Archives de catégorie : Chiffrement

Chiffrement, Communiqué de presse, Cybersécurité, Justice, loi, Securite informatique

Admission Post-bac (APB) : mise en demeure pour plusieurs manquements

Un commentaire

La Présidente de la CNIL met en demeure le ministère de l’Enseignement Supérieur, de la Recherche et de l’Innovation de cesser de prendre des décisions concernant des personnes sur le seul fondement d’un algorithme et de faire preuve de plus de transparence dans son utilisation.

Mise en demeure ! En 2016, la CNIL a été saisie d’une plainte à l’encontre du traitement « Admission Post-Bac » (APB) dont l’objet est le recueil et le traitement des vœux des candidats à une admission en première année d’une formation post-baccalauréat.

La Présidente de la CNIL a décidé en mars 2017 de diligenter des contrôles afin de s’assurer de la conformité de ce dispositif à la loi « Informatique et Libertés ». Les investigations menées ont révélé plusieurs manquements aux règles gouvernant la protection des données personnelles.

  • S’agissant des formations non sélectives, seul l’algorithme détermine automatiquement, sans intervention humaine, les propositions d’affectation faites aux candidats, à partir des trois critères issus de l’article L. 612-3 du code de l’éducation : le domicile du candidat, sa situation de famille et l’ordre de préférence des vœux qu’il a formulés. Or, l’article 10 de la loi Informatique et Libertés précise qu’aucune « décision produisant des effets juridiques à l’égard d’une personne ne peut être prise sur le seul fondement d’un traitement automatisé de données destiné à définir le profil de l’intéressé ou à évaluer certains aspects de sa personnalité ».
  • L’information des candidats sur le portail APB est insuffisante, au regard des exigences de l’article 32 de la loi Informatique et Libertés, s’agissant notamment de l’identité du responsable de traitement, de la finalité du traitement et des droits des personnes.
  • La procédure de droit d’accès ne permet pas aux personnes d’obtenir des informations précises relatives à l’algorithme et à son fonctionnement, notamment la logique qui sous-tend le traitement APB ou le score obtenu par le candidat. En effet, l’article 39 de la loi Informatique et Libertés stipule que les personnes qui exercent leur droit d’accès doivent pouvoir obtenir « Les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à l’égard de l’intéressé ».

La CNIL ne remet pas en cause le principe même de l’utilisation des algorithmes dans la prise de décision, notamment par les administrations. Cependant, compte tenu des enjeux éthiques qu’ils soulèvent, le législateur a prévu que l’utilisation des algorithmes ne pouvait exclure toute intervention humaine et devait s’accompagner d’une information transparente des personnes.

En conséquence, la Présidente de la CNIL a décidé de mettre en demeure le ministère de l’enseignement supérieur, de la recherche et de l’innovation de se mettre en conformité avec la loi  dans un délai de trois mois. La réforme récemment annoncée du dispositif APB devra donc s’inscrire dans l’objectif d’un strict respect, conformément à cette mise en demeure, de la loi Informatique et Libertés.

Il a été décidé par ailleurs de rendre publique cette mise en demeure compte tenu du nombre important de personnes concernées par ce traitement (853 262 élèves de terminale et étudiants ont formulé au moins un vœu d’orientation sur le site Web APB en 2017 selon le ministère) et de l’impact de celui-ci sur leurs parcours.

Elle rappelle en outre que cette mise en demeure n’est pas une sanction. Aucune suite ne sera donnée à cette procédure si le ministère se conforme à la loi dans le délai imparti. Dans ce cas, la clôture de la procédure fera également l’objet d’une publicité.

Si le ministère ne se conforme pas à cette mise en demeure dans le délai imparti, la Présidente pourra désigner un rapporteur qui, le cas échéant, pourra établir un rapport proposant à la formation restreinte de la CNIL, chargée de sanctionner les manquements à la loi Informatique et Libertés, de prononcer une sanction.

Base de données, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, RGPD, Sauvegarde, Securite informatique

Seconde fuite de données pour Verizon

Découverte d’une nouvelle fuite de données concernant la société Verizon. Encore des données confidentielles et sensibles non protégées.

On prend les mêmes et on recommence pour Verizon et ses données ! Des experts du centre de recherche sur la sécurité de l’entreprise Kromtech/MacKeeper ont découvert une nouvelle fuite de données concernant l’opérateur américain Verizon. Une fois encore, des données confidentielles et sensibles sans protection.

Les données divulguées incluaient 100Mo de journaux de serveurs et d’informations d’identification pour les systèmes internes. Une fois encore, un cloud Amazon AWS S3 protégé avec les pieds ! La sauvegarde mal protégée contenait des informations sur les systèmes internes de Verizon Wireless [Distributed Vision Services].

La découverte date du 20 septembre. Pas de données clients, mais ce n’est pas pour autant rassurant pour les utilisateurs de cette entreprise. Certains documents découverts affichaient des avertissements de type « matériaux confidentiels et exclusifs » [confidential and proprietary materials]. Ils proposaient des informations détaillées sur l’infrastructure interne, y compris les adresses IP du serveur et les hôtes routeurs globaux de Verizon !

Chiffrement, cryptage, Cybersécurité, Mise à jour, Patch, Securite informatique

Le casseur de codes de l’application Gorillaz décroche un poste

Un commentaire

Jaguar Land Rover compte sa première recrue de la nouvelle génération d’ingénieurs électroniciens et informaticiens à la suite du récent défi de recrutement consistant à décrypter un code au sein de l’application Gorillaz.

Gorillaz m’a recruté ! Daniel Dunkley, âgé de 23 ans et originaire de Gloucester (Royaume-Uni), est le premier à rejoindre Jaguar Land Rover après être parvenu à déchiffrer le code. Après avoir quitté l’école à 16 ans, Daniel a travaillé en tant que controls engineer dans une carrière locale. Manifestant très tôt de l’intérêt pour les jeux vidéo chez lui avec son frère aîné, c’est en parfait autodidacte qu’il a acquis des compétences en codage et en logiciels. Le 2 octobre, il prendra ses fonctions de software engineer chez Jaguar Land Rover à Gaydon (Warwickshire).

Les fans intéressés par un emploi chez Jaguar Land Rover peuvent visiter un garage éphémère de Gorillaz et s’essayer à une énigme qui teste les capacités techniques, la réflexion logique et la mémoire. Envie de voir si vous êtes de taille ? Résolvez le casse-tête et vous sauterez la première épreuve de sélection du processus de recrutement de Jaguar Land Rover.

Si vous ne pouvez pas vous rendre au Tech Fest, relevez le défi de décryptage sur l’application de Gorillaz et rendez-vous directement à l’entretien. L’épreuve de décodage teste les aptitudes pratiques et concrètes exigées de la nouvelle génération de talents en logiciels et en ingénierie. Le challenge reste ouvert à l’échelle mondiale.

Noodle, guitariste du groupe virtuel et ambassadrice de Jaguar Land Rover, lance le défi : « Voir les choses en grand et faire mieux, c’est ma devise. Cessez d’utiliser tous ces filtres pour sublimer vos photos de nourriture et téléchargez dès maintenant cette application. Nous comptons notre première recrue, alors participez et décrochez la victoire ! »

Daniel Dunkley a déclaré : « Je n’en reviens pas de tout ce qui s’est passé ces deux derniers mois. J’ai appris sur BBC News que Jaguar Land Rover et Gorillaz lançaient le défi de décryptage et j’ai décidé de tenter ma chance. J’ai passé l’entretien via Google Chat, puis j’ai été convié à Gaydon pour discuter de mon nouvel emploi. J’ai été médusé de ne devoir remplir aucun formulaire de candidature. »

« J’étais aux anges quand on m’a proposé un poste ! Mon père roule en Land Rover Defender, j’ai donc toujours été fan. Je n’arrive pas à croire que j’ai maintenant peut-être la chance de travailler sur la nouvelle génération de Defender ! »

Jusqu’à présent, près de 400 000 personnes ont téléchargé l’application de Gorillaz. Sur les 41 000 qui ont relevé le défi, près de 500 ont décrypté le code.

Alex Heslop, directeur de l’ingénierie électrique chez Jaguar Land Rover, a déclaré : « Daniel correspond exactement au profil de personne dont nous avons besoin. Les entreprises technologiques comme Jaguar Land Rover offrent une opportunité passionnante pour les plus brillants et les meilleurs. Nous souhaitons attirer les meilleurs talents dans les domaines de la programmation, des cyber-systèmes, du développement d’applications et du graphisme. »

« À ce jour, nous avons fait passé plus de 50 entretiens parmi les 500 candidats qui ont décrypté le code et nous avons recruté 13 personnes jusqu’à présent. Nous continuons de faire passer des entretiens à ceux qui cassent le code et qui souhaitent travailler chez Jaguar Land Rover. La quête mondiale pour dénicher les meilleurs talents se poursuit. »

Dans l’esprit d’innovation collaborative, Jaguar Land Rover a invité une pléiade d’intervenants à participer à une série de débats et de conférences tout au long du Tech Fest, sous les yeux d’un public composé de personnes d’influence mondiale et de journalistes issus de quatre continents. L’avenir du diesel, l’électrification, les femmes dans l’industrie et la robotique feront partie des thèmes abordés par un éventail de spécialistes du monde entier en industrie mondiale et en consommation.

La recherche de jeunes talents se poursuit. Les candidats intéressés peuvent télécharger dès maintenant l’app de Gorillaz sur l’iTunes Store  ou Google Play.

Pour plus d’informations sur le recrutement de Jaguar Land Rover, cliquez ici : http://www.jaguarlandrovercareers.com. La procédure classique de dépôt de candidature avec CV reste en vigueur, mais Jaguar Land Rover invite les candidats potentiels à télécharger l’application afin de décrypter les codes et résoudre les problèmes pour accélérer leur recrutement.

Argent, Chiffrement, cryptage, cryptomonnaie, Cyber-attaque, Cybersécurité, Entreprise, escroquerie, hackathon, Particuliers, Piratage, ransomware, ransomware, Securite informatique

Prolifération d’un nouveau Locky agressif

Locky is back ? Les analystes de l’Advanced Technology Group de Barracuda Networks surveillent activement une nouvelle attaque par ransomware très agressive qui semble provenir majoritairement du Vietnam.

Comme j’ai pu vous l’indiquer sur Twitter aux premières minutes de l’attaque, ce nouveau Locky a trouvé le moyen de passer certains filtres antispams et touchés des entreprises et écoles Françaises. Une attaque qui serait parti du Vietnam. D’autres sources significatives de cette attaque comprennent l’Inde, la Colombie, la Turquie et la Grèce.

D’autres pays semblent aussi distribuer le même ransomware mais dans des volumes très faibles. Jusqu’à présent la société Barracuda a identifié environ 20 millions de ces attaques au cours des dernières 24 heures, et ce chiffre augmente rapidement. Chiffre tiré de ses sondes, chez ses clients.

Une variante du ransomware Locky

Les analystes de Barracuda ont confirmé que cette attaque utilise une variante du ransomware Locky avec un identifiant unique. L’identifiant permet à l’attaquant d’identifier la victime de sorte que lorsque cette dernière paie la rançon, l’attaquant peut lui envoyer l’outil permettant de décrypter ses données. Dans cette attaque, toutes les victimes ont le même identifiant, ce qui veut dire que les victimes qui paient la rançon ne recevront pas l’outil de décryptage car il sera impossible pour le criminel de les identifier.

Cette attaque vérifie également la langue employée par l’ordinateur de ses victimes, ce qui peut indiquer le déclenchement d’une version internationale de cette attaque dans l’avenir.

Chiffrement, cryptage, Cybersécurité, IOT, OS X, Securite informatique, VPN

8 Mythes sur les VPNs : Vrai ou Faux ?

Tandis que le grand public adopte les VPNs, passage en revue quelques mythes sur les VPNs.

Les VPNs (Réseaux Privés Virtuels) s’ouvrent au grand public – la société NordVPN a noté une augmentation de 300 % de ses utilisateurs cette année, découlant principalement des nouvelles régulations du net et des restrictions mises en place dans plusieurs pays du monde. Ces nouvelles régulations incluent les techniques de surveillance pratiquées par les gouvernements ainsi que le géo-blocage de certains contenus. Avec l’augmentation du nombre de piratages, les VPNs ont gagné en popularité et se sont fait connaître comme l’un des meilleurs outils de protection en ligne.

L’utilisation d’un VPN permet de chiffrer les données qui circulent sur internet par le biais d’un tunnel sécurisé entre deux entités: l’ordinateur et un serveur VPN. De ce fait, personne ne peut accéder aux informations qui transitent via le tunnel – elles deviennent invisibles aux yeux des FAIs, des gouvernements, des voleurs d’identité et des hackers. Je vous propose de tester (je suis moi même utilisateur) HideMyAss ; VyPrVPN ou encore NordVPN.

Cependant, il subsiste de nombreux mythes autour des VPNs, concernant notamment leur utilité pour l’internaute lambda. Voici la liste des principales idées reçues et lève le voile sur les quelques problèmes que les VPNs posent aux utilisateurs.

1. Quoi qu’ils en disent, tous les VPNs enregistrent les données des utilisateurs. Certains fournisseurs de VPN n’ont en fait pas le choix – ils doivent enregistrer les activités de leurs utilisateurs si la loi les y oblige, selon le pays où ils opèrent. Les fournisseurs de VPN localisés dans l’un des pays des 14 Eyes ou 5 Eyes sont généralement tenus de conserver les données. À partir du moment où ces informations sont enregistrées, il leur est facile de les partager avec le gouvernement ou un tiers. Cependant, les VPNs qui opèrent dans des pays où le gouvernement n’exige pas de logs suppriment le contenu des informations à la fin de chaque session – ceux-là peuvent aisément garantir un service VPN sans enregistrement de données.

2. Les VPNs gratuits offrent le même niveau de protection. Un fournisseur de VPN gratuit doit trouver des moyens de se faire de l’argent. La maintenance des serveurs est coûteuse, et c’est sans compter les salaires des employés et autres dépenses. Un VPN qui fournit gratuitement ses services se fait de l’argent d’une manière ou d’une autre – souvent en revendant les données de ses utilisateurs. Un VPN fiable a son prix. De plus, les VPNs payants offrent généralement une meilleure vitesse de connexion ainsi que d’autres avantages.

3. Les VPNs ralentissent la vitesse de connexion. Parce qu’un VPN chiffre les données qui transitent via un tunnel sécurisé, il peut parfois ralentir la vitesse de connexion. Cependant, dans la plupart des cas, ce ralentissement ne se fait pas sentir. S’il est perceptible, cela peut signifier que le VPN rencontre des problèmes techniques temporaires ou qu’il est temps de changer de fournisseur VPN. Un VPN payant met généralement un plus grand nombre de serveurs à la disposition de ses utilisateurs – lorsqu’un serveur est saturé et lent, l’utilisateur peut très facilement se connecter à un autre. Pour plus de rapidité, il est parfois recommandé de se connecter à un serveur moins éloigné géographiquement.

4. Un VPN fonctionne de la même manière pour tout le monde. En réalité, la qualité de connexion via un VPN dépend d’un grand nombre de facteurs. Les différents environnements de connexion, les FAIs et la manière dont ils gèrent le trafic, la saturation du VPN et la distance géographique entre l’utilisateur et un data center jouent tous un rôle important dans le procédé. Tout cela sans parler des logiciels additionnels installés, des méthodes de configuration et ainsi de suite.

5. Tous les VPNs garantissent le même niveau de chiffrement. Les protocoles de chiffrement VPN peuvent en fait varier, certains étant plus sûrs que d’autres. Les utilisateurs devraient éviter le protocole PPTP, l’un des premiers protocoles de sécurité à avoir vu le jour – en effet, il est aujourd’hui jugé faible et peu fiable. Les protocoles VPN les plus sécurisés sont OpenVPN et IKEv2/IPsec, grâce à leurs algorithmes et clés de chiffrement forts.

6. Un proxy, c’est la même chose qu’un VPN. Certains utilisateurs confondent à tort les proxys et les VPNs – aux dépends de leur sécurité en ligne. Les proxys ne protègent pas les utilisateurs de la surveillance gouvernementale, du traçage des données ni des hackers. Un proxy est recommandé pour ceux qui ne se soucient pas de protéger leur navigation en ligne mais qui veulent simplement voir un film en streaming. Dans les autres cas, pour garantir la protection et la confidentialité, l’utilisation d’un VPN est fortement conseillée.

7. Il fonctionnera sur tous les systèmes. Pas tous les VPNs fonctionnent sur tous les systèmes – certains n’opèrent que sur les produits Apple par exemple. Un VPN bien conçu tourne sur des systèmes variés comme iOS, macOS, Android et Windows.

8. Les VPN ne sont que pour les personnes calées en informatique. Il existe encore des VPNs avec des sites internet compliqués où il est difficile de s’y retrouver. C’est parce que lorsque les VPN ont fait irruption sur le marché, ils s’adressaient avant tout à des geeks informatique. Aujourd’hui, de nombreux VPNs ont optimisé leurs interfaces utilisateur et sont à la portée de tous.

Base de données, Chiffrement, Cloud, Cybersécurité, Entreprise, Fuite de données, Sauvegarde, Securite informatique

600 000 dossiers d’électeurs accessibles sur le web

Près de 600 000 dossiers d’électeurs de l’état d’Alaska ont été laissés sans protection sur le Web, accessibles à tous ceux qui savaient où aller pour les consulter.

Dossiers d’électeurs dans la nature ! Sauvegarder des données sans réfléchir et c’est la porte ouverte à une fuite de données. Des chercheurs de Kromtech Security Center ont mis la main sur 593 328 dossiers appartenant aux électeurs de l’Etats d’Alaska. Chaque dossier contenait les noms, les adresses, les préférences électorales, les dates de naissance, l’état matrimonial et l’origine ethnique. Certains dossiers contenaient aussi des renseignements comme la possession d’armes à feu, l’âge des enfants. Les informations ont été révélées à partir d’une base de données mal configurée. (Zdnet)

Chiffrement, cryptage, Cybersécurité, Securite informatique

Testé pour vous la Secure-K, une clé USB sécurisée

La clé USB Secure-k couple une clé USB chiffrée, un digicode, un OS sécurisé, de quoi transporter ses données privées en toute sécurité.

Si vous êtes à la recherche d’un système d’exploitation portable chiffré et puissant qui peut être chargé sur n’importe quel ordinateur, la clé USB Secure-K de chez Mon-K que j’ai reçu début août est peut-être la réponse que vous recherchez pour chiffrer et sécuriser les données que vous souhaitez transporter.

Secure-K est intéressante sur plusieurs points. D’abord, c’est une clé USB chiffrée. Il existe de nombreuses solutions, gratuites et payantes, comme « L’intégral » CryptoDual ou encore KryptKey. La Secure-K propose aussi un système d’exploitation chiffré (environnement linux, moteur graphique gnome). Bilan, protection de l’environnement sans sacrifier la facilité d’utilisation de l’outil de sécurité.

 

Pour lancer le petit singe (Mon-k étant le nom de la société, ca donne Monkey), il faut d’abord l’activer en rentrant un code pin d’au moins 8 chiffres. Au bout de 10 essais infructueux, la clé se met en alerte et il n’est plus possible de l’utiliser. Les 8 bons chiffres fournis, vous pouvez configurer cette protection du hardware jusqu’à 15 chiffres, il suffit d’allumer l’ordinateur et lui permettre de lire une clé USB au boot. Le lancement de la clé est très rapide. Une second mot de passe est réclamé. Ici, lettres, chiffres, signes de ponctuation sont à votre convenance. Le précieux sésame va active l’OS et l’ensemble des outils proposés par la clé.

La clé est chiffrée, d’abord en mode hardware. L’environnement USB est chiffré en mode « sécurité militaire » FIPS 140-2. Le hardware est chiffré en AES 256 et en ce qui concerne l’OS et les fichiers, de l’AES 512 bits. Autant dire qu’avec une telle armure, il est déconseillé de paumer ses mots de passe.

Secure-K transporte une suite complète d’applications chiffrées : chat, vidéo, outils VOIP, TOR, et tout ce qui est indispensable pour travailler avec une suite bureautique et image. La société propose aussi, en option, de sauvegarder les données dans un cloud chiffré. Je déconseille, dans tous les cas, de sauvegarder ses informations ailleurs que dans un espace de stockage que vous contrôlez et avez sous les yeux. Le reste du fonctionnement de la Secure-K ne perturbera pas les utilisateurs, comme moi, de Tails.

Quelques points négatifs à noter, mais ils sont loin d’être éliminatoires. D’abord la taille des touches du digicode. Il est conseillé d’avoir les doigt d’un minimoys pour enfoncer les boutons rikikis. Autre point noir et vraiment casse pied. La clé permet de se mettre en mode sécurisé. Comprenez qu’il faut rentrer un mot de passe quand la Secure-K passe en mode « pause ». Sauf que si vous tapez votre mot de passe en « azerty » lors de l’installation de votre password, ce dernier passe en « qwerty » une fois la clé activée. Autant dire que mon mot de passe Qponz157!=#7awq c’est transformé en Aponw157!=#7qza.

Lors des tests, les logs des sites visités étaient incapables de cibler le point de connexion de la machine sous Secure-K. Aucune traces, non plus, dans les machines utilisées pour les tests. Seul bémol, les fichiers téléchargés sur la clé USB Secure-K ont pu être transférés sur une autre clé USB, connectée en même temps, sans que les documents ne soient chiffrés sur le nouveau support. Cela implique donc qu’il ne faut jamais quitter la machine des yeux, même quelques secondes. La clé Dunky m’a permis de copier des fichiers RTF en quelques secondes, automatiquement.

Le supplément de sécurité proposé par Secure-K devrait plaire aux voyageurs et internautes sensibles à la sécurité de leur vie numérique. Au DSI aussi. Ce type de clé répond au nouveau Règlement Général sur la sécurité des Données Personnels, le RGPD. L’article 32 sur la « Sécurité du traitement » indique que l’entreprise doit garantir la sécurité des données grâce à la mise en place d’un chiffrement des données personnelles, d’être dans la capacité d’assurer la confidentialité et l’intégrité permanentes des données, et avoir une disponibilité et une résilience du système, par une restauration rapide afin d’accéder aux données personnelles, rapidement, en cas d’accident physique ou technique.

Dernier point, la clé a été testée en zone humine (Thaïlande), elle a résisté sans problème à la mousson. Cependant, ne l’oubliez pas dans une poche de pantalon, là, elle va s’y noyer.
Plusieurs clés Secure-K sont proposées, la personnelle et l’entreprise, 8 Go, 16 Go, 32 Go et 64 Go sont disponibles d’ici peu au prix de départ de 99€.

Après le test et le mode d’emploi pour utiliser l’outil de chiffrement gratuit et open source Diskcryptor, découverte d’une autre solution de sécurité, VeraCrypt. Elle va permettre de protéger les données dans votre ordinateur, et lors du transport des précieuses informations. En savoir plus. ; La sécurisation de nos données est devenue indispensable aujourd’hui. Piratage, espionnage, malveillance, sont légions et nous sommes tous, potentiellement, des cibles. Je vais vous expliquer comment chiffrer vos supports de sauvegarde afin de les rendre illisibles sans votre accord avec le logiciel Diskcryptor. En savoir plus.

Chiffrement, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, IOT, Piratage, Securite informatique

IoT et sécurité : un couple encore maudit

Les objets connectés IoT sont de plus en plus utilisés par les cybercriminels pour former des réseaux de botnet. Il n’y a pas de segmentation des cibles : les IoT (Internet of Things – Internet des Objets) des particuliers sont autant ciblés que ceux des professionnels.

Une fois que l’objet connecté est piraté, il agit comme un zombie et dépend des commandes reçues par l’attaquant. Les cyberattaques basées sur des armées d’IoT piratées peuvent ainsi se multiplier et perpétrer des vols de données de santé ou d’informations personnelles.

Cas pratiques : exemples d’attaques ciblées
En septembre 2016, l‘hébergeur OVH est victime d’une attaque DDoS. Près de 145 000 objets connectés sont pilotés à l’insu de leurs utilisateurs par un serveur botnet. Cette attaque massive sature les serveurs de l’hébergeur et perturbe la distribution des services auprès de ses clients. Quelques semaines plus tard, c’est au tour du serveur DNS Dyn, acteur stratégique de l’Internet aux États-Unis, d’être ciblé. Des millions de caméras de sécurité, routeurs et autres objets connectés deviennent le vecteur d’attaque (réseau botnet) d’un serveur central.

Les IoT en chiffres : estimations et constats
En 2014, IDC annonce qu’il existe à travers le monde 200 milliards d’objets capables de se connecter à Internet. 14 milliards d’entre eux (soit 7%) communiquent déjà via Internet et représentent 2% des données numériques mondiales. D’ici à 2020, IDC prévoit entre 30 et 50 milliards d’IoT, représentant à eux seuls 10% du volume total de données générées. Fin juillet 2015, les différentes études menées par HP Fortify portant sur la sécurité des IoT révèlent que les montres connectées sont une nouvelle cible pour les pirates. 100% des appareils testés présentent des vulnérabilités. Celles-ci mettent en évidence la mauvaise protection des données personnelles (authentification et chiffrement insuffisants par exemple).

Deux ans plus tard, où en sommes-nous ?
Les attaques augmentent et les techniques progressent. Le malware Mirai utilisé pour corrompre des IoT se fait doubler par Hajime, un logiciel malveillant aux mêmes fonctions, mais plus puissant. À l’échelle mondiale, 100 000 IoT seraient infectés par Hajime.

Chaque mois, de nouvelles cyberattaques DDoS apparaissent. Sur le blog d’ESET (WeLiveSecurity.com), les chercheurs relèvent qu’un botnet P2P de 2003 a été mis à jour pour s’adapter aux nouveaux agents connectés. Il semblerait que les botnets autrefois sur ordinateurs se dirigent vers les mobiles… Et prochainement sur les objets connectés.

La sécurisation des IoT : négligence des constructeurs ?
Les constructeurs d’IoT concentrent leurs efforts sur la technologie de leur appareil. Les coûts de fabrication de la plupart d’entre eux sont faibles, permettant ainsi de proposer un produit accessible au public. Administrer des systèmes de sécurité dans ces appareils est long, coûteux et compliqué. Or, les constructeurs veulent rentabiliser rapidement la commercialisation de leur IoT. La partie sécurité n’est donc généralement pas prise en compte. Heureusement, tous ne sont pas dans ce cas de figure.

D’ici 2018, IDC prévoit que 34% des dépenses en sécurité se feront sur la protection des données à caractère personnel. À cette date, chaque particulier disposera au total d’une trentaine d’objets connectés : smartphone, voiture connectée, montre, réfrigérateur, box, jouet pour enfants…

Quelles solutions pour se prémunir des attaques ciblant les IoT ?
Bien que certaines normes soient en place, aucune réglementation n’oblige les constructeurs à mettre en place des mesures de sécurité sur les IoT. En attendant, la première étape serait d’acheter des objets connectés de qualité conformes aux normes de sécurité actuelles. Les experts ESET conseillent également de mettre à jour les logiciels et de tester les appareils. Ceci permettra de détecter d’éventuelles vulnérabilités (mots de passe mis par défaut) et d’y remédier. Enfin, la sécurisation du réseau est indispensable.

Dans ce contexte, comment détecter les nombreuses menaces issues de milliards d’appareils ? Est-ce faisable en mode proactif et dès leur création ? Les gestionnaires de risque des grandes entreprises déclarent travailler en moyenne avec une cinquantaine de solutions de sécurité. Combien sont réellement adaptées aux cybermenaces que représente l’emploi de l’IoT ?

backdoor, Chiffrement, Cyber-attaque, Cybersécurité, Mise à jour, Patch, Piratage, Securite informatique

Un pirate écume les loteries américaines et remporte 25 ans de prison

Un pirate informatique vient d’être condamné à 25 ans de prison pour avoir « joué » avec l’informatique des loteries de plusieurs états américains. Il aurait détourné plus de 14 millions de dollars.

En avril 2015, je vous parlais du pirate informatique Eddie Raymond Tipton. Cet informaticien travaillait comme programmeur pour la loterie du Texas. Il sera arrêté pour avoir piraté les machines dédiées à ce « jeu de hasard » afin d’empocher 14,3 millions de dollars. L’homme vient de connaitre sa sentence définitive : 25 ans de prison fédérale. Il a été découvert que Tipton avait piraté et manipulé les systèmes informatiques dans trois autres États Américains : Colorado, Iowa et le Wisconsin. Sa manipulation lui aurait permis d’engranger 2,2 millions de dollars supplémentaires. Une escroquerie informatique qui aura durée six ans. Timpton n’était pas n’importe qui, il était le responsable de la sécurité de la Multi-State Lottery Association (MUSL).

La MUSL fournit des systèmes informatiques destinés aux loteries pour quasiment l’ensemble des États-Unis, y compris les îles Vierges américaines et Porto Rico.

Tipton avait codé une clé USB qui lui permettait de générer les nombres aléatoires qui déterminaient les gagnants de la loterie. Employé par la MUSL, Timpton ne pouvait pas jouer et encore moins retirer l’argent. L’argent du billet gagnant de 14 millions de dollars ne sera pas retiré durant un an. Timpto va créer une entreprise « fantôme » à Belize afin de réclamer le prix, via un avocat de New York. C’est la caméra de vidéo surveillance d’une boutique ou avait été acheté le billet qui perdra le pirate.

Argent, Arnaque, backdoor, Chiffrement, Communiqué de presse, Cybersécurité, Espionnae, ID, Identité numérique, Mise à jour, Particuliers, Patch, Securite informatique

Joao : cyberattaque via un site dédié aux joueurs en ligne

Des chercheurs ont découvert un nouveau malware baptisé Joao, qui se répand par le biais de jeux informatiques diffusés sur des sites non officiels. Joao est un malware modulaire, capable de télécharger et d’exécuter d’autres codes malveillants.

Joao, le malware joueur ! Pour diffuser leur malware, les attaquants cachés derrière Joao ont abusé de jeux de rôle en ligne massivement multi-joueurs. « Ils ont modifié les jeux pour les rendre capables de télécharger du malware additionnel” explique Tomáš Gardon, analyste de malware chez ESET.

Les recherches ont démontré que les criminels derrière cette campagne ont abusé de plusieurs titres de jeux d’Aeria Games et installé leurs versions modifiées sur des sites non officiels. Les jeux auxquels Joao a été rajouté, étaient capables de recueillir des informations concernant l’ordinateur infecté et ensuite de télécharger des composants supplémentaires offerts par le serveur Command&Control des malveillants. Les composants de Joao découvert disposaient de capacités backdoor (porte cachée), d’espionnage et de DDoS (blocage de serveur, ordinateur, …) par la diffusion de connexions malveillantes ayant pour mission de saturer la cible du Déni Distribué de Service. « Le processus d’infection est bien caché aux yeux des victimes et ces jeux modifiés fonctionnent comme on s’y attend. Lorsque des utilisateurs passionnés de jeux se lance dans le téléchargement du jeux usurpateur, rien ne peut éveiller leurs soupçons. Ceux qui ne sont pas protégés par une solutions de sécurité fiable se retrouvent avec leur ordinateur infecté ».

Les experts en sécurité d’ESET conseillent de télécharger les jeux sur des sources officielles ; de faire les mises à jour proposées par les éditeurs ; utiliser une solution de sécurité fiable ; ne pas débrancher l’antivirus lors d’un jeu en ligne.