Archives de catégorie : Chiffrement

Chiffrement, cryptage, Cybersécurité, Securite informatique

Testé pour vous la Secure-K, une clé USB sécurisée

La clé USB Secure-k couple une clé USB chiffrée, un digicode, un OS sécurisé, de quoi transporter ses données privées en toute sécurité.

Si vous êtes à la recherche d’un système d’exploitation portable chiffré et puissant qui peut être chargé sur n’importe quel ordinateur, la clé USB Secure-K de chez Mon-K que j’ai reçu début août est peut-être la réponse que vous recherchez pour chiffrer et sécuriser les données que vous souhaitez transporter.

Secure-K est intéressante sur plusieurs points. D’abord, c’est une clé USB chiffrée. Il existe de nombreuses solutions, gratuites et payantes, comme « L’intégral » CryptoDual ou encore KryptKey. La Secure-K propose aussi un système d’exploitation chiffré (environnement linux, moteur graphique gnome). Bilan, protection de l’environnement sans sacrifier la facilité d’utilisation de l’outil de sécurité.

 

Pour lancer le petit singe (Mon-k étant le nom de la société, ca donne Monkey), il faut d’abord l’activer en rentrant un code pin d’au moins 8 chiffres. Au bout de 10 essais infructueux, la clé se met en alerte et il n’est plus possible de l’utiliser. Les 8 bons chiffres fournis, vous pouvez configurer cette protection du hardware jusqu’à 15 chiffres, il suffit d’allumer l’ordinateur et lui permettre de lire une clé USB au boot. Le lancement de la clé est très rapide. Une second mot de passe est réclamé. Ici, lettres, chiffres, signes de ponctuation sont à votre convenance. Le précieux sésame va active l’OS et l’ensemble des outils proposés par la clé.

La clé est chiffrée, d’abord en mode hardware. L’environnement USB est chiffré en mode « sécurité militaire » FIPS 140-2. Le hardware est chiffré en AES 256 et en ce qui concerne l’OS et les fichiers, de l’AES 512 bits. Autant dire qu’avec une telle armure, il est déconseillé de paumer ses mots de passe.

Secure-K transporte une suite complète d’applications chiffrées : chat, vidéo, outils VOIP, TOR, et tout ce qui est indispensable pour travailler avec une suite bureautique et image. La société propose aussi, en option, de sauvegarder les données dans un cloud chiffré. Je déconseille, dans tous les cas, de sauvegarder ses informations ailleurs que dans un espace de stockage que vous contrôlez et avez sous les yeux. Le reste du fonctionnement de la Secure-K ne perturbera pas les utilisateurs, comme moi, de Tails.

Quelques points négatifs à noter, mais ils sont loin d’être éliminatoires. D’abord la taille des touches du digicode. Il est conseillé d’avoir les doigt d’un minimoys pour enfoncer les boutons rikikis. Autre point noir et vraiment casse pied. La clé permet de se mettre en mode sécurisé. Comprenez qu’il faut rentrer un mot de passe quand la Secure-K passe en mode « pause ». Sauf que si vous tapez votre mot de passe en « azerty » lors de l’installation de votre password, ce dernier passe en « qwerty » une fois la clé activée. Autant dire que mon mot de passe Qponz157!=#7awq c’est transformé en Aponw157!=#7qza.

Lors des tests, les logs des sites visités étaient incapables de cibler le point de connexion de la machine sous Secure-K. Aucune traces, non plus, dans les machines utilisées pour les tests. Seul bémol, les fichiers téléchargés sur la clé USB Secure-K ont pu être transférés sur une autre clé USB, connectée en même temps, sans que les documents ne soient chiffrés sur le nouveau support. Cela implique donc qu’il ne faut jamais quitter la machine des yeux, même quelques secondes. La clé Dunky m’a permis de copier des fichiers RTF en quelques secondes, automatiquement.

Le supplément de sécurité proposé par Secure-K devrait plaire aux voyageurs et internautes sensibles à la sécurité de leur vie numérique. Au DSI aussi. Ce type de clé répond au nouveau Règlement Général sur la sécurité des Données Personnels, le RGPD. L’article 32 sur la « Sécurité du traitement » indique que l’entreprise doit garantir la sécurité des données grâce à la mise en place d’un chiffrement des données personnelles, d’être dans la capacité d’assurer la confidentialité et l’intégrité permanentes des données, et avoir une disponibilité et une résilience du système, par une restauration rapide afin d’accéder aux données personnelles, rapidement, en cas d’accident physique ou technique.

Dernier point, la clé a été testée en zone humine (Thaïlande), elle a résisté sans problème à la mousson. Cependant, ne l’oubliez pas dans une poche de pantalon, là, elle va s’y noyer.
Plusieurs clés Secure-K sont proposées, la personnelle et l’entreprise, 8 Go, 16 Go, 32 Go et 64 Go sont disponibles d’ici peu au prix de départ de 99€.

Après le test et le mode d’emploi pour utiliser l’outil de chiffrement gratuit et open source Diskcryptor, découverte d’une autre solution de sécurité, VeraCrypt. Elle va permettre de protéger les données dans votre ordinateur, et lors du transport des précieuses informations. En savoir plus. ; La sécurisation de nos données est devenue indispensable aujourd’hui. Piratage, espionnage, malveillance, sont légions et nous sommes tous, potentiellement, des cibles. Je vais vous expliquer comment chiffrer vos supports de sauvegarde afin de les rendre illisibles sans votre accord avec le logiciel Diskcryptor. En savoir plus.

Chiffrement, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, IOT, Piratage, Securite informatique

IoT et sécurité : un couple encore maudit

Les objets connectés IoT sont de plus en plus utilisés par les cybercriminels pour former des réseaux de botnet. Il n’y a pas de segmentation des cibles : les IoT (Internet of Things – Internet des Objets) des particuliers sont autant ciblés que ceux des professionnels.

Une fois que l’objet connecté est piraté, il agit comme un zombie et dépend des commandes reçues par l’attaquant. Les cyberattaques basées sur des armées d’IoT piratées peuvent ainsi se multiplier et perpétrer des vols de données de santé ou d’informations personnelles.

Cas pratiques : exemples d’attaques ciblées
En septembre 2016, l‘hébergeur OVH est victime d’une attaque DDoS. Près de 145 000 objets connectés sont pilotés à l’insu de leurs utilisateurs par un serveur botnet. Cette attaque massive sature les serveurs de l’hébergeur et perturbe la distribution des services auprès de ses clients. Quelques semaines plus tard, c’est au tour du serveur DNS Dyn, acteur stratégique de l’Internet aux États-Unis, d’être ciblé. Des millions de caméras de sécurité, routeurs et autres objets connectés deviennent le vecteur d’attaque (réseau botnet) d’un serveur central.

Les IoT en chiffres : estimations et constats
En 2014, IDC annonce qu’il existe à travers le monde 200 milliards d’objets capables de se connecter à Internet. 14 milliards d’entre eux (soit 7%) communiquent déjà via Internet et représentent 2% des données numériques mondiales. D’ici à 2020, IDC prévoit entre 30 et 50 milliards d’IoT, représentant à eux seuls 10% du volume total de données générées. Fin juillet 2015, les différentes études menées par HP Fortify portant sur la sécurité des IoT révèlent que les montres connectées sont une nouvelle cible pour les pirates. 100% des appareils testés présentent des vulnérabilités. Celles-ci mettent en évidence la mauvaise protection des données personnelles (authentification et chiffrement insuffisants par exemple).

Deux ans plus tard, où en sommes-nous ?
Les attaques augmentent et les techniques progressent. Le malware Mirai utilisé pour corrompre des IoT se fait doubler par Hajime, un logiciel malveillant aux mêmes fonctions, mais plus puissant. À l’échelle mondiale, 100 000 IoT seraient infectés par Hajime.

Chaque mois, de nouvelles cyberattaques DDoS apparaissent. Sur le blog d’ESET (WeLiveSecurity.com), les chercheurs relèvent qu’un botnet P2P de 2003 a été mis à jour pour s’adapter aux nouveaux agents connectés. Il semblerait que les botnets autrefois sur ordinateurs se dirigent vers les mobiles… Et prochainement sur les objets connectés.

La sécurisation des IoT : négligence des constructeurs ?
Les constructeurs d’IoT concentrent leurs efforts sur la technologie de leur appareil. Les coûts de fabrication de la plupart d’entre eux sont faibles, permettant ainsi de proposer un produit accessible au public. Administrer des systèmes de sécurité dans ces appareils est long, coûteux et compliqué. Or, les constructeurs veulent rentabiliser rapidement la commercialisation de leur IoT. La partie sécurité n’est donc généralement pas prise en compte. Heureusement, tous ne sont pas dans ce cas de figure.

D’ici 2018, IDC prévoit que 34% des dépenses en sécurité se feront sur la protection des données à caractère personnel. À cette date, chaque particulier disposera au total d’une trentaine d’objets connectés : smartphone, voiture connectée, montre, réfrigérateur, box, jouet pour enfants…

Quelles solutions pour se prémunir des attaques ciblant les IoT ?
Bien que certaines normes soient en place, aucune réglementation n’oblige les constructeurs à mettre en place des mesures de sécurité sur les IoT. En attendant, la première étape serait d’acheter des objets connectés de qualité conformes aux normes de sécurité actuelles. Les experts ESET conseillent également de mettre à jour les logiciels et de tester les appareils. Ceci permettra de détecter d’éventuelles vulnérabilités (mots de passe mis par défaut) et d’y remédier. Enfin, la sécurisation du réseau est indispensable.

Dans ce contexte, comment détecter les nombreuses menaces issues de milliards d’appareils ? Est-ce faisable en mode proactif et dès leur création ? Les gestionnaires de risque des grandes entreprises déclarent travailler en moyenne avec une cinquantaine de solutions de sécurité. Combien sont réellement adaptées aux cybermenaces que représente l’emploi de l’IoT ?

backdoor, Chiffrement, Cyber-attaque, Cybersécurité, Mise à jour, Patch, Piratage, Securite informatique

Un pirate écume les loteries américaines et remporte 25 ans de prison

Un pirate informatique vient d’être condamné à 25 ans de prison pour avoir « joué » avec l’informatique des loteries de plusieurs états américains. Il aurait détourné plus de 14 millions de dollars.

En avril 2015, je vous parlais du pirate informatique Eddie Raymond Tipton. Cet informaticien travaillait comme programmeur pour la loterie du Texas. Il sera arrêté pour avoir piraté les machines dédiées à ce « jeu de hasard » afin d’empocher 14,3 millions de dollars. L’homme vient de connaitre sa sentence définitive : 25 ans de prison fédérale. Il a été découvert que Tipton avait piraté et manipulé les systèmes informatiques dans trois autres États Américains : Colorado, Iowa et le Wisconsin. Sa manipulation lui aurait permis d’engranger 2,2 millions de dollars supplémentaires. Une escroquerie informatique qui aura durée six ans. Timpton n’était pas n’importe qui, il était le responsable de la sécurité de la Multi-State Lottery Association (MUSL).

La MUSL fournit des systèmes informatiques destinés aux loteries pour quasiment l’ensemble des États-Unis, y compris les îles Vierges américaines et Porto Rico.

Tipton avait codé une clé USB qui lui permettait de générer les nombres aléatoires qui déterminaient les gagnants de la loterie. Employé par la MUSL, Timpton ne pouvait pas jouer et encore moins retirer l’argent. L’argent du billet gagnant de 14 millions de dollars ne sera pas retiré durant un an. Timpto va créer une entreprise « fantôme » à Belize afin de réclamer le prix, via un avocat de New York. C’est la caméra de vidéo surveillance d’une boutique ou avait été acheté le billet qui perdra le pirate.

Argent, Arnaque, backdoor, Chiffrement, Communiqué de presse, Cybersécurité, Espionnae, ID, Identité numérique, Mise à jour, Particuliers, Patch, Securite informatique

Joao : cyberattaque via un site dédié aux joueurs en ligne

Des chercheurs ont découvert un nouveau malware baptisé Joao, qui se répand par le biais de jeux informatiques diffusés sur des sites non officiels. Joao est un malware modulaire, capable de télécharger et d’exécuter d’autres codes malveillants.

Joao, le malware joueur ! Pour diffuser leur malware, les attaquants cachés derrière Joao ont abusé de jeux de rôle en ligne massivement multi-joueurs. « Ils ont modifié les jeux pour les rendre capables de télécharger du malware additionnel” explique Tomáš Gardon, analyste de malware chez ESET.

Les recherches ont démontré que les criminels derrière cette campagne ont abusé de plusieurs titres de jeux d’Aeria Games et installé leurs versions modifiées sur des sites non officiels. Les jeux auxquels Joao a été rajouté, étaient capables de recueillir des informations concernant l’ordinateur infecté et ensuite de télécharger des composants supplémentaires offerts par le serveur Command&Control des malveillants. Les composants de Joao découvert disposaient de capacités backdoor (porte cachée), d’espionnage et de DDoS (blocage de serveur, ordinateur, …) par la diffusion de connexions malveillantes ayant pour mission de saturer la cible du Déni Distribué de Service. « Le processus d’infection est bien caché aux yeux des victimes et ces jeux modifiés fonctionnent comme on s’y attend. Lorsque des utilisateurs passionnés de jeux se lance dans le téléchargement du jeux usurpateur, rien ne peut éveiller leurs soupçons. Ceux qui ne sont pas protégés par une solutions de sécurité fiable se retrouvent avec leur ordinateur infecté ».

Les experts en sécurité d’ESET conseillent de télécharger les jeux sur des sources officielles ; de faire les mises à jour proposées par les éditeurs ; utiliser une solution de sécurité fiable ; ne pas débrancher l’antivirus lors d’un jeu en ligne.

Base de données, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage, santé, Sauvegarde, Securite informatique

Espace médical infiltré, 1,2 million de données patients volé

Un internaute, s’annonçant comme étant un Anonymous, a volé 1,2 million de données appartenant à des utilisateurs d’un espace médical.

Le piratage de données de santé gagne du terrain. Je vous parlais, il y a peu, de 500.000 dossiers de patients piratés via un portail dédié aux réservations de rendez-vous chez un professionnel de santé. Aujourd’hui, c’est 1,2 millions de britanniques à être concernés par le même problème.

Un internaute, s’annonçant comme étant membre de la communauté Anonymous, a mis la main sur plus d’un million de dossiers de patients via un partenaire de la NHS, le Ministère de la santé Anglais. La fuite serait partie de SwiftQueue. Un portail qui permet aux patients de réserver des rendez-vous avec un médecin généraliste, un hôpital ou une clinique. Un outil qui exploite également des terminaux dans les salles d’attente qui affichent les rendez-vous.

« Je pense que le public a le droit de savoir à quel point les grandes entreprises comme SwiftQueue utilisent des données sensibles. » indique l’internaute. Dénoncer en diffusant les données de personnes qui ne sont pas responsables de la collecte et la sauvegarde de leurs données ? « Ils ne peuvent même pas protéger les détails des patients » termine-t-il.

Le pirate a déclaré à The Sun que le hack exploitait des faiblesses dans le logiciel de SwiftQueue. Faille qui aurait dû être corrigée il y a plusieurs années. Le « visiteur » annonce avoir téléchargé la base de données entière de l’entreprise, contenant 11 millions d’enregistrements, y compris les mots de passe. De son côté SwiftQueue a déclaré que la base de données n’est pas si importante et que leur enquête initiale suggère que seulement 32 501 « lignes de données administratives » ont été consultées.

Base de données, Chiffrement, Cloud, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage, Securite informatique

Fancy Bear : Fuite de données sur le dopage dans le football !

Piratage de données de santé ! Ce mardi 22 Août, un groupe de pirates informatique a publié les dossiers médicaux présumés de joueurs de football qui auraient été autorisés à se « doper » au cours de la Coupe du Monde 2010.

Le groupe de pirates informatiques connu sous le nom de Fancy Bear (mais aussi APT28, Sofacy, Pawn Storm, Tsar Team) affirme que les informations ont été volées à la Wada (World Anti-Doping Agency), l’Agence mondiale antidopage. Les pirates sont souvent accusés d’espionner pour les services secrets Russes, le FSB. En 2016, Fancy Bear avait diffusé de nombreux documents sur le dopage et les tricheries olympiques dans une opération baptisée #OpOlympics. « Nous allons vous dire comment les médailles olympiques sont gagnées » annonçait l’ourson. Pour de présumés pirates officiant pour la Russie, Fancy Bear ne s’était pas privé d’allumer des sportifs locaux, comme Yuliya Stepanova ou encore en montrant du doigt un dopage étatique.

Je reste aussi sur un étonnement. Pourquoi aujourd’hui le football ? Le 25 juin 2017, la FIFA lançait une enquête « dopage » à l’encontre de joueurs de football Russe. Pour rappel, l’année prochaine, la Russie va accueillir la Coupe du Monde de football. Dernier point, alors qu’il existe des dizaines de façons de rendre anonyme le téléchargement de fichiers, Fancy Bear a choisi de stocker les fichiers volés sur le site de stockage Mega.

Pendant ce temps, le compte Twitter du FC Barcelone était infiltré. Le pirate plaisantin a annoncé l’arrivé du Parisien Angel Di Maria au FC Barcelona. Un club qui, pour rappel, est en bourse. Le genre d’annonce qui fait fluctuer la moindre action. La « blague » n’a pas été appréciée. Une plainte a été déposée.

Banque, Base de données, Chiffrement, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Securite informatique

Fuite de données : Un espace anonyme de discussion Bloomberg le devient beaucoup moins à cause d’une erreur

Près de mille utilisateurs d’un espace de discussion anonyme Bloomberg se retrouvent affichés après qu’une société d’investissement de Londres diffuse la liste des participants par erreur.

La société Bloomberg a organisé, la semaine dernière, un chat avec un millier de participants. Des « posteurs » de messages anonymes qui venaient parler « bourse » ; « argent » … Une société d’investissement de Londres a fait une boulette en envoyant une liste des participants – comprenant les noms et les employeurs – aux personnes présentes dans la salle de discussion. Cette violation de données est l’une des plus importantes pour l’entreprise d’information financière de l’ancien maire de New York, Mike Bloomberg. Bilan, les modérateurs ont du fermer plusieurs espaces de discussions accès sur les données macroéconomiques et l’énergie. Pour les 866 participants impactés par cette fuite, un événement déconcertant. Il expose leurs commentaires sur leurs concurrents et les entreprises qu’ils analysaient. Ce service Bloomberg comporte 325 000 abonnés. L’impact sur l’image de marque risque d’en prendre un coup. (NYP)

Base de données, BYOD, Chiffrement, Cloud, Cybersécurité, Entreprise, Mise à jour, Sauvegarde, Securite informatique

Oups ! Cisco efface des données clients par erreur dans le cloud

La société Cisco a admis avoir perdu, accidentellement, des données du client lors d’une erreur de configuration du cloud de sa filiale Meraki.

Ahhhh, le cloud, petit bonheur numérique qui permet, selon les plaquettes publicitaires de « se faciliter la vie » ; « d’économiser de l’argent » ; « de renforcer son potentiel économique« . Bref, le cloud c’est bien… sauf quand ça bug. Le dernier incident en date concerne CISCO. L’entreprise américaine a confirmé, et donc avoué, avoir perdu des données clients. Un accident en raison d’une erreur de configuration du cloud de sa filiale Meraki.

La semaine dernière, l’équipe d’ingénierie cloud de CISCO a effectué un changement de configuration sur son service de stockage basé en Amérique du Nord. Sauf que cette mise à jour a supprimé certaines données clients. Meraki est une filiale de Cisco qui offre des technologies d’information gérées par le cloud pour les caméras sans fil, et tout ce qui concerne les communications de sécurité via une interface Web.

Un outil pour savoir ce qui a été perdu dans le cloud !

L’entreprise a déclaré que son équipe d’ingénieurs a travaillé pendant le week-end de 5/6 août pour voir si elle pouvait récupérer les données de ses clients. CISCO va fournir, ce 7 août, un outil pour « aider nos clients à identifier précisément ce qui a été perdu ». Cisco n’a pas précisé combien de clients ont été impactés par cet incident. Meraki est utilisé par plus de 140 000 clients et 2 millions de périphériques réseau y sont connectés.

En juillet dernier, des centaines d’entreprises, dont la Compagnie météorologique d’IBM, Fusion Media Group et Freshworks, utilisateurs de Google Groups pour leurs messages internes et privés, ont accidentellement exposé des informations sensibles publiquement en raison d’une erreur de configuration par les administrateurs de groupe. La société Dow Jones & Co a récemment confirmé que des données personnelles et financières de près de 2,2 millions de clients avaient été exposées en raison d’une erreur de configuration dans le seau S3 d’Amazon. Plus tôt cette année, la panne massive de S3 de Amazon Web Services, pendant plusieurs heures, a été causée en raison d’une erreur d’ingénierie.

Quelques jours auparavant, Verizon avait confirmé qu’un fournisseur tiers avait exposé des millions d’enregistrements d’abonnés sur un serveur de stockage Amazon S3 non protégé. Toujours en juillet, WWE confirmait qu’une base de données non protégée contenant les détails de plus de 3 millions d’utilisateurs avait été trouvée stockée en texte brut sur un serveur Amazon Web Services S3.

 

Biométrie, Chiffrement, cryptage, Cybersécurité, double authentification, Securite informatique

SoundProof, la biométrie par le bruit

Une entreprise Suisse propose SoundProof, une nouvelle forme de contrôle biométrique. Le bruit ambiant permet de valider une connexion !

La biométrie, c’est permettre l’accès à un espace, un ordinateur, un système en utilisant une partie de son corps : iris, empreinte digitale, veines, visage, … Une entreprise Suisse basée à Zurich, Futurae, annonce avoir rajouté une couche de sécurisation à la biométrie. Baptisé SoundProof, la méthode de sécurité utilise les micros de votre ordinateur, console, smartphone, tablette, montre connectée pour enregistrer le bruit vous entourant et comparer avec les sons contenues dans sa base de données. SoundProof compare et valide ou non l’accès. Une double authentification par le bruit. A note que si le silence est complet, le matériel contrôlé va émettre son propre son, différents à chaque connexion, qui sera reconnu par SoundProof. (LT)

Base de données, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, Sauvegarde, Securite informatique

Externaliser vos bases de données … et dites bonjour aux fuites de données !

Quand les bases de données se promenent en Europe ! Pour économiser de l’argent, des millions de données appartenant à des automobilistes Suédois se sont retrouvées accessibles à des personnels non autorisés en Tchéquie et en Serbie.

Réduction des coûts versus bases de données ! Voilà la jolie phrase qu’il est possible de lire dans toutes les plaquettes publicitaires traitant du stockage des données. C’est que sauvegarder la vie numérique d’une personne coûte énormément d’argent, mais en rapporte aussi beaucoup. Bilan, les entreprises sont de plus en plus tentées par l’externalisation (outsourcing) de leurs données. L’exemple de la société étatique suédoise Transportstyreisen devrait faire réfléchir… ou pas !

Pour économiser de l’argent, cette entité publique en charge de la mobilité a fait appel à IBM pour sauvegarder ses très nombreuses informations. Des contenus regroupant les données liées à l’ensemble des véhicules sur le territoire suédois (particuliers, police, armée, …). La gestion des données ainsi laissée à l’américain IBM se sont retrouvées gérées par des employés basés en Tchéquie. Du personnel qui n’était pas autorisé à accéder à ces informations.

Bases de données en mode Espéranto !

Cerise sur le gâteau, une autre entreprise, cette fois géo localisée en Serbie a eu, elle aussi, accès aux informations… via un courriel qui a diffusé, par erreur, des données sensibles extraites de cette base de données. Le courrier comportait la possibilité d’accéder aux noms, adresses et photos de personnes protégées, comme les témoins sensibles dans des procès en cours. Le mail offrait aussi en pâture les identités des forces spéciales de la police et de l’armée.

Comble de l’incompétence, couplée à de la bêtise sèche, lors de la correction de cette fuite d’informations, un second courriel devait permettre de faire disparaître la première liste sensible en fournissant une seconde version nettoyée. Sauf que ce second courriel ne comportait pas de liste corrigée mais une note indiquant qu’il ne faillait pas écrire, contacter telles personnes. Bref, un courriel qui montrait du doigt les personnes et véhicules sensibles… sans même le savoir !