Archives de catégorie : Banque

Banque, Chiffrement, Communiqué de presse, Cybersécurité

Pourquoi le niveau de conformité de la sécurité des paiements diminue-t-il ?

Lorsque les entreprises subissent une attaque, celle-ci cible souvent les informations personnelles et financières des clients issues des données des cartes de paiement. La norme de sécurité de l’industrie des cartes de paiement (PCI DSS) a été conçue pour protéger les données de paiement à partir du point d’achat. De manière surprenante, Verizon a observé une chute de la conformité à cette norme au cours des dernières années.

Le rapport sur la sécurité des paiements 2019 de Verizon approfondit cette analyse afin de déterminer la cause de ce phénomène. À l’approche du lancement de la nouvelle version 4.0 de la norme PCI DSS, il explique surtout comment les entreprises peuvent inverser cette tendance en réévaluant leur manière de déployer et structurer leurs programmes de conformité.

Suite au lancement initial de la norme PCI DSS par Visa Inc. en 2004, beaucoup ont supposé que les entreprises parviendraient à atteindre une conformité efficace et durable dans les cinq ans. Aujourd’hui, 15 ans plus tard, le nombre de sociétés parvenant à une conformité durable a chuté de 52,5 % (PSR 2018) à son niveau le plus bas, à peine 36,7 % à l’échelle internationale. Sur le plan géographique, les entreprises de la région APAC (Asie-Pacifique) démontrent une capacité à maintenir leur statut de conformité complète (69,6 %), contre 48 % dans la région EMEA (Europe, Moyen-Orient et Afrique) et à peine 20,4 % (une sur cinq) en Amérique.

Les domaines d’activités à la loupe

L’examen des principaux secteurs d’activité nous permet d’observer la diversité de leur cote de conformité, mais également ce qui leur manque pour parvenir à une conformité complète ainsi que les mesures correctives à adopter par chaque secteur pour améliorer ses performances.

Commerce – Il y a quatre ans, les données des distributeurs étaient le plus souvent compromises au niveau du point de vente. Depuis lors, le lancement aux États-Unis de la technologie EMV (Europay, Mastercard et Visa) semble avoir réduit la proposition de valeur des fraudes aux cartes de paiement, et notre étude a établi que les piratages de données surviennent principalement via les applications Web. Les failles de sécurité n’ont cependant pas été entièrement éradiquées. Les commerçants doivent demeurer vigilants quant à la protection des données des cartes. Leur cote de conformité de 26,3 % est similaire à celle des services informatiques. Parmi leurs lacunes relatives aux exigences de la norme PCI DSS, on compte l’utilisation d’un trop grand nombre de paramètres par défaut des composants du périmètre (exigence 2) et surtout la non-conformité de leur gestion de la sécurité adéquate (exigence 12). Ce phénomène se traduit également par la note la plus faible des secteurs d’activité étudiés obtenue en matière de niveau de préparation aux incidents de piratage de données. En effet, le secteur du commerce peine à identifier les utilisateurs et garantir qu’ils disposent du niveau de privilèges adéquat, faire preuve d’une diligence raisonnable lors des relations avec les prestataires de services, détecter les points d’accès sans fil non autorisés, et gérer un plan de réponse aux incidents.

Secteur hôtelier – Le secteur hôtelier obtient à nouveau la note la plus faible quant au chiffrement des données en transit (exigence 4 de la norme PCI DSS), mais est le seul de l’étude à améliorer ses résultats dans cette catégorie par rapport à l’année précédente. Le secteur hôtelier est également parvenu à mieux se protéger contre les logiciels malveillants (exigence 5). Il présente les progrès les plus notables parmi tous les secteurs d’activité quant à cette exigence en obtenant une conformité de 84,2 %. Le secteur hôtelier est le seul secteur analysé par le PSR 2019 à avoir amélioré ses capacités de contrôle des accès physiques (exigence 9) par rapport à l’année précédente en parvenant à une cote de conformité de 63,2 %. Bien que ce secteur accuse un retard quant à la protection des données des titulaires de cartes stockées (exigence 3), il doit surmonter des difficultés uniques, notamment l’absence de solutions matures conçues pour ce type d’environnement. Les points faibles de l’hôtellerie sont l’identification et l’authentification des utilisateurs, la révision et le test du plan de réponse aux incidents, ainsi que la formation aux responsabilités en cas de piratage.

Finance – Le secteur des services financiers évolue dans un contexte de mutation rapide. Les clients exigent de nouvelles méthodes pour communiquer et effectuer des transactions personnalisées, en particulier via les périphériques mobiles. En parallèle, l’industrie continue d’observer des acteurs issus d’autres secteurs proposer des produits financiers. Au sein de cet environnement très compétitif et régulé, la capacité de protection des données des cartes de paiement fait toute la différence. Les clients s’attendent fortement à ce que les prestataires de services financiers comprennent mieux les besoins de sécurité des paiements que les autres catégories d’entreprises.Les données du PSR suggèrent que le secteur des services financiers se classe en tête quant à la conformité aux exigences de la norme PCI DSS, mais qu’il peut progresser dans le domaine du chiffrement des données en transit (exigence 4) et de la protection contre les logiciels malveillants (exigence 5).

Les conclusions du rapport de cette année font clairement ressortir le fait que de nombreuses entreprises ont encore du chemin à faire pour devenir entièrement conformes, mais qu’elles peuvent y parvenir à l’aide d’outils adéquats et en concentrant leurs efforts sur les points à améliorer. La conformité de la sécurité des paiements est cruciale. Les données du centre VTRAC (Verizon Threat Research Advisory Center) démontrent en outre qu’en l’absence de contrôles adéquats de protection des données, un programme de conformité a plus de 95 % de chances de se révéler transitoire et de devenir potentiellement la cible d’une cyberattaque.

L’étroite corrélation entre l’absence de conformité à la norme PCI DSS et les piratages informatiques fait l’objet de discussions depuis des années. Il n’existe aucun cas documenté publiquement d’une entreprise conforme à la norme PCI DSS ayant subi un piratage de données de cartes de paiement confirmé. La conformité fonctionne ! (Gabriel LEPERLIER – Senior Manager Security Consulting EMEA at Verizon Enterprise Solutions)

Banque, Chiffrement, Communiqué de presse, cryptage, Cybersécurité, double authentification, Entreprise, Fuite de données, Paiement en ligne, Securite informatique

Etat de la sécurité des applications des plus grandes banques du monde

Des chercheurs ont mené une enquêtes sur l’état de la sécurité des applications des plus grandes banques du monde. Un des outils posséde une faille connue depuis 2011.

Les nouvelles recherches de la société ImmuniWeb va faire grincer des dents dans le petit monde bancaire. Ils ont étudié la sécurité, la confidentialité et la conformité des applications des plus grandes institutions financières mondiales figurant dans la liste S&P Global 2019. Le résultat a de quoi étonner. En ce qui concerne la conformité, 85 applications Web de banque en ligne ont échoué au test de conformité GDPR ; 49 banque en ligne ont échoué au test de conformité PCI DSS ; 25 app ne sont pas protégées par un WAF.

Vulnérabilités de sécurité

Dans cette étude, on découvre que sept applications Web de banque en ligne contiennent des vulnérabilités connues et exploitables.

La plus ancienne vulnérabilité est connue depuis 2011. 92% des applications bancaires mobiles contiennent au moins une vulnérabilité à risque moyen.

100% des banques ont des problèmes de sécurité ou des problèmes liés aux sous-domaines oubliés.

Pour finir, concernant la sécurité du site web, seuls 3 portails sur 100 affichaient la note la plus élevée «A+» pour le « chiffrement SSL et la sécurité des sites Web ». Dans ce top 3, on trouve un Suisse (credit-suisse.com), un Danois (danskebank.com) et un Suédois (handelsbanken.se).

Pendant ce temps, dans le commerce 2.0

De son côté, le laboratoire Pradeo a étudié 38 applications mobiles d’e-commerce les plus téléchargées au monde. Le rapport montre qu’elles envoient les données personnelles des utilisateurs via de nombreuses connexions non sécurisées (pourcentages précis dans l’article) et présentent en moyenne 13 vulnérabilités de code, dont certaines ayant un haut niveau de sévérité.

Banque, Base de données, Cybersécurité, Emploi, Entreprise, Fuite de données, Justice, loi, RGPD, Securite informatique

Equifax : le piratage à plus de 1,4 milliard de perte

Le piratage informatique a un vrai coût qu’il est difficile de quantifier tant les ramifications venant s’y greffer ne se découvrent pas du jour au lendemain. Un exemple avec le piratage de 2017 de la compagnie Equifax. Deux ans après l’intrusion, la facture ne cesse de gonfler.

Le piratage informatique est déjà psychologiquement difficile à vivre pour toute personne et entreprise impactée par cette malveillance. L’aspect financier l’est encore plus, d’autant que la facture peut continuer à gonfler durant des mois, des années. La banque Equifax en fait les frais depuis 2017. Entre mai et juillet 2017, un pirate s’est invité dans ses informations. Quelques mois plus tard, la société américaine spécialisée dans les crédits à la consommation, révélait une infiltration informatique et le vol des données personnelles d’environ 150 millions de clients.

Elle ne s’était même pas rendue compte du vol. C’est le Department of Homeland Security (DHS) qui informait la société d’une vulnérabilité logicielle ayant permis la ponction.

1,4 milliard de perte depuis 2017

Le dernier Comité d’Entreprise a annoncé une perte de 1.4 milliard de dollars. Perte liée à ce piratage. Cerise sur le gâteau, la société de crédit doit faire face à plusieurs centaines de procès devant des tribunaux Américains, canadiens, Anglais, sans oublier le FTC de l’Oncle sam. Le CEO a tenté de rassurer les actionnaires en indiquant, par la bouche du directeur général, Mark Begor, que plusieurs plaintes avaient été levée via des accords de règlement avec certains recours collectifs et enquêteurs du gouvernement.

Bref, l’assureur a payé ! Il reste encore 2 500 plaintes de consommateurs, des recours collectifs internationaux et nationaux, des litiges entre actionnaires et des actions en justice intentées par des gouvernements et des villes américaines (clientes Equifax). A noter que l’enquête sur ce piratage est toujours en cours aux USA et à l’étranger.

Plus de 2 500 plaintes

Début mai, un groupe de membres du Congrès a présenté un nouveau projet de loi proposant certaines modifications réglementaires qui imposeraient des peines plus lourdes pour toutes les infractions futures liées aux données des américains. Cette modification exige aussi des inspections de cybersécurité et une obligation d’indemnisation des consommateurs en cas de vol de données. La loi propose qu’un bureau de la cybersécurité soit mis en place à la FTC.

Il aurait pour mission d’inspecter et superviser la cybersécurité des structures telles que les agences de notation. Du côté des pénalités, imposer des sanctions obligatoires en matière de responsabilité pour les violations impliquant des données. Une pénalité de base de 100 dollars pour chaque consommateur pour lequel un élément personnel (PII) compromis. 50$ pour chaque PII supplémentaire.

En vertu de ce projet de loi, Equifax aurait payé une amende d’au moins 1,5 milliard de dollars.

Argent, Arnaque, Banque, Bitcoin, Cybersécurité, Entreprise, escroquerie, Paiement en ligne, Particuliers, Securite informatique, Social engineering

Traders home, le trading forcé aux risques multiples

10 commentaires

Depuis plusieurs jours, une société de trading harcèle ses interlocuteurs, par téléphone, pour leur vendre du trading et le rêve de gagner des milliers d’euros sans se fatiguer. Prudence !

L’appel débute souvent quelques jours avant d’être en tête à tête, par téléphone, avec un commercial de chez Traders Home. Le premier appel dure rarement plus de 3 secondes. Vous décrochez, et on vous raccroche au nez. Il s’agit d’un bot. D’un système automatisé qui doit permettre à Traders Home, comme à plusieurs autres arnaqueurs (rénover vos combles pour 1 euros ; devenir le parrain d’un jeune enfant en Afrique, …), de s’assurer qu’un humain est bien derrière la ligne téléphonique. Les numéros sont le plus souvent généré automatiquement. Ils sont aussi récupérés via différents itinéraires. Et être inscrit chez bloctel n’y changera rien !

Traders Home

Pour le cas de Traders home, la méthode est simple. Votre interlocuteur vous fait miroiter de l’argent, beaucoup d’argent, en devenant un trader. Vous allez pouvoir miser sur les monnaies (Euros, Dollars), l’or, les cryptymonnaies (bitcoin, …) ou encore sur l’énergie (gaz, électricité…)

Votre commercial (homme ou femme) vous indique que cela ne vous coûtera quasiment rien. Juste une centaine d’euros. Et comme vous êtes des débutants, ils mettent 50 euros de leur poche. Vous voilà ferré. Vous risquez de finir plumé par cette entreprise qui affiche une adresse basée dans les fins fond de l’océan indien. Autant dire que pour râler, il va falloir prendre les rames… et ramer !

Installer un logiciel et reg. arder les euros défilés

La communication peut-être longue. L’interlocuteur vous prend en main. Vous dirige dans les méandres du site web de Traders Home. On vous explique que « c’est super simple […] sans aucun risque« . Il faut juste s’inscrire, choisir l’espace « étudiant » (débutant), fournir un numéro de téléphone (pour votre coach), faire virer 100€ et installer un logiciel « Dans votre téléphone portable ou tablette pour plus de confort » !

Pour rappel, le trading est une véritable activité à risque. Un trader doit être connu favorablement auprès d’une autorité financière. Et devinez quoi… L’AMF, l’Autorité des Marchés Financiers en France n’aime pas du tout Tradershome Ltd. TD est même dans la liste noire de l’AMF.

L’arnaque

« J’ai été contacté en mars, explique Jacqueline à Data Security Breach. Mon interlocuteur m’a fait rêver. Il m’a expliqué que je pouvais gagner énormément d’argent en investissant dans le trading. Je n’ai aucune expérience. Le monsieur m’a indiqué que ce n’était pas utile. Tradershome allait m’aider. Je n’avais rien à faire que de – regarder les euros défiler« .

« J’ai fait un premier versement de 100€. Tout c’est enchaîné très rapidement. J’ai reçu des appels qui m’étaient indiqué provenant de Hong-Kong. On m’appelait chaque jour. Mon – coach – souhaitait que j’augmente mon capital. Plus je verserai, plus je gagnerai, m’affirmait-t-il. Le plus fou c’est qu’au début, je recevais bien mes profits. J’avais versé 1 000€ en mars 2019. J’ai reçu un premier versement de 250€. Bilan, les appels et cette entrée d’argent m’ont incité à placer 4 000 euros. Bilan, 5 000 euros chez eux. Pour me garder, j’ai reçu 740€ sur mon compte en banque, en avril 2019. Sauf que trois semaines plus tard, ma courbe a chuté à 4 700 euros. Il ne me restait plus que 300€. Je n’ai plus jamais eu de nouvelles. J’ai perdu 4 260 dans ce piège.« 

APT, Argent, backdoor, Banque, Base de données, Cybersécurité, Entreprise, Fuite de données, ID, Particuliers, Securite informatique, Téléphonie

Anubis : cheval de Troie bancaire décortiqué

Anubis 2 est apparu dans le « paysage des menaces » en 2017 en tant que cheval de Troie bancaire en location (disponible pour les fraudeurs dans des forums undergrounds), l’auteur et créateur du malware se surnomme « maza-in ». Si ce dernier a disparu des radars, son outil malveillant est toujours en action.

En tant que malware bancaire, Anubis incite ses victimes à fournir des informations personnelles et sensibles, telles que les logins bancaires, des codes de sécurité bancaire et même des informations de carte de crédit. Mais ce logiciel malveillant va au-delà des attaques « overlay » bien connues, utilisées par les chevaux de Troie bancaires, car il combine des fonctionnalités avancées telles que le streaming d’écran du téléphoné infecté, l’accès à tous les fichiers à distance, l’enregistrement sonore, le key-logging et même un proxy réseau, ce qui en fait un malware bancaire efficace, mais également un potentiel outil pour espionnage.

D’un point de vue opérationnel, Anubis peut être considéré comme l’un des chevaux de Troie bancaires Android les plus utilisés depuis fin 2017. En ce qui concerne les banques Françaises, les suivantes sont ciblées : Axa, Banque Populaire, BNP Paribas, Boursorama, Caisse d’Épargne, Crédit Agricole, Crédit Mutuel, LCL, Palatine ou encore la Société Générale.

L’auteur a disparu, par son code malveillant

Au cours du premier trimestre 2019, l’auteur et créateur du cheval de Troie a disparu, laissant les clients existants sans assistance ni mises à jour; mais le risque demeure et pourrait même augmenter. Les campagnes d’infection d’Anubis comptent parmi les plus importantes jamais enregistrées pour les malwares bancaires : De nombreuses victimes ne sont pas conscientes du fait que le malware ne se déguise pas comme l’app de la banque, il se déguise principalement en tant qu’application tierce et reste inaperçu par les usagers. Anubis se fait par exemple passer pour : de faux jeux mobiles, de fausses mises à jour de logiciels, de fausses applications postales, de fausses applications Flash Player, de fausses applications utilitaires, de faux navigateurs et même de fausses applications de réseau social et de communication.

Les caractéristiques du cheval de Troie en font une menace importante : Habituellement, les chevaux de Troie bancaires effectuent principalement des attaques de type « overlay » afin de collecter les informations personnelles puis volent les SMS pour acquérir les codes bancaires, mais Anubis va plus loin que ça avec la streaming de l’écran du téléphone infecté, l’accès de fichiers à distance (accès au stockage du téléphone), l’enregistrement sonore, le key-loggign et même un proxy réseau (permettant au criminel de se connecter à la banque via le téléphone infecté).

300 banques dans le monde ciblées

Les campagnes d’infection d’Anubis ciblent en moyenne, plus de 300 banques dans le monde: La liste observée dans les campagnes Anubis contient environ 360 cibles, contenant la plupart des banques les plus grandes et les plus connues dans le monde, mais également des applications de communication et de réseautage social largement utilisées, ce qui signifie que personne n’est vraiment protégée, car même si une victime ne fait pas de banque en ligne le malware abusera d’autres applications (Liste complète de cibles en Annexe du blog).

Les malware qui deviennent orphelins ne sont pas toujours un bon signe : Beaucoup de gens pourraient penser que lorsque le propriétaire / auteur du malware disparaît, les opérations s’arrêtent… Malheureusement, ce n’est pas toujours le cas, surtout pas avec Anubis. Bien que l’acteur ait disparu, le cheval de Troie est toujours actif et le pire est que son code a été divulgué/fuit, ce qui pourrait amener de nombreux autres criminels à utiliser le programme malveillant. Toute l’analyse complète à découvrir sur Threat fabric.

Banque, Bitcoin, cryptomonnaie, Cyber-attaque, Cybersécurité, Entreprise, escroquerie, Fraude au président, Fuite de données, ID, Identité numérique, Particuliers, Piratage, Securite informatique, Social engineering, Vie privée

Crypto-monnaie et recovery room : 113 sites douteux

Recovery room : l’Autorité des Services et Marchés Financiers diffuse une liste noire de 113 sites web douteux concernant les crypto-monnaies.

 

La FSMA, l’Autorité belge des Services et Marchés Financiers, vient de mettre en ligne une liste qui risque d’intéresser les amateurs de crypto-monnaies et autres internautes attirés par le trading. La FSMA édite depuis 1 an une liste de sites mis sur liste noire pour avoir été acteurs d’escroqueries. Si au début cette liste affichait quelques dizaines de fraudeurs, en décembre 2018, ils sont 113 montrés du doigt. A fuir, donc. Le gendarme du secteur financier belge explique que ces plateformes « proposent un investissement sur la base de crypto-espèces, en mettant l’accent sur son caractère sûr, simple et très lucratif. Elles tentent de gagner votre confiance en vous persuadant qu’il ne faut pas être un expert pour pouvoir investir dans les crypto-monnaies. Prétendent collaborer avec des spécialistes, qui gèrent vos investissements. Confirment en outre que vous pouvez retirer vos fonds à tout moment. Fonds garantis. »

Derrière, des escrocs qui empochent votre argent. Cette liste comprend : des entreprises fournissant, en Belgique (ou depuis la Belgique), des services et produits financiers sans respecter la réglementation financière belge (défaut d’agrément / défaut de publication d’un prospectus/…) ; des entreprises à l’égard desquelles, outre d’éventuels manquements aux réglementations financières dont elle assure le contrôle, la FSMA a constaté de sérieux indices de fraude à l’investissement ; des entreprises à l’origine de fraudes de type « recovery room« .

Recovery room

La fraude de type « recovery room » vise les investisseurs déjà victimes d’une arnaque. Contactés par les escrocs, ils se voient proposer de l’aide en vue de récupérer les sommes perdues. Une technique employée, entre autres, par les escrocs à l’amour, les scammeurs. Ils vous indiquent être policier, par exemple, et doivent vous permettre de retrouver votre argent perdu. Bien évidement, ils réclament des frais de « dossier » ! Les escrocs derrière une « recovery room » sont souvent les mêmes voleurs que dans le cadre de la fraude initiale. Ils peuvent aussi revendre leur « pigeon » à d’autres malveillants. « Tout investisseur qui a déjà été victime d’une fraude à l’investissement doit être conscient que les fraudeurs sont susceptibles de le viser à nouveau ou de revendre ses données. » confirme la FSMA.

Banque, Communiqué de presse, Cybersécurité, double authentification, Securite informatique

Authentification forte : les commerçants pas au courant des nouvelles réglementations qui entreront en vigueur en 2019

2 commentaires

Les commerçants doivent se préparer à fournir une authentification forte (SCA) pour éviter l’insatisfaction des clients.

Le 13 décembre 2018 – L’essor du e-commerce est une bouée d’oxygène pour de nombreux commerçants. Cependant, une étude Mastercard ciblant un petit groupe de e-commerçants en Europe a révélé que 75% des commerçants en ligne en Europe ne sont potentiellement pas au courant d’une nouvelle norme de sécurité qui entrera en vigueur l’année prochaine.[1]

Conçu pour améliorer l’expérience des paiements numériques, EMV 3-D Secure (ou EMV 3DS) va ouvrir une nouvelle ère de sécurité pour les transactions en ligne et permettra à l’authentification de bénéficier d’un standard prenant en compte les nouvelles technologies telles la biométrie. Malgré ces changements, seuls 14% de cet échantillon de commerçants en ligne européens ont déjà implémenté SCA, et 51% déclarent ne pas pouvoir être prêts pour septembre 2019 ou n’ont aucun plan pour le supporter.

Le SCA sera obligatoire en vertu de la DSP2 à compter de septembre 2019. Cependant, avant cela, les commerçants en ligne doivent être préparés. Ci-dessous, deux actions que les e-commerçants doivent effectuer avant l’été 2019 :

Contacter leur acquéreur ou leur fournisseur de services de paiement (PSP) pour s’assurer que leur entreprise est prête et enregistrée dans Identity Check.
Accompagner leurs clients en les informant des changements qui seront apportés à leur expérience de paiement en en soulignant les avantages (plus besoin de se rappeler de mots de passe et une réduction probable de la fraude).

Authentification biométrique

Parallèlement, les banques enregistreront également leurs titulaires de carte au sein d’Identity Check et leur offriront des méthodes d’authentification améliorées, dont l’authentification biométrique.

Dans le but d’offrir aux consommateurs une expérience de paiement en ligne plus fluide, Mastercard déploie Mastercard® Identity Check™, une solution d’authentification de nouvelle génération basée sur EMV 3DS qui offre une expérience de paiement en ligne plus fluide pour les consommateurs. Avec un très grand nombre de consommateurs habitués à payer en un seul clic, cette nouvelle solution Mastercard est conçue pour minimiser les perturbations et les frictions inutiles au moment du paiement. Identity Check répond aux exigences SCA de la Directive sur les Services de Paiement 2 (DSP2) qui sera applicable à partir du 14 septembre 2019 dans 31 pays européens.

Milan Gauder, Executive Vice President, Services, Mastercard Europe affirme : « Le e-commerce continue de croître plus rapidement que les achats physiques et, bien que ce soit extrêmement positif pour les commerçants en ligne, cela exige d’eux de s’assurer que les transactions numériques sécurisées et transparentes. Nous avons mené à bien la première transaction EMV 3DS en septembre. Nous sommes ravis de migrer notre solution Identity Check avec EMV 3DS, en utilisant des méthodes d’authentification en temps réel telles que les mots de passe dynamiques, la biométrie (incluant la reconnaissance d’empreintes digitales, faciales, d’iris et vocale), pour offrir une expérience en ligne plus sécurisée et adaptée à l’avenir du e-commerce. »

Paiement en ligne

Avec des taux d’approbation plus faibles et des taux de fraude plus élevés, l’écart entre les achats e-commerce et en magasin demeure un problème. Le taux de fraude pour les paiements en ligne est dix fois plus élevé que pour les transactions sur un terminal de paiement en Europe, ce qui a un impact négatif sur l’utilisation et l’attrition.

Pour se préparer au déploiement de Mastercard® Identity Check™, Mastercard a lancé une phase pilote dont les résultats indiquent que la nouvelle solution permet de réduire la fraude, de diminuer le nombre de refus de cartes et de faciliter l’authentification pour le consommateur. Non seulement l’expérience utilisateur est optimisée, mais les profits des commerçants et des émetteurs ont également augmenté.

« Avec le commerce en ligne qui devient la norme, et de nouvelles exigences réglementaires, il est nécessaire de proposer des solutions innovantes pour s’assurer que les e-commerçants continuent à satisfaire leurs clients. Avec la possibilité d’échanger entre les commerçants et les émetteurs 10 fois plus d’informations que de messages d’authentification aujourd’hui, et avec les nouvelles fonctionnalités mobiles, nous relevons la barre en matière d’authentification« , a ajouté Milan Gauder.

Banque, Bitcoin, Communiqué de presse, Cybersécurité, Securite informatique, Social engineering

Le minage de crypto-monnaies pirate dépasse les ransomwares

L’usage des ransomware a drastiquement chuté au profit du minage de crypto-monnaies. Pendant les trois premiers trimestres de l’année 2018, 5 millions d’utilisateurs ont été attaqués en ligne, par des mineurs de cryptomonnaie, contre 2,7 millions en 2017.  Les infections sont dues, en grande majorité, au téléchargement et à l’installation de logiciels sans licence, ce qui implique un ciblage des victimes plutôt orienté vers le grand public.

Le principe même de la criminalité, qu’il s’agisse du cyber ou du physique, repose sur l’appât du gain, la possibilité de gagner beaucoup d’argent, en très peu de temps. Pendant plusieurs années, le prix des crypto monnaies a été très élevé. Aujourd’hui, les cours sont fluctuants, voire  en chute libre depuis quelques semaines. Très vite, le minage de crypto monnaies ne sera plus rentable car les gains ne couvriront plus les investissements en temps. Ce sera particulièrement vrai si les criminels continuent de cibler les machines individuelles, plutôt que les grandes entreprises disposant de fortes puissances de calcul. En revanche, si les crypto monnaies continuent leur démocratisation, il faudra surveiller les plates-formes d’échange qui pourront devenir de véritables nids d’opportunités pour les criminels dans des opérations de phishing de leur client ou de piratage direct.

 L’extorsion de fonds à grande échelle

Ronan Mouchoux du GReAT explique : «  En mars 2010, la plate-forme pionnière d’échange de cryptomonnaies, BitcoinMarket, effectuait la toute première transaction financière entre bitcoin et monnaie fiduciaire. Un bitcoin échangé alors pour 0.003 dollar US. Huit ans plus tard, l’écosystème s’est développé, avec des milliers de nouvelles blockchains et des centaines de plates-formes de trading. Sur cette durée, au moins 31 piratées pour un montant de 1,3 milliard de dollars. Les détenteurs de crypto monnaies, les développeurs de blockchains et les plates-formes d’échange sont les trois cibles des cybercriminels. Rien qu’au deuxième trimestre 2018, plus de 2 millions de dollars extorqués à des possesseurs de crypto monnaies par phishing ou arnaque. En septembre dernier, l’une des principales plates-formes japonaises d’échange, Zaif, se faisait voler l’équivalent de 60 millions de dollars. »

 

 Investisseurs individuels vs. banques : une inégalité en matière de sécurité

Les crypto monnaies se démocratisent toujours davantage et sont désormais accessibles à la plupart des investisseurs. La tendance devrait encore se renforcer grâce à l’ouverture annoncée du marché directement via les buralistes en 2019. Il faut s’attendre à d’importantes tentatives d’exploitation de failles de sécurité. Les détenteurs de crypto monnaies, les développeurs de blockchain et les plates-formes d’échanges doivent impérativement accroître leur niveau de sécurité, encore beaucoup trop faible par rapport aux banques historiques et traditionnelles. Preuve en est, le plus gros casse bancaire de l’histoire se baptise Carbanak : l’attaque avait entrainé le vol de 1 milliard de dollars. Durant le premier semestre 2018 au Japon, près de 500 millions de dollars dérobés par piratage de plusieurs plateformes d’échanges de ce pays. De quoi attirer les cybercriminels, bien plus qu’avec le minage.

 Comment se protéger ?

Il est primordial pour les utilisateurs de choisir leur plate-forme en fonction de leur sécurité. Pour les plus gros détenteurs de cryptoactifs, on ne peut que recommander fortement d’investir dans un porte monnaies physique à la réputation éprouvée. Quant aux développeurs de blockchain et aux plates-formes d’échanges, ils doivent utiliser des solutions et recruter de véritables experts en cybersécurité. Tout ce qui est tendance sur un marché, l’est aussi pour la cybercriminalité. Bien entendu comme toute activité qui implique un accès en ligne, disposer d’appareils et de solutions à jour et ne pas installer de logiciels non certifiés font partie des recommandations basiques. (Rapport)

Banque, BYOD, Chiffrement, cryptage, Cybersécurité, Emploi, Entreprise, Fraude au président, Fuite de données, Mise à jour, Securite informatique

P4R4Risque, un support ludique dédié à la sensibilisation cybersécurité

C’est à Quebec que j’ai rencontré Christopge Jolivet le concepteur d’un support de sensibilisation à la cybersécurité baptisé P4R4Risque. Un support de sensibilisation sous la forme d’un jeu de plateau efficace.

S’il fallait définir rapidement P4R4Risque, je pourrai le traduire comme un jeu de plateau dédié à la cybersécurité. Des cases, des pions, des cartes et des dés. Mais la comparaison s’arrêtera là.

Christophe Jolivet indique que son support est dédié à la sensibilisation par le jeu. Un mode ludique pour parler d’une thématique cybersécurité au sein de son entreprise. « Par des séances de sensibilisation, explique l’auteur, vous stimulerez l’interaction entre les participants en les confrontant à des situations réelles« . Et c’est toute la force de P4R4Risque.

Des questions reprenant des situations que peuvent vivre les entreprises, les salariés, … Les participants sont dans la peau d’une compagnie fictive qui possède des actifs. Parmi ces actifs, l’information stratégique ou confidentielle (renseignements personnels) des clients. L’objectif est de protéger adéquatement l’information de votre compagnie contre les scénarios de risques qui se présenteront à vous à tour de rôle par l’acquisition et la mise en place de mesures stratégiques, tactiques, opérationnelles et complémentaires.

22 scénarios proposés. Ils regroupent 7 familles de risques d’affaires. Il n’y a pas de gagnant ni de perdant ! La finalité étant que ce support ludique déclenche des échanges entre les employés. L’auditoire comprend ce qu’est la gestion de risques (accepter, mitiger, transférer). Il comprend que ces mesures S/T/O/C atténuent les risques et qu’elles ne sont pas gratuites.

Une vision internationale de la gestion de risques basée sur ISO27005 et ISO31000. Vous pouvez y retrouver aussi, par exemple, une version RGPD ou encore PCI-DESS. P4r4risque est commercialisé à partir de 99 $ canadiens (66€).

Argent, Arnaque, backdoor, Banque, Chiffrement, Communiqué de presse, cryptage, Cyber-attaque, Cybersécurité, DDoS, escroquerie, Fuite de données, ID, Identité numérique, Leak, Particuliers, Piratage, ransomware, Securite informatique

Cybermenaces : Que font les pirates en 1 minute ?

Cybermenaces : Les pirates feraient perdre plus de 1 million de dollars par minute dans leurs actions malveillants.

Alors que les cybercriminels et les cybermenaces ont coûté 600 milliards de dollars à l’économie mondiale l’an dernier, la société RiskIQ, spécialiste dans la gestion des menaces numériques, a fait appel à des recherches exclusives pour examiner le volume croissant d’activités malveillantes sur Internet.

L’étude montre que, dans une seule minute employée par les pirates informatique du globe, 1 138 888 dollars sont perdus. Dans ce même laps de temps, 1 861 personnes sont victimes d’un acte de piratage. Malgré les efforts des entreprises pour se protéger contre les cybermenaces externes, en dépensant jusqu’à 171 233 dollars en 60 secondes aux USA, les pirates continuent à proliférer et à lancer des campagnes malveillantes.

« Alors qu’Internet et sa communauté continuent de croître à un rythme rapide, le ciblage de la menace se développe également à grande échelle« , déclare à DataSecurityBreach.fr le PDG de RiskIQ, Elias Manousos.

Les tactiques d’attaque

Les méthides d’attaques ? Elles vont des logiciels malveillants au phishing en passant par les attaques de chaînes d’approvisionnement ciblant des tiers. Les motivations pirates incluent l’argent, les dommages à la réputation à grande échelle, la politique et l’espionnage. Les cybercriminels continuent de réussir à déployer des tactiques à partir de 1 274 logiciels malveillants uniques (par minute) et à déployer plus de neuf publicités piégées.

Activités malveillantes

Selon la société américaine RiskIQ, toutes les minutes, 1,5 entreprises de part le monde touchée par un ransomware. Coût moyen pour les entreprises : 15 221 $. (corrections, pertes …) ; En une minute, 17 applications mobiles se retrouvent sur liste noire. 21 nouveaux domaines sont créés pour du phishing et un nouveau site utilisateur (volontaire ou non) du script d’extraction de crypto-monnaie CoinHive voit le jour.