus en plus forte et une volonté de tous les états du monde à se doter de compétences sur le sujet.

Communiqué de presse, Cybersécurité, Justice, loi, RGPD

Données personnelles : les députés ignorent les sénateurs !

Protection des données personnelles : Les députés de la majorité veulent passer en force et ignorer les apports du Sénat au prix de reculs pour les libertés publiques et les collectivités territoriales.

Protection des données personnelles – Au lendemain de l’échec de la commission mixte paritaire chargée d’examiner le projet renforçant l’efficacité de l’administration pour une relation de confiance avec le public, la commission mixte paritaire (CMP) qui s’est réunie le vendredi 6 avril 2018, à l’Assemblée nationale, pour examiner le projet de loi relatif à la protection des données personnelles n’est pas parvenue, elle non plus, à un accord. Pour rappel, ce projet de loi vise à mettre la loi Informatique et libertés en conformité avec le règlement général sur la protection des données personnelles, qui entrera en vigueur le 25 mai 2018, et avec la directive sectorielle spécifique aux traitements en matière policière et judiciaire, qui doit être transposée avant le 6 mai 2018.

Pour le président de la commission des lois du Sénat, Philippe Bas (Les Républicains – Manche), « ce résultat décevant est entièrement imputable à l’attitude des députés du groupe majoritaire à l’Assemblée nationale qui étaient fermés d’emblée à tout compromis et ont rejeté en bloc les apports du Sénat en faveur des libertés publiques et des collectivités territoriales ».

Pour renforcer la protection des droits et libertés des citoyens, le Sénat avait notamment prévu d’encadrer beaucoup plus strictement l’usage des algorithmes par l’administration pour prendre des décisions individuelles, et de renforcer les garanties de transparence en la matière, par exemple pour les inscriptions dans l’enseignement supérieur (« Parcoursup »).

« Est-il normal que l’administration puisse aussi bien établir une feuille d’impôt qu’interdire une réunion publique ou expulser un étranger sur le seul fondement d’un algorithme, sans examen individualisé ? Est-il légitime que les lycéens sélectionnés par les universités au moyen de traitements automatisés ne puissent savoir quels paramètres leur ont été appliqués ? » s’est interrogée le rapporteur Sophie Joissains (Union Centriste – Bouches-du-Rhône).

Sur ce point, le président Bas a ajouté : « Pourquoi les étudiants n’auraient-ils pas le droit d’accéder aux informations nécessaires pour comprendre les raisons d’un refus d’inscription dans une université de leur choix ? ». Il a déploré que « le manque de respect pour les apports du Sénat se double d’une certaine incohérence : dans leurs discours, les députés du groupe majoritaire à l’Assemblée nationale et le Président de la République lui-même ne cessent d’appeler à l’encadrement et à la transparence des algorithmes. Dans les faits, ils s’apprêtent à voter la suppression de tous les garde-fous ! »

Le Sénat, fidèle à sa vocation particulière d’assemblée protectrice des libertés

  • rétablir l’autorisation préalable des traitements de données portant sur les infractions, condamnations et mesures de sûreté, et préciser les conditions d’extension de la liste des personnes autorisées à mettre en œuvre ces fichiers ;
  • maintenir à 16 ans, conformément au droit commun européen, l’âge minimal à partir duquel un mineur peut consentir seul au traitement de ses données personnelles;
  • encourager le recours aux technologies de chiffrement des données pour assurer leur sécurité ;
  • conserver le droit général à la portabilité des données, personnelles comme non personnelles, pour permettre de faire véritablement jouer la concurrence entre services en ligne ;
  • s’assurer que les utilisateurs de terminaux électroniques aient le choix d’y installer des applications respectueuses de la vie privée.

Quant aux collectivités territoriales, le président Bas a déploré que « l’État leur impose une nouvelle fois de nouvelles obligations sans leur en donner les moyens, et sous la menace de sanctions très lourdes ! »

« N’oublions pas qu’elles sont responsables de nombreux traitements sur lesquels elles n’ont pas prise, car ils découlent d’obligations légales ou de compétences transférées (fichier d’état civil, fichier des cantines scolaires, fichiers d’aide sociale, listes électorales, fiscalité locale, cadastre…) », a ajouté le rapporteur Sophie Joissains.

Pour mieux accompagner les petites structures, TPE-PME et collectivités territoriales, dans la mise en œuvre de leurs nouvelles obligations, le Sénat avait prévu :

  • dégager de nouveaux moyens financiers, en « fléchant» le produit des amendes et astreintes prononcées par la Commission nationale de l’informatique et des libertés (CNIL) à leur intention, et en créant une dotation communale et intercommunale pour la protection des données personnelles ;
  • faciliter la mutualisation des services numériques entre collectivités ;
  • réduire l’aléa financier pesant sur ces dernières en supprimant la faculté pour la CNIL de leur imposer des amendes administratives et en reportant de deux ans l’entrée en vigueur de l’action de groupe en réparation en matière de données personnelles ;
  • d’encourager la diffusion d’informations et l’édiction de normes de droit souple par la CNIL adaptées aux besoins et aux moyens des collectivités comme des TPE-PME.

Après une nouvelle lecture devant chaque chambre (l’examen est prévu en séance à l’Assemblée nationale le jeudi 12 avril, et au Sénat le jeudi 19 avril), le Gouvernement pourra demander à l’Assemblée nationale de statuer sur ce texte en lecture définitive (« dernier mot »).

La promulgation du texte pourra alors intervenir après, le cas échéant, l’examen des éventuels recours déposés devant le Conseil constitutionnel.

Base de données, Chiffrement, Communiqué de presse, cryptage, Cybersécurité, Entreprise, Fuite de données, ransomware, Securite informatique

La France toujours sous le feu des ransomware

Une nouvelle étude sur les ransomwares montre que l’impact des attaques est toujours aussi important en France et coûte cher aux entreprises.

Les résultats de la deuxième édition d’une étude mondiale présentant les conséquences des ransomwares sur les entreprises, réalisée en février 2018 par le cabinet Vanson Bourne en France, Allemagne, Royaume Uni, États-Unis a de quoi inquiéter sur le comportement des entreprises face aux Ransomwares. Cette étude, mise en place par SentinelOne, spécialiste des solutions autonomes de protection des terminaux, montre qu’en France, le nombre d’attaques a progressé, passant de 52 % en 2016 à 59 % pour les entreprises qui admettent avoir subi une attaque par ransomware au cours des 12 derniers mois. Les entreprises touchées ont dû faire face à une moyenne de 4 attaques durant cette période. A noter que l’Allemagne a vécu une année particulièrement mouvementée avec 79 % des organisations qui ont été ciblées au moins une fois par un ransomware contre 51 % en 2016.

En France, si dans 53 % des cas, l’attaque la plus réussie a permis aux attaquants de chiffrer des fichiers, cela s’est révélé sans conséquence pour l’entreprise soit parce qu’elle disposait de sauvegardes pour remplacer les données corrompues, soit parce qu’elle a été en mesure de déchiffrer les fichiers. 7 % des victimes n’ont pas trouvé de solution pour récupérer leurs données et 3 % ont préféré payer la rançon pour déchiffrer les données. A titre compartif, aux Etats-Unis, les entreprises ont davantage tendance à payer la rançon (11 % des victimes).

Des conséquences financières et réputationnelles considérables

Le coût direct de l’attaque ainsi que le temps de remédiation ne sont pas négligeables. Ainsi, le coût moyen estimé par les répondants français suite aux attaques par ransomware est de près de 650 000 euros. Le nombre moyen d’heures consacrées au remplacement des données chiffrées par des données de sauvegarde ou à la tentative de déchiffrement des fichiers est estimé à 42 heures (contre 33 heures en 2016).

Les entreprises françaises figurent parmi celles qui ont payé le montant de rançon le plus bas : ceux qui choisissent de payer ont dépensé en moyenne 31 500 euros en rançon, contre une moyenne mondiale de 38 900 euros au cours des douze derniers mois. Ces montants sont en baisse puisqu’en 2016 le montant moyen pour la France était de 85 900 euros et de 51 500 euros au niveau global.

L’ensemble des répondants français s’accordent pour dire que les ransomware ont eu un impact sur leur organisation. La conséquence la plus importante a consisté en une augmentation des dépenses de sécurité informatique (54 %) ainsi qu’un changement de stratégie de sécurité pour se concentrer sur l’atténuation (34 %). En outre, plus d’un répondant sur cinq rapporte que son organisation a connu une publicité négative dans la presse et 34 % que cela à nuit à la réputation de l’entreprise.

« On aurait pu croire qu’après les récentes attaques et l’impact qu’ont eu les ransomware au cours de l’année écoulée les entreprises auraient pris davantage de mesures, or ce n’est pas le cas », déclare Frédéric Benichou, directeur régional Europe du Sud de SentinelOne. « Pourtant, au vu de l’impact que peuvent avoir les ransomware sur l’activité économique et l’image d’une entreprise, c’est un risque qu’il peut être dangereux de prendre. »

Quelles sont les données ciblées ?

En France, les données financières sont particulièrement ciblées (dans 46 % des attaques), suivie des données clients (38 %) et celles relatives aux produits (32 %). Au niveau informatique, les matériels les plus touchés sont avant tout les PC (68 %), les serveurs (56 %) et les terminaux mobiles (31 %).

La sensibilisation des employés reste négligée

Dans 58 % des cas, les professionnels de la sécurité français déclarent que les cybercriminels ont accédé au réseau de leur organisation par le biais d’emails de phishing ou via les réseaux sociaux. 42 % ont indiqué que l’accès avait été obtenu grâce à la technique du drive-by-download déclenché lorsque l’on clique sur un lien menant à un site web compromis, et 39 % ont déclaré que l’attaque est arrivée via un poste de travail faisant partie d’un botnet. La France semble quand même relativement mieux sensibilisée sur le phishing que les autres pays puisque le phishing a permis l’accès dans 69 % des cas en moyenne sur l’ensemble des pays couverts par l’étude.

La sensibilisation reste néanmoins largement perfectible puisque pour 34 % des répondants français, si l’attaque a été couronnée de succès, c’est à cause de la négligence d’un employé. 44 % reconnaissent néanmoins que la faute revient en premier à un antivirus traditionnel inccapable de stopper ce type d’attaque. Il n’en reste pas moins que 39 % des employés français ont quand même décidé de payer la rançon sans intervention ou accord préalable de leur département informatique/sécurité.

« Le problème des ransomware est là pour durer », conclu Frédéric Bénichou. « Il est plus que temps pour les entreprises de prendre les mesures nécessaires pour faire face à ces attaques récurrentes que ce soit au niveau technologique ou humain. Cela implique de mettre en œuvre des solutions de lutte contre les menaces de nouvelles génération et de prêter davantage de considération à la sensibilisation et la formation dispensée aux employés, un point clé trop souvent négligé. »

Chiffrement, Communiqué de presse, Cybersécurité, double authentification, RGPD, Securite informatique

Atteintes à la vie privée

Atteintes à la vie privée : Les consommateurs français craignent un recul de leurs libertés individuelles.

Une étude publiée par The Economist Intelligence Unit (EIU) avec ForgeRock révèle les nombreux risques liés à la collecte et au partage des données personnelles, tels qu’ils sont perçus par les consommateurs du monde entier. Ces derniers demandent plus de transparence et de contrôle, ainsi que des engagements des autorités publiques et des industriels pour protéger leur vie privée.

What the Internet of Things means for consumer privacy (L’Internet des Objets et son impact sur la vie privée des consommateurs) est une étude menée par l’EIU avec Forgerock. Elle sonde les préoccupations et priorités des consommateurs mondiaux vis-à-vis de l’Internet des Objets (IoT). Elle est basée sur un sondage mené auprès de 1 629 personnes dans huit pays (Allemagne, Australie, Chine, Corée du Sud, États-Unis, France, Japon et Royaume-Uni). Les données utilisées ici sont les chiffres français, alignés sur les tendances observées dans les autres pays. (1)

Dans leur majorité, les consommateurs interrogés font part de nombreuses inquiétudes liées à la collecte et à la transmission de leurs données personnelles. Profilage comportemental, vol et usurpation d’identité, etc. : 73% des sondés s’inquiètent de voir ces petites intrusions dans leur vie privée affecter leurs libertés individuelles. 92% déclarent vouloir un contrôle sur les informations transmises dans les collectes automatiques des données, et ils sont 83% à vouloir être informés dans les points de ventes sur les capacités de collecte de l’objet connecté.

L’importance des actions suivantes en matière de protection des données personnelles transmises automatiquement par les objets connectés :
– Permettre aux utilisateurs de contrôler quelles informations sont collectées : 92%
– Informer les utilisateurs lors de la collecte : 90%
– Informer les utilisateurs des mises-à-jour de sécurité : 87%
– Informer les utilisateurs sur les capacités de collecte de l’objet connecté dans les points de vente : 83%

Malgré les efforts menés par les entreprises pour se conformer aux réglementations à venir, les consommateurs souhaitent que les droits relatifs aux données soient inclus dans le Règlement Général de Protection des Données de l’Union Européenne, qui entrera en vigueur en mai 2018. Ils sont 68% à considérer le droit d’effacer leurs données ( le « droit à l’oubli » ) comme prioritaire. Sur cette question, les français se montrent significativement plus sensibles que la moyenne de l’étude qui est de 57%. (2)

Les résultats de l’étude – complétés d’entretiens avec des experts – proposent des stratégies pour aider les entreprises à renforcer la confiance des consommateurs. Parmi celles-ci : la collaboration avec les autorités publiques, et des engagements fermes de la part des industriels pour protéger la vie privée de leurs clients.

Un contrôle rigoureux par les autorités de l’application des standards est essentiel : 89% des sondés demandent des sanctions accrues pour les entreprises qui violeraient les normes de confidentialité.

Ben Goodman, Vice-Président de ForgeRock en charge de la stratégie globale et de l’innovation : « Les consommateurs sont de plus en plus conscients des conséquences de leurs interactions numériques quotidiennes. Les entreprises doivent donc prendre à bras le corps ce sujet si elles veulent conserver la confiance des consommateurs. Cela fait des années que nous bénéficions tous gratuitement des services des plateformes sociales en échange de nos informations personnelles. À la lumière des récentes révélations concernant les politiques de traitement des données de Facebook, il est temps de reconsidérer ce qui relève du piratage et les comportements qui devraient être assimilés comme tels afin de mettre en place les mesures de protection appropriées. Doit-on par exemple considérer comme étant du piratage toute situation où une entreprise utilise la data de ses clients d’une manière inattendue ? Quel est le niveau acceptable de divulgation d’informations personnelles par un individu ? Toutes ces questions doivent faire l’objet d’un débat, d’autant plus que les technologies de l’IoT continuent de remodeler la vie quotidienne à la maison, au travail et les façons dont nous nous déplaçons« .

Nick Caley, Vice-Président de ForgeRock en charge des industries financières et de régulation : « 9 français sur 10 réclament des sanctions accrues pour les entreprises qui violent la vie privée des consommateurs. C’est un signal fort pour toute organisation qui traite et utilise les données de ses clients, et plus particulièrement les sociétés de services financiers. Au fur et à mesure que les entreprises adaptent leurs infrastructures et leurs pratiques pour se conformer à l’Open Banking, à la directive PSD2 ou au RGPD, ils doivent garder à l’esprit que les régulateurs ont fait du consentement la clé de voute de chacune de ces lois. Et à juste titre, l’étude montre clairement que les consommateurs attendent des organisations qu’elles sollicitent et obtiennent le consentement des individus avant de recueillir leurs données personnelles. »

Veronica Lara, rédacteur en chef de l’étude : « Les consommateurs sont inquiets à juste titre, car l’omniprésence de capteurs interconnectés via l’Internet des Objets génère des nouvelles couches de risques qui sont difficiles à appréhender. Le manque de transparence et l’impossibilité pour les consommateurs de contrôler leurs données exacerbent la perception des menaces pesant sur leur vie privée et leur sécurité. Les choses semblent évoluer, cependant, à mesure qu’ils exigent des garanties plus fortes et que le RGPD étend son influence au-delà des frontière de l’UE. »

Banque, Bitcoin, Communiqué de presse, Cyber-attaque, Cybersécurité, Leak, Piratage, ransomware, ransomware, Securite informatique

cryptojacking et ransomware

La 23e édition du rapport annuel cyber menaces (ISTR) revient sur les attaques de l’année écoulée. Alors que les ransomware deviennent coûteux pour les cyber criminels et donc moins rentables, et que l’activité est saturée, un nouveau type d’attaque s’ajoute à l’arsenal des cyber attaquants et génère de nouvelles sources de revenus pour ces derniers : le cryptojacking.

Le cryptojacking est une nouvelle forme de menace pour la cybersécurité et la protection des données personnelles. L’appât du gain continu chez les cyber attaquants présente un danger pour les particuliers, les équipements et les entreprises, qui risquent de voir leurs ressources monétaires détournées de leurs systèmes. Les cyber attaquants n’hésitent pas à s’infiltrer aussi bien dans les ordinateurs personnels que dans les plus grands centres de données.

Le rapport annuel de Symantec sur les cyber menaces fournit un aperçu compréhensif du panorama des menaces informatiques dans le monde et des enseignements précieux quant aux activités émergentes et motivations des cyber attaquants. Le rapport analyse les données issues du réseau international d’intelligence de Symantec (le Symantec Global Intelligence Network), le plus important réseau civil de surveillance des menaces, qui comprend 126,5 millions de capteurs dans le monde et couvre 157 pays et territoires.

Alors que les Etats-Unis, la Chine et l’Inde occupent à nouveau les 3 premières places du classement mondial des pays où la cybercriminalité est la plus active, la France chute d’une place et se place au 9e rang mondial. L’Hexagone confirme sa place dans le top 10 et maintient sa position au 4e rang européen (derrière l’Allemagne et le Royaume-Uni). Tous types de menaces confondues, la France enregistre une légère baisse de pourcentage de cyber attaques sur un niveau mondial, passant de 2,35 % à 2,21 % entre 2016 et 2017 – contrairement aux Etats-Unis, à la Chine, la Russie ou encore l’Allemagne.

Explosion du cryptojacking : la France se classe au 4e rang mondial en volume d’attaques

L’an passé, la montée en flèche de la valeur des crypto-monnaies a déclenché une ruée vers l’or parmi les cybercriminels, qui entendent profiter d’un marché volatile. Les détections de service de minage installés sur des terminaux ont progressé de 8 500 % en 2017. L’Hexagone concentre 5,9 % du volume total des attaques de cryptojacking, se classant ainsi au 4e rang mondial (et au 2e rang européen).

Sans avoir besoin de compétences poussées en information et grâce à quelques lignes de code, les cyber criminels peuvent désormais profiter des ressources dont disposent les particuliers et les entreprises grâce à la puissance de traitement de calcul liée aux processeurs, afin de procéder à des attaques de cryptojacking. Les services de minage peuvent ralentir les équipements, entraîner une surchauffe des batteries et, dans certains cas, rendre les systèmes inutilisables. De leur côté, les entreprises sont susceptibles de constater des interruptions de réseau et une intensification de l’utilisation des processeurs, ce qui alourdit les coûts liés à l’infrastructure réseau.

« Il est désormais possible, pour des esprits malveillants, d’exploiter les ressources stockées sur nos téléphones, nos ordinateurs ou n’importe quel appareil connecté à des fins lucratives, » déclare Laurent Heslault. « S’ils ne renforcent pas leurs systèmes de défense, les utilisateurs risquent de devoir payer pour une autre personne utilisant leur appareil de façon frauduleuse ».

Les ransomware se stabilisent et s’installent durablement

En 2016, la rentabilité des ransomware a déclenché une saturation du marché entraînant une baisse notable du montant moyen des rançons : 522 dollars en 2017 contre 1 077 en 2016.  C’est pourquoi le ransomware est entré dans la catégorie des attaques dites communes, poussant nombre de cybercriminels à se tourner vers le minage pour attaquer les crypto monnaies et tirer pleinement profit de leur valeur élevée.

Malgré une réduction du nombre de familles de ransomware, la quantité de variantes de logiciels malveillants de ce type a augmenté de 46 % par rapport à 2016. Les groupes criminels innovent donc moins mais demeurent toujours très productifs.

Quant à la France, elle chute de la 11e à la 17e place dans le classement mondial des pays les plus actifs en matière de ransomware.

Multiplication des attaques sur les mobiles

Les attaques sur mobiles continuent d’augmenter avec une progression de 54 % du nombre de nouvelles variantes de logiciels malveillants en 2017. Durant l’année, Symantec a bloqué en moyenne 24 000 applications mobiles malveillantes par jour. Une progression qui s’explique par un faible taux d’adoption des dernières mises à jour de la part des utilisateurs. Les attaquants profitant ainsi de l’utilisation d’anciens systèmes d’exploitation : à titre d’exemple, seulement 20 % des appareils sont à jour avec, utilisant la dernière version d’Android, et seulement 2,3 % possèdent la dernière mise à jour mineure.

La protection des données des utilisateurs est également mise à mal par des applications mobiles appelées grayware, qui ne sont pas entièrement malveillantes mais peuvent se révéler menaçantes avec pour dommage la fuite du numéro de téléphone (63 % des applications de ce type) ou encore la localisation du téléphone (37 %). Le problème est loin d’être réglé puisque leur nombre de logiciels grayware a augmenté de 20 % en 2017.

Par ailleurs, les ransomware constituent une vraie menace sur mobile, certains utilisent même la reconnaissance vocale forçant les victimes à dévoiler à l’oral leur code de déverrouillage plutôt que de rentrer manuellement sur le téléphone.

La majorité d’attaques ciblées utilise une méthode unique pour infecter les appareils des victimes

Le nombre global d’attaques ciblées en 2017 est en hausse de 10 % comparé à l’année précédente. Symantec suit aujourd’hui les activités de 140 groupes de cyber attaquants. 71 % des attaques ciblées ont commencé par du spear phishing (phishing ciblé), une méthode établie depuis des années, pour compromettre les victimes. Si les groupes responsables d’attaques ciblées continuent d’exploiter des tactiques testées dont la viabilité a été prouvée pour infiltrer les entreprises, les menaces de type zero day sont de plus en plus délaissées : seulement 27 % des groupes d’attaques ciblées ont utilisé ces vulnérabilités l’an dernier.

Le secteur de la sécurité s’est longtemps penché sur les différents types de dommages que pourraient produire les cyberattaques. Un groupe d’attaquants sur dix utilise des attaques conçues pour déstabiliser leurs cibles, la théorie fait dorénavant place à la pratique.

Une augmentation de programmes malveillants de 200 % au sein des logiciels légitimes

En 2017, Symantec a enregistré une augmentation de 200 % du nombre de programmes malveillants injectés au sein de logiciels légitimes. Cela équivaut à 1 attaque par mois, contre 4 en 2016. La non-application des mises à jour des logiciels offrent aux cyber criminels un point d’entrée pour s’infiltrer dans des réseaux bien gardés.

Petya en est un parfait exemple. En juin dernier, après avoir utilisé un logiciel de comptabilité ukrainien comme point d’entrée, Petya a utilisé une variété de méthodes de propagation de la menace dans les réseaux d’entreprise, permettant ainsi le déploiement de leur charge utile malveillante.

Chiffrement, Communiqué de presse, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage, Securite informatique, Social engineering

Protéger sa gestion des mots de passe

Quel est le comportement des utilisateurs de mot de passe ? La société IS Decisions s’est penchée sur le problème en lançant une grande enquête aux États-Unis et au Royaume-Uni. Le vol et le partage de mot de passe font amis-amis.

Pour un administrateur et autre responsable de sécurité informatique, identifier une activité suspecte peut rapidement devenir l’enfer. Dans le lot des attaques difficiles à « environnementer », l’utilisation par les pirates informatiques des identifiants de connexion officiels.

Bien que ce soit souvent le comportement de sécurité de l’utilisateur final qui permette de voler ces identifiants, plutôt que de blâmer les utilisateurs d’être humains, la société IS Decisions propose une infographie qui affiche comment mieux protéger les connexions authentifiées de tous les utilisateurs.

On découvre, par exemple, que 45% des violations de données sont le résultat d’informations d’identifications compromises. 58% de ces compromissions le sont en raison d’une attaque informatique sous forme de phishing ; 38% en raison du partage de votre mot de passe avec un collègue. Le social Engineering, qu’exploite l’hameçonnage, regroupe 35% des cyberattaques. 22% des vols d’identifiants en raison d’une base de données piratée comprenant les informations d’identification de l’utilisateur.

Chiffrement, Communiqué de presse, Cybersécurité, Mise à jour, Propriété Industrielle, Securite informatique

Trend Micro et Panasonic s’associent pour sécuriser les véhicules connectés

Trend Micro et Panasonic Corporation annoncent un partenariat innovant visant à développer une solution de cyber-sécurité permettant de détecter et contrer les risques de piratage ciblant les voitures connectées et autonomes.

Ce partenariat a pour objectif de garantir un niveau de sécurité élevé pour ces véhicules, la solution étant capable de déceler et de prévenir les intrusions visant, d’une part les unités de commande électronique (UCE – Electronic Control Unit)*1 qui assurent le contrôle des comportements dynamiques de conduite tels que l’accélération, la direction et le freinage ; et d’autre part les plateformes d’info-divertissement embarquées (IVI – In Vehicule Infotainment)*2 comme les systèmes de navigation et les boitiers télématiques*3.

Les risques de piratage des systèmes de direction et de freinage dans les véhicules connectés sont bien réels. De nouvelles failles de sécurité sont découvertes quotidiennement, permettant aux cybercriminels de prendre le contrôle d’un véhicule à distance. Il est donc indispensable de définir des mesures de sécurité dans chaque voiture connectée, mais également d’analyser les nouvelles formes d’attaques grâce à une surveillance continue des systèmes embarqués depuis le Cloud, tout en capitalisant sur les données analytiques produites pour développer et généraliser des contre-mesures adéquates.

Ce partenariat s’appuiera sur la technologie de détection et de prévention des intrusions*4 pour le réseau CAN (Control Area Network) de Panasonic, ainsi que sur la solution Trend Micro IoT Security*5. La technologie Panasonic permettra de détecter l’ensemble des commandes non autorisées envoyées aux unités de commande électronique (ECU). Trend Micro IoT Security capitalise sur l’expertise de Trend Micro à l’échelle mondiale, ainsi que sur ses solutions basées sur l’intelligence connectée, notamment pour ce qui est de l’analyse des malware*6. La solution sera implémentée sur les plateformes d’info-divertissement embarqué (IVI) comme les systèmes de navigation, pour identifier les attaques tentant d’exploiter des vulnérabilités via le réseau Internet. Grâce à ce partenariat, les événements identifiés par les deux technologies seront collectés et envoyés à une plateforme d’analyse dans le Cloud pour détecter et bloquer le trafic suspect.

Ce partenariat technologique permettra ainsi de fournir une solution globale – dont des systèmes embarqués et des systèmes Cloud – visant à prévenir les cyber-attaques ciblant les véhicules autonomes et connectés. Les deux entreprises planifient un lancement commercial à l’horizon 2020.

*1 Unité de commande électronique : calculateurs qui commandent des actionneurs comme le moteur ou la direction
*2 Info-divertissement embarqué (IVI) : applications de divertissement et d’information disponibles dans les voitures
*3 Télématiques : service qui envoie et reçoit des données vers et depuis un véhicule
*4 Technologie de détection et de prévention CAN : technologie qui surveille le bus CAN (Control Area Network), autorisant les communications entre les unités de commande électroniques pour détecter les commandes non autorisées et les traiter comme invalides
*5 Trend Micro IoT Security : solution de sécurité pour les dispositifs embarqués connectant l’extérieur du véhicule à des communications IP sur des systèmes d’exploitation tels que Linux
*6 Malware : terme générique utilisé pour désigner différentes formes de logiciels ou de codes malveillants créés pour causer des dommages, y compris des virus informatiques.

backdoor, Chiffrement, Communiqué de presse, Cybersécurité, Securite informatique

Le cybercrime aurait coûté près de 600 milliards de dollars à l’économie mondiale

Le marché du cybercrime est de plus en plus facilité, à mesure que ses acteurs exploitent les marchés parallèles et les monnaies numériques.

McAfee en partenariat avec le CSIS – Center of Strategic and International Studies, a publié un nouveau rapport sur l’impact économique de la cybercriminalité. Intitulé ‘Economic Impact of Cybercrime – No Slowing Down’, il révèle que l’économie du cybercrime coûte près de 600 milliards de dollars aux entreprises, soit 0,8 % du PIB mondial. En comparaison avec la première étude réalisée en 2014, une hausse de 445 milliards de dollars est observée, soit une évolution de 26 %.

Le rapport attribue notamment cette croissance à la facilité de s’engager dans la cybercriminalité – le volume de centres de cybercriminalité connaît une importante croissance, à l’adoption rapide des nouvelles technologies par les cybercriminels, ainsi qu’à la sophistication financière croissante des plus aguerris d’entre eux.

« Le monde numérique a transformé presque tous les aspects de nos vies. Il en va de même pour en matière de criminalité, aujourd’hui, le cybercrime est moins risqué, plus rentable et plus facile que jamais », déclare Steve Grobman, Chief Technology Officer – McAfee.

« En matière de ransomwares, les cybercriminels peuvent externaliser une grande partie de leur travail à des tiers compétents. Les fournisseurs de ‘Ransomware-as-a-service’ adaptent désormais l’automatisation pour exécuter leurs attaques et cibler des millions de systèmes. C’est sans compter les cryptomonnaies qui offrent désormais un moyen de monétisation rapide pour un risque moindre. Le chiffre de $600 milliards de perte liées à la cybercriminalité reflète bien la manière dont la technologie a transformé l’économie du crime en ligne. »

Selon le rapport, les banques demeurent une cible préférée des cybercriminels, et les États représentent la source la plus dangereuse en termes de cybercriminalité. La Russie, la Corée du Nord et l’Iran sont les plus actifs en matière de piratage des institutions financières, tandis que la Chine est la plus active dans le cyber-espionnage.

« Notre recherche a démontré que la Russie dispose d’une longueur d’avance dans le domaine du cybercrime, reflétant les compétences de sa communauté de hackers et son mépris pour l’application des lois occidentales », explique James Lewis, Vice-Président du CSIS.

« La Corée du Nord est en seconde position, elle utilise le vol de cryptomonnaies pour aider à financer son régime. Nous observons aujourd’hui un nombre grandissant de centres de cybercrime, non seulement en Corée du Nord mais aussi au Brésil, en Inde ou encore au Vietnam. »

Au sein des différents pays où le cybercrime a été mesuré (Amérique du Nord, Europe, Asie centrale, Asie de l’Est et du Pacifique, Asie du Sud, Amérique latine, Caraïbes, Afrique subsaharienne, Moyen-Orient et Afrique du Nord), les pertes sont, sans surprise, les plus importantes dans les pays riches. Cependant, les nations enregistrant les plus grandes pertes (en pourcentage de leur revenu national) sont celles de niveau intermédiaire, c’est-à-dire qui sont numérisées mais pas encore pleinement équipées en matière de solutions de cybersécurité.

Le vol de propriété intellectuelle représente au moins 25% du coût de la cybercriminalité et peut menacer la sécurité nationale lorsqu’il s’agit de technologie militaire. Le ransomware est le vecteur d’attaque enregistrant le taux de croissance le plus rapide : on dénombre plus de 6 000 marchés en ligne et plus de 45 000 variants de « Ransomware-as-a-Service » (RaaS), qui gagne en popularité. Le « cybercrime-as-a-service » se sophistique, avec des marchés florissants offrant une grande diversité d’outils et de services tels que les kits d’exploitation, les malwares personnalisés et la location de réseaux de botnet. L’anonymat des cryptomonnaies, telles que Tor et le Bitcoin, protège les acteurs.

Communiqué de presse, Cybersécurité, Securite informatique

Propagation de malwares : les 5 techniques les plus fréquemment employées par les cybercriminels

2017 aura définitivement marqué un tournant dans la cybercriminalité. Les entreprises, quelle que soit leur taille, prennent conscience de la gravité de la situation et de la nécessité de prendre des mesures pour se protéger. Si le volet technologique est indispensable, notamment via la sécurisation des terminaux fixe et mobiles, une récente étude révélait que les français ont la particularité de miser énormément sur la formation des collaborateurs. Il convient alors de savoir précisément de quelle manière les pirates procèdent pour propager leurs logiciels malveillants.

Les attaques par le biais de logiciels corrompus

Il n’est pas rare d’installer un logiciel téléchargé en validant chaque étape inconsciemment… et de se retrouver avec des barres d’outils venues perturber le fonctionnement de son navigateur Web ou encore afficher de la publicité intempestive… Une évolution de ce procédé a récemment fait grand bruit avec CCleaner. Le logiciel de nettoyage et de maintenance a vu l’une de ses versions compromises par des pirates au cours même de sa construction. Cela démontre une planification méticuleuse et un haut niveau de sophistication ! Cette mésaventure est également survenue sur des machines Apple avec le logiciel de gravure de DVD HandBrake, puis par les applications Elmedia Player et Folx distribuées par Eltima Software tous infectés par Proton. Celui-ci était capable de récupérer des mots de passe, notamment ceux stockés par les navigateurs. Encore une fois, la mise à jour est la meilleure façon de se parer. Comme les fabricants d’OS, les éditeurs de logiciels fournissent des correctifs de sécurité et autre mise à jour qu’il convient d’appliquer dès lors qu’ils sont disponibles.

Les attaques géolocalisées

Pour servir certains objectifs précis ou en réponse à certains comportements répandus dans certaines régions les pirates se mettent eux aussi au marketing. Les attaques géociblées visant à perturber, déstabiliser ou compromettre des données sont en de plus en plus fréquentes. Nous constatons ainsi l’émergence du ransomware Magniber qui, si la victime n’était pas localisée en Corée du Sud, s’auto-supprime de façon inoffensive. Finfisher cible quant à lui le Moyen-Orient et, propulsé par le groupe de pirates BlackOasis, des organisations et individus liés à la politique de la région, notamment des journalistes, militants ou membres de l’ONU. Enfin, BadRabbit et NotPetya ont été essentiellement actifs en Ukraine dans l’univers du transport pour le premier, et de l’énergie pour le second. Dans le monde francophone, c’est l’escroquerie au support technique qui a marqué les esprits. De fausses pages affichant des messages d’alerte invitaient les victimes à appeler un numéro. Au bout du fil, des opérateurs parlant un français quasi parfait et capitalisant sur leur crédulité se chargeaient alors de leur faire payer des prestations sans aucun intérêt.

La fraude publicitaire

La fraude publicitaire est problématique pour les annonceurs, qui, à cause de botnets imitant le comportement des visiteurs, voient leurs dépenses gaspillées et les statistiques de visibilité perturbées. Mais encore une fois, c’est l’internaute lambda qui risque le plus à cause de campagnes frauduleuses et de malwares conçus pour échapper à la détection. Une de ces campagnes, qui s’est déroulée sur Yahoo, incitait les utilisateurs à télécharger un faux patch pour Firefox. De plus en plus, les pirates utilisent des techniques de phishing dont l’une d’entre-elles consiste à remplacer un texte par de faux caractères. L’internaute se laisse ainsi persuader qu’il lui manque une police pour afficher correctement le contenu. Évidemment, l’installateur de polices proposé est bien souvent un Ransomware.

Les spams malveillants

Qu’ils contiennent des pièces jointes corrompues ou des liens revoyant vers des sites Web malveillants, les e-mails malveillants sont surement la manière la plus connue de propager des malwares. Récemment, plusieurs vulnérabilités ne nécessitant que peu ou pas du tout d’action de la part du destinataire ont été utilisées par les pirates. Sur simple ouverture, des pièces jointes ou des e-mails eux-mêmes ont pu provoquer des requêtes et télécharger et exécuter automatiquement du code malveillant. C’est notamment le cas du célèbre FinSpy malware. Les pirates ont aussi misé sur des technologies anciennes comme le format d’archivage .ace, pour déjouer la vigilance des systèmes automatisés et les utilitaires de détection de spam. Pour déjouer ces techniques, il est conseillé de n’ouvrir les e-mails et pièces-jointes d’expéditeurs connus en vérifiant non seulement le nom affiché mais également la syntaxe de l’adresse utilisée. Quand bien même les deux ne présentent aucun élément suspect, le lien à cliquer ou la pièce jointe remise ont-ils eux aussi une syntaxe correcte ? Et sont-ils réellement attendus ?

L’exploitation d’EternalBlue

En 2017, les ransomwares WannaCry et NotPetya ont fait couler beaucoup d’encre. Pour se propager, ces derniers utilisent une fuite provenant de la NSA et exploitée sous le nom d’EternalBlue qui exploite une vulnérabilité présente au sein de nombreux systèmes d’exploitation Windows. Signalé à Microsoft plusieurs mois avant la première vague d’attaque, et malgré le déploiement de correctifs, de nombreuses machines non mises à jour se sont vues infectées. Les ransomwares ne sont pas les seuls à en avoir profité. Adylkuzz, un mineur de Bitcoin utilise lui aussi ce vecteur pour infecter des systèmes et appliquer un patch empêchant tout malware supplémentaire de s’installer par la suite. CoinMiner, une autre famille de mineur, profite également d’EternalBlue pour opérer. En s’exécutant dans la mémoire courante des systèmes, sans fichier, il passe au travers des solutions de sécurité. Pour éviter ces situations, la meilleure arme reste de tenir son système actualisé en permanence grâce aux mises à jour fournies par l’éditeur de son système d’exploitation.

Ceux qui déclarent que la plus importante faille de sécurité en matière d’informatique se situe entre le fauteuil et l’écran n’ont pas tout à fait tort ! Au regard de ces différentes techniques, on notera que la simple vigilance humaine peut, dans bien des cas, être efficace pour empêcher la survenue des attaques. Néanmoins, dans le jeu du chat et de la souris avec les pirates, ce sont souvent ces derniers qui ont un coup d’avance. Par conséquent, au-delà de la formation des utilisateurs, des mesures technologiques de protection contre les menaces avancées ne doivent pas être négligées.

Android, Argent, Arnaque, backdoor, Banque, Communiqué de presse, Contrefaçon, Cyber-attaque, Cybersécurité, Entreprise, escroquerie, Fuite de données, ID, Identité numérique, ios, OS X, Paiement en ligne, Particuliers, Piratage, Sécurité, Securite informatique, Smartphone, Windows phone

Chevaux de Troie visant les applications bancaires mobile

La prolifération des chevaux de Troie visant les applications bancaires mobiles expose les particuliers à d’importants risques. De fausses interfaces reproduisent fidèlement les applications bancaires mobiles des plus grandes banques du monde entier. Plus d’un consommateur sur trois est incapable de faire la différence entre une application authentique et sa version piratée.

Les utilisateurs de services bancaires mobiles du monde entier sont confrontés à un risque plus grand d’être piégés par des cybercriminels, et d’être victimes de fraudes. Telle est la conclusion de la nouvelle étude mondiale publiée par Avast, leader mondial des produits de sécurité digitale, qui a demandé à près de 40 000 consommateurs de douze pays, dont la France, de comparer l’interface de plusieurs applis bancaires officielles avec leur version contrefaite.

Au niveau mondial, 58 % des personnes interrogées ont identifié l’interface officielle des applications bancaires mobiles comme frauduleuse, tandis que 36 % prenaient l’interface piratée pour la version authentique. En France, les résultats sont similaires avec respectivement 74 % et 35 % des personnes interrogées. Ces résultats soulignent le niveau de sophistication et d’exactitude qu’ont atteint les cybercriminels pour réaliser des copies extrêmement fiables, ce qui leur permet d’espionner les utilisateurs et de collecter leurs identifiants personnels pour faire main basse sur leur compte en banque.

Ces derniers mois, Avast a détecté plusieurs fausses applications bancaires mobiles qui représentent une menace croissante pour la confidentialité et la sécurité. Parmi les banques visées par les cybercriminels, on retrouve Crédit Agricole, Citibank, Wells Fargo, Santander, HSBC, ING, Chase, Bank of Scotland et Sberbank. En dépit des mesures strictes de sécurité déployées ainsi que des sauvegardes, les importantes bases de données clients de ces organisations constituent des cibles particulièrement attrayantes pour les cybercriminels, pour réussir à créer de fausses applications qui imitent les officielles à la perfection.

 En novembre 2017, l’équipe Threat Labs Mobile a découvert dans Google Play une nouvelle version du cheval de Troie BankBot qui cible les identifiants de connexion bancaire des particuliers. Avast a ainsi analysé la menace, en collaboration avec ESET et SfyLabs. Cette toute dernière variante était dissimulée dans des applications réputées fiables, telles que des lampes de poche et des versions du célèbre jeu Solitaire. Une fois téléchargés, les logiciels malveillants lançaient et ciblaient les applications des plus grandes banques. Lorsqu’un utilisateur ouvrait son appli bancaire, le malware positionnait une fausse interface sur l’appli officielle, afin de collecter les coordonnées bancaires du client et de les transmettre au cybercriminel.

Applications bancaires piégées

« Nous assistons à une augmentation constante du nombre d’applications malveillantes pour Android. Ces applis sont capables d’échapper aux contrôles de sécurité des principales plateformes de téléchargement d’applications, avant de se frayer un chemin jusqu’aux téléphones des consommateurs, confie Gagan Singh, Senior Vice President et General Manager, Mobile, chez Avast. Dans de nombreux cas, elles se font passer pour des jeux ou des applis « lifestyle », et utilisent des tactiques d’ingénierie sociale pour inciter les utilisateurs à les télécharger. »

« En règle générale, les internautes peuvent faire confiance à la fiabilité des plateformes de téléchargement d’applications, telles que celles de Google et d’Apple, pour télécharger des applications bancaires, mais une vigilance accrue est de mise. Il est indispensable de vérifier que l’application utilisée est bien la version officielle, poursuit Gagan Singh. Si l’interface semble étrange, il ne faut pas hésiter à contacter le service client de la banque. Le cas échéant, il est vivement conseillé d’utiliser la fonction d’authentification à deux facteurs et de se protéger en installant un antivirus puissant sur Android, qui détectera et supprimera les logiciels malveillants. »

L’étude menée souligne en outre que les consommateurs du monde entier se disent davantage préoccupés par le vol d’argent sur leur compte bancaire, que par la perte de leur portefeuille ou de leur sac à main ; voire même par le piratage de leurs comptes sur les réseaux sociaux ou la consultation de leurs messages personnels. Au niveau mondial, 72 % des personnes interrogées ont déclaré que la perte d’argent était leur principale préoccupation, contre 67 % en France.

Au niveau mondial, environ deux personnes interrogées sur cinq (43 %) ont déclaré utiliser des applications bancaires mobiles. En France, 38 % ont affirmé les utiliser de façon active. Parmi les personnes interrogées qui ne se servent pas d’un smartphone ou de tablette pour accéder aux services de leur banque, près du tiers (30 %) des français ont indiqué que le faible niveau de sécurité était leur principal souci.

 Cette enquête en ligne a été réalisée dans 12 pays : États-Unis, Royaume-Uni, France, Allemagne, Russie, Japon, Mexique, Argentine, Indonésie, République tchèque, Brésil et Espagne. Au total, 39 091 personnes y ont participé, dont 5 852 français.

Android, Base de données, Chiffrement, Communiqué de presse, Cybersécurité, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, IOT, Particuliers, RGPD, santé, Sécurité, Securite informatique, Smartphone, Social engineering, Vie privée

Domotique : objets connectés sont-ils dangereux ? Test !

Les objets connectés et la domotique sont devenus omniprésents dans notre quotidien, au travail comme à la maison : téléphones, ampoules, enceintes, montres, caméras, voitures, etc. Pourtant, nous devrions nous préoccuper des informations que nous transmettons (mode de vie, habitudes, localisation, photos et vidéos, etc.) et les risques d’un tel partage. À cet effet, ESET reconstitue une maison connectée lors du Mobile World Congress, où différents appareils sont testés afin de mettre en évidence les vulnérabilités liées à ces objets qui nous entourent. Partage de données, virus, informations collectées… Que risque-t-on vraiment en partageant avec ces objets des informations nous concernant ? Nos experts ont testé 12 produits que nous retrouvons habituellement dans une maison connectée.

L’un de ces objets de domotique qui n’a pas été listé ici présentait de nombreuses vulnérabilités importantes. Nous avons averti le fabricant pour qu’il puisse y remédier. Cet appareil est une centrale de commande domotique qui peut gérer les détecteurs de mouvement, les commandes de chauffage, les moteurs de volets roulants, les capteurs d’environnements et les prises intelligentes.

Voici les principales vulnérabilités de cet appareil :

  • Le processus de connexion au réseau local n’est pas entièrement protégé par un système d’authentification. L’option par défaut autorise la connexion automatique, qui contourne le renseignement d’informations d’identification standard telles que l’identifiant et le mot de passe. Le fabricant mentionne ce problème dans une alerte de sécurité et recommande de désactiver cette option par défaut.
  • Comme avec presque tous les systèmes de maison connectée, un service Cloud permet de gérer les appareils connectés depuis un endroit X. Les communications vers le service cloud ne sont pas chiffrées.
  • Le service Cloud des fournisseurs a la possibilité d’établir une connexion VPN (Virtual Private Network – à distance) avec les périphériques distants. Une fois ce tunnel établi, il pourrait être possible de modifier la configuration du réseau distant. Cela pourrait entraîner l’accès au réseau local des utilisateurs sans leur consentement.
  • L’accès au service Cloud nécessite un enregistrement. Si les détails concernant l’utilisateur sont compromis, l’accès VPN au réseau distant peut présenter un risque considérable.

Les autres appareils que nous avons testés et détaillés dans ce rapport permettent de mettre en évidence certaines vulnérabilités qui doivent être prises en compte au moment de l’achat de l’appareil. Par exemple, les caméras D-Link et la connexion TP-Link présentent des problèmes de sécurité. La principale préoccupation de ces caméras est l’absence de chiffrement du flux vidéo, accessible depuis un système d’authentification faible.

La confidentialité de la domotique, un sujet qui nous concerne tous

La radio Internet Soundmaster, qui ne dispose pas entre autres de politique de confidentialité, a alerté nos chercheurs. Les préoccupations les plus importantes concernent les assistants intelligents à commande vocale – en l’occurrence Alexa. Il s’agit d’un service qui sert de conduit à tous les autres appareils et qui stocke ensuite les interactions avec eux. Ni la réputation de l’appareil ni les services d’Amazon ne sont en cause, mais un pirate intelligent qui tente de recueillir des données personnelles pour le vol d’identité pourrait créer une attaque par spear-phishing pour accéder au compte Amazon des victimes.

AMAZON ECHO

Les interactions que vous aurez avec cet appareil permettront d’informer Amazon des produits que vous souhaitez acheter, de ce que vous écoutez, des autres produits connectés que vous avez et ainsi de suite. Cette collecte de données permet de créer un profil qui contient potentiellement des détails très précis sur votre style de vie – le rêve d’un marketeur, et aussi celui d’un cybercriminel. Avec les violations de données fréquentes, tout assistant numérique activé par la voix doit nous préoccuper. Si, par exemple, quelqu’un accède à votre identifiant et votre mot de passe Amazon, il a la possibilité d’écouter vos interactions avec Alexa. Le stockage d’informations stockées constitue un problème de confidentialité.

D-LINK

Les mises à jour de micrologiciels sont au format http et non https (le -s- indique que le protocole est sécurisé), ce qui signifie qu’un pirate pourrait injecter des virus lors d’une mise à jour, car le flux de données n’est pas chiffré. Les caméras incluses dans notre test de maison connectée présentent des faiblesses. La caméra est contrôlée depuis l’application mydlink, qui est chiffrée. Mais si le flux vidéo lui-même est mal protégé, les problèmes de sécurité et de confidentialité se concentrent autour du contenu « capturé ».

NETAMTO

Si vous décidez de partager les données de votre appareil, sachez que votre emplacement est identifié. Jetez un œil ici. Vous comprendrez comment, en sélectionnant l’un des appareils. L’adresse de rue d’un propriétaire de NetAMTO est indiquée.

NOKIA HEALTH

Nous avons tenté d’accéder aux données qui circulent entre l’application Health Mate et le service Cloud affilié. Il était possible de lancer une attaque de type « MitM » entre l’application Android et le Cloud. Ceci signifie que les communications sont interceptées sans que l’utilisateur soit au courant.

Ici, l’attaque à distance n’est pas possible. Cependant, en cas de compromission, les données transmises deviennent lisibles. Ceci dit, pour NOKIA HEALTH, il est peu probable de trouver un scénario où un pirate peut accéder au téléphone, rooter l’appareil, intercepter le téléchargement du firmware, le réécrire, puis appuyer sur un bouton de configuration magique sur les balances réelles et installer le nouveau firmware.

Cependant, lorsque vous associez Nokia Scales à Amazon Echo, vous pouvez poser des questions à Alexa sur les données stockées dans votre compte Health Mate. Sur la page Internet d’Amazon qui détaille l’habileté et l’offre des compétences Nokia, il y a la déclaration suivante : Alexa et Amazon, Inc. ne stockent ni ne conservent vos données Nokia Health, mais les interactions vocales associées à votre compte Amazon peuvent contenir vos données Nokia Health Mate.

Lorsque vous liez Alexa et accordez à Amazon la permission d’accéder à votre compte Nokia Health Mate, vous accordez en réalité à Amazon Alexa l’accès aux données personnelles, y compris le poids, la distance parcourue, le sommeil et les objectifs. Ces informations sont stockées sous forme d’interactions vocales associées à votre compte Amazon.

SONOS

Si, par exemple, vous avez des enceintes dans les chambres de vos enfants, nommer les enceintes en utilisant leurs noms réels peut, par inadvertance, mener à partager des données avec Sonos au sujet des personnes de votre famille.

WOERLEIN

En l’absence de politique de confidentialité, nous devons nous fier à notre enquête pour comprendre la communication entre l’appareil et Internet. Tout d’abord, lors de la configuration de l’appareil pour se connecter au réseau Wi-Fi, le mot de passe n’est pas masqué. Si l’appareil est accessible, par exemple dans un lieu public tel qu’un bureau ou un établissement de vente au détail, les informations d’identification Wi-Fi seront accessibles en cliquant sur les paramètres.

Lors de la sélection d’une station de radio, une instruction est envoyée en clair à mediayou.net, qui semble être un portail d’accès au contenu radio en ligne. Mediayou connaîtra l’adresse IP de la radio qui s’y connecte, la station de radio demandée, ainsi que l’heure et la durée d’écoute.

Aucune politique de confidentialité n’est répertoriée sur le site Internet mediayou.net. Même lors de la création d’un compte sur le site, il n’y avait aucune offre de politique de confidentialité ou de conditions d’utilisation. Faire des recherches sur le domaine mediayou.net pour déterminer qui en est le propriétaire est futile, car les détails du domaine sont cachés derrière un bouclier de confidentialité, ce qui est ironique…

Si vous ne comprenez pas quelles données, le cas échéant, peuvent être collectées et conservées, vous devez envisager le pire : une entreprise pourrait collecter tout ce qu’elle peut et vendre ces données à qui elle veut et quel que soit son choix. À l’heure où les données personnelles ont une valeur et où le vol d’identité est un problème croissant, cette situation est inacceptable.

TP-LINK

Cet appareil présente des vulnérabilités qui incluent un chiffrement facilement réversible entre l’appareil et l’application TP-Link Kasa utilisée pour le contrôler, des problèmes de validation de certificat et des attaques potentielles de type man-in-the-middle.

CONCLUSION

Aucun appareil ou logiciel n’est garanti « totalement sécurisé » ou « sans vulnérabilités potentielles ». Chaque personne qui lit ce rapport aura une vision différente des informations personnelles qu’elle estime pouvoir partager avec une entreprise ou un fournisseur. Il est nécessaire de se renseigner sur le niveau de protection des appareils. Par exemple, est-ce que le fabricant envoie des notifications pour la mise à jour du firmware ? Les assistants personnels vocaux intelligents sont très pratiques. Ils sont également omniscients. Évaluez avec prudence les informations que vous souhaitez partager avec eux.

Les données collectées sur la maison, le style de vie, la santé et même les données de navigation Internet d’une personne ne devraient être autorisées qu’une fois les conséquences prises en compte. Alors que les entreprises découvrent de nouvelles façons de faire du profit avec les données collectées via les objets connectés, soit l’industrie doit s’autoréguler, soit les gouvernements devront renforcer la législation relative à la protection de la vie privée (de la même manière que l’UE a mis en place le RGPD).

Communiqué de presse, Cyber-attaque, Cybersécurité, ID, Identité numérique, Particuliers, Phishing, Piratage, pourriel, ransomware, ransomware, Securite informatique, Social engineering, Vie privée

Cyber incidents en entreprise : les attaques par e-mails continuent de causer les dégâts les plus importants

Le nouveau rapport sur les interventions suite à un cyber incident montre que les boîtes mails constituent le maillon faible de la cyber sécurité des entreprises. Ces dernières éprouvent des difficultés à détecter rapidement et avec précision les incidents de sécurité.

Selon un nouveau rapport publié par F-Secure, plus d’un tiers des cyber incidents de sécurité informatique sont initiés par des mails de phishing ou des pièces jointes malveillantes reçus par les employés d’une entreprise. Ce nouveau rapport présente les conclusions des enquêtes conduites par F-Secure sur les interventions menées suite à un cyber incident et offre un aperçu des véritables modes opératoires des pirates informatiques.

21 % des cyber incidents analysés par F-Secure dans ce rapport font suite à des attaques ciblant les services web utilisés par les entreprises. Il s’agit du mode d’attaque le plus fréquemment utilisé par les pirates mettre la main sur les données d’une organisation. Toutefois, le phishing et les pièces jointes malveillantes totalisaient, ensemble, environ 34 % des attaques. Pour Tom Van de Wiele, Principal Security Consultant chez F-Secure, les attaques par e-mail constituent donc le plus gros danger pour les organisations.

« L’exploitation des vulnérabilités logicielles est typique des attaques opportunistes mais les intrusions informatiques via e-mail sont bien plus fréquentes. Les pirates disposent de tout un éventail d’attaques par e-mail. Elles remportent un franc succès, puisque la plupart des entreprises utilisent les e-mails pour leurs communications », explique Tom Van de Wiele. « Il convient de toujours réfléchir à deux fois avant de cliquer sur une pièce jointe ou sur un lien… mais la pression professionnelle l’emporte souvent sur le bon sens. Les pirates comprennent et exploitent cette logique. »

Cyber incident

● Les organisations sont touchées à la fois par des attaques ciblées et opportunistes, dans des proportions égales
● Les violations de données menées par des acteurs internes à la structure représentaient un cinquième des incidents de sécurité
● Dans près de 80% des cas, les experts en cyber sécurité ont été contactés après une alerte cyber sécurité de l’entreprise.
● Après s’être introduit sur le réseau d’une entreprise, les pirates procèdent le plus souvent à une diffusion de malware (surtout à des fins financières, à des fins d’espionnage, ou pour maintenir un accès ultérieur au réseau)
● 13 % des enquêtes ont révélé des faux positifs

Sur ce dernier point, pour Tom Van de Wiele, les entreprises détectent de trop nombreux faux positifs. « Trop d’organisations éprouvent des difficultés à détecter avec précision les cyber incidents. Elles ne disposent pas de capacités de détection précises. Nous sommes souvent appelés à enquêter sur des activités suspectées à tort. Parfois, il nous est demandé d’intervenir et nous découvrons un simple problème informatique. Ces faux positifs épuisent les ressources de l’entreprise et détournent l’attention des vrais problèmes. »

Le rapport recommande aux entreprises d’améliorer leurs capacités de détection et d’intervention, en investissant, par exemple, dans une solution de détection ou un service d’intervention pour les postes de travail.

Communiqué de presse, Cyber-attaque, Cybersécurité, Piratage, ransomware, Securite informatique, Virus

GandCrab! : découverte d’un nouveau ransomware

Le Trojan nommé par ses auteurs « GandCrab! » attribue l’extension *.GDCB aux fichiers chiffrés. Actuellement, deux versions du ransomware sont connues.

Après son lancement sur une machine attaquée tournant sous Microsoft Windows, GandCrab! peut recueillir des informations sur les processus en cours des logiciels antivirus. Il vérifie en premier lieu s’il a déjà été lancé sur la machine afin d’éviter d’être lancé à nouveau (redémarré), puis force l’arrêt des processus des logiciels selon une liste définie par les pirates. Il installe une copie de lui-même sur le disque et modifie une branche du Registre Windows pour assurer son lancement automatique. Le Trojan chiffre le contenu des disques fixes, amovibles et de réseau, à l’exception de certains dossiers dont quelques dossiers système et service. Chaque disque est chiffré dans un thread séparé. Après la fin du chiffrement, le Trojan envoie au serveur des données sur le nombre de fichiers chiffrés et sur le temps mis pour le chiffrement.

Le Trojan utilise un serveur de contrôle dont le nom de domaine n’est pas autorisé de manière standard. Pour obtenir l’adresse IP de ce serveur, le ransomware exécute la commande nslookup et cherche les données nécessaires dans la sortie correspondant à la commande exécutée. Actuellement, il est impossible de déchiffrer les fichiers touchés par GandCrab! Le moyen le plus fiable pour protéger les fichiers est d’effectuer une sauvegarde régulière de toutes les données importantes sur des supports externes… et de ne pas cliquer sur n’importe quoi. (avec DrWeb)

Base de données, Communiqué de presse, Cybersécurité, Entreprise, RGPD, Securite informatique

Sécurité des documents, une priorité… à maîtriser !

Les enjeux sont tels, qu’il n’est plus une seule organisation qui ne se préoccupe de sécurité. Pour autant, le challenge est grand car non seulement les technologies de l’information et de la communication ont progressé mais surtout, l’interopérabilité est devenue la règle. La complexité est grande et les entreprises doivent déployer de nombreux dispositifs pour résister aux cyber-attaques polymorphes qui ne cessent elles aussi d’évoluer.

Il est clair que les documents et les informations (D&I) des organisations sont au cœur des convoitises des cyber-pirates. Ces derniers savent parfaitement que les points d’entrées sont multiples chez leurs victimes et que notamment, les moyens de capture et d’impression de documents peuvent constituer des prises de choix. En tant que constructeur de tels périphériques, Ricoh sensibilise les clients sur différentes stratégies de résistance et c’est ce que je vais faire ici.

Stratégie d’organisation

Il convient de s’adresser en premier lieu aux employés de votre organisation. Ils constituent les principaux vecteurs de transmission des informations et à ce titre, ils doivent impérativement être sensibilisés et formés aux risques et attitudes à adopter. Chacun doit être en situation d’éviter l’ouverture d’un email malveillant, d’imprimer des documents laissés à la vue de tous dans un bureau ou sur l’imprimante, de classifier les documents avant transmission, de confier ses badges ou codes d’accès à des tiers,… etc.

En second lieu, votre entreprise doit s’assurer d’une prise de conscience collective de la responsabilité portée sur la sécurité des D&I appartenant tant aux services internes qu’à des clients ou prospects. Les fuites d’information provoquent d’importants préjudices aux activités ou à l’image de l’entreprise. Elles peuvent être évitées par une démarche proactive parfaitement décrite par les normes ISO 27000. Celles-ci contribuent à la mise en place d’un système cohérent de gestion de la sécurité de l’information.

En dernier lieu, la société civile et ses organisations publiques doivent faire l’objet d’une écoute attentive. Votre entreprise doit comprendre l’évolution de la loi et des normes relatives à la numérisation des processus métiers. Elle ne doit pas seulement en comprendre les enjeux économiques mais aussi en maîtriser les contraintes de conformité et les risques associés. De la loi Godfrain (No 88-19) du 5 janvier 1988 relative à la fraude informatique à l’application prochaine du Règlement Général sur la Protection des Données (RGPD) en passant par le règlement eIDAS (No 910/2014) du 23 juillet 2014 – ou de la norme Z42-013 de mars 2009 (transposée ISO 14641-1), pour les spécifications des systèmes destinés à préserver les documents stockés, à l’application prochainement possible de la NF Z42-026 sur la copie fidèle qui conduira un jour à la destruction des documents papiers – l’évolution de l’environnement digital n’a de cesse que d’évoluer.

Stratégie technique

Évidemment, si vos employés et votre entreprise sont au fait des normes et des lois de la société, chacun comprendra que les D&I méritent toutes les attentions. Ainsi, les documents doivent être sécurisés par chiffrage, contrôlés dans leur intégrité, signés pour leur authenticité,…etc. Les équipements manipulant les D&I ne sont pas à négliger. Qu’il s’agisse de fermeture des ports, de protection contre les accès non autorisés, du nettoyage des données,… etc. Ils doivent être conçus en gardant à l’esprit qu’ils doivent résister aux risques de sécurité, comme nous le faisons pour nos périphériques de capture et d’impression des documents. Enfin, les logiciels (capture, impression, GED, parc), sont à sélectionner avec soin. Ils sont souvent au cœur des problématiques de sécurité parce que les métiers donnent trop souvent la priorité aux fonctionnalités. Gageons qu’en Mai 2018, la situation changera avec l’application du RGPD. L’entreprise devra être en situation de démontrer qu’elle s’est assurée avoir fait des choix responsables pour faire face aux contraintes de sécurité et protégeant les données privées.

Stratégie d’audit

Quels que soient les dispositifs, quelles que soient les précautions prises, quelles que soient les formations et sensibilisations prodiguées, il faudra contrôler. Pour cela, toutes les actions sont à tracer dans des journaux et des registres. Ceux-ci doivent aussi être considérés comme des documents et être soumis aux mêmes principes de sécurisation. Je ne le dirai jamais assez, la sécurité passe par la surveillance et l’amélioration continue.

Stratégie d’externalisation

La sécurité des D&I est aujourd’hui un tel enjeu, qu’il est de plus en plus délicat d’envisager que l’entreprise seule, puisse maîtriser toutes les subtilités des modalités à respecter. S’il est certain que très peu d’entreprises se constitueront en tiers de confiance pour délivrer la signature électronique, il en ira de même pour l’archivage électronique probant, la lettre recommandée électronique, le courrier numérique sans papier,… etc. Trop de spécialisations et de certifications ne trouveront pas leur retour sur investissement pour une entreprise à elle seule. Il est évident que le recours à l’externalisation est la voie à suivre. C’est pourquoi nous avons fait nos choix de services externalisés pour nos usages et les vôtres. Nous en reparlerons.

La transformation numérique de l’environnement de travail rendue possible par l’évolution du corpus législatif, depuis la loi No 200-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l’information relative à la signature électronique, a fortement accrue la responsabilité des entreprises dans la maîtrise de la sécurité des documents et informations. Le RGPD à lui seul, constitue un marqueur majeur de cette évolution de la responsabilité. En contrepartie, constructeurs et éditeurs de solutions ont mené et mènent des études et des réalisations visant à empêcher et éliminer les failles de sécurité. Je reviendrai sur ces sujets dans deux prochains articles car mon objectif est de contribuer à la sensibilisation à la maîtrise de la sécurité. (Par Jean-Pierre BLANGER – Directeur Solutions, Services & Innovation de Ricoh France).

Base de données, Communiqué de presse, Cybersécurité, Entreprise, Fuite de données, loi, RGPD, Securite informatique

RGPD loi 490 : une évolution dans la protection des données personnelles mais qui n’est pas encore suffisante

Loi 490 – La mise en place du RGPD (Règlement Général sur la Protection de Données) entrera en vigueur le 25 mai 2018. Tous les pays membres de l’Union Européenne doivent mettre en conformité leurs législations nationales avec ce nouveau règlement européen.

En France, le projet de Loi n°490, relatif à la protection des données personnelles, présenté à l’Assemblé en février 2018, est quant à lui, destiné à compléter en France les dispositions du RGPD.
Le premier objectif de ce projet de Loi est de responsabiliser les entreprises qui doivent se montrer actives dans la protection des données et mettre en œuvre des actions. Celles-ci ne devront plus se contenter de « déclaration » mais tenir un « registre des activités de traitement », effectuer des « analyses d’impact relative à la protection des données » lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ou encore faire appel à un « délégué à la protection des données » qui vient remplacer le CNIL. Le second objectif est de renforcer le droit des personnes en leur accordant des nouveaux droits.

Bien que ce projet de Loi n°490 souligne un besoin réel de changement dans l’encadrement de la protection des données à caractère personnel, il possède encore des zones d’ombres qui risquent de compromettre la mise en application des droits gagnés des utilisateurs, et qui demandent aux Responsables de Traitement de réaliser des concessions.

Qu’est-ce que « l’intérêt légitime » ?

Pour être licite, un traitement de données à caractère personnel doit respecter l’une des six bases légales fixées par le Règlement à savoir l’exécution d’un contrat, l’obligation légale, le consentement, l’intérêt vital, l’intérêt légitime. La notion d’intérêt légitime est subjective et n’a pas la même ampleur pour toutes les entreprises. Pourtant l’intérêt légitime sera l’une des bases juridiques valables pour se passer du consentement de l’utilisateur.

Chaque Responsable de Traitement devra alors posséder la preuve du consentement de la personne faisant l’objet du traitement de données, sauf dans plusieurs cas précis, comme par exemple celui de la poursuite légitime. Comment définit-on alors l’intérêt légitime ?

Les moyens d’exercice de son droit

Comment permettre aux internautes de faire appliquer leurs droits de suppression, d’information ou de limitation ? Quels sont les moyens d’exercice qui garantiront aux usagers de ne pas voir leurs demandes rester sans réponse ? Pourquoi reconnaître des droits s’il n’existe pas de canal d’application permettant de les faire exécuter ?

Il est important que les obligations du Responsable de Traitement soient assorties des modalités d’application adaptées. Egalement, il serait pertinent de voir la « demande par email » considérée, d’autant que l’essentiel des fichiers comportent et portent un email, et d’indiquer des délais suffisamment courts pour que cela soit efficace et que les demandes des internautes soient traitées par les éditeurs du fichier.

Devoir d’information des Responsables de Traitement

Les modalités de mise en oeuvre du devoir d’information des Responsables de Traitement n’ont pas été évoquées de façon précises : l’information doit être compréhensible, accessible, en termes clairs. Que se passe-t-il après avoir rempli ce devoir d’information « one shot » ? Si les responsables de traitement envoyaient une fois par an un email récapitulatif à toutes personnes concernées par le traitement sur leur adresse mail utilisée pour le fichier, cela permettrait aux internautes de se rappeler quelles informations sont fichées, et leur fournirait un point de contact utilisable (adresse d’email utilisée pour l’envoi) pour faire appliquer leurs droits. Naturellement un délai de réaction adapté doit courir dès l’envoi de l’email, au-delà duquel une non-réponse vaudra refus ou manquement et donc permettra à l’intéressé de se tourner vers la CNIL. La CNIL verra alors ses pouvoirs et ses devoirs de gendarme du web renforcés. Aura-t-elle ainsi ses moyens d’action, humains et matériels, ajustés à la hauteur des objectifs qui seront désormais les siens ? Si ce n’est pas, cela aggravera l’impression générale que la CNIL ne peut traiter qu’une infime partie des signalements, bref un gendarme qui n’est pris au sérieux ne peut pas gendarmer !

Durée de conservation des données

Est-il souhaitable qu’un moteur de recherche géant ou une société de remarketing puisse conserver 40 ans d’historique de la vie de quelqu’un ? Comment l’utilisateur sera-t-il informé que ces données aient bien été supprimées, sans contacts spontanés réguliers avec le responsable de traitement ? Cela ne renvoie-t-il pas à la nécessité d’informer régulièrement l’utilisateur ? Pris ensemble, ces éléments imposent aux Responsables de Traitement de fournir aux internautes une adresse email pour faire appliquer leurs droits. La mise à disposition de requêtes automatisées accessibles par URL est certainement la meilleure solution pour toutes les parties : garantie d’action immédiate pour le demandeur, et annulation de l’encombrement service client lié au traitement humain des demandes côté responsable de traitements.

Sécurisation des données

La responsabilité de la sécurisation des données incombe au responsable de traitement comme le vol de données ou le hacking. Le manquement à ses obligations peut entrainer de lourdes sanctions prononcées par la CNIL dont le rôle sera de distribuer des amendes, et pourtant de nombreuses sociétés n’ont encore aujourd’hui aucune gestion de sérieuse de leurs données. De nombreuses sociétés vont à présent se positionner sur l’appel d’air du RGPD et vendre des registres,
des audits à de nombreuses sociétés. Une prestation pour sécuriser a minima leurs bases de données. Comment les entreprises informeront-elles leurs prospects/clients ? Comment pourront-elles gérer leurs demandes, la mise à jour de leurs registres ? Ces flous persistants sont aussi un problème pour la majorité des Responsables de Traitement qui ne sont pas nécessairement des grands moteurs de recherche ou des sociétés de targeting.

Ce texte de Loi est une avancée mais des éléments concrets pour protéger l’identité numérique des personnes manquent encore, comme cadrer les raisons qui permettent de se passer du consentement mieux qu’avec l’intérêt légitime de l’entreprise contre l’attente raisonnable de l’utilisateur ; Donner des vrais moyens pour exercer les droits de l’internaute lorsque l’écueil de l’intérêt légitime sera évité ; Mieux expliciter le devoir d’information des Responsables de Traitement n’est pas explicité ; la durée de la conservation des données… (Ludovic Broyer, fondateur d’iProtego)

Chiffrement, Communiqué de presse, cryptage, cryptomonnaie, Cybersécurité, Entreprise, Securite informatique

Le minage de cryptomonnaie gagne du terrain : le cryptomining va-t-il avoir le même succès que les ransomwares ?

Les pirates informatiques sont opportunistes, le minage de cryptomonnaie gagne du terrain. Au fur et à mesure que les constructeurs augmentent la puissance des matériels, ces dispositifs deviennent des cibles de plus en plus utiles pour les Botnets. Dans le même temps, les pirates informatiques recherchent les vulnérabilités des périphériques ou exploitent des applications et des périphériques mobiles Dès l’instant qu’un réseau n’est pas sécurisé.

Le minage de cryptomonnaie en tête de gondole pirate. Les Ransomwares ont permis de monétiser facilement ces vulnérabilités et ont eu comme effet secondaire de faire exploser la valeur des crypto-monnaies en raison de leur intérêt croissant. L’extraction de crypto-monnaies (cryptocurrency mining), qui consiste à confirmer des transactions en Bitcoin ou autre monnaies virtuelles, est parfaitement légal. Les développeurs d’applications mobiles recherchent des moyens de monétiser leur travail sur ce marché concurrentiel et l’extraction de bitcoin via ces applications est devenue une opportunité intéressante. Cependant, cette méthode de monétisation pose problèmes lorsque les utilisateurs ne savent pas que leurs appareils sont utilisés pour extraire de la monnaie numérique.

Les récentes poursuites judiciaires contre Apple, accusé de ralentir les performances des versions les plus anciennes de ses iPhones, pourrait devenir un précédent juridique dans le cadre de futures poursuites pour des affaires de « cryptocurrency mining ». Si un utilisateur peut poursuivre Apple en justice puisque son téléphone a été ralenti sans qu’il ne le sache, des développeurs qui installent des capacités minières affectant les performances et la durée de vie des batteries pourraient également être tenus responsables.

Non seulement cette menace est amenée à s’installer, mais elle est en train de devenir aussi présente que les ransomwares. Par exemple, des indicateurs fiables montrent que les pirates utilisent d’anciennes vulnérabilités plus pour miner de la crypto-monnaies après avoir initialement tenté une infection pour générer des bitcoins sans exiger de rançon. Au fur et à mesure que ce pool se rétrécit, les mineurs se concentrent sur l’extraction de la valeur par d’autres moyens, tels que l’utilisation du malware comme arme DDoS.

Bien que la malveillance de ce type d’applications mobiles et de navigateurs Web infectés fasse l’objet de débats, nous pouvons dire avec certitude que nous assistons à la naissance d’une nouvelle forme de malware. Et sans une stratégie robuste de sécurité et de surveillance, ainsi que la visibilité du réseau pour protéger les applications et les ordinateurs, on doit s’attendre à devenir les prochaines victimes du cryptocurrency mining.

L’extraction à l’ère du mobile
L’ère du mobile a créé une occasion pour les pirates de tirer le meilleur parti des logiciels malveillants destinés à miner de la crypto-monnaie. Cette pratique nécessite de la puissance CPU pour générer de la valeur, de la puissance de traitement de données et consomme de l’électricité, trois besoins qui coûtent de l’argent.

Les recherches montrent qu’il existe de nombreuses applications Android malveillantes qui circulent actuellement sur Internet. Parmi elles, certains crypto-mines ont réussi à contourner les filtres pour intégrer le Google Play Store. Une récente analyse sur les malwares visant les mobiles a conduit les chercheurs à identifier un certain nombre de portefeuilles de crypto-monnaie et de comptes appartenant tous à un même développeur russe, lequel affirme que son activité est parfaitement légale pour faire de l’argent.

Dans le domaine de l’industrie, nous avons un point de vue totalement différent et nous considérons que le minage de crypto-monnaies est un détournement du dispositif d’un utilisateur. Bien qu’il soit techniquement légal que l’extraction de crypto-monnaies soit divulguée, ces actions sont délibérément trompeuses et manquent souvent de transparence.

Nous avons été témoins de l’utilisation de mineurs intégrés à des applications légitimes, disponibles sur l’Android Store, et qui sont utilisés pour extraire de la valeur à partir de téléphones mobiles, lorsque leurs propriétaires ne les utilisent pas. Au cours des derniers mois, il y a eu plusieurs cas de pirates exploitant des crypto-monnaies, même une fois que la fenêtre de navigateur était fermée.

Parmi les autres méthodes qu’utilisent les pirates pour déployer des mineurs de crypto-monnaies, on retrouve l’utilisation des forcers bruts Telnet/SSH, ainsi que l’injection SQL et l’installation directe des mineurs. Le crypto-minage, qu’il s’opère via les navigateurs ou les applications mobiles, va persister, de telle sorte que les entreprises concernées devraient améliorer leurs performances de sécurité, en apportant une visibilité et un contexte au niveau des applications à leurs outils de surveillance.

Plus d’appareils, plus de minage
Alors que de nouvelles menaces de sécurité émergent chaque semaine, il y a de fortes chances pour que d’autres périphériques soient rapidement infectés par des malwares de cryptocurrency mining. L’accroissement de la présence de dispositifs IoT va créer de nouvelles cibles pour les mineurs de crypto-monnaies. Nous pourrons également voir des attaques hybrides qui s’appuient d’abord sur un ransomware puis sur un crypto-mineur, afin de profiter deux fois d’une même attaque sur chaque ordinateur.

La plupart de ces attaques se produisent à la périphérie du réseau. L’une des attaques les plus fréquentes qui tente d’installer des crypto-mineurs est la vulnérabilité EternalBlue. Celle-ci a permis le développement de ransomwares comme WannaCry et Not-Petya. Et alors que les pirates n’utilisent pas de nouveaux outils ou de méthodes avancées pour déployer ces mineurs de crypto-monnaies, ils rencontrent quand même du succès. Par conséquent, les entreprises doivent avoir une stratégie réactive de gestion des correctifs, s’assurer que leurs règles IPS sont à jour, effectuer des tests pour s’assurer qu’elles peuvent détecter les vulnérabilités qui ne peuvent pas être corrigées immédiatement, et enfin, surveiller le trafic réseau pour identifier le trafic d’exploitation de chaque poste.

Si les organisations n’ont pas d’informations sur leurs réseaux, elles ne sont pas en mesure de savoir si leurs terminaux exploitent de la crypto-monnaie sans autorisation, divulguent des données en cas de brèche ou diffusent des malwares en interne. La mise en place d’une solution de surveillance du réseau les alertera dès le début d’un compromis en montrant un changement dans la configuration du trafic réseau. (Par Steve McGregory, Senior Director ATI Research chez Ixia)

Communiqué de presse, Cybersécurité, Emploi, Entreprise, Mise à jour, Securite informatique, Social engineering

Oubliez les « fake news » : les FAUSSES DONNÉES envahissent les entreprises du monde entier

Une étude révèle que les consommateurs français FALSIFIENT INTENTIONNELLEMENT leurs données personnelles en ligne. Oubliez les « fake news » : les FAUSSES DONNÉES envahissent les entreprises du monde entier.

Fake news or not fake news ! Concernant l’exactitude des informations personnelles que les consommateurs français partagent en ligne avec les entreprises/marques… Plus d’un consommateur français sur deux (55 %) admet avoir intentionnellement falsifié, ou ne sait pas s’il a falsifié ou non, ses informations personnelles lors de l’achat d’un produit/service. Plus le consommateur est jeune, plus il est susceptible de falsifier ses informations personnelles (74 % des 18-24 ans, et 52 % des 25-34 ans).

– Fake news – Informations personnelles parmi les plus fréquemment falsifiées :
o Numéro de téléphone (32 %)
o Date de naissance (19 %)
o Adresse personnelle (18 %)
o Nom (17 %)

– Les principaux motifs de falsification des données personnelles invoqués sont les suivants :
o Ne souhaitent pas recevoir de communications non sollicitées (appels téléphoniques, SMS, e-mails) de la part des entreprises (60 %)
o Ne veulent pas recevoir de publicités (51 %)
o Estiment que les données demandées sont sans rapport avec le produit/service proposé (35 %)
o Doutent de la capacité de l’entreprise à traiter/conserver leurs données de manière sécurisée (32 %)

Fake news – Quel impact sur les entreprises/marques ?
o 69 % des consommateurs français se disent prêts à boycotter une entreprise ayant montré, à maintes reprises, un manque d’intérêt pour la protection des données clients
o Le niveau de tolérance baisse avec l’âge, 82 % des plus de 55 ans étant prêts à boycotter une entreprise pour ce même motif (contre 65 % chez les 18-24 ans qui font preuve d’une plus grande indulgence)
o En cas de vol de leurs informations personnelles résultant d’une atteinte à la sécurité, deux tiers (67 %) en attribueraient la responsabilité à l’entreprise plus qu’à qui que ce soit d’autre (y compris le pirate)
o 73 % des plus de 55 ans pointeraient probablement l’entreprise du doigt
o 59 % éviteraient de confier leurs données personnelles à une entreprise connue pour avoir vendu des informations ou les avoir utilisées de manière abusive sans le consentement des personnes intéressées
o 53 % sont moins enclins à acheter les produits/services d’une entreprise réputée pour sa mauvaise gestion des données
o 48 % sont plus susceptibles d’acheter auprès d’une entreprise ayant démontré qu’elle prenait la protection des données au sérieux

Fake news – Quel impact sur les équipes marketing ?
o Bien que les entreprises détiennent plus de données clients que jamais auparavant, seulement un quart environ des personnes interrogées (28 %) pensent qu’elles permettent aux marques de leur proposer des produits/services à la fois meilleurs et plus personnalisés
o Seule une personne sur trois (34 %) parmi les 18-24 ans est disposée à fournir des informations personnelles en échange d’une meilleure expérience client ou de meilleurs services

Questionnés sur les types de données personnelles qu’ils souhaitent préserver…
o La majorité des Français interrogés (81 %) citent leurs informations financières et bancaires, suivies de leurs pièces d’identité (72 %), dont leur passeport et leur permis de conduire
o 7 sur 10 (71 %) tiennent à protéger leurs informations de sécurité, comme les mots de passe
– Les consommateurs français attachent moins d’importance à la protection de leurs habitudes de navigation (35 %), données de géolocalisation (38 %) et données génétiques (ADN) (39 %)

Concernant la perte, le vol ou la manipulation des données personnelles…
– Près de 3 sur 4 (74 %) se disent préoccupés par l’usurpation de leur identité
– Plus de 7 sur 10 (73 %) craignent que de l’argent ne soit dérobé à leur insu sur leur compte bancaire
– Un tiers (33 %) redoutent l’altération de leurs dossiers médicaux, et une même proportion (33%) celle de leur casier judiciaire
– 40 % s’inquiètent de la divulgation publique d’informations embarrassantes ou sensibles les concernant
– De la même manière, 41 % ont peur d’être victimes de chantage suite à la perte, au vol ou à la manipulation de messages ou de photos

À propos de leur sensibilisation aux violations de données (actes de piratage à l’encontre des entreprises)
– 71 % se disent davantage au courant des violations de données qu’il y a cinq ans
– Plus de deux tiers (67 %) sont inquiets à l’idée que des technologies de suivi et des dispositifs portatifs, comme les appareils Fitbit, collectent et stockent des données sur leurs moindres mouvements
– 8 consommateurs français sur 10 (80 %) s’efforcent de limiter la quantité d’informations personnelles qu’ils publient en ligne ou communiquent aux entreprises

Avons-nous vraiment le choix ?
– 49 % estiment n’avoir d’autre choix que de fournir des données personnelles à une entreprise en contrepartie de produits ou de services
o Ce sentiment est partagé par 70 % des 25-34 ans
– 4 sur 10 (39 %) se sont sentis forcés de transmettre à des entreprises des données personnelles sans aucun rapport avec le produit ou service proposé
– 22 % des 18-24 ans acceptent avec résignation de communiquer leurs informations personnelles
– Près de la moitié des personnes interrogées (49 %) pensent que les consommateurs sont si habitués à divulguer leurs données personnelles qu’il est presque impossible d’inverser la tendance

Méthodologie de l’étude à l’échelle mondiale
Sauf indication contraire, tous les chiffres proviennent de YouGov Plc. Taille totale de l’échantillon : 7 579 adultes à travers le Royaume-Uni (2 112), les États-Unis (1 076), la France (1 025), l’Allemagne (2 232) et l’Italie (1 134). L’enquête sur le terrain s’est déroulée du 15 décembre 2017 au 3 janvier 2018. Le sondage a été réalisé en ligne. Les chiffres ont été pondérés et sont représentatifs de l’ensemble de la population adulte (18 ans ou plus) de chaque région.

backdoor, Chiffrement, Communiqué de presse, Cybersécurité, Securite informatique

Faire face à l’ennemi. : divertissements et confidentialité en ligne, est-ce compatible ?

Faire face à l’ennemi. 11 % des Français ont constaté qu’une personne non autorisée avaient eu accès à leurs e-mails, comptes de réseaux sociaux ou bancaires !

Les divertissements en ligne jouent un rôle important et complexe dans nos vies : on ne les regarde pas simplement pour se détendre, mais aussi pour s’identifier aux personnages et avoir l’impression d’avoir vécu des choses (que nous n’avons pas le temps de faire en vrai) ou encore pour avoir des sujets intéressants de discussion autour de la machine à café avec nos collègues le matin.
Malheureusement, le bonheur a un prix. En l’occurrence, il s’agit ici de votre confidentialité en ligne. Bien sûr, vous avez déjà entendu des histoires atroces sur les dangers d’Internet. Mais rassurez-vous, cela ne peut pas vous arriver et ne vous arrivera pas. Après tout, vous n’êtes pas le/la seul(e) à regarder des blogs vidéos et des tutos YouTube sur le montage de photos. D’après une étude réalisée par Google en 2017, vous faites tout simplement partie des 75 % de Français qui regardent des vidéos sur Internet. En toute logique, plus il y a de personnes à se comporter de la même manière sur Internet, plus les chances que vos données privées soient détournées sont faibles, non ?

Aucune de ces hypothèses n’est vraie : chaque clic sur Internet représente un risque potentiel pour votre sécurité et votre confidentialité en ligne. En 2017, Avira a détecté plus de 4,5 milliards de cas de logiciels malveillants sur des appareils protégés par l’antivirus Avira. D’après un rapport d’Ofcom, 11 % de Français ont constaté qu’une personne non autorisée avaient eu accès à leurs e-mails, comptes de réseaux sociaux ou comptes bancaires. Alors Internet n’a plus l’air si sûr maintenant, n’est-ce pas ?

Étape 1 : apprenez à faire face à l’ennemi.

Néanmoins, la première étape pour rester protégé(e) tout en regardant du contenu sur Internet depuis votre PC ou smartphone est d’être au courant des risques. En France, l’une des menaces les plus répandues sur Internet en 2017 était un type de logiciel malveillant : HTML/InfectedWebPage.Gen2 (avec 19 916 301 détections). Ce logiciel utilise des pages Web vulnérables pour insérer du code malveillant, tenter de s’introduire dans votre machine pour dérober vos données personnelles et/ou installer une application indésirable. Imaginez un peu : cela peut vous arriver rien qu’en ouvrant la mauvaise page Web alors que vous recherchiez les nominés aux Oscars de cette année.

Étape 2 : suivez toujours ces 4 règles

Pourtant, il existe un moyen de garder vos habitudes sur Internet sans forcément compromettre votre sécurité. En suivant ces règles toutes simples, vous vous sentirez en sécurité à chaque clic :

1. Installez un antivirus : cela fait peut-être vieux jeu, mais il est indispensable d’avoir un bon antivirus sur votre machine. Laissez Avira Antivirus protéger votre vie numérique et profitez d’une expérience sur Internet en toute tranquillité d’esprit.

2. Utilisez un VPN : le VPN (réseau privé virtuel) est devenu aussi indispensable que l’antivirus. Grâce au VPN, vous pourrez :
· Regarder vos émissions préférées, même lorsque vous êtes en déplacement
· Vous connecter en toute sécurité à des réseaux Wi-Fi publics
· Garder vos communications privées chiffrées et à l’abri des regards indiscrets
· Empêcher qu’une personne traque votre adresse IP
En d’autres termes, un bon VPN empêche de vous faire pirater, suivre ou censurer.

3. Modifiez régulièrement vos mots de passe : vous devriez idéalement avoir un mot de passe différent pour chacun de vos comptes. Ne pas pouvoir vous en souvenir ? Fatigant de trouver des mots de passe complexes tous les trois mois, il existe des solutions qui s’en chargent pour vous !

4. Maintenez votre machine à jour : c’est une étape essentielle en matière de sécurité en ligne. Toutes les machines sont bourrées d’applications qui exigent sans cesse des mises à jour et des correctifs. Si vous choisissez de le faire manuellement, vous risquez fortement de rater la diffusion de la cérémonie des Oscars. Optez plutôt pour la simplicité : installez un logiciel de mise à jour qui s’en chargera pour vous. Et vous n’aurez plus qu’à vous détendre et profiter des Oscars tranquillement.

Il n’a jamais été aussi simple de suivre ces quatre règles et vous avez aujourd’hui la possibilité de choisir parmi une large gamme de solutions, y compris des suites combinant les solutions dont vous avez besoin. (Comm’presse Avira)

Communiqué de presse, Cybersécurité, Mise à jour, Patch, Securite informatique

L’outil gratuit G DATA Scanner détecte les failles de sécurité Meltdown et Spectre

L’éditeur de solutions de sécurité propose un scanner gratuit qui détecte les failles de sécurité Meltdown et Spectre dans le système. Quand une faille est trouvée, des astuces de défense contre les attaques sont proposées à l’utilisateur.   

Scanner votre machine ! Les failles Meltdown et Spectre découvertes il y a quelques semaines seront-elles exploitées à grande échelle dans des codes malveillants ? Sur ce sujet les avis des experts divergent et se positionner aujourd’hui clairement relève de la divination. Pour autant, mieux vaut être préparé à cette éventualité.

C’est dans ce but que G DATA met gratuitement à disposition un scanneur qui détecte les vulnérabilités face aux failles Meltdown et Spectre dans le système d’exploitation. Que fait exactement ce programme ?

Le scanneur interroge les paramètres et configurations importants du système, par exemple :

  • si des mises à jour Microsoft récentes sont installées ;
  • quel processeur est installé et s’il est affecté par les failles de sécurité ;
  • quel système d’exploitation est utilisé ;
  • si des configurations BIOS critiques ont été faites ;
  • si un produit antivirus vérifié compatible avec le correctif Microsoft est installé ;

Après avoir fait cette analyse, G DATA Scanner donne des conseils pour des améliorations possibles. Les internautes doivent appliquer les conseils sans attendre pour s’assurer que le système continue à jouir d’une protection efficace.

Prérequis système :

Windows 10, Windows 8.1, Windows 8, Windows 7 SP1, Windows Server 2016, Windows Server 2012 R2, ou Windows Server 2012.

G DATA Meltdown & Spectre Scanner requiert .NET Framework 4 ou plus récent, qui est préinstallé sur Windows 8 ou Windows Server 2012. Si Windows 7 SP1 est utilisé, alors  .NET Framework 4.7.1. doit être installé précédemment.

Communiqué de presse, cryptomonnaie, Entreprise, Mise à jour

Atari : Développements dans le domaine des blockchains, crypto-monnaies et crypto-casinos

Crypto-casinos : Signature du contrat relatif à l’Atari Token, crypto-monnaie associée à une plateforme de blockchains dans le domaine de l’Entertainment. Projets supplémentaires en cours dans le domaine des crypto-monnaies, notamment dans les crypto-casinos.

Le Groupe Atari annonce deux projets de développement majeurs dans le domaine des blockchains, des crypto-monnaies et crypto-casinos, avec d’une part une prise de participation dans une crypto-plateforme et la création d’un Token dédié (l’« Atari Token »), et d’autre part le lancement prochain de plateformes de casinos offrant des options de jeux en crypto-monnaies.

Prise de participation dans Infinity Networks Ltd (Gibraltar) et création de l’Atari Token
Atari a pris une participation de 15% du capital, avec un droit à 17,5% des résultats, de la société Infinity Networks, Ltd (Gibraltar). Cet investissement, réalisé sans décaissement de trésorerie par Atari, démontre tout l’attrait de la marque Atari. Infinity Networks, Ltd (Gibraltar), société créée par une équipe de vétérans reconnus de l’industrie de l’Entertainment et de la finance et dirigée par Ron Dimant et Daniel Doll-Steinberg, est dotée d’un conseil consultatif rassemblant des personnalités de premier plan dans le domaine des blockchains. La société développe une plateforme décentralisée donnant accès à toute forme de digital Entertainment, c’est à dire une offre très large allant des jeux vidéo aux films et à la musique. Cette plateforme, en cours de développement, fonctionnera en utilisant une crypto-monnaie, l’Atari Token. En échange de ces participations au capital, aux résultats et à des royautés futures, Atari a consenti à Infinity Networks, Ltd (Gibraltar) une licence long-terme d’utilisation de la marque Atari.

« La technologie des blockchains est vouée à prendre une place très importante dans notre environnement et à transformer, sinon révolutionner, l’écosystème économique actuel, en particulier dans les domaines de l’industrie du jeu vidéo et des transactions en ligne », a déclaré Frédéric Chesnais, PDG d’Atari, SA. « Compte tenu de nos atouts technologiques avec les studios de développement, et de la notoriété mondiale de la marque Atari, nous avons l’opportunité de nous positionner de façon attractive dans ce secteur. Notre objectif est de prendre des positions stratégiques avec un risque de trésorerie limité, afin de valoriser au mieux les actifs et la marque Atari ».

Lancement prochain de plateformes de casino acceptant les crypto-monnaies

L’investissement dans Infinity Networks, Ltd (Gibraltar) est le premier investissement réalisé par Atari dans le domaine des blockchains et crypto-monnaies. Le Groupe Atari travaille activement à l’identification et à la négociation d’opportunités supplémentaires, en prenant des participations capitalistiques en échange d’une licence de marque et avec un décaissement de trésorerie très limité. Le second projet en cours est le renforcement du partenariat avec Pariplay, Ltd dans le cadre du lancement au cours de l’année 2018 de plateformes de casino permettant aux joueurs de parier soit en argent réel soit avec la plupart des crypto-monnaies actuellement en circulation. Ces sites de casino offriront de nombreux jeux Atari. Pour élargir l’attrait de ces nouveaux casinos, et une fois l’Atari Token disponible, Atari a pour projet de lancer le Pong Token, un second Token dédié aux crypto-casinos et utilisable sur ces sites de jeux. Les modalités détaillées de ce lancement de crypto-casinos seront annoncées prochainement.

Communiqué de presse, Cybersécurité, Securite informatique

1er mars Webinar Itrust : L’analyse comportementale, la solution pour détecter les attaques WanaCry, Petya et vous mettre en conformité avec le RGPD

ITRUST vous propose, ainsi qu’à votre expert en sécurité informatique, une opportunité de nous rejoindre pour un tout nouveau webinaire sur notre solution Reveelium et Artificial Intelligence, le 1 mars de 14h00 à 15h00.

Au cours de ce webinaire, l’expert en R&D d’ITRUST vous présentera brièvement sa solution d’analyse comportementale. Reveelium est une technologie révolutionnaire qui utilise des algorithmes d’apprentissage automatique appliqués au domaine de la cybersécurité, permettant la détection de toutes les menaces inconnues dont les attaques WannaCry, Pety… Damien Bancal, fondateur de Zataz vous présentera également les dernières menaces en cybersécurité. Inscription gratuite.

Pour s’inscrire à l’événement en ligne

1. Allez sur le site https://attendee.gotowebinar.com
2. Cliquez sur S’inscrire.
3. Sur le formulaire d’inscription, entrez les informations vous concernant, puis cliquez sur Valider.

Lorsque l’organisateur aura accepté votre inscription, vous recevrez un courrier électronique de confirmation contenant toutes les informations nécessaires pour rejoindre l’événement.

Communiqué de presse, Cybersécurité, Securite informatique

Cybermenaces : AFNOR publie un guide utile pour comprendre, prévenir et traiter les attaques

Un commentaire

Toute organisation est aujourd’hui exposée aux risques de cyberattaques. Le guide AFNOR tout juste publié les aidera à s’y préparer, mais aussi à trouver des solutions opérationnelles en cas d’attaque effective. Un outil précieux face aux obligations fixées par le RGPD.

Sabotages, exfiltration de données, fraudes… Les malversations provenant d’une attaque informatique externe sont protéiformes. La Commission Européenne estime que huit entreprises européennes sur dix ont été touchées en 2016. Plus de 4000 attaques par « rançongiciel » ont lieu chaque jour en Europe (soit une hausse de 300% par rapport à 2015) et le développement exponentiel des objets connectés créé un terreau favorable à ces malversations.

Intégrer un réflexe de détection/réaction à l’égard des APT (Advanced Persistent Threats ou menaces persistantes avancées) est donc devenu vital pour les organisations. C’est d’autant plus vrai du fait de l’entrée en application du Règlement Général sur la Protection des Données (RGPD) annoncée le 25 mai 2018. Pour les dirigeants, les responsables de la gestion des risques et de la sécurité des systèmes d’informations, le nouveau guide publié par AFNOR tombe à point nommé. Il propose, en une quarantaine de pages, des bonnes pratiques pour identifier les risques, mieux se protéger, former le personnel, gérer la crise lorsqu’elle survient et disposer de réponses techniques.

Comprendre, éviter, détecter, contre-attaquer

Les organisations sans structures dédiées à la sécurité des systèmes d’informatique apprécieront particulièrement ce guide : il présente de manière pragmatique et didactique la conception et le déroulement d’une attaque. Il détaille aussi des exemples de mesures à prendre pour détecter et éviter les attaques puis, le cas échéant, les démarches à effectuer en cas de tentative d’intrusion réussie. Cette dernière partie, qui délivre un véritable plan de réponse adapté à ces nouvelles cyber-attaques, constitue une incontestable nouveauté et originalité dans le genre.

Le plan de réponse à une cyberattaque est effectivement bien détaillé. Il consiste à gérer l’incident de manière à en limiter les dommages, à conserver la confiance des parties prenantes internes et externes et à réduire le temps de reprise d’activité normale. Ce plan vise à regrouper les personnes pressenties (cellule de crise décisionnelle/ opérationnelle), connaître les caractéristiques de l’attaque, déterminer un calendrier des étapes à suivre et vérifier de la bonne réalisation de toutes les opérations prévues.

La publication du guide AC Z90-002 s’inscrit dans le prolongement des travaux du groupe de travail « Prévention de la fuite d’information ». Deux guides sont déjà parus : l’un sur les plans de continuité d’activité (BP Z74-700), l’autre sur la prévention et la gestion de la fuite d’informations (BP Z90-001).

Le guide AC Z90-002 « Bonnes pratiques pour la prévention, la détection et le traitement des nouvelles cyber-menaces » est disponible via la boutique de l’AFNOR.

Communiqué de presse, Cybersécurité, double authentification, ID, Identité numérique, Particuliers, Securite informatique, Social engineering, Vie privée

Harcèlement sur Internet, adolescents menacés

Près de 30 % des jeunes interrogés affirment avoir subi une forme de harcèlement sur Internet au cours de la dernière année.

Ils sont jeunes, et même souvent très jeunes, passent une grande partie de leur temps sur les réseaux sociaux en ligne et, selon une étude récente de quatre universités italiennes, ne possèdent pas les connaissances de base nécessaires pour se protéger contre les risques de harcèlement sur Internet ou les tentatives d’approches d’individus mal intentionnés. Avira partage les résultats de cette étude. Mission, prendre conscience de l’importance de sécuriser sa vie privée en ligne et d’en informer les enfants/adolescents.

Si la sécurité en ligne passe aussi par la lutte contre le harcèlement sur Internet, les données obtenues grâce à l’étude des universités Federico II de Naples, Sapienza et LUMSA de Rome et Cattolica de Milan dressent un tableau plus qu’alarmant de la situation. Les chercheurs des quatre universités ont interrogé 1 500 adolescents. Ils sont issus des trois régions d’Italie les plus peuplées (Lombardie, Latium, Campanie). Les cherhcuers ont découvert que les cas de harcèlement sur Internet sont plus répandus que l’on ne pense.

27,8 % des jeunes interrogés affirment avoir subi une forme de harcèlement au cours de la dernière année. 20 % indiquent avoir reçu des messages de nature sexuelle. 5 % ont subi un clonage illégitime du profil de leur réseau social. 13,6 % des adolescents ont vu des photos publiées en ligne qu’ils n’auraient pas voulu rendre publiques.

Plus d’abus sur Facebook

D’abord, selon les personnes interrogées, la majeure partie des abus (39,6 %) a eu lieu sur Facebook.

Le reste sur les messageries instantanées WhatsApp (31,7 %). 14,3 % directement sur le téléphone portable par le biais d’appels et de SMS. Apparemment, Instagram est le réseau social le moins exposé au problème. Seulement 8,1 % de victimes de harcèlement sur Internet.

Ensuite, les utilisateurs des réseaux sociaux, et en particulier les plus jeunes, n’ont pas du tout conscience du caractère fondamental de la sécurité informatique : 40,3 % des adolescents possèdent un profil de réseau social « public ». C’est-à-dire accessible à tous. Seulement 57 % l’ont paramétré comme privé. Donc, visible uniquement par leurs contacts.

Harcèlement ou violence

Bref, tentatives de harcèlement ou de violence sur Internet. Chantage, vol de données personnelles, usurpation d’identité avec de faux profils : les jeunes interrogés dans le cadre de l’étude s’exposent à des risques graves. Avec des conséquences potentiellement irréversibles (dans le cas du vol de données sensibles).

Enfin, une légère évolution apparaît toutefois : la majeure partie des utilisateurs (60,4 %) a déjà mis en œuvre la solution la plus fréquente et immédiate, à savoir la suppression d’« amis » et de contacts non désirés ou manifestement malveillants ; certains (36,2 %) se sont abstenus de rendre publiques des informations pouvant nuire à leur image ; d’autres (25,1 %) ont utilisé pour leurs messages un code compréhensible uniquement de leurs amis réels et non virtuels. Les enseignants jouent également un rôle significatif, notamment en informant les jeunes sur la manière de se comporter avec leurs contacts en ligne (32 % le font déjà) ou dans des situations susceptibles de les perturber ou de les importuner (32,7 %).

Android, Communiqué de presse, Cybersécurité, escroquerie, ID, Identité numérique, Mise à jour, Particuliers, Sécurité, Securite informatique, Smartphone, Téléphonie, Vie privée

AdultSwine : un malware affichant des publicités à caractère pornographique sur des applications à destination des enfants

AdultSwine : un malware affichant des publicités à caractère pornographique sur des applications à destination des enfants.

Les chercheurs de Check Point ont découvert un nouveau code malveillant sur le Google Play Store, baptisé AdultSwine, se cachant dans environ 60 applications de jeux, la plupart étant à destination des enfants. D’après les données disponibles sur Google Play, ces applications ont été téléchargées entre 3 millions et 7 millions de fois.

Ces applications malveillantes peuvent être dangereuses à trois niveaux :

  1. Afficher des publicités web souvent inappropriées et pornographiques
  2. Tenter de piéger les utilisateurs pour qu’ils installent de fausses applications de sécurité
  3. Inciter les utilisateurs à s’abonner à leurs frais à des services premium

Par ailleurs, le code malveillant peut être utilisé pour ouvrir une porte, laissant le champ libre à d’autres attaques telles que le vol de coordonnées.

backdoor, Bitcoin, Chiffrement, Communiqué de presse, cryptage, Cyber-attaque, Cybersécurité, Leak, Piratage, ransomware, Securite informatique, Social engineering

FORTE PROGRESSION DES CYBERATTAQUES AVEC DEMANDE DE RANÇON

Les paiements intraçables en réponse aux demandes de rançon ont toutes les chances de séduire les pirates motivés par l’appât du gain alors que la valeur des crypto-monnaies continue d’augmenter.

La société Radware vient d’annoncer la publication de l’édition 2017-2018 de son rapport baptisé « Global Application and Network Security Report », qui révèle que le pourcentage des entreprises signalant des cyberattaques motivées par l’appât du gain a doublé en deux ans, avec 50% des entreprises sondées ayant reconnu avoir été victimes d’une cyberattaque avec demande de rançon au cours de l’année passée. Avec l’appréciation des crypto-monnaies, la forme de paiement préférée des pirates, le rançonnage est l’occasion d’encaisser d’importants profits. Et cela plusieurs mois après leur délit.

« Avec l’adoption rapide des crypto-monnaies, l’élévation consécutive de leur valeur séduit encore plus les hackers que la possibilité d’anonymat », explique Carl Herberger, vice-président en charge des solutions de sécurité chez Radware. « Le fait de payer un hacker dans ce contexte encourage d’autres attaques mais, surtout, cela apporte aux criminels les fonds dont ils ont besoin pour poursuivre leurs opérations. »

Demande de rançon, nouveau sport olympique sur le web

Le nombre des entreprises ayant signalé des attaques de ransomware, où les hackers utilisent des malwares pour chiffrer les données, systèmes et réseaux jusqu’au versement de la rançon, a nettement augmenté l’an dernier, et observe une hausse de 40% par rapport à l’enquête de 2016. Les entreprises ne prévoient pas de ralentissement de cette menace en 2018. Un dirigeant sur quatre (26%) considère que c’est la principale menace.

« Les criminels ont utilisé plusieurs vulnérabilités et tactiques de piratage cette année pour verrouiller l’accès à des systèmes vitaux, voler de la propriété intellectuelle et faire cesser les opérations des entreprises, en joignant chaque fois une demande de rançon », continue Herberger. « Entre les perturbations de service, les pannes ou le vol de propriété intellectuelle, les hackers laissent les entreprises démunies à la recherche de solutions a posteriori. Dès lors qu’ils emploient des méthodes de plus en plus automatisées, il est primordial que les entreprises adoptent une stratégie proactive de protection de leurs opérations. »

Voici quelques-unes des conclusions du rapport :

  • La protection des données est la préoccupation principale des entreprises frappées par une cyberattaque. Pour les sondés, la fuite de données est la crainte numéro 1. Elle est suivie par la dégradation de la réputation et l’inaccessibilité des services.
  • 24% signale des cyberattaques quotidiennes ou hebdomadaires. Elles sont près de 80% à ne pas avoir évalué le coût des attaques. Une sur trois n’a toujours pas de plan d’intervention en cas de cyberattaque.
  • Les sondés ne sont pas sûrs de savoir qui est responsable de la sécurité de l’Internet des objets (IoT). Les responsables de la sécurité ne parviennent pas à un consensus clair. Certains attribuent la responsabilité à l’organisation chargée de l’administration du réseau (35%). 34% au constructeur. 21% aux consommateurs qui utilisent ces équipements.
Base de données, Chiffrement, Communiqué de presse, cryptage, Cybersécurité, double authentification, Emploi, Entreprise, Fuite de données, RGPD, Securite informatique

Protection des informations numériques, enjeu majeur de l’innovation

Les données sont devenues l’actif le plus précieux des entreprises. Mais est-il le mieux gardé ? L’exposition des entreprises aux cybermenaces ne cesse de croître avec la mobilité des collaborateurs, le partage des données, le développement du Cloud computing, l’internet des objets et l’intégration de nouvelles entités. La protection des informations numériques représente pour les entreprises un enjeu économique fondamental et paradoxalement, assez souvent indûment négligé.

La protection des informations numériques à l’aube du RGPD. L’innovation contemporaine est intimement liée aux données. A l’ère du digital elles constituent le nouvel actif stratégique des entreprises, dont la compétitivité dépend aujourd’hui de leur capacité à contextualiser et analyser les masses accumulées de données. Chaque jour des milliers, voire des millions de nouveaux devices se connectent au grand « Internet of Everything » pour collecter et échanger des données. Le marché se tourne vers des outils analytiques avancés pour les valoriser. Ces nombreuses sources de collecte et d’accès aux données sont autant de points de fragilité pour les malfaiteurs voulant s’attaquer aux systèmes d’information et de production. Si ces devices ne sont pas protégés, si sont compromises la disponibilité, la confidentialité et l’intégrité des informations stockées, traitées ou transmises, l’avantage concurrentiel qu’elles offrent risque de se transformer en pertes et la force devient une menace.

Le ROI en cybersécurité : qu’est-ce que vous êtes prêts à perdre ?

Dans la sécurité numérique, les cyberattaques sont le risque le plus connu. En France, onze incidents de cybersécurité seraient comptabilisés chaque jour en milieu professionnel. Une récente étude estime les pertes financières à 1,5 million d’euros pour chaque incident en moyenne.

Dans le monde, le nombre de cyberattaques aurait augmenté en 2016 de 21% par rapport à l’année précédente, et cumulées, elles auraient coûté à l’économie mondiale 280 milliards de dollars, selon International Business Report (IBR) publié par le cabinet Grant Thornton. Mais le plus grand risque, et donc la plus grande crainte, ne se résume pas aux pertes financières. Par exemple, au Canada, 31,6 % des organisations sondées ont jugé que la principale conséquence d’une cyberattaque serait le temps passé à traiter ses effets, suivi d’atteinte à la réputation (29,2 %) et perte de clients (10,2 %). La perte directe de revenus n’a été citée que par 9,8 % d’interrogés. Malgré cela, 52% des organisations n’ont aucune couverture en cas d’attaque.

Selon moi, trop souvent encore les entreprises font appel aux experts « après la bataille ». Bien sûr, nous sommes capables de gérer la crise, mais la prévention reste la meilleure réponse aux cyberattaques. Il est temps d’accepter que le ROI de la cybersécurité ne se calcule pas en chiffre d’affaires généré, mais plutôt en efforts nécessaires à traiter les dommages potentiels. Il convient à toute entreprise, qu’elle soit un grand groupe ou une PME, de mettre en place une véritable stratégie de sécurité, pour diminuer son exposition au risque et accompagner son développement.

Protection des informations numériques : pour une véritable politique de sécurité numérique

La première étape consiste à faire appel à des experts pour évaluer les facteurs de risque et les points faibles en matière de cybersécurité.

Ces éléments serviront à définir une véritable politique de sécurité qui ne devra plus concerner la seule stratégie IT, mais être intégrée aux stratégies de tous les métiers par une conduite de changement. Effectivement, les facettes de la cybersécurité sont d’autant plus nombreuses, que le sujet est transverse et concerne tous les métiers de l’entreprise : la sécurisation de l’écosystème digital de l’entreprise et de ses outils collaboratifs, la gestion des identités et des accès, la prévention des pertes de données, etc.

Le cyberpiratage et les cyberattaques ne sont pas les seules menaces pour la sécurité numérique, mais les plus médiatisées : d’expérience, 35% des incidents de sécurité seraient causés en interne par des collaborateurs mal informés.

Ainsi, la protection des informations va bien au-delà de la sécurité : pour protéger tous les terminaux et points d’accès, il n’est plus question de se satisfaire d’un antivirus, aussi puissant soit-il. Avant de se pencher sur des solutions technologiques, il est vital de comprendre son actuel niveau de maturité, définir le niveau de sécurité visé et se faire accompagner pour instaurer une gouvernance, définir des responsabilités, revoir les règles et les procédures, et, finalement, envisager l’outillage nécessaire.

L’adoption de nouvelles technologies d’information continue d’aller beaucoup plus vite que la sécurité. Au nom de la productivité et de la performance, les entreprises ont parfois mis de côté les mesures de protection. En se posant en bouclier protégeant les données, la cybersécurité s’affirme en garant de l’innovation et de la vitalité de l’entreprise. (Par David Adde, Directeur du pôle Sécurité chez Avanade.)

Base de données, Chiffrement, Communiqué de presse, cryptage, Cybersécurité, Emploi, Entreprise, RGPD, Sauvegarde, Securite informatique

Violations de données : 700 millions d’attaques contrecarrées en 2017

Suite aux violations de données à grande échelle, des pics massifs d’attaques ont été observés avant qu’elles ne soient révélées publiquement. Le rapport Cybercrime ThreatMetrix parle d’un record de 700 millions d’attaques contrecarrées par des entreprises numériques en 2017.

Les violations de données ont été très nombreuses en 2017, Data Security Breach a pu vous annoncer plusieurs. L’Entreprise de l’Identité Numérique ThreatMetrix vient de révèler que 2017 a été une année record en termes de lutte contre la cybercriminalité. Basé sur l’étude des cyberattaques dans le monde entier, analysant 100 millions de transactions par jour, le Cybercrime Report 2017 : A Year in Review de ThreatMetrix confirme une augmentation de 100 % du nombre d’attaques au cours des deux dernières années. La bonne nouvelle est que, pour contrecarrer ces menaces, les entreprises investissent dans des stratégies innovantes et « digital first » pour protéger les consommateurs, qui doivent faire face à des failles résultant de violations de données à grande échelle.

Argent facile ?

Les fraudeurs ne cherchent plus à se faire de l’argent rapidement avec les cartes de crédit volées, ils préfèrent se concentrer sur des attaques plus ambitieuses qui rapportent des bénéfices à long terme, en exploitant des ensembles de données d’identité volées. Cette tendance est prouvée par un taux d’attaque très élevé sur les créations de comptes, l’activité la plus vulnérable. Plus d’un nouveau compte en ligne sur neuf ouvert en 2017 était en effet frauduleux.

Les résultats révèlent également une activité des bots sans précédent, pouvant représenter jusqu’à 90 % du trafic sur certains sites de vente en ligne quand une attaque atteint son pic. Même les consommateurs qui n’en sont pas directement victimes en font les frais. Ils expérimentent dès lors une vérification d’identité plus longue, car les entreprises tentent de discerner les activités légales de celles qui sont frauduleuses, tout comme les vraies identités des fausses.

violations de données : les consommateurs immédiatement visés suite aux failles majeures

En 2017, les niveaux de cyberattaques ont atteint des sommets encore jamais enregistrés auparavant.  Ces pics, lorsqu’ils sont agrégés entre des milliers d’organisations, indiquent des violations de données majeures. Souvent même bien avant qu’elles ne fassent la Une des journaux.

Chaque organisation peut être la cible d’une faille de sécurité importante. Cela met alors à l’épreuve la responsabilité des systèmes de protection. Et cela au travers de l’ensemble des sites web et applications.

« Alors que les attaques s’intensifient, le besoin d’investir dans des solutions technologiques avancées augmente pour protéger les consommateurs ainsi que les individus dont les données personnelles et bancaires ont été piratées, déclare Pascal Podvin, Senior Vice-President Field Operations, chez ThreatMetrix. Analyser les transactions en se basant sur l’identité numérique réelle est la façon la plus efficace de différencier instantanément les utilisateurs légitimes des cybercriminels. Nous laissons une trace de notre identité partout, et en cartographiant les associations en constante évolution entre les personnes, leurs appareils, leurs comptes, leur localisation et leur adresse, au travers des organisations avec lesquelles elles interagissent, le comportement dit « de confiance » d’un individu devient évident. »

violations de données : la relation entre le comportement des consommateurs et l’évolution de la cybercriminalité

Les tendances de comportement chez les consommateurs ont influencé les modèles d’attaque. Models de plus en plus sophistiqués. Certains résultats du Rapport 2017 sur le Cybercrime de ThreatMetrix le démontrent.

  • Le volume des transactions mobiles a augmenté de près de 83 %. Les consommateurs adoptant un comportement « multi-appareils ». Un nombre de transactions plus important que sur ordinateur pour la première fois en 2017.
  • Les attaques avec prise de contrôle ont connu une hausse de 170 %. Toutes les 10 secondes.
  • 83 millions de tentatives de création de comptes frauduleux ont été enregistrées entre 2015 et 2017. Les pirates informatiques créent des identités complètes. Ils ouvrent de nouveaux comptes en volant l’ensemble des données d’identité. A partir de failles et sur le Dark Web.

Les paiements frauduleux ont augmenté de 100 % au cours des deux dernières années

  • Les paiements frauduleux ont augmenté de 100 % au cours des deux dernières années. Les hackers utilisent des cartes de crédit volées. Ils piratent le compte bancaire d’une victime, pour transférer de l’argent vers un nouveau bénéficiaire.
  • Les secteurs émergents, plus particulièrement les sites de covoiturage et de vente de cartes cadeau. Ils sont particulièrement vulnérables à la fraude. Les cybercriminels utilisent de nouvelles plateformes pour faire des affaires.
  • Les hackers sont de plus en plus rusés. L’étude confirme qu’ils multiplient leurs efforts pour être encore plus difficiles à détecter par les individus. Par exemple, les attaques d’ingénierie sociale. Ils persuadent les consommateurs qu’ils ont été victimes d’une escroquerie. Ils les incitent à « sécuriser leur compte » via des mesures qui donnent réellement accès aux fraudeurs.

« Avec le volume et la sophistication des attaques qui augmentent chaque jour, les entreprises doivent être capables de différencier en temps réel les consommateurs des cybercriminels, sans qu’il n’y ait d’impact sur la vitesse des transactions ni de frictions inutiles, poursuit Pascal Podvin. En regardant au-delà des données statistiques, et en explorant les complexités dynamiques liées à la façon dont les utilisateurs effectuent des transactions en ligne, les organisations peuvent continuer de développer leur activité en toute confiance. »

Retrouvez le Rapport 2017 violations de données sur le Cybercrime ThreatMetrix via ce lien.

backdoor, Chiffrement, Communiqué de presse, cryptage, Cyber-attaque, Cybersécurité, DDoS, IOT, Piratage, ransomware, Securite informatique

Des sites Internet piratés via l’Internet des objets

Du piratage de site web via des objets connectés. La France est le 21ème pays le plus touché avec 298 hôtes enregistrés dans les 30 derniers jours.

Même si le chiffre ne semble pas énorme, les attaques repérées montre une évolution dans ce type de cyberattaque via des objets connectés. Doctor Web alerte à nouveau sur l’activité du Trojan Linux.ProxyM infectant des terminaux intelligents fonctionnant sous Linux, tels que des caméras de vidéosurveillance et des enregistreurs DVR de vidéosurveillance.

En septembre 2017, les pirates l’ont utilisé pour envoyer du spam, et plus récemment, ils utilisent ses capacités pour pirater des sites web. Selon l’entreprise, la France serait le 21ème pays le plus touché avec 298 hôtes enregistrés au cours des 30 derniers jours.

Objets connectés

Linux.ProxyM est un logiciel malveillant qui lance sur un appareil contaminé un serveur proxy SOCKS. C’est en utilisant ce proxy que les criminels peuvent agir de manière anonyme. Il existe des builds de ce Trojan pour les architectures x86, MIPS, MIPSEL, PowerPC, Superh, ARM, Motorola 68000 et SPARC. En d’autres termes, Linux.ProxyM peut contaminer n’importe quel appareil sous Linux, y compris les routeurs, boîtiers décodeurs, des caméras de surveillance, des enregistreurs DVR, et autres équipements.

Au mois de septembre, les analystes ont découvert que les malfaiteurs envoyaient plus de 400 messages spam par jour depuis chaque dispositif contaminé en utilisant Linux.ProxyM. Leurs messages contenaient des publicités pour des sites pour adultes et des services financiers douteux. Par la suite, les cybercriminels ont commencé à utiliser l’Internet des objets pour la propagation de messages de phishing. Ces messages étaient envoyés au nom de DocuSign, le service permettant de télécharger, consulter, signer et suivre le statut des documents électroniques.