Archives de catégorie : Banque

Banque, BYOD, Chiffrement, Cloud, cryptage, Entreprise, Fuite de données, Paiement en ligne, Propriété Industrielle

Un livre blanc sur les risques associés aux certificats numériques

À chaque fois que des transactions ou accès au réseau sécurisés sont requis, la personne demandant l’accès doit d’abord prouver son identité. L’une des méthodes d’identification de l’utilisateur est l’emploi de certificats numériques qui sont semblables à des cartes d’identité numériques. Cette procédure fait l’objet d’un examen dans un nouveau livre blanc publié par les spécialistes de la sécurité informatique de SecurEnvoy, intitulé « Les Risques de l’authentification à l’aide des certificats numériques ». Vous pouvez le télécharger gratuitement sur le site Web de la société [Lien ci-dessous, ndlr DataSecurityBreach.fr].

Un certificat numérique est en réalité une clé privée stockée sur une carte à puce ou un dispositif mobile, que l’utilisateur porte toujours sur lui. Toutefois, dans ce cas le problème des identités distribuées représente un désavantage important. Étant donné que pour chaque dispositif (final) qu’un utilisateur veut utiliser pour son travail, qu’il s’agisse d’un PC, d’un smartphone ou d’une tablette, un certificat séparé est requis. Ceci entraîne un travail d’installation pénible, ainsi qu’une véritable « jungle de certificats » en fonction du nombre de périphériques impliqués.

En outre, les certificats demeurent sur les appareils finaux et peuvent tomber aux mains de criminels s’ils sont perdus ou vendus, ce qui pose un problème pour les données sensibles. Une alternative plus simple, mais doublement sécurisée est l’authentification forte sans jeton, qui est également décrite dans le livre blanc [En Anglais].

Banque, Cyber-attaque, Cybersécurité, DDoS, Entreprise, Fuite de données, Leak, Piratage

La lutte contre la cybercriminalité est-elle perdue ?

Les gros titres du dernier Verizon Data Breach Investigation Report semblent sous-entendre que la lutte contre la cybercriminalité pourrait être perdue.

Verizon a précisé, après avoir analysé les données de plus de 100 000 incidents de sécurité sur 10 ans, que 92 % des attaques peuvent être réparties en 9 types de menaces* – ce qui signifie que les entreprises font toujours face aux mêmes risques et aux mêmes attaques, depuis tout ce temps, et à plusieurs reprises. Pour certains, les « méchants sont en train de gagner » et les entreprises doivent en prendre conscience et savoir qu’aucune d’entre elles n’est à l’abri d’une attaque.

Effectivement, aucune entreprise ne sera surprise par ces résultats et en particulier les infrastructures critiques, qui ont pleinement conscience d’être sous la menace quotidienne d’une attaque. Mais cela ne signifie pas que l’industrie est en train de perdre pied face aux cybercriminels. La prise de conscience de la menace signifie que la plupart des équipes de sécurité adoptent une approche plus réaliste de leur sécurité.

De nombreux RSSI, et leurs équipes reconnaissent qu’ils sont sous la menace régulière d’une attaque et, qui plus est, savent malheureusement que le plus souvent la sécurité est compromise par une personne dans l’entreprise qui a fait ce qu’elle n’aurait pas dû faire, comme cliquer sur un lien dans un email. Les menaces les plus courantes auxquelles les RSSI sont confrontés au quotidien ne font plus les gros titres des journaux mais ces anciennes techniques demeurent et représentent de sérieux enjeux pour les équipes de sécurité, et non des moindres.

Le RSSI d’une banque majeure a par exemple, récemment confié, être encore confronté à des ordinateurs de son réseau infectés par Conficker – alors qu’il s’agit d’une menace vieille de plusieurs années. Il a également précisé que son plus grand risque pour la sécurité sont les employés eux-mêmes, qui font des choses alors qu’ils savent qu’ils ne devraient pas les faire, et compromettent ainsi leur PC et par conséquence le réseau.

* Les attaques de malwares, la perte ou le vol d’appareils, les attaques DDoS, les arnaques à la carte bancaire, les attaques d’applications web, le cyber-espionnage, les intrusions, le vol interne et les erreurs humaines, telles que l’envoi d’emails avec des données sensibles à la mauvaise personne.

Il est donc impératif que les RSSI et leurs équipes soient en mesure d’identifier et de traiter une menace rapidement et de voir quelle est son interaction dans leurs réseaux par les machines compromises.

Aujourd’hui, les RSSI reconnaissent qu’il est impossible d’assurer une cybersécurité à 100%, c’est-à-dire que le risque d’attaque et de compromission doit être accepté par l’entreprise. Par contre, lorsqu’on les interroge sur la suite à donner en cas d’attaque en cours : est-ce qu’ils doivent bloquer immédiatement l’attaque au risque d’être repéré par le hacker, ou est-ce qu’ils doivent laisser l’attaque se poursuivre pour apprendre comment les hackers s’y prennent et quel est leur objectif ? La réponse varie : les fonctions orientées « métier » veulent bloquer l’attaque afin que l’entreprise puisse poursuivre son activité, les fonctions orientées « sécurité », préfèrent surveiller l’attaque et en tirer des leçons afin de mettre en œuvre des défenses solides.

Le rapport Verizon indique également que cela prend encore plus de temps d’identifier les compromissions dans une entreprise – souvent des semaines ou des mois – alors que pénétrer une entreprise ne prend que quelques minutes ou quelques heures.

Cependant, il n’y a vraiment aucune excuse qui justifie l’augmentation de la cybercriminalité car à ce jour, les entreprises peuvent utiliser une protection contre les malwares avancés qui peut identifier, contenir et remédier aux malwares identifiés en quelques clics de souris. Plus nous utiliserons ces solutions, plus nous pouvons espérer voir une diminution des violations de sécurité dans le rapport 2015.

Bien qu’une sécurité à 100 % n’existe pas, si vous abordez le problème de la cybermenace avec une approche globale – avant, pendant et après une attaque – vous serez dans une meilleure position pour identifier et faire face à la menace rapidement puis limiter les dommages causés dans la mesure du possible.

Ignorer le risque n’est tout simplement pas une option envisageable. Mettre la tête dans le sable et refuser de reconnaître le défi conduira les entreprises au désastre. Mieux vaut se préparer à l’inévitable et être sûr quand cela arrive – vous le savez alors le plus tôt possible et vous pouvez prendre les mesures appropriées pour minimiser l’impact.

Ainsi, plutôt que de déclarer que la lutte contre la cybercriminalité est perdue – il existe une prise de conscience croissante des risques et un sentiment croissant de réalisme quant à la nature du paysage de la menace cyber. Il y a aussi aujourd’hui, de meilleurs outils disponibles pour identifier et faire face aux menaces. L’industrie de la cybersécurité est dans la meilleure position possible pour vaincre les cybercriminels. Il incombe cependant aux entreprises d’acquérir les meilleures pratiques cyber et de déployer des outils de protection contre les malwares avancés. (Cyrille Badeau, Directeur Europe du Sud Cyber Security Group de Cisco Systems.)

Banque, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Paiement en ligne

Traitement des paiements conformes à PCI

Les sociétés de service en particulier détiennent de grandes quantités de données clients qui nécessitent un niveau élevé de protection. Lors du tri des informations pour le traitement des paiements, les sociétés doivent également satisfaire aux exigences de conformité PCI DSS (normes de sécurité des données des cartes de paiement).

Ces exigences stipulent, entre autre, que la connexion au système interne d’une société ne peut pas être simplement protégée par un mot de passe. Dans cette situation, l’authentification forte sans jeton de SecurEnvoy offre la solution idéale. Les employés reçoivent un code numérique par SMS sur leur téléphone mobile, qu’ils peuvent saisir en plus de leur mot de passe.

Lors du traitement des paiements, les sociétés sont soumises à plusieurs règlements de conformité. Par exemple, les règlements PCI DSS stipulent la nécessité d’un accès hautement sécurisé aux réseaux contenant des informations sensibles à propos des paiements par carte de crédit. Les employés accédant à distance à ces réseaux sont particulièrement affectés par ces exigences spécifiques : conformément à PCI DSS, se connecter en utilisant uniquement un mot de passe n’est pas autorisée.

Sécurité supplémentaire au moment de la connexion
Les sociétés doivent répondre à cette exigence et établir une sécurité supplémentaire pour la connexion au réseau. L’authentification forte est idéale pour cette situation. De nombreuses sociétés ne sont pas satisfaites de devoir acquérir des cartes à puce coûteuses ou d’autres jetons pour l’authentification du personnel. Mais il existe une alternative moins onéreuse et sécurisée : l’authentification forte sans jeton telle que SecurAccess.Avec cette solution, les téléphones mobiles sont utilisés à la place des jetons physiques traditionnels. Lorsqu’un utilisateur souhaite se connecter au réseau, un code numérique à six chiffres est envoyé par SMS ou e-mail. Des applications à jeton virtuel sont également proposées pour toutes les plateformes mobiles principales sans frais supplémentaires. Le mot de passe est saisi avec les identifiants de connexion personnels de l’utilisateur, afin d’assurer une identification sans ambigüité. Le numéro d’identification n’est valide qu’une fois et expire immédiatement après avoir été saisi. Pour la connexion au réseau suivante, SecurAccess envoie une nouvelle combinaison de chiffres à l’utilisateur.

« SecurAccess utilise les téléphones mobiles en tant que jetons pour plusieurs bonnes raisons, » explique Steve Watts, directeur des ventes et du marketing à SecurEnvoy. « Tout d’abord, presque tout le monde possède un téléphone mobile ou un smartphone et deuxièmement, tout le monde porte son téléphone sur soi. Les jetons physiques sont souvent perdus ou les employés les oublient accidentellement chez eux. Ceci entraîne non seulement des coûts de remplacement, mais cela ralentit le travail car pendant une certaine période de temps, les employés ne peuvent pas s’authentifier et ne peuvent donc pas accéder au réseau. Par conséquent, pour les sociétés de service, la transmission d’un numéro d’identification par SMS est le moyen le plus efficace et le moins coûteux d’assurer la conformité PCI DSS ».

Banque, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage

Piratage à la Banque Centrale Européenne

Quelques semaines après la chaîne de livraison de pizza Domino’s Pizza, ou encore de plusieurs journaux, c’est aujourd’hui la Banque Centrale Européenne d’annoncer avoir été victime d’un vol de données personnelles de certains de ses clients.

Un piratage qui s’est suivi, comme en Belgique, d’un chantage exercé par les cybercriminels responsables de l’intrusion et du vol des données. « De plus en plus de cybercriminels volent des données non cryptées dans le but de les revendre sur le marché noir ou de les utiliser dans des actions de cyber-chantage, explique Jason Hart, vice-président Solutions Cloud de SafeNet.Toutes les données stockées sous forme de texte brut peuvent être lues sans la moindre difficulté, et sont par conséquent à la merci des cybercriminels. Face à de telles menaces, il est indispensable que les entreprises pensent à chiffrer toutes les données de leurs clients – et ce, qu’elles soient stockées ou en transit dans leur réseau. » Dans le cas de la Banque Centrale, l’atatque peut être considérée comme « modérée ».

Dans ce cas précis, la gravité a été minimisée par le fait que les mots de passe et les informations financières étaient chiffrées. Néanmoins, le fait que des pirates aient pu mettre la main sur des adresses électroniques et des numéros de téléphone peut à court terme avoir des répercussions significatives sur le niveau de confiance des clients.

Argent, Arnaque, Banque, Cybersécurité, escroquerie, Fuite de données

Opération Silver Spaniel

Dans son nouveau rapport intitulé 419 Evolution (Version évoluée de la fraude 419), l’équipe d’analyse des menaces chez Palo Alto Networks — aussi appelée « Unité 42 » — explique que les responsables d’escroqueries opérant depuis le Nigeria utilisent désormais les outils souvent déployés par des groupements criminels et des spécialistes de l’espionnage au mode opératoire plus complexe pour subtiliser les données métier essentielles des entreprises.

Loin d’être une nouveauté, voilà plusieurs années que Data Security Breach vous explique que certains de ces escrocs utilisent skype, TeamViewer and co pour agir. Ces délinquants avaient à leur actif des arnaques peu subtiles visant à recueillir par hameçonnage les données bancaires ou les renseignements personnels des particuliers. Ces dernières années, ils ont acquis de nouvelles compétences leur permettant d’exploiter des méthodes plus perfectionnées dirigées contre les entreprises.

Palo Alto Networks a donc découvert que les pirates amateurs des arnaques nigérians exploitent des outils d’administration à distance accessibles par l’intermédiaire de forums clandestins (y compris certains logiciels commerciaux comme NetWire) qui permettent d’obtenir un contrôle total sur les systèmes infectés. Bref, ils utilisent des chevaux de Troie.

« Les activités malveillantes Silver Spaniel sont menées depuis le Nigeria et emploient toutes des tactiques, des techniques et des modes opératoires similaires. Ces pirates ne possèdent pas des connaissances techniques pointues, mais représentent une menace croissante pour les entreprises alors même que ces dernières ne constituaient pas jusqu’alors leurs cibles principales », précise Ryan Olson, directeur de la recherche au sein de l’Unité 42 chez Palo Alto Networks. À titre de protection contre l’outil d’administration à distance NetWire, Palo Alto Networks propose un logiciel gratuit capable de décrypter les commandes, de contrôler le trafic et de révéler les données volées par les pirates Silver Spaniel. Le rapport (accessible après inscription)

Argent, Banque, Bitcoin, Entreprise, Identité numérique, Paiement en ligne

Remise du rapport sur les monnaies virtuelles

La cellule Tracfin du ministère des finances français a remis au Ministre Michel Sapin, le 11 juillet, un rapport de son groupe de travail sur l’encadrement des monnaies virtuelles, dont le Bitcoin.

La croissance, évoquée dès 2012, des flux financiers en monnaie électronique dans les signalements par Tracfin s’intensifie. Le rapport de Tracfin analyse les risques d’utilisations illicites ou frauduleuses liés au développement des monnaies virtuelles dont l’exemple le plus célèbre est le bitcoin. Trois caractéristiques sources de risques classé par ce rapport sont l’intervention d’acteurs non régulés ; le manque de transparence et l’extraterritorialité.

Parmi les solutions proposées par ce rapport, limiter l’anonymat en imposant une prise d’identité lors de l’ouverture par un professionnel d’un compte en monnaies virtuelles pour un tiers, et une vérification d’identité pour les retraits et dépôts aux « distributeurs » de bitcoin. Autant dire que l’idée risque de faire sourire les utilisateurs les plus aguerris sur le sujet. Autres idées de régulation, demander aux plateformes qui échangent des monnaies virtuelles contre des devises officielles de tracer leurs clients en leur imposant de vérifier, pour chaque transaction, l’identité de l’auteur et du bénéficiaire, ainsi que l’origine des fonds. « La lutte contre la fraude, contre la criminalité et contre le terrorisme sont autant de priorités du Gouvernement. souligne le Ministre Sapin. Or, en permettant des transactions anonymes et instantanées d’un bout à l’autre monde, sans aucune traçabilité, le s monnaies virtuelles sont vouées à devenir des outils qui intéressent les fraudeurs et malfaiteurs de tous bords. Dès lors, ne pas nous pencher dès à présent sur le sujet serait irresponsable« .

A noter que la France souhaite le non-assujettissement des monnaies virtuelles à la TVA.

Argent, Banque, Justice, Paiement en ligne, Piratage

Un pirate informatique Moldave jugé en Suisse

Un pirate informatique Moldave, qui avait piraté une banque américaine de Floride, vient d’être condamné par la justice Suisse.

L’homme âgé de 38 ans vient d’écoper d’une amende de 1,5 millions de francs Suisses, de quelques mois de prison et se retrouve avec une expulsion vers les Etats-Unis qui risquent de lui coûter encore plus cher. A noter que la justice a pu saisir 12 millions de francs (plus de 9 ,8 millions d’euros) que le pirate possédait sur six comptes bancaires qu’il possédait.

Avec 6 passeports en poche, le voleur numérique aurait, via ses actes de piratages et ses complices, transféraient quelques 200 millions de francs Suisse (+164 millions €). Il avait réussi à pirater des comptes bancaires de la Warrington Bank en piégeant une caissière, via un mail malveillant. Il lui avait dérobé ses identifiants de connexion qui avaient permis par la suite à opérer des dizaines de paiements frauduleux. (Le Matin)

Banque, Biométrie, Chiffrement, cryptage, Cybersécurité

Paiement par reconnaissance d’empreinte digitale

L’empreinte digitale comme alternative possible au code confidentiel / Le premier prestataire européen de paiement multicanal se donne pour objectif d’améliorer continuellement l’expérience de ses utilisateurs.

Avec pour objectif d’améliorer en permanence l’expérience des utilisateurs grâce à des innovations ingénieuses, Yapital, premier prestataire européen de paiement multicanal, teste actuellement le paiement par reconnaissance d’empreinte digitale. Cette technologie pourrait être amenée à remplacer la saisie d’un code confidentiel lors du paiement par smartphone.

Pour Oliver Kress, premier vice-président de Yapital chargé de l’innovation, le groupe « revendique sa capacité à pouvoir rendre très rapidement opérationnel tout nouveau procédé technique susceptible d’améliorer l’expérience des utilisateurs. Dès que les principaux fabricants de smartphones ont intégré à leurs produits des dispositifs de reconnaissance d’empreinte digitale, nous avons aussitôt lancé les expérimentations.  » Le but étant de déterminer si ces nouvelles technologies satisfont aux exigences de Yapital en termes d’ergonomie et de sécurité. » Le dispositif doit être simple, sûr et intuitif pour le consommateur. Si c’est le cas, alors nous le proposerons « , dit Oliver Kress.

Le paiement par reconnaissance d’empreinte digitale constituerait la troisième innovation d’importance du prestataire de paiement multicanal au cours de cette seule année : en 2014, Yapital a en effet déjà présenté l’intégration du Bluetooth Low Energy (BLE) et l’achat par flash du code QR directement depuis un support publicitaire, une affiche ou à travers une vitrine.

Argent, Banque, Cybersécurité, Fuite de données, Paiement en ligne, Twitter, Vie privée

Quand Twitter diffuse des cartes de crédit

3 commentaires
Extrait de la page du bot sur Twitter

Etonnant jeu que celui effectué par des centaines d’internautes, sur Twitter. Ces amateurs pas comme les autres du portail de micro blogging américain sont tellement content de posséder une carte bancaire (credit card, debit card, …) qu’ils en diffusent des photographies, dans l’espace du petit oiseau.

Totalement idiot, surtout que certains diffuseurs placent les informations sensibles (les 16 chiffres, la date de validité, certains même le CVV) à la portée du premier surfeur qui passerait par là.

Plus dingue encore, un bot, un robot Twitter baptisée « besoin d’une carte de crédit« , intercepte les messages et les répertories dans un compte Twitter dédié. Bilan, plusieurs centaines de photos, une cinquantaine de vidéos. Depuis 2012, Twitter laisse faire.

Pour l’américain, les Twitteriens sont responsables de ce qu’ils diffusent ! Bilan, faut pas pleurer si votre CB se retrouve sur Need a Debit Card.

 

Android, Argent, Banque, Cyber-attaque, escroquerie, Leak, Vie privée, Virus

Des applis Google Play voleuses de données bancaires

Lookout a repéré cette semaine dans le Google Play store une application de banque en ligne clonée, conçue pour subtiliser les identifiants des utilisateurs, mais étrangement sans les mots de passe.

Nous avons aussitôt alerté Google qui a dans la foulée supprimé l’application concernée. Nous tenons à préciser que tous les utilisateurs de Lookout sont protégés contre cette menace. Le programme malveillant incriminé, baptisé « BankMirage », ciblait les clients de la banque israélienne Mizrahi. Les auteurs ont ainsi ajouté une sorte de surcouche à l’application légitime, proposant ensuite leur création de nouveau sur le Google Play store en la faisant passer pour celle de l’établissement bancaire.

Le mode de fonctionnement est simple : dès que la victime lance l’application, le programme malveillant charge le formulaire de connexion, à savoir une page html intégrée à l’application et créée pour dérober l’identifiant de la personne dès qu’elle le saisit. Il s’agit donc d’une tentative de hameçonnage (phishing) des données personnelles. Ce programme a toutefois une étrange particularité : il récupère uniquement l’identifiant de connexion de l’utilisateur. Ses auteurs ont inséré un commentaire dans le code qui commande de collecter uniquement cet élément, et pas le mot de passe.

Une fois l’identifiant récupéré et stocké, l’application envoie un message à l’utilisateur victime pour lui signaler l’échec de sa tentative de connexion. Il est invité à ce moment-là à réinstaller la « vraie » application légitime de la banque sur le Play Store.

Les programmes malveillants qui se font passer pour des applications de banque en ligne comptent parmi les plus dangereux, dans la mesure où ils s’intéressent à des données particulièrement sensibles. Ce type de programme est très présent dans l’Union européenne, dans les pays de la région Asie-Pacifique, et dans une moindre mesure aux Etats-Unis. Nous avons déjà repéré des programmes de banque en ligne créés en Corée qui, au lieu de se glisser dans le catalogue de Google Play, se font carrément passer pour l’application Google Play Store elle-même.

« PlayBanker » en est un exemple : il se fait passer pour Google Play et envoie des alertes aux utilisateurs victimes pour les pousser à télécharger des applications de banque en ligne pirates. Une autre variante, « BankUn », vérifie pour sa part au préalable la présence des huit plus grandes applications légitimes des banques en ligne coréennes, pour les remplacer ensuite par des versions pirates.

Il est hélas difficile pour un utilisateur de se prémunir d’une application de ce type parvenant à se faire référencer dans le Google Play store ; les moyens de protection classiques ne suffisent pas. Comme par exemple le fait de vérifier que le développeur de l’application est digne de confiance, ou de s’assurer que la case « Sources inconnues » (dans les paramètres système du téléphone) n’est pas cochée afin de bloquer l’installation furtive d’applications téléchargées à son insu.

Mieux vaut faire preuve de bon sens : la présence de deux versions apparemment identiques d’une même application peut signifier que l’une d’elles est illégitime. Pour être protégé à 100% contre ce type de menace, la meilleure solution consiste à installer sur le téléphone une solution de sécurité telle que Lookout, qui analyse systématiquement toutes les applications téléchargées.