Suite aux révélations des services secrets techniques britanniques (GCHQ) sur la collaboration d’Orange avec la DGSE dans la collecte de données, l’eurodéputée Françoise Castex réagit: « Vu de Bruxelles, ces révélations ne sont malheureusement qu’une demi-surprise! Le Parlement européen a pointé du doigt, la semaine dernière, dans son rapport sur le programme d’espionnage massif de la NSA, certains États membres, à commencer par la France. »
Le rapport Moraes, voté mercredi 12 mars à Strasbourg, demandait en effet à la France et cinq autres pays européens de clarifier les allégations de surveillance massive, et notamment les éventuels accords entre services de renseignement et entreprises de télécommunications sur l’accès et l’échange de données personnelles – et leur compatibilité avec la législation européenne.
Pour Françoise Castex « à la lumière de ces révélations, on comprend mieux le manque d’empressement du gouvernement français à dénoncer le scandale de la NSA, et qu’il ait mis plus d’un an et demi à transmettre aux eurodéputés français un semblant de position sur le paquet données personnelles en cours de négociation au niveau européen. »
Pour l’eurodéputée Nouvelle Donne: « La France doit revoir sa législation nationale afin de garantir que la DGSE soit soumise à une vraie surveillance publique par le biais d’un contrôle parlementaire et judiciaire effectif. »
« Au lieu d’écouter les Français, le gouvernement ferait mieux d’entendre leurs préoccupations réelles, à commencer par le respect de leurs droits fondamentaux! » conclut l’élue du Gers.
Le projet SQRL permet de sécuriser une connexion sans taper le moindre mot de passe. Étonnante, mais néamoins très sympathique idée que celle proposée par Gibson Research Corporation. SQRL, que vous pouvez prononcer (en anglais, ndr) « squirrel » (Ecureuil), est un système de sécurité qui permet de se passer de mot de passe, de one-time-code authenticators à la sauce Google ou tout autre codes envoyés par SMS pour exploiter la double autentification d’un site Internet, d’une connexion à une administration ou tout autre espace sécurisé.
GRC explique que son idée élimine de nombreux problèmes inhérents aux techniques traditionnelles de connexion. Dans sa démonstration, l’utilisateur scanne le QRCode présent dans une page de connexion. Un espace qui réclame, à la base, login et mot de passe. Sauf qu’ici, l’utilisateur n’a pas à rentrer la moindre donnée. Il scanne et SQRL se charge de l’authentification et de la connexion.
Chaque QRCode contient un long chiffre aléatoire généré afin que chaque présentation de la page de connexion affiche un QR code différent. Une paire de clés publiques spécifiques au site est générée. Une clé privée, liée au site, se charge de sécuriser le tout. Bref, l’interaction avec le clavier disparait. Laissant plus aucune possibilité aux logiciels espions révant de vous voler vos « précieux ».
Vous possedez un smartphone Galaxy de Samsung ? Vous allez apprécier l’annonce effectuée par la Free Software Foundation qui vient d’annoncer la découverte d’une porte cachée, une backdoor, dans les appareils android de la marque sud coréenne. Tout en travaillant sur Replicant, une version entièrement gratuite/libre d’Android, un concepteur a découvert que le logiciel propriétaire de Samsung, en cours d’exécution sur le processeur d’applications en charge de gérer le protocole de communication avec le modem, met en œuvre une porte dérobée qui permet au modem d’effectuer des opérations sur le système de fichiers, le tout à distance. Bilan, il serait possible à celui qui connait le « truc », d’accéder à aux données personnelles stockées dans le materiel.
Autant dire que le système de chiffrement que propose Samsung ne servirait à rien face à ce tour de passe-passe. Les Galaxy S3, Galaxy Note 2 et le Galaxy Nexus sont concernés. Paul Kocialkowski, développeur de Replicant, propose aux clients Samsung d’interpeller publiquement le constructeur pour une explication sur cette porte cachée et éliminer cet outil intrusif. Faut-il encore qu’il eut été au courant que le logiciel indépendant d’Android, qui gére les « baseband chips », était « piégé ». Nous imaginons difficilement que la société commerciale tente de jouer avec le feu en cachant, bien mal, ce système espion.
A noter que Replicant propose un patch bloquant cette backdoor. Une façon de faire un peu de pub à Replicant face à l’annonce de Knox, le système de sécurité de Samsung ? Korben propose une lettre à envoyer à Samsung. Une idée proposée par la FsF.
« Bonjour,
Je tiens à exprimer mon mécontentement suite à la découverte, dans la gamme Galaxy de vos smartphones, d’une puissante backdoor dans la puce baseband. Etant moi-même propriétaire d’un Samsung Galaxy S3, j’aimerais que vous me disiez ce que vous faites de cette backdoor, qui visiblement permet un contrôle total sur le smartphone et ses données.
A l’heure des révélations d’Edward Snowden et de la mise en cause de nombreuses grandes sociétés comme Google ou Microsoft, il est dommage de constater que Samsung rejoint le banc des accusés en offrant à n’importe qui sachant y faire, NSA en tête, la possibilité de prendre le contrôle total de n’importe quel smartphone, incluant les messages, les fichiers, le GPS et la caméra.
J’attends donc de votre part des explications, et bien sûr une correction de ce système qui ne peut pas être un simple erreur. Il est temps de mettre fin à l’espionnage de masse. En tant que leader dans les nouvelles technologies, au lieu de conforter un système de surveillante malsain, Samsung devrait au contraire montrer la voie d’une technologie au service de ses utilisateurs, et non l’inverse.
Avoir besoin de communiquer de manière anonyme et sécurisé peut se faire sentir. Protéger un courriel et son contenu n’est pas à négliger. Il est évident que la première protection d’une fuite de donnée, d’un espionnage… et de ne rien diffuser sur Internet. Mais aujourd’hui, bien malin celui qui pensera que l’Internet, les mails peuvent être mis de côté. Dans cet article, nous allons voir comment écrire sans laisser de trace (ou presque, ndr), autodétruire un courriel, le chiffrer. Nous ne parlerons pas des outils déjà présenté ICI et LA, mais des sites web offrant des services gratuits d’anonymisation de vos correspondances. Je rappellerai tout de même qu’aucun système n’est infaillible et rien ne remplacera le chiffrement fort et un mot de passe sérieux. Bien entendu, évitez de communiquer des informations « top » sensibles: données bancaires, …
PrivNote
PrivNote est un service Web gratuit qui vous permet d’envoyer des notes secrètes sur Internet. C’est rapide, facile, et ne nécessite pas de mot de passe ou l’enregistrement des utilisateurs. Il suffit d’écrire votre lettre, et vous obtiendrez un lien. Ensuite, vous copiez et collez ce lien dans un mail (ou un message instantané) que vous envoyez à votre correspondant. Lorsque cette personne clique sur le lien pour la première fois, il pourra lire le message dans son navigateur. Au même moment, la missive sera automatiquement détruite, ce qui signifie que personne (même cette personne) ne lira le courrier ensuite. Le lien ne fonctionnera plus.
Vous pouvez, éventuellement, choisir d’être averti lorsque votre note est lue en laissant votre email et une référence. https, rapide, les adresses IP sont supprimées dès qu’elles ne sont plus nécessaires à des fins de communication. Les notes sont détruites au bout de 30 jours si elles n’ont pas été lues. Les administrateurs ont enregistré PrivNote en Uruguay. https://privnote.com
Note shred
Les messages envoyés avec Noteshred s’autodétruisent après la lecture ou après un certain temps. Programmable entre 1 heure et 24 semaines. Chaque note est obligatoirement envoyée avec un mot de passe que votre correspondant devra connaitre. Les messages sont chiffrés (256 bits AES), connexion https, une version mobile est disponible. Noteshred est un service gratuit. http://www.noteshred.com
One time secret
Même principe que PrivNote. Ce site propose un lien, vers le message. Le premier lecteur qui ouvrira l’url pourra lire le message. Les suivants se retrouveront face à un message d’erreur : “It either never existed or has already been viewed.” sauvegarde IP, information sur le navigateur et la provenance du visiteur (site web, moteur de recherche, …) Les messages sont gardés 7 jours pour les « anonymes », et 30 pour les internautes qui se sont inscrits. Le code source de l’outil est proposé. https://onetimesecret.com
This message will self-destruct
Comme ses cousins One Time Secret et PrivNote, This message will self destruct propose d’envoyer un lien vers un message qui s’autodétruira une fois que ce dernier sera lu. Une option de création d’un mot de passe est possible. Simple, efficace, sans fioriture. Petit détail, tout de même, s’inscrire à ce service (pas obligatoire, ndr) permet d’afficher un historique des messages envoyés et reçus. https://tmwsd.ws
cloak my
Parmi les nombreux services que nous avons testés pour vous, cloak my propose une originalité qui n’est pas négligeable. Le service permet de décider une plage horaire de lecture en plus de l’autodestruction. Il est possible de choisir une destruction manuelle (déconseillée, ndr). Log les IP, Https, basé en Californie (USA). Les mots de passe, si vous en décidez un, sont hachés en utilisant Bcrypt. Les adresses IP sont également enregistrés au cours de tentatives de connexion « seulement après un mauvais mot de passe et ou un mauvais lien, souligne les administrateurs. Afin de prévenir contre les attaques et pour nous permettre d’interdire les demandes excessives. » http://www.cloakmy.org
Destructing message
Voilà un service intéressant. Les messages sont minutés. Vous décidez de la durée de présence du message chiffré, de 15 secondes à 5 minutes. Le site propose un lien qui servira d’accès à la missive. Dès que le lien est cliqué, le compte à rebours est lancé. Les messages doivent être affichés dans les 90 jours. Le site existe depuis 2006, il est édité par Spiffy. http://www.Destructingmessage.com
ZeroBin
ZeroBin de Seb Sauvage est un outil qui est indispensable dans ses adresses. Outil simple et très efficace, qui chiffre les données avec un clé AES 256 bits. Il vous suffit de communiquer le lien à votre correspondant. Permet de choisir un temps d’expiration de votre message, de 5 minutes à 1 an. http://sebsauvage.net/paste/
Il existe aussi des applications pour vos navigateurs. Pour Firefox, TrashMail. Permet de créer des adresses jetables. Il faut cependant ouvrir un compte pour utiliser le service. Pour vos fichiers, AnonFiles permet de sauvegarder des fichiers de manière anonyme. Le plus intéressant, à mon avis, reste CryptoBin. Il permet de chiffrer un message, garder lisible la missive entre 10 minutes (1 heure, 1 journée, 1 an) et à l’infini. Il utilise l’AES 256 pour chiffrer les informations.
Côté image, Let’s Upload that Image (LUT.IM) permet d’envoyer une image et de la faire disparaitre à sa premiére lecture. Possibilité de choisir sa durée de rétention, entre 24 heures et un an. Un outil Français, signé par Luc Didry. Si les fichiers sont bien supprimés, et si vous en avez exprimé le choix, leur empreinte SHA512 est toutefois conservée. L’IP de la personne ayant déposé l’image est stockée de manière définitive pour des questions légales. https://lut.im ; Même possibilité pour IMG.BI. Ici aussi, les images sont chiffrées en AES-256. Les auteurs utilisent aussi TLS pour éviter les attaques dites de l’homme du milieu (Man-in-the-Middle), entre vous et le serveur de stockage. Les adresses IP sont codées en SHA-3 durant une journée. Les auteurs rappellent que les sociétés tierces peuvent sotcker, de leur côté, votre IP. https://img.bi
N’hésitez pas à nous faire partager vos propres outils.
McAfee Labs révèle les principales menaces qui ont marqué le 4ème trimestre 2013. Les chercheurs McAfee mettent notamment en lumière le rôle joué par le « dark web » dans l’industrie des logiciels malveillants, réel catalyseur des attaques ciblant les points de vente en ligne, ainsi que les violations de données.
« Cet automne, les cybercriminels se sont appuyés sur les failles des sites marchands pour lancer leurs attaques. Ils ont su profiter de la période du shopping de Noël, où les gens se sentent le plus en confiance pour acheter pour accroître leur terrain de jeu », précise François Paget, chercheur de menaces au sein de McAfee Labs.
1/ Vente des données personnelles relatives aux cartes de crédits
Le rapport met en lumière la facilité d’achat en ligne de logiciels malveillants, de données personnelles ainsi que la vente de numéros de cartes de crédit volées. McAfee Labs relève également que le nombre de signatures électroniques malveillantes a triplé au cours de l’année 2013 et qu’une accélération de cette tendance pourrait engendrer une importante menace à l’authentification des logiciels sécurisés, par l’autorité de certification.
« Pour les professionnels de la lutte contre le cybercrime, les nouvelles pratiques employées par les hackers, simples à réaliser et à utiliser, annoncent l’ère du CaaS – ‘Cybercrime-as-a-Service’ » poursuit François Paget.
2/ Recrudescence des malwares relatifs aux certificats d’authenticité
Fin 2013, McAfee a référencé trois fois plus de malwares au sein de sa base de données (le ‘zoo’), aujourd’hui composée de plus de 8 millions de fichiers suspects. Au cours du quatrième trimestre, les chercheurs du Labs ont ainsi identifié plus de 2,3 millions de nouvelles applications malveillantes, soit une augmentation de 52 % par rapport au trimestre précédent.
Bien que le nombre total d’échantillons de logiciels malveillants intègrent des données volées, achetées ou des certificats erronés, le moteur majeur de leur croissance réside dans les réseaux de distribution aux contenus douteux. Ces organisations permettent aux développeurs de télécharger leurs programmes, ou une URL qui est en lien vers une application externe, et de la transformer en malware. McAfee entend alerter sur la confusion que peut créer ces malwares signés et remettre également en cause la viabilité du code source.
« Bien que les interventions des autorités de certification aient considérablement réduit les coûts de développement et de délivrance de logiciels pour les développeurs, les normes d’identification de l’éditeur ont également diminué spectaculairement », ajoute François Paget. « Désormais, nous devrons apprendre à faire plus confiance à la réputation du fournisseur qui a délivré/signé le fichier qu’à la simple présence d’un certificat. »
3/ Et toujours :
• Les logiciels malveillants sur mobiles.
McAfee Labs a recueilli 2,47 millions de nouveaux échantillons en 2013, dont 744 000 sur le quatrième trimestre. La base d’échantillonnage relative aux logiciels malveillants mobiles a augmenté de 197 % depuis la fin 2012.
• Les ransomwares.
Leur volume a augmenté d’un million cette année, 50 % de plus ont été référencés au 4ème trimestre 2013, en comparaison de la même période en 2012.
• Les URL suspectes.
McAfee a enregistré une augmentation de 70 % du nombre d’URL suspectes sur l’année 2013.
• La prolifération des malwares.
En 2013, McAfee Labs a trouvé, chaque minute, 200 nouveaux échantillons de malwares, soit plus de trois nouvelles menaces chaque seconde.
• L’enregistrement liés Master Boot.
2,2 millions de nouvelles -attaques ont été identifié sur 2013.
Cette semaine, 300 000 routeurs installés dans des foyers ou des petites et moyennes entreprises ont été piratés et utilisés pour réaliser des envois massifs de spams et de malwares. Révélée par l’entreprise Team Cymru, cette attaque particulièrement dangereuse concernerait des routeurs situés partout dans le monde, y compris dans plusieurs pays d’Europe. David Emm, chercheur senior chez Kaspersky Lab, explique que « Les petits appareils réseau qui peuvent s’installer et s’utiliser en quelques minutes, comme les routeurs, sont de plus en plus populaires. Mais cette simplicité est souvent garantit au détriment de la sécurité. La configuration par défaut est-elle pensée pour protéger l’utilisateur ? Peut-on les utiliser sans s’aventurer dans les paramètres et se sentir en sécurité ? Dans la plupart des cas, la réponse est non. Attention, il y a de forte chance que le nombre de 300.000 ne soient qu’une goûte d’eau dans la mesure ou d’autres groupes de pirates ont pu exploiter la faille sans que personne ne s’en soit aperçu.
Plusieurs éléments rendent ses appareils vulnérables (les marques D-Link, Micronet, Tenda, TP-Link, pour les plus connues, ont été la cible de l’attaque, ndr datasecuritybreach.fr) : D’abord l’utilisation d’un mot de passe faible, ou le non-renouvellement des mots de passe. Une configuration par défaut non sécurisée, qui permet aux équipes de support technique du fabricant d’accéder au réseau ; Les vulnérabilités du firmware & les erreurs dans l’implémentation des services ; Le manque de connaissance des utilisateurs et des vendeurs, l’absence de prise de conscience des risques.
À cause de tous ces éléments, les modems et routeurs sont des cibles faciles pour les cybercriminels. Contrôler un routeur permet à la fois de surveiller de façon permanente et transparente le réseau, de voler des données et de rediriger les utilisateurs vers des sites malveillants. D’autre part, ces appareils sont la solution idéale pour qui souhaite cacher un malware qui pourra par la suite infecter tous les ordinateurs connectés ou construire une réseau botnet. Quant à la raison qui se cache derrière ces attaques, elle ne change pas : l’argent.
Pour rappel, les conséquence de l’accès non autorisé à un routeur sont : Le contrôle du trafic réseau ; La capacité d’espionner les échanges/conversations VoIP ; Le vol des clés WEP/WPA ; La possibilité de modifier la configuration, changer ou réinitialiser les mots de passe ; Exposer les réseaux internes sur le WAN ; Risque de backdoors (redirection de ports) ou encore la modification des réglages DNS (drive-by pharming).
Etes-vous victimes ?
Une fois qu’un périphérique a été compromis, les pirates modifient les paramètres DNS. Ainsi toutes les demandes passent par les serveurs qu’ils contrôlent. Cela permet aux pirates de détourner des sessions à leur guise. Il vous faut découvrir si vos paramètres DNS ont été changés. Le meilleur moyen est de vous connecter à votre appareil via l’interface d’administration et de vérifier les paramètres DNS. Les malveillants ont réorientés les DNS vers les adresses IP 5.45.75.11 et 5.45.76.36. Donc si vous voyez ces adresses dans votre administration, vous avez un sérieux problème !
La monnaie virtuelle bitcoin traverse depuis ce début d’année 2014 une crise sans précédents. Après la faillite de la plateforme d’échange MtGOX et la fermeture de Flexcoins, intermédiaire spécialisé dans l’échange et le stockage de bitcoins, Poloniex, autre plateforme d’échange de crypto-monnaies, a annoncé le détournement de 12,3% des fonds qu’elle stockait. En un mois à peine, les principales bourses d’échange pour détenteurs de bitcoins ont été la cible de pirates informatiques, provoquant un véritable marasme au sein de l’écosystème de cette monnaie dématérialisée.
Pour comprendre ce phénomène de vaste piratage informatique, le laboratoire de recherche de LogRhythm s’est intéressé aux failles de sécurité existantes de bitcoin. L’équipe de chercheurs a ainsi récemment analysé un type de malware relativement nouveau qui cible plus particulièrement les utilisateurs sur les plateformes d’échange et de stockage de bitcoins.
Jean-Pierre Carlin, Directeur Europe du Sud chez LogRhythm, explique que ce malware arrive sous forme d’un fichier exécutable sous Windows (driveprice.exe) prétendant que l’exécution de ce logiciel augmentera le prix des bitcoins sur le marché, et entrainera ainsi une hausse de la valeur des bitcoins déjà détenus. Comme le dit l’adage, « Si cela semble trop beau pour être vrai, cela l’est probablement ». Ce logiciel n’est pas une exception et les créateurs du malware se servent de l’attrait pour l’argent et ciblent systématiquement les utilisateurs de plateforme d’échanges de bitcoins en misant sur le fait qu’ils téléchargeront et exécuteront ce logiciel dans le but de faire grimper la valeur globale des bitcoins.
Une fois que le logiciel s’exécute, il entraine de nombreux et importants changements au sein du système, tentant à la fois de rester invisible et d’établir une connexion permanente avec le serveur de contrôle et de commande. Le malware s’installe tout seul de manière à se lancer automatiquement lors de l’utilisation de Windows Registry, processus légitime de Windows déguisé, utilise un code injecté pour masquer l’activité du réseau, et finit par détourner tous les navigateurs disponibles sur le système. Une fois que ce dernier est infecté, le malware envoie un signal au serveur de contrôle et de commande et attend les directives du hacker. Tout en étant à l’intérieur du navigateur, le malware attend que les utilisateurs se connectent à la plateforme d’échange de bitcoins et procède ensuite au vol de leurs identifiants qui seront utilisés plus tard pour extraire la totalité des bitcoins stockés sur leur compte en ligne.
Le bitcoin, monnaie virtuelle au succès grandissant, attire l’attention de plus en plus de cybercriminels. La chute successive de deux acteurs principaux, MtGOX et Flexcoins, ainsi que l’attaque de Poloniex montre aujourd’hui un besoin urgent de sécurisation des transactions et plus largement de tout l’écosystème bitcoin. En visite début mars dans les locaux de Tracfin (Traitement du Renseignement et Action contre les Circuits FINanciers clandestins), Pierre Moscovici, Ministre de l’Economie et des Finances, a appelé à une concertation européenne sur la régulation des monnaies virtuelles comme le bitcoin, un enjeu majeur pour définir un cadre légal et limiter les pertes financières qui pourraient avoir de lourdes conséquences au niveau international. Espérons que le projet Ethereum soit un de ces possibilités de sécurisation.
Le site Internet de LaPoste.net propose un service webmail efficace. Sauf que les identifiants de connexions ne sont pas sécurisés. Plusieurs lecteurs de Data Security Breach nous ont annoncé être inquiets du système d’identification du site LaPoste.net. Les connexions « chiffrées » au webmail Laposte.net n’existent pas. Sur la page d’accueil du site http://www.laposte.net, il est possible de se connecter à « Ma boîte aux lettres » LaPoste.net. « Je suis extrêmement surpris que l’on puisse saisir son identifiant et son mot de passe alors que la connexion n’est pas chiffrée et sécurisée en https avec un certificat SSL » indique à la rédaction Vincent. Effectivement, cela signifie tout simplement que les identifiants et les mots de passe transitent en clair sur le réseau Internet entre l’ordinateur de l’utilisateur et les serveurs de La Poste. Une personne mal intentionnée pourrait aisément, et avec quelques outils spécialisés, comme en sniffant les trames Ethernet avec Wireshark, récupérer les informations privées au moment de la connexion. Autant dire qu’un utilisateur passant par une connexion wifi gratuite dans un aéroport, un restaurant (MacDo…), un café (Starbucks…) met tout simplement son webmail en danger. Plusieurs lecteurs ont envoyé un courriel à La Poste. Des services tels que Google ou encore Outlook (live.com) proposent des connexions en https et un certificat SSL.
Alors sécurisé ou pas ?
Ce qui compte est la sécurisation https de l’url qui se trouve dans le formulaire de login. Si celle ci est en https, aucun souci, même si la page qui héberge ce formulaire n’est pas https. Donc, pas d’inquiétude le login de la poste est sécurisé, et les identifiants ne sont pas transmis en clair. « Une fois de plus le petit logo vert partout n’est pas un garant de la sécurité d’un site » rajoute Seb, un lecteur. Il faut admettre, cependant, qu’un peu plus de visibilité ne nuirait pas à la bonne compréhension, et à rassurer les utilisateurs. La dynamique équipe sécurité de La Poste nous a répondu à ce sujet. Il faut tout d’abord différencier le portail laposte.net sur lequel est disponible le webmail et l’authentification au webmail qui ne fonctionnent pas avec les mêmes restrictions d’accès et de sécurité. « Pour accéder à leurs mails XXXX@laposte.net, nos clients doivent impérativement passer par une phase d’authentification (échange des login/mot de passe) qui est biensur cryptée en Https » confirme à Data Security Breach l’équipe sécurité de La Poste. Voilà qui devrait définitivement rassurer les utilisateurs.
Le Rapport Annuel sur la Sécurité 2014 de Cisco révèle que le nombre total de vulnérabilités et de menaces a atteint un niveau record depuis le début de leur recensement en mai 2000. En octobre 2013, le nombre total d’alertes cumulées a augmenté de 14% en glissement annuel par rapport à 2012. Les conclusions du rapport offrent un tableau saisissant de l’évolution rapide des enjeux de sécurité auxquels sont confrontés les entreprises, les départements informatiques, et les particuliers. Les méthodes employées par les cybercriminels sont multiples : ingénierie sociale visant à dérober les mots de passe et identifiants d’utilisateurs, infiltrations « hide-in-plain-sight » (si évidentes qu’elles passent inaperçues), ou encore l’exploitation de la confiance que les internautes accordent nécessairement lorsqu’ils effectuent des transactions financières, utilisent les services publics, ou échangent sur les réseaux sociaux.
Principales conclusions du rapport :
· Une pénurie de spécialistes de la sécurité informatique à prévoir en 2014
Le rapport souligne que l’année 2014 sera marquée par une pénurie de plus d’un million de professionnels spécialisés dans le domaine de la sécurité, ce qui pourrait mettre à mal les capacités des entreprises à contrôler et sécuriser les réseaux. Du fait de leur sophistication, les technologies et tactiques employées par les criminels en ligne – et leurs tentatives incessantes d’infiltration dans les réseaux et de vol de données – ont désormais pris de vitesse les professionnels de l’informatique et de la sécurité. La plupart des entreprises ne bénéficient pas de personnel ou de systèmes dédiés en permanence à la surveillance des réseaux étendus et à la détection des menaces. Pourtant, ces investissements sont les seuls capables d’appliquer des mesures de protection efficaces en temps voulu.
· 99% des malware mobiles ont ciblé les appareils Android en 2013
Avec 43,8 % des occurrences recensées, Andr/Qdplugin-A représente le logiciel malveillant le plus fréquemment détecté. Le malware transite habituellement via des versions dupliquées d’applications légitimes distribuées par des plateformes commerciales non-officielles.
· Les industries chimiques et pharmaceutiques, ainsi que le secteur de la fabrication électronique, principales victimes des infections malveillantes.
En 2012 et en 2013, les malwares ont connu une recrudescence notable au sein des secteurs de l’agriculture et de l’exploitation minière, auparavant considérés comme des industries à faible risque. Les occurrences de malwares continuent de croître dans les secteurs de l’énergie ainsi que dans les industries gazière et pétrolière.
· Les grandes entreprises, passerelles vers les sites web piratés
L’étude d’un échantillon de 30 entreprises issues du classement Fortune 500 a révélé que 100 % des réseaux de ces entreprises avaient généré un trafic visiteurs vers des pages Web hébergeant des logiciels malveillants. En effet, 96% des réseaux étudiés ont dirigé du trafic vers des serveurs piratés, alors que 92 % d’entre eux ont généré du trafic vers des pages vierges, qui hébergent généralement des activités malveillantes.
· La recrudescence et le renforcement des attaques DDoS (par déni de service)
Les attaques DDoS (par déni de service) perturbent le trafic depuis et en direction de sites Internet ciblés, et sont capables de paralyser les FAI. Elles ont progressé à la fois en termes de volume et de gravité. Certaines attaques DDoS ont pour objectif de dissimuler d’autres activités néfastes, telles que des fraudes électroniques perpétrées avant, pendant ou après une campagne DDoS, volontairement déstabilisantes et retentissantes.
· Les chevaux de Troie multi-cibles constituent les attaques malveillantes les plus fréquemment repérées sur le Web
Les attaques des chevaux de Troie multi-cibles représentent 27 % de l’ensemble des attaques enregistrées en 2013. Les scripts malicieux, notamment les exploits ou les iframes malveillants, constituent la deuxième catégorie d’attaques la plus courante, avec 23 %. Les chevaux de Troie destinés au vol de données, tels que les password stealers et portes dérobées, représentent quant à eux 22 % des actes malveillants recensés sur la toile. Le déclin régulier du nombre d’adresses IP et hébergeurs de malware uniques – qui a chuté de 30 % entre janvier et septembre 2013 – laisse à penser que les activités malveillantes se concentrent désormais sur un nombre plus restreint d’adresses IP et d’hébergeurs.
· Java demeure le langage de programmation le plus fréquemment visé par les cybercriminels.
D’après les données fournies par Sourcefire, société désormais détenue par Cisco, les exploits Java constituent la vaste majorité (91 %) des corruptions recensées par les indicateurs IOC (Indicators Of Compromise).
Tendances majeures de la cybercriminalité :
· Une expansion et une sophistication croissantes de l’univers des menaces. Les simples attaques aux conséquences limitées ont été remplacées par des opérations de cybercriminalité minutieusement orchestrées et financées, capables d’occasionner des dommages économiques considérables et d’affecter la réputation de leurs victimes, qu’elles appartiennent au secteur privé ou à la sphère publique.
· La complexité accrue des menaces et des technologies, qui résulte de l’adoption de plus en plus massive des Smartphones et du Cloud, permet d’étendre le champ d’attaques comme jamais auparavant. Les nouvelles catégories d’appareils et les architectures d’infrastructure les plus innovantes offrent aux pirates la possibilité d’exploiter des faiblesses jusqu’alors insoupçonnées et de s’attaquer à des composants mal protégés.
· Les cybercriminels ont conscience qu’il est nettement plus rentable d’exploiter la puissance de l’infrastructure d’Internet que de simplement infiltrer les appareils et ordinateurs de particuliers. Ces attaques à l’échelle de l’infrastructure ciblent des serveurs d’hébergement en ligne bénéficiant d’un positionnement stratégique, des serveurs de nom de domaine ou des datacenters. Leur objectif est de multiplier les attaques sur les très nombreux systèmes individuels hébergés par ces serveurs. En ciblant l’infrastructure Internet, les pirates ébranlent la confiance des utilisateurs dans les terminaux qui y sont connectés ou qui y ont accès. (Le rapport)
Comme le montre l’émission de zatazweb.tv du mois de janvier [S3E5], espionner un smartphone est simple comme bonjour. Prendre des photos, filmer, écouter, lire les sms à l’insu de son propriétaire, à distance, peut se pratique en deux clics de souris. A première vue, espionner un smartphone peut aussi se pratiquer via les applications offertes.
D’après de nouveaux documents volés par l’ancien analyste du renseignement Snowden, les service de renseignements électroniques américain NSA et britannique, le GCHQ, s’amusent depuis 2007 a surveiller certaines cibles via les jeux et applications embarquées. AngryBird, Google Map, mais aussi Twitter ou encore Facebook sont indiqués dans les documents diffusés par le New York Times.
007 n’infiltre pas directement la machine, il exploite les informations sauvegardées par les logiciels. A la base, cela permet aux développeurs de cibler les publicités qu’ils veulent communiquer à leurs clients de joueurs. La NSA y a trouvé une autre possibilité. Connaitre les goûts de ses cibles, son emplacement géographique, ses amis, … Le journal américain explique que les services secrets anglais utilisent des outils baptisés « Smurf« , « Tracker Smurf« , « Nosey Smurf » ou encore « Dreamy Smurf« .
Des espions informatiques qui ressemblent comme deux goutes d’eau à celui présenté dans zataz tv de janvier 2014. The Guardian indique que la NSA aurait déjà dépensé plus d’un milliard de dollars pour suivre des smartphones. Il n’est pas surprenant d’apprendre que des organisations tentent de tirer profit d’applications à priori anodines pour récolter des informations. Les données que fournissent des jeux comme Angry Birds sont utiles pour les développeurs tout autant que pour les publicitaires, alors pourquoi pas les agences de renseignement ?
De nombreuses applications permettent à un individu de jouer avec ses amis et ses contacts, créant un véritable réseau. Si nous analysons plus en détail le cas d’Angry Birds, sa dernière version requiert l’accès aux données de géolocalisation, à l’état du téléphone, ou encore aux SMS, de façon à pouvoir cibler les publicités qui sont diffusées pendant une partie de jeu. Cependant, une tierce personne qui aurait accès à ces informations aurait alors plus d’information sur vous que vous ne souhaiteriez sûrement en communiquer.
À l’échelle d’une application, le problème n’est pas bien grave, mais il s’agit là d’un simple exemple. Il faut s’imaginer que nous acceptons de partager nos données privées avec pratiquement toutes les applications que nous téléchargeons sur notre smartphone, et qu’elles communiquent toutes des informations sur nous qui pourraient éventuellement être agrégées et utilisées à des fins que nous ne connaissons pas. À l’heure actuelle, les utilisateurs sont pris au piège de ce système car refuser de partager ses informations privées avec une application revient le plus souvent à refuser de télécharger l’application. Faut-il pour autant arrêter de télécharger ce type d’application sur son smartphone ? Non bien sûr, car cela n’empêcherait pas les utilisateurs d’être espionnés. Nous n’avons pas de visibilité sur le nombre d’applications surveillées et l’étendue des programmes de renseignement, et le problème va donc bien au-delà d’Angry Birds.
A noter qu’un pirate, qui a signé son acte ANTI NSA, a piraté quelques minutes le site officiel du jeu Angry Bird en rebaptisant l’espace web Spying Bird. Piratage confirmé par Zone H.
Pour sécuriser les transactions via des monnaies non centralisées, le projet Ethereum voit le jour. Derrière ce projet, des dizaines de spécialistes du Bitcoin, la monnaie décentralisée. Parmi ses membres éminents, Charles Hoskinson, chef du Projet Bitcoin, Anthony Di Iorio, directeur exécutif de l’Alliance Bitcoin du Canada et fondateur de la coworkingspace Bitcoin (Toronto) ou encore Mihai Alisie, fondateur de Bitcoin Magazine. Ethereum est une nouvelle sécurité cryptographique qui est conçu pour permettre aux utilisateurs d’encoder leurs transactions. Ethereum fonctionnera avec toutes les devises personnalisées. Contrairement à de nombreuses idées précédentes qui ont tenté de faire la même chose, Ethereum ne pas tenté de contraindre les utilisateurs via des « caractéristiques » spécifiques, mais plutôt, de proposer un langage de programmation complet qui peut être utilisé pour construire tout type de projet qui sera définie mathématiquement. Bref, un nouveau protocole développé par le pape du sujet, Vitalik Buterin. A suivre !
Voici la quatrième partie (Troisième sur zataz.com) des réponses concernant les épreuves du challenge Forensic proposé par les étudiants de la licence CDAISI lors du Forum International de la Cybersécurité 2014. Les 21 et 22 janvier derniers, la ville de Lille a reçu le 6ème Forum de la CyberSécurité. Pour la première fois, un Challenge « forensic » a été proposé. Le mardi 21, les étudiants de la licence CDAISI (Collaborateur pour la Défense et l’Anti-intrusion des Systèmes Informatiques) de l’Université de Valencienne (Antenne de Maubeuge) ont proposé une vingtaine d’épreuves. Étant l’animateur de ce rendez-vous, et que vous avez été très nombreux (et le mot est un doux euphémisme, Ndr) à demander les réponses aux épreuves, voici la seconde partie du Challenge Forensic FIC 2014.
Le challenge FIC a eu pour objectifs, en distinguant quelques profils prometteurs, d’encourager et de valoriser chaque année, les métiers liés au forensic et à la lutte informatique défensive. Vous allez comprendre pourquoi des étudiants, mais aussi des professionnels de chez Google, Thalès, … sont venus tâter du bit à la sauce ethical hacking [Voir]. Les nouvelles épreuves que nous vous présentons ici sont signées par Kévin B., Tony S. et Saïd M. Ils étaient encadrés par Thibaut Salut. Retrouvez la première partie des réponses au challenge forensic FIC 2014 de la CDAISI ici et là. Pour rappel, ces épreuves consistaient à la recherche d’un mot de passe dans un ou plusieurs fichiers, dans des programmes compilé, ou encore en déchiffrant des messages codés. Le but était de valider le maximum d’épreuves et ainsi engranger un maximum de points. Les épreuves étaient classées par niveau. Chaque épreuve, selon sa difficulté, pouvait rapporter plus ou moins de points.
Cette épreuve avait pour but de reconnaître des Hash MD5. En effet le fichier avait chaque lettre d’un mot hashé en MD5. Chaque hash placés les uns à la suite des autres. Nous avions donc ici 13 hash MD5. Les participants devaient découper cette chaîne de caractères, toutes les 32 caractères (longueur d’un hash MD5, Ndr) et à l’aide d’un dictionnaire de reverse MD5 trouver la lettre qui correspondait à chaque hash.
o = d95679752134a2d9eb61dbd7b91c4bcc
r = 4b43b0aee35624cd95b910189b3dc231
n = 7b8b965ad4bca0e41ab51de7b31363a1
i = 865c0c0b4ab0e063e5caa3387c1a8741
t = e358efa489f58062f10dd7316b65649e
h = 2510c39011c5be704182423e3a695e91
o = d95679752134a2d9eb61dbd7b91c4bcc
r = 4b43b0aee35624cd95b910189b3dc231
y = 415290769594460e2e485922904f345d
n = 7b8b965ad4bca0e41ab51de7b31363a1
q = 7694f4a66316e53c8cdd9d9954bd611d
u = 7b774effe4a349c6dd82ad4f4f21d34c
e = e1671797c52e15f763380b45e841ec32
La réponse finale était : ornithorynque.
Épreuve : Decode Me
Inspirée par Gilbert Vernam, le but de cette épreuve était de déchiffrer le masque ayant servit à chiffrer le message codé. Le principe de Gilbert Vernam est le suivant :
– Le masque doit être de la même taille que le message à chiffrer.
– Le masque ne doit jamais être ré-utilisé.
– Le masque doit être réellement aléatoire.
Cependant, pour cette épreuve, les organisateurs ont créé le masque, d’où le fait que cette épreuve est uniquement “inspirée “ de Vernam. Le message Codé était : HWYKSLK UEGWJSGU ZYMREE 3 TXEAA 1890 – 7 NVFVXEXG 1960 HBW RG VX&K OEXD PLPF WBTXEMRT EWS TR 1917 UNNUHXHR IG EWUMWMGE BSXCTLXSLFUNMN WFVWSM MROMW FEH WEFEJ SI MAZHBBXM AZ ACLSFRXVH IGM-EQEI AEP CAFBIU JMKRTD TISTZDIP E GXLPTRBBBVV RWJYGV BG ALXTL U KVRJCGHGFQ XEWEIISQ CHC CEBX HU DDTHV VHXJ NJ GAQOBRXF GATVCNXJE FQ VWAJANXEK KQKL ELQ DEDMCTWPX PIUWCNE EZ TEUHYUX ZPP DMGAZV KRXF. Le challenger devait utiliser les chiffres qui n’étaient pas “chiffrés“ pour pouvoir en déduire la page originelle se trouvant sur internet. La première difficulté était d’essayer ces dates, avec mois, en anglais.
Message d’origine : Gilbert Sandford Vernam 3 April 1890 – 7 February 1960 was an AT&T Bell Labs engineer who in 1917 invented an additive polyalphabetic stream cipher and later co invented an automated onetime pad cipher Vernam proposed a teleprinter cipher in which a previously prepared key kept on paper tape is combined character by character with the plaintext message to produce the cipher text. La seconde étape était d’en déduire le masque. Il était possible de le faire à la main, en comparant les caractères codés et d’origines. Une méthode longue. Il était donc possible d’utiliser des utilitaires disponible sur internet comme Dcode pour en déduire le masque.
Le masque reconstitué donnait : bonjour cette epreuve est inspiree de gilbert vernam selon son principe le masque doit etre de la meme taille que le message chiffre le masque ne doit jamais etre reutilise le masque doit etre reellement aleatoire pour cette epreuve nous nous inspirons de sa methode de chiffrement et cette clef n est pas aleatoire le mot de passe de ce challenge est gilbert vernam.
Épreuve : HaveFun
Cette épreuve était un fichier exécutable. Le programme, une compilation d’un code écrit en C, compilé à l’aide de GCC. Les participants devaient donc désassembler l’exécutable, à l’aide de GDB par exemple, pour retrouver le pass caché à l’intérieur. Code C : Une variable déclarée initialisée à 0x41. Elle correspond au code hexadécimal de l’ascii ‘A’. Il fallait déclarer un tableau de caractères. Puis incrémenter ou décrémenter la variable, puis assigner la valeur résultante dans l’une des cases du tableau. Le mot de passe final de cette épreuve était ‘OMGWTFBBQ‘.
Épreuve : Le rendez-vous du musée
Voici une épreuve se constituant d’un mail banal en apparence mais contenant un indice caché en WhiteSpace. Il suffisait de regarder dans le coin, en haut à gauche, et utiliser une image en pièce jointe. Le but était d’en déduire un lieu et une date de rencontre. Dans cette épreuve de stéganographie, il fallait apercevoir un QrCode, celui-ci, tel-quel, ne pouvait pas être scanné. Il devait être reconstitué. Il fallait donc recréer les carrés ; inverser horizontalement le QrCode ; inverser les couleurs. Une étape inutile avec certains scanners de QrCode. Cette reconstitution permettait de lire le flash code. Il dirigeait le joueur au pied de la Tour Eiffel.
L’étape suivante était de retrouver la date et l’heure du rendez-vous, pour cela, le challenger devait découvrir l’indice se situant dans le mail, sinon il devait analyser l’image de fond en comble. La date et l’heure étaient fondus dans la peinture de la pièce. Difficile à déchiffrer. Une excellente vue ou bonne maitrise d’un logiciel de retouche d’image était nécessaire. Le mot de passe était : TourEiffel10juin201416h15
Épreuve : cœur
Cette épreuve combinait de la stéganographie, de la recherche ainsi que la reconstruction d’un fichier corrompu. Les participants avaient à leur disposition un fichier PDF d’une nouvelle de Edgar Allan Poe. Ils devaient ouvrir ce fichier PDF en hexadécimal, à l’aide du logiciel hexeditor par exemple. Le concurrent devait se rendre compte que des données étaient cachées à la fin du fichier. En effet, un fichier PDF normal se termine par un EOF (End Of File). De ce fait, si on rajoutait des données à la suite de ce EOF, le fichier PDF restait lisible et sans perturbation. Il fallait constater après ce EOF, une suite de chiffre, 6, 22, 5, puis des données. Ces données correspondaient à une image compressée en RAR, rar corrompu. L’indicateur de fichier ‘Rar !’ était remplacé par des 0x00. Les données extraites du PDF, et les quatre premiers octets remplaçaient par 0x52, 0x61, 0x72 et 0x21, réclamaient un mot de passe. C’était ici que la suite de chiffre rentrait en compte.
En effet, 6, 22 et 5 correspondaient respectivement à un numéro de page, un numéro de la ligne et un numéro du mot. Si on ouvrait le PDF avec ces indications. La page 6, ligne 22, 5e mot correspondait à EPECTASE. Le plus « bourrin » auront utiliser un brute force sur le mot de passe qui donnait accès à l’image orgasme.jpg, et au mot de passe EPECTASE.
Épreuve : Wait Whaat
Cette épreuve se composait de 6 fichiers. Ces fichiers étaient en fait composés de données aléatoires dans le seul but de brouiller les pistes. Les participants devaient se concentrer sur les droits des différents fichiers, chaque fichier ayant des droits bien spécifiques et « non normaux ». Prenons par exemple le fichier 1, qui avait les droits : – – – x – – x r w x. On admettra que : ‘-‘ = 0 ; lettre = 1. On obtennait donc : – – – x – – x r w x, soit 000 1 001 1 1 1. Informations qui donnait le chiffre hexadécimal 0x4F. Dans la table ascii correspondante, cela donnait la lettre ‘O’. La procédure était la même avec les autres fichiers.
—x–xrwx = 0 001 001 111 = 0x4F = ‘O’
—xr—wx = 0 001 100 011 = 0x63 = ‘c’
—xrw-r– = 0 001 110 100 = 0x74 = ‘t’
—xr—-x = 0 001 100 001 = 0x61 = ‘a’
—xrw-rw- = 0 001 110 110 = 0x76 = ‘v’
—xr–r-x = 0 001 100 101 = 0x65 = ‘e’
Des phishings web permettent de piéger le système 3D Secure et Avast perturbe le système de validation de paiement. Les pirates informatiques viennent de trouver une méthode assez étonnante pour piéger le système 3D Secure mis en place dans les banques. Pour rappel, le système de sécurité 3D Secure permet de confirmer une transaction financière, entre vous et une boutique par exemple, qu’à la condition ou vous confirmiez l’action par l’introduction d’un code, en plus de vos identifiants de base, reçu par SMS. Bref, une double authentification rassurante et efficace.
Seulement c’était oublier l’ingéniosité malveillante des professionnels de l’escroquerie numérique. Il a été rapporté à la connaissance de la rédaction une méthode non négligeable employée par des pirates. De plus en plus de banque permettent aux clients de joindre par messagerie privée, directement via le site de la banque, le conseiller financier. Le client, pour accéder à cette option proposée dans son espace bancaire privé numérique, doit fournir : son login, mot de passe et la plupart du temps, un code secret supplémentaire de connexion tiré soit d’une application, soit d’une carte papier comportant une série unique de chiffres. Série qui ne peut s’employer qu’une fois, pour une seule connexion. Les suivantes réclament de nouveaux codes.
Des attaques phishing ont été lancées dernièrement permettant aux pirates d’exploiter les comptes bancaires. Pour pallier la sécurité 3D Secure, ils font changer le numéro de téléphone du client piégé, directement via le service online de messagerie privée client/conseiller. Bilan, le pirate possède le moyen de récupérer de l’argent, tout en confirmant l’action via le code 3d secure détourné. Le nouveau numéro de téléphone renvoyant le 3d secure sur un combiné (volé ou à usage unique) utilisé par le voleur.
Pendant ce temps, et depuis le 12 décembre, de nombreux e-marchands se plaignent d’un taux d’échec important sur les paiements au moment du 3D Secure. Après de longues investigations, le service technique de la société Payzen a enfin trouvé la cause : La dernière mise à jour de l’antivirus Avast 2014.
Tous les e-commerçants sont concernés par ce problème quelques soient leur plateforme de paiement. Lors d’un paiement 3D Secure, l’internaute est dirigé depuis la plateforme de paiement vers un ACS afin de s’authentifier. Cet ACS reçoit un PAReq (Payment Authentication Request) et émet en suivant un PARes (Payment Authentication Response) à destination de la plateforme de paiement. Ce PARes informe du succès ou de l’échec de l’authentification. Or tout ceci se fait évidement via le navigateur de l’internaute. La dernière version d’Avast « à l’évidence buggée, indique Payzentronque le code en supprimant des octets. La plateforme de paiement n’a plus toutes les informations et donc ne peut pas savoir si l’authentification est valide ou non« .
De grands cadres de banques et de sociétés de cartes de crédit ont présenté leur démission ce lundi dû à la fuite massive des données personnelles d’au moins 20 millions d’utilisateurs de cartes bancaires et de crédit. Les craintes que ces informations soient tombées dans les mains d’escrocs ont pris de l’ampleur après que certains clients se sont plaints de transactions financières suspectes et inattendues, malgré l’annonce antérieure par les compagnies concernées que les coupables avaient été appréhendés avant qu’ils n’aient distribué les informations.
L’Agence de supervision financière (FSS) avait promis quelques heures avant ces démissions qu’elle infligerait des sanctions sévères aux institutions financières et à leurs hauts responsables si l’enquête conclut que le piratage est le résultat d’une négligence de leur part.
Des sources du secteur bancaire ont indiqué hier que des informations privées, dont des numéros de compte et adresses, d’une vingtaine de millions de clients ont été volées. Une partie de ces fuites se seraient déroulées lors de l’envoi de données par des banques à leur filiale cartes de crédit. Pour les clients et les autorités, la question est maintenant de savoir si cet incident entraînera des dommages financiers.
«Les sociétés mères semblent s’éloigner (de la question) et ne pas montrer d’attitude responsable», estime Choi Soo-hyun, à la tête du gendarme financier. «Elles seront tenues pour responsables des fuites de données si le partage d’informations sur les clients entre filiales en est la cause.»
Le mois dernier, les données personnelles d’environ 130.000 clients de Standard Chartered Bank Korea et Citi Bank Korea ont été subtilisées, un chiffre qui n’avait encore jamais été atteint en Corée. Depuis ces derniers temps, la FSS fait l’objet de vives critiques en étant accusée de laxisme à l’égard des firmes financières.
Shim Jae-oh, le PDG de KB Kookmin Card Co. (4e à partir de la gauche), et des responsables de la société présentent des excuses pour les fuites de données de clients Shim Jae-oh, le PDG de KB Kookmin Card Co. (4e à partir de la gauche), et des responsables de la société présentent des excuses pour les fuites de données de clients
Les sociétés de cartes de crédit ont assuré de leur côté qu’elles prendraient la responsabilité de toutes les fraudes liées à ces fuites. «Nous assumerons l’entière responsabilité juridique et morale pour les cas de fuites de données personnelles», ont-elles déclaré dans un communiqué commun.
Ce matin, l’Agence des consommateurs financiers (FCA) avait fait savoir qu’elle demanderait le mois prochain à la FSS une enquête sur six banques et sociétés de cartes de crédit : Standard Chartered Bank Korea, Citi Bank Korea, Kookmin Bank, NongHyup Bank, KB Kookmin Card et Lotte Card. (Agence Yonhap)
L’entreprise de sécurité Intel Crawler a analysé les récentes violations de données massives ayant visé les sociétés Target et Neiman Marcus. Les enquêteurs de IC ont déclaré avoir identifié le créateur du malware utilisé dans les attaques informatiques ayant touché les deux enseignes américaines.
Selon le rapport, un adolescent russe de 17 ans (Nous ne donnerons pas son identité : il est présumé innocent jusqu’à preuve du contraire, Ndr) aurait créé le malware, contributeur des fuites de données. L’outil, baptisé BlackPos (Kaptoxa, patate en russe, Ndr), est apparu en Mars 2013.
BlackPOS, ZATAZ.COM vous en parlait il y a quelques mois, est un malware écrit en VBScript. Il est conçu pour être installé dans les périphériques bancaires des points de vente. Il vole toutes les données des cartes glissées dans le systèmes infectés.
Une technique qui ne date pas d’hier. En 2010, plusieurs grands hôtels américains avaient été visés par ce type d’attaque. La première victime du malware n’était pas américaine, mais une boutique basée au Canada. Le code malveillant a été retrouvé, aussi, en Australie. BlackPos est commercialisé dans le blackmarket 2.000 $. Les clients du jeune russe, les pirates de Target et Neiman Marcus, ne sont toujours pas connus… publiquement !
Le 5 janvier dernier, le forum 4chan a servi de support à la 3ème édition d’une immense chasse au trésor sauce chiffrement. Depuis 2012, l’opération cigale est lancée par des inconnus. Impossible, sauf pour les vainqueurs des années passées, de savoir qui se cache derrière Cicada 3301. D’après le ou les auteurs, cette grande course doit permettre de recruter « des individus très intelligents. Pour les trouver, nous avons conçu un test. Un message se cache dans cette image. Trouvez-le, et il vous mènera sur la voie pour nous trouver. Nous sommes impatients de rencontrer les quelques personnes qui réussiront à faire le chemin jusqu’à nous. Bonne chance.«
Prétentieux les « organisateurs » ? Les premières traces ont permis de remonter, d’abord, à un leurre, puis ensuite à décortiquer l’image (il fallait multiplier 3301 à la longue et hauteur de l’image d’origine. 3 nombres premiers qui donnaient l’ip d’un site web, et d’une image de cigale qui, exploitait avec le logiciel de sténographie OutGuess indiquait aux joueurs « Vous avez été suffisamment bons pour arriver jusqu’ici. La patience est une vertu. Revenez à 17:00 lundi 9 janvier 2012, UTC. » 14 points GPS sont apparus alors ce 9 janvier. Chaque point dirige vers une affiche et un QR Code, affiches collées dans les villes de Paris, Séoul, Varsovie, Miami. Chaque QR code dirige vers de nouveaux documents à décortiquer avec le même OutGuess.
En 2012, des commentaires liés aux images pointaient du doigt la NSA. Si en plus ils inventent des jeux sympas, ils vont finir par devenir vraiment sympathiques. En 2013, un PastBin annonçait que derrière cette organisation se cachait des gens dangereux. En attendant, Snowden n’a pas diffusé d’information sur ce concours. La CIA serait aussi dans les rangs des probables GO.
Des informations sont diffusées par des « joueurs » sur un wiki. Un Twitter a aussi été ouvert pour l’occasion.
WatchGuard Technologies, éditeur de plateformes de sécurité intégrées, publie ses prévisions annuelles de cyber-sécurité pour 2014. Parmi les éléments listés, l’équipe de chercheurs en sécurité de WatchGuard s’attend à des avancées dans le domaine des rançongiciels (ransomware), à des piratages visant l’Internet des objets, à des attaques ciblant les infrastructures stratégiques et à une violation des données du portail américain des assurances maladie Healthcare.gov.
« Entre le développement de botnets par des agences gouvernementales opérant dans l’ombre, les importantes failles de sécurité comme celle subie par Adobe et les logiciels malveillants particulièrement nuisibles de type CryptoLocker, 2013 aura été une année éprouvante pour les spécialistes de la cybersécurité », commente Corey Nachreiner, Directeur de la stratégie de sécurité de WatchGuard Technologies. « Cependant, grâce aux nouveaux outils de visibilité désormais disponibles, 2014 devrait être l’année de la visibilité en matière de sécurité. Le paysage des menaces continue certes à évoluer à un rythme effréné en raison de l’apparition de nouvelles techniques évoluées d’exploitation des vulnérabilités et de l’orientation des criminels vers de nouvelles cibles. Néanmoins, les professionnels de la sécurité devraient pouvoir utiliser ces nouveaux outils de visibilité afin de faire, à nouveau, pencher la balance de la cyberguerre en leur faveur. »
Les principales prévisions pour 2014 en matière de sécurité : 1. Le portail américain des assurances maladie sera la cible de nombreuses attaques : WatchGuard s’attend à ce que le site américain Healthcare.gov subisse au moins une violation de données en 2014. Du fait de sa popularité et de la valeur des données qu’il stocke, Healthcare.gov constitue une cible particulièrement attractive pour les cybercriminels. En réalité, cette violation a, dans une certaine mesure, déjà débuté. Différents chercheurs en sécurité ont d’ores et déjà mis en évidence plusieurs incidents mineurs (indices d’attaques avortées contre des applications Web, tentatives d’attaque en déni de service (DDoS), etc.).
2. Le développement du cyber-kidnapping accroît les profits des pirates : Les rançongiciels, une nouvelle classe de logiciels malveillants dont le but est de prendre en otage un ordinateur, ont vu leur nombre augmenter régulièrement ces dernières années, mais une variante particulièrement nuisible a fait son apparition en 2013 : CryptoLocker. Rien que cette année, il a touché plusieurs millions de machines, avec un fort retour sur investissement pour les cybercriminels d’après les estimations. WatchGuard s’attend à ce que de nombreux cyber délinquants tentent d’imiter en 2014 le succès de CryptoLocker, en copiant ses techniques et son mode de fonctionnement. WatchGuard prévoit ainsi une multiplication des rançongiciels en 2014.
3. Un scénario catastrophe hollywoodien : En 2014, une attaque majeure commanditée par un gouvernement hostile et exploitant les failles d’une infrastructure stratégique pourrait bien transformer un film d’Hollywood en réalité tragique. Et ce, même lorsque les systèmes ciblés ne sont pas connectés à un réseau. Le ver Stuxnet, si souvent montré du doigt, a en effet prouvé que des cyber-attaquants motivés pouvaient infecter une infrastructure non reliée à un réseau avec des résultats potentiellement désastreux. Des chercheurs ont consacré plusieurs années à étudier les vulnérabilités des systèmes de contrôle industriel (ICS) et des solutions de supervision et d’acquisition de données (SCADA), et ont découvert que ces systèmes présentaient de nombreuses vulnérabilités.
4. L’Internet des objets, nouvelle cible des hackers : WatchGuard s’attend à ce que, l’an prochain, les hackers, qu’ils soient white ou black hat, consacrent plus de temps aux terminaux informatiques non traditionnels comme les voitures, les montres, les jouets et le matériel médical. Si les experts en sécurité informatique insistent depuis plusieurs années sur la nécessité de sécuriser ces périphériques, il semble que le marché n’en réalise l’importance que maintenant. WatchGuard s’attend donc à ce que les hackers s’attachent fortement en 2014 à détecter les failles de ces objets connectés, que ce soit pour les combler ou pour les exploiter.
5. 2014 sera l’année de la visibilité : Ces dernières années, les cybercriminels sont parvenus à pénétrer les défenses de très grandes entreprises malgré l’utilisation de pare-feu et d’antivirus. L’ancienneté des systèmes de défense en place, la mauvaise configuration des contrôles de sécurité et la surabondance de journaux de sécurité ne permettent pas aux professionnels de protéger efficacement leur réseau et de détecter les événements réellement importants. WatchGuard prévoit qu’en 2014 de plus en plus d’entreprises déploieront des outils de visibilité afin de faciliter l’identification des vulnérabilités et la mise en place de stratégies de protection renforcée des données stratégiques.
6. Attaquer la « chaîne de confiance » sera une technique de choix pour atteindre les cibles les plus difficiles : Si les victimes les plus prestigieuses, telles que les administrations ou les entreprises du CAC 40, bénéficient d’un dispositif de sécurité plus important, ce n’est pas pour autant qu’elles parviendront à arrêter les pirates motivés et patients, qui s’attaqueront au maillon faible de la « chaîne de confiance » de l’entreprise : les partenaires et les sous-traitants. Les cybercriminels les plus doués visant désormais des cibles plus complexes, il faudra s’attendre en 2014 à une exploitation grandissante des vulnérabilités de la « chaîne de confiance », les pirates s’attaquant aux partenaires pour atteindre l’entreprise.
7. Les attaques deviendront plus nuisibles : La plupart des cyber-attaques et des logiciels malveillants ne sont pas volontairement destructeurs. En effet, lorsqu’un cybercriminel détruit l’ordinateur de sa victime, il ne peut plus accéder à ses ressources. Cependant, l’évolution du profil des pirates fait désormais de la cyber-destruction un objectif valable dans un nombre croissant de cas. Les cybercriminels peuvent également se rendre compte que la menace d’une destruction imminente contribue à améliorer les chances de succès de l’extorsion, comme le compte à rebours utilisé par CryptoLocker pour effrayer les victimes et les amener à coopérer. WatchGuard s’attend ainsi à observer une multiplication des vers, chevaux de Troie et virus destructeurs en 2014.
8. De technicien à psychologue du cybercrime : Ces dernières années, les attaquants avaient clairement l’avantage sur les défenseurs, s’appuyant sur des tactiques d’esquive et des techniques plus sophistiquées pour pénétrer des défenses vieillissantes. Cependant, le vent est en train de tourner. En 2014, les défenseurs accèderont plus facilement aux solutions de sécurité de nouvelle génération et aux fonctionnalités de protection avancée, rééquilibrant le rapport de force. Mais les cybercriminels n’abandonneront pas facilement la partie. On peut s’attendre à une évolution de leur stratégie, qui sera sans doute moins focalisée sur l’avantage technique et plus sur les faiblesses de la nature humaine. En 2014, attendez-vous à ce que les attaquants privilégient la psychologie à la technologie, en s’appuyant sur la culture populaire et sur différentes techniques (emails d’hameçonnage convaincants, par exemple) pour cibler le maillon le plus faible de la chaîne : l’utilisateur.
La National Security Agency, la NSA, aurait payé RSA Security 10 millions de dollars pour affaiblir la sécurité d’un algorithme de chiffrement. Voilà une information passée quelque peu sous silence, à la veille de Noël. Reuters explique (Le New York Times l’avait déjà fait en septembre dernier) que la NSA a fait créer un algorithme plus faible, histoire de le casser sans trop de fatigue. Bref, de quoi permettre aux grandes oreilles de l’Oncle Sam d’écouter, sans se casser la tête. Reuters indique que la société RSA Security, du groupe EMC, était le principal distributeur de ce chiffrement via son kit BSAFE. L’agence de presse affirme que la NSA a versé 10 millions de dollars à RSA pour alléger l’algorithme Dual Elliptic Curve. Pour rappel, le DEC est devenu le paramètre par défaut des boîtes à outils de RSA. Autant dire que les entreprises qui utilisent ce chiffrement, qu’ils ont payé le prix fort, auront apprécié l’humour.
Pour sa défense, RSA explique avoir toujours communiqué sur ses relations avec la NSA. Depuis septembre, RSA invite ses clients à ne plus utiliser l’algorithme DEC. RSA Security explique dans son communiqué de presse n’avoir jamais incorporé de backdoor dans ses produits « nous affirmons aussi catégoriquement n’avoir jamais signé de contrat, ni avoir collaboré à un projet dans l’intention d’affaiblir les produits de RSA« .
Ce même 23 décembre, RSA annonçait une faille dans son générateur de nombre aléatoire. Trois chercheurs (Daniel Genkin, Adi Shamir et Eran Tromer) ont trouvé une méthode de cryptanalyse acoustique. Ils ont ainsi pu casser une clé RSA 4.096 bits en se servant simplement d’un microphone pour écouter le son diffusé par un ordinateur lorsqu’il décrypte un message chiffré.
Il va être intéressant de voir qui va se rendre, comme conférencier, lors des prochaines « RSA Conference 2014« . Le patron de F-Secure et celui d’Atredis Partners ont annulé leur présence en février prochain, à San Francisco.
A noter que le journal Ars Technica a indiqué, il y a peu, que l’opérateur américain AT&T a revendu à la CIA des enregistrements téléphoniques.
Sacré Père Noël, il a cassé sa tirelire pour offrir l’objet high-tech à la mode. Une tablette, un smartphone, une montre connectée. Les « vendeurs », les « commerciaux » des marques ont sorti la grosse artillerie pour vanter du matériel qui, avouons-le, fait briller les yeux. Sauf qu’il y a un petit détail loin d’être négligeable que nous avons pu constater lors de 43 rencontres effectuées entre le 17 et le 24 décembre 2013 : seuls 3 souriants vendeurs de rêves nous ont parlé, naturellement, de sécurité.
Le Béaba
Un PC, une tablette sortis de leur carton ne sont pas propres, attendez par là qu’il faudra penser, lors de votre première connexion à mettre à jour vos machines. Des mises à jour de sécurité, d’applications. Indispensable. Prenons l’exemple de l’iPhone 5 (et là) ou des derniers Samsung. Évitez de voir votre données s’envoler en raison de « faille » usine. Pour les PC, comme pour les MAC, les « updates » concerneront surtout des corrections liées à des vulnérabilités. Pour vous donner une petite idée, regardez la date de fabrication de votre matériel. Si nous prenons un PC fabriqué en septembre, sous Windows 8, plus de 40 mises à jour. Même son de cloche pour un MAC. Pour les tablettes, sous Android, la dernière importante, date de mi-décembre, avec une correction interdisant l’interception possible, en clair par le wifi, des informations de connexion d’un utilisateur.
Le matos
Que le veuille ou non, un antivirus devient indispensable sur PC/MAC, mais aussi tablette et smartphone. Il en existe plusieurs dizaines, gratuites et payantes. Nous nous pencherons plus concrètement, dans quelques instants, sur ceux proposés pour les mobiles. Mais avant ça, revenons sur une option loin d’être négligeable dans la majorité des nouveaux matériels sortis pour Noël : le chiffrement des machines. Certes cela prend un peu de temps, certes cela semble fastidieux d’être obligé de retenir le mot de passe imposé. Mais c’est quelques minutes valent mieux que les heures, voir les jours à courir pour bloquer l’ensemble des comptes (PayPal, DropBox, emails, forums, sites…) que vous aurez enregistré dans le matériel que vous aurez perdu, ou que l’on vous aura volé, piraté. Pour les possesseurs des téléphones le plus vendus du moment, Samsung, il suffit de se rendre dans l’option « Paramètres » > « Sécurité » > « Crypter« . N’oubliez pas, si vous équipez votre machine d’une carte sd, de chiffrer cette dernière. Récupérer cette dernière et la copier est un jeu d’enfant. Chiffrer le contenu rendra inutilisable les informations sauvegardées.
Passons ensuite, comme indiqué plus haut, aux outils de sécurité à installer dans vos précieux. Les antivirus proposés par G Data, McAfee, BitDefender, … font l’affaire. Il détecte les applications pouvant être piégés. Loin d’être négligeable, cette menace est annoncée comme étant la 1ere des malveillances en 2014. Vient ensuite la crainte de la perte/vol de votre matos. La version proposée par Avast! Permet aussi de recevoir une notification quand votre carte SIM a été changée. Pour le contrôle des fichiers que vous auriez à récupérer/stocker dans le Cloud (ce que nous trouvons aberrant et vous invitons à ne pas faire, Ndr) des outils comme VirusBarrier permettent de scanner les documents sauvegardés sur DropBox, iDisk, et WebDAV.
Lookout Mobile Security est une application gratuite qui protège vos appareils iOS ou Android. Il permet de protéger son matériel et, en version payante, de sauvegarder vos contacts en programmant des sauvegardes automatiques. Si vous perdez votre téléphone, Lookout permet de le localiser sur une carte Google – même si le GPS est désactivé. L’application permet aussi d’activer une alarme sonore – même si votre téléphone est en mode silencieux. La fonctionnalité qui permet de verrouiller à distance le matériel est un plus non négligeable. L’outil BullGuard Mobile Security propose le même type de service. Pour les smartphone, le chien de garde propose aussi une protection pour la carte SIM. IHound propose, lui aussi, de suivre l’appareil à distance. Il permet de verrouiller le téléphone ou la tablette. IHound utilise le GPS de votre téléphone pour le suivi de l’appareil. Il comprend une alarme qui peut être déclenchée par une notification push. Fonctionne même quand le silencieux est enclenché. Sur un appareil Android, vous pouvez également effacer à distance les données et verrouiller votre machine. Application payante.
Les anti-vols
Face à une attaque « physique » de votre téléphone, il existe aussi des parades. Quelqu’un tente de rentrer dans vos données. Pour cela il tombe nez-à-nez avec votre clavier dédié au mot de passe. Les applications GadgetTrak (iOS) et LockWatch (Android) vous enverrons, par eMail, la photo de votre « curieux » et sa position géographique, via une carte Google.
Je finirai par deux outils indispensables pour la sécurité de votre vie numérique: Authy et Google Authenticator. Deux applications qui permettent de générer des clés demandées lors d’une double authentification pour Google, Facebook, Twitter, et même vos sites web (sous WordPress). Sans les chiffres fournis par l’un de ces outils de validation, même votre mot de passe demandé ne servira à rien. Parfait en cas de vol de ce dernier. Nous vous expliquons, pour votre compte Facebook, l’intérêt de la double identification.
Pour finir, pensez aussi à vos connexion web hors vos murs. Une protection VPN est loin d’être négligeable. Elle permet, quand vous êtes en déplacement, de chiffrer, de rendre illisible à une potentielle interception, vos informations (emails, mots de passe, téléchargement, …). Il existe des applications VPN simples et efficaces pour tablettes, smartphones et ordinateurs.
Cette liste est loin d’être exhaustive, elle a surtout pour mission de vous faire tendre l’oreille, de vous inciter à vous pencher sur vos doubles numériques, sur leur sécurité et la maitrise de ces matériels qui n’étaient encore que de la science-fiction, voilà 10 ans. N’oubliez jamais que vous devez contrôler vos machines… et pas le contraire !
Alors que la fin d’année approche, Symantec publie ses prévisions annuelles pour 2014 en matière de sécurité informatique. Voici les grandes tendances qui attendent les utilisateurs, particuliers comme entreprises, et ce qu’elles impliquent.
1. Les utilisateurs et les entreprises vont enfin prendre des mesures concrètes pour garantir la confidentialité de leurs données
En 2013, les problèmes de confidentialité ont fait les gros titres, amenant les individus et les entreprises à prendre conscience de la quantité d’informations personnelles qui sont partagées et recueillies chaque jour par un nombre incroyable de personnes, allant du médecin au réseau social. Il est donc fort probable que la protection des données confidentielles devienne une fonctionnalité à part entière des produits existants et à venir. Par la suite, au-delà de 2014, la question sera de savoir si oui ou non une fonctionnalité assure une réelle protection de la vie privée. Il y a fort à parier que Tor, application qui garantit l’anonymat en ligne, saura très vite séduire l’ensemble des internautes. L’adoption de pseudonymes ou de faux noms sur les réseaux sociaux sera plébiscitée par les utilisateurs qui souhaitent protéger leur vie privée. Qui mènera la danse ? Les adolescents. Ils tiennent à protéger leur vie privée, et pas seulement vis-à-vis de leurs parents. Dans ce contexte, de plus en plus d’internautes se tournent vers de nouveaux réseaux sociaux de niche pour communiquer avec leurs amis dans l’ombre. Une tendance qui en amène une autre…
Protéger ses informations confidentielles et son identité s’applique non seulement pour les particuliers mais également pour les entreprises et administrations. En 2014, les organisations au sens large continueront leur démarche de protection de ce qui compte pour elles : leurs données critiques. Avec la profusion d’offres et de technologies existantes, elles devront déterminer celles qui seront le plus ou le mieux adaptées à leur cas de figure. Le cas échéant, leur implémentation pourrait s’avérer contre-productive et ne protéger que partiellement ou inutilement leurs données, voire les chiffrer mais les rendre indéchiffrables pour le détenteur des données. Autre tendance forte : la nécessaire protection de l’identité de ces entreprises : la compromission d’identités et le hacking de moyens de communication publics ont déjà été notés en 2013 et se répèteront probablement l’an prochain, avec des conséquences potentiellement graves pour leur réputation et les prises de décisions économiques basées sur l’information.
2. Les escrocs, collectionneurs de données, s’intéresseront au moindre réseau social, aussi obscur soit-il – en parallèle des cyber-pirates, l’émergence de cyber-corsaires
Il est tentant de croire qu’en changeant d’environnement, les problèmes s’envolent. Cela ne se passe pas comme cela dans la vie réelle, et encore moins sur les réseaux sociaux. Dès lors qu’un nouveau réseau social séduit les utilisateurs ; inévitablement, il attire les escrocs et les cyber-attaquants. Les utilisateurs qui pensent se retrouver entre amis sur le nouveau site risquent d’être très désagréablement surpris. Sur le web comme dans la vie réelle, si une opportunité paraît trop belle pour être vraie, c’est qu’il s’agit très certainement d’une escroquerie. Les utilisateurs doivent impérativement appliquer les meilleures pratiques de sécurité, où qu’ils se trouvent sur Internet, et quel que soit leur mode de connexion. Puisque l’on parle de connexion…
Le cyber-crime ne s’arrête pas aux individus, une nouvelle classe de cyber-mercenaires apparait ; le groupe « Hidden Lynx » analysé à l’automne dernier étant un premier exemple de groupe constitué. Ce cas particulier est potentiellement la partie émergée de l’iceberg, et pourrait révéler le développement de véritable cyber-corsaires : de plus en plus d’entreprises et d’agences auto-appelées « d’intelligence » ou de « cyber-sécurité » voient le jour, proposant des offres intégrant surveillance, interception, et destruction de cyber-attaques, voire également des contre-cyber-attaques. Celles-ci flirtent avec les limites de la légalité et tirent profit des difficultés à mettre en place un cadre législatif mondial. Leurs offres ciblent les entreprises et les états, avec comme bénéfices la possibilité de ne pas agir directement et donc de ne pas être potentiellement exposé publiquement.
3. L’Internet des objets devient celui des vulnérabilités – La protection des infrastructures critiques plus que jamais d’actualité
2014 sera probablement l’année de l’Internet des objets. Les millions d’appareils connectés à Internet, généralement avec un système d’exploitation embarqué, vont attirer les attaquants comme un aimant. Les spécialistes de la sécurité ont déjà prouvé qu’il était possible d’attaquer les télévisions intelligentes, les équipements médicaux et les caméras de sécurité. Des attaques sur les moniteurs de bébé ont également été découvertes et, en Israël, un grand tunnel a dû être fermé à la circulation parce que des pirates étaient apparemment entrés sur le réseau informatique via le système de caméras de sécurité. De nombreux éditeurs de logiciels ont trouvé une solution pour avertir leurs clients et leur fournir des correctifs de vulnérabilité. Parfois, les sociétés qui créent de nouveaux appareils pour se connecter à Internet ne se rendent même pas compte qu’elles vont rapidement avoir un problème de sécurité. Ces systèmes ne sont pas seulement vulnérables face aux attaques, ils ne prévoient aucun moyen pour avertir les utilisateurs et les entreprises lorsqu’une attaque est détectée. Pire encore, il n’existe aucune méthode simple d’utilisation pour corriger ces nouvelles vulnérabilités. Les utilisateurs doivent donc s’attendre à l’arrivée de menaces inédites à ce jour.
L’Internet des objets s’insère de plus en plus dans notre quotidien, via les terminaux eux-mêmes, mais également à travers nos déplacements ou les services que nous consommons. Cet « Internet des vulnérabilités » concerne ainsi les récents développements technologiques promus et mis en place dans le secteur de l’énergie notamment, avec par exemple les compteurs intelligents. Ces vulnérabilités pourraient générer des retards dans leurs développements, ainsi que dans celui des « smart cities » et ainsi mettre en péril les données confidentielles d’administrations, d’entreprises et bien sûr de citoyens. En 2014, la protection des infrastructures critiques ne s’arrête ainsi plus aux centrales nucléaires, mais doit être désormais étendue à l’ensemble des infrastructures qui permettent un fonctionnement normal d’un pays et d’une économie.
Enfin, ce type de menaces doit être pris très au sérieux et aussi tôt que possible dans la chaine de production des objets connectés. C’est dès leur conception et tout au long de leur assemblage que la sécurité doit intervenir afin d’éviter des conséquences graves lors de leur connexion au réseau et de leur utilisation.
4. Les applications mobiles profiteront de l’insouciance des utilisateurs – les opérateurs télécoms et Internet, eux, ne doivent pas sous-estimer les possibles attaques contre leurs infrastructures.
Les utilisateurs font (généralement) confiance à la personne avec laquelle ils dorment. Il ne faut donc pas s’étonner si, 48 % des utilisateurs dormant avec leur smartphone se laissent berner par un (faux) sentiment de sécurité. En 2013, une application mobile censée rapporter des « J’aime » supplémentaires sur Instagram a fait son apparition. Il suffisait pour cela de communiquer son identifiant et son mot de passe à une personne située quelque part en Russie. Plus de 100 000 personnes n’ont rien trouvé à redire à cette proposition. Il est naturel de penser que, grâce aux terminaux mobiles et aux remarquables applications installées dessus, la vie des utilisateurs deviendra meilleure. Dès qu’il s’agit de l’appareil que nous avons dans la poche, le sac ou sur la table de nuit, l’utilisateur perd tout esprit critique. En 2014, les personnes malintentionnées vont profiter de cette aubaine, sans parler des applications malveillantes. En 2014, les applications mobiles elles-mêmes vont être à l’origine de canulars, arnaques et escroqueries en tous genres.
En 2014 également, les téléphones mobiles serviront encore à … passer des appels! Avec le développement de la VoIP et la dépendance accrue des particuliers, entreprises et états aux réseaux de communication, la protection des infrastructures de télécommunications sera nécessairement d’actualité, afin d’éviter des attaques telles que les TDoS (ou Telephony Denial of Service) ou autres tentatives d’interception ou de modification de conversations.
L’application développée par Prim’X permet de sécuriser, en le chiffrant, n’importe quel document que l’on souhaite garder confidentiel. Nous recevons aujourd’hui de plus en plus de documents administratifs personnels par email : factures (eau, énergie, téléphone etc.), relevés bancaires, etc. comportant des informations confidentielles que nous souhaitons garder secrètes.
Certains s’interrogent même sur le meilleur moyen de protéger leurs papiers administratifs en cas de sinistres. Il peut en effet s’avérer judicieux de préserver sous format électronique des copies de factures d’électroménager, de meubles ou bijoux, de ses différents contrats, etc. Le type même de documents à fournir à son assureur après un incendie ou un cambriolage par exemple. Les différents sites de Cloud bien connus (Dropbox, Google Drive, etc.) offrent gracieusement quelques Giga de stockage pour nos données personnelles. Mais, les récentes affaires d’espionnage, nous freinent dans cette démarche. La peur nous fait hésiter à déposer dans ces drives nos fichiers les plus confidentiels, mais qui pourtant pourraient être indispensables dans les situations les moins heureuses pour espérer être indemnisé.
Grâce à Zed! il est possible de protéger dans l’équivalent d’une valise diplomatique électronique tous ses documents scannés et de les stocker dans le Cloud pour y avoir accès en quelques clics et avec un seul mot de passe. L’application Zed! permet en effet de chiffrer les documents en les plaçant dans la valise diplomatique d’un simple copier/coller. Seul le propriétaire de la valise Zed! a accès au contenu et peut lire les fichiers. Zed! est gratuit en version limitée. La version complète est disponible à 35€. L’application est compatible avec n’importe quel service de Cloud (DropBox, Google Drive, SkyDrive, etc.) et les différents documents protégés peuvent être également ouverts depuis un Smartphone. Le fonctionnement est très simple.
Désormais en application Smartphone pour lire les archives .zed ou les emails chiffrés depuis son mobile. Version gratuite, disponible dès maintenant sur l’Apple Store et pour la fin 2013 sur Google Play Store. Toutes les versions de Zed! sont compatibles entre elles.
Quoi de plus sympathique qu’un bon gros phishing pour mettre la main sur les données privées et sensibles d’une cible. Les services secrets de sa gracieuse majesté britannique, le British Intelligence Agency GCHQ (Government Communications Headquarters) aurait utilisé de fausses pages du portail professionnel communautaire Linkedin pour mettre la main sur des données ciblées.
Une information que le magazine allemand Der Spiegel a révélé après l’analyse de documents secrets du GCHQ que l’ancien « analyste » Edward Snowden aurait volé. La première attaque connue visait le gouvernement belge et Belgacom, l’opérateur de télécommunication. Une fois le visiteur piégé par la fausse page Linkedin, un logiciel espion s’installait dans l’ordinateur des cibles de la GCHQ. L’objectif aurait été d’accéder au système de routeur GRX exploité par BICS pour intercepter le trafic téléphonique.
C’est quand même dingue de voir comment ces services secrets peuvent être bavards, dans leurs bureaux ; Ca n’étonne personne de savoir qu’un simple analyse « du privé » puisse accèder à autant d’informations variées !
En attendant, pour répondre aux écoutes probables de la NSA du trafic data de Yahoo! et Google, les deux géants de l’Internet viennent d’annoncer qu’ils allaient protéger leurs données internes. La CEO de Yahoo!, Marissa Mayer, a indiqué que les connexions de son groupe seraient désormais chiffrées.
Les bases de données, le nouveau jouet pour les pirates informatiques. Après ADOBE [lire], après MacRumors (860.000 comptes, ndr), voici le tour du site Loyalty build a se retrouver confronté à un vol de données numériques. Ce portail est spécialisé dans la fidélisation de clients pour de grandes enseignes comme AXA Irlande.
Loyalty build vient d’annoncer le passage d’un pirate dans ses entrailles numériques. Bilan, 1,2 millions d’inscrits se retrouvent avec leur vie privée dans les mains d’un inconnu. Emails, adresses physiques, numéros de téléphone. Pour 376.000 personnes, des suisses ou belges, les données bancaires sont à rajouter à la liste des données volées. Des informations financières… non chiffrées, ce qui est illégal en Europe.
Loyalbuild propose un système de fidélisation de clienteles. Voilà qui risque de lui faire mal ! Les entreprises affiliées viennent de fermer leur espace « Loyalbuild » afin de protéger leurs propres clients.
L’excellent outil OpenSSH permet de chiffrer les communications sur Internet. Une faille critique vient d’être corrigée. Sortez la rustine, la colle et votre plus beau sourire. OpenSSH, un outil qui offre la possibilité de chiffrer vos communications sur Internet, via le protocole SSH, vient de corriger une vulnérabilité considérée comme critique. « Une corruption de mémoire existe dans le processus de sshd post-authentification lors d’un chiffrement AES-GCM (AES128-GCM @ openssh.com ou aes256-gcm@openssh.com) » indique OpenSSH.
Si elle est exploitée, cette vulnérabilité pourrait permettre l’exécution de code avec les privilèges de l’utilisateur authentifié. La vulnérabilité a été identifiée par un développeur d’OpenSSH, Mark Friedl, le 7 Novembre.
Le correctif a immédiatement été mis en ligne. L’erreur est fixé dans OpenSSH version 6.4. Pour ceux qui veulent rester sous OpenSSH 6.2 et 6.3, des rustines sont disponibles.
Après le piratage de 38 millions de clients de l’éditeur ADOBE, une étude montre que les mots de passe des piratés sont aussi ridicules qu’inutiles. A se demander si le piratage de 38 millions de clients ADOBE n’est pas un moyen de communiquer auprès des clients et entreprises utilisatrices des produits de l’éditeur de Photoshop, Adobe Acrobat, ColdFusion. Des chercheurs, qui ont été mettre la main sur les données diffusées sur un forum russe, ont analysé les mots de passe volés à ADOBE. Des précieux appartenant donc à ses clients.
Jeremi Gosney, chercheur chez Stricture Consulting Group révèle une liste des 100 mots de passe les plus utilisés. Autant dire qu’il y a des claques qui se perdent : 1,9 million de comptes utilisaient comme sésame : 123456 ; plus de 400 000 : 123456789. On vous passe les mots de passe « password« , « 12345678 » ou encore « adobe123« . Bref, avec de telle sécurité pas besoin de voler une base de données ! (Developpez)
Une fuite Internet peut rapidement intervenir si on n’y prend pas garde. Un fichier mal maîtrisé, sauvegardé n’importe comment, et c’est rapidement la catastrophe. Google, ainsi que d’autres moteurs de recherche, ne font pas la différence entre le document Excel en libre accès reprenant les recettes de Tata Jeannette, et le fichier regroupant plusieurs dizaines de Centres Hospitaliers Français, avec logins et mots de passe, permettant d’accéder à un espace informatique sensible, celui des patients reçus par les Urgences. Google les voit, donc pour lui, ils sont « libres » d’être référencés, sauvegardés en cache.
Voilà la mésaventure qui vient de toucher une société Française spécialisée dans la création de solutions informatiques de gestion des dossiers patients dédiée aux urgences. Un lecteur, Kyle, nous a alerté de cette fuite complétement folle. Lors d’une cherche d’informations qu’elle ne fût pas son étonnement de se retrouver nez-à-nez face à un fichier Excel intitulé InfosEtContacts.xls.
Google avait sauvegardé les données.
Chaque CH avait son dossier.
Plusieurs moteurs de recherche avaient accès aux données.
Si les premières lignes ne m’ont pas paru des plus perturbantes, les suivantes auraient eu de quoi faire tomber en syncope le premier SAMU/SMUR qui passait par là. Dans ce fichier, une liste de Centres Hospitaliers (Régionaux/Universitaires/…) : Saône, Brive, Besançon, Belfort, Beauvais, Amiens, R/Yon, La Rochelle, Gueret, Gentilly, St Ame, Blanc Mesnil, Forbach, Epinal, Dole, Senlis, Rennes, Provins, Guadeloupe, Neuilly, Nancy, Lille, Montpellier, Metz ou encore Lunéville.
Ce fichier relatait, avant d’être effacé du web (et de la cache Google, Ndr), les accès à distance (avec login et mot de passe en clairs) ; la prise de contrôle des serveurs (ip, vnc, accès, …), ouverture de session (avec ip et identifiants de connexion). Dans certains cas, l’accès à des bases de données avec ip, login et mot de passe. Bref, des centaines d’informations qui auraient pu faire de gros dégâts dans les mains d’internautes malveillants. Heureusement, du moins nous l’espérons, aucun pirate n’est passé par là.
Dès la découverte de la « chose », nous avons alerté le CERT A, l’ANSSI et la CNIL via le protocole d’alerte de ZATAZ.COM. Comme à son habitude, le Centre d’Expertise gouvernemental de Réponse et de Traitement des Attaques informatiques a répondu à notre alerte au quart de tour. Nous avons attendu que la fuite soit colmatée afin de vous relater ce gros, très gros problème.
Comment une telle fuite peut-elle être possible ?
Un dossier, sur le site internet officiel de cette entreprise, non protégé par un login et mot de passe. Un simple htaccess aurait suffi à réclamer les précieux identifiants de connexion. Un contrôle d’accès très simple à mettre en place pourtant. Cela aurait empêché Google, et la planète web entière, d’accéder aux informations.
Autre possibilité de sécurisation, qui nous semble la plus efficace chez DataSecuritybreach.fr : ne pas sauvegarder ce genre de données sur un espace connecté à Internet, et encore moins quand ce dernier est … le site web lui-même.C’est un peu comme si la Banque de France déposait des lingots d’or sur une table, dans la rue, à l’entrée de son bâtiment. Pas évident que les petits blocs jaunes restent sur place bien longtemps.
Pour finir, il est fortement conseillé, c’est la CNIL qui l’écrit, de chiffrer ce genre de contenu et de le sauvegarder dans un espace non disponible/accessible d’un simple clic de souris.
Christophe Jochum a 24 ans. Cet informaticien Suisse vient de terminer une application web qui lui aura pris 5 mois de son temps. Baptisé Odin Secure Networking, l’outil a pour mission de protéger les internautes d’une cyber surveillance. « En vue des soucis actuels concernant l’écoute d’internet publique,indique à DataSecurityBreach.fr Christophe Jochum, j’ai développé une plateforme de discussion privée, cryptée, sans logs et ne retenant aucune informations sur les utilisateurs ou leurs messages« .
Voilà une idée intéressante, surtout qu’il devient de plus en plus difficile de garder une information confidentielle suite au politiques de confidentialité des entreprises telles que Google, Facebook, Microsoft etc… Pour rester dans la confidentialité et ne pas laisser de traces des échanges sur internet, il faut une bonne dose de connaissances informatiques (réseau Freenet, Tor, I2P), acquerir un service VPN (A noter l’excellent Vypr VPN). Autant dire que cela n’est pas obligatoirement simple.
Odin offre donc la possibilité de sécuriser un échange d’informations via un tchat. Odin permet à n’importe quel néophyte en informatique de dialoguer uniquement avec son interlocuteur, sans craindre la lecture d’une tierce personne ni une retenue d’informations. Grâce à plusieurs sécurités (de multiples encryptions à différentes étapes de la transmission du message et la suppression quasi instantanée des transactions encryptées), Odin s’annonce comme le seul service à ce jour permettant un total anonymat et une confidentialité absolue sur le web, et ce, tout en se situant sur le clear web. Odin est un projet en pleine évolution, plusieurs mises à jours sont en attente de publication.
Pour contrer l’espionnage mis en place par la NSA et son outil Prism, un chercheur Français lance Peersm : des échanges de fichiers de manière anonyme. Aymeric Vitte est un chercheur en informatique, ancien élève ingénieur à Telecom Paris, ce natif d’Aix en Provence, a travaillé pour Alcatel. Spécialiste du GSM, il a géré un grand nombre de projets en Amérique du Sud. Il a mis en place, par exemple, le premier réseau GSM au Brésil et travaillé sur des projets « Satellite » comme GlobalStar. Aujourd’hui il développe des solutions informatiques pour les entreprises et les professions libérales.
En parallèle, l’homme contribue régulièrement à W3C/WHATWG/TC39 et il est membre du groupe de travail WebCrypto W3C. Parmi ses projets personnels, Peersm, une idée dingue mais terriblement prometteuse : permettre l’échange de fichier sans aucune possibilité de traçage. Un anti Prism qui devrait voir arriver sa première application dans les semaines à venir.
Les points communs de tous ces projets est que la technologie est à l’intérieur du navigateur. Vous n’avez pas besoin d’installer quoi que ce soit. Tout est basé sur une mise en œuvre javascript du protocole Tor. Bref, des échanges de fichiers de manière anonyme et bases de données distribuées dans les navigateurs, sans rien installer puisque l’application anonymisante est une appli js. Interview !
DataSecurityBreach.fr – Parlez nous de votre projet. Pourquoi Peersm ?
Aymeric Vitte – Peersm versus Prism en inversant le r, d’où le nom, difficile de trouver un nom de domaine avec ‘peer’ ou ‘peers’ dedans, j’ai finalement trouvé Peersm, le contraire de Prism.
DataSecurityBreach.fr – Pourquoi cette idée ?
Aymeric Vitte – Pour échanger des fichiers sans passer par des tiers et en contournant d’éventuelles oreilles indiscrètes, avec tout dans le navigateur, pour ne pas avoir à installer quoique ce soit et éviter des applis pseudo anonymisantes ou sécurisantes genre VPN ou autres, j’explique sur le site pourquoi on peut avoir confiance. Il y a beaucoup de cas d’utilisation, bons ou mauvais, le jugement étant laissé à l’appréciation de chacun (sachant qu’on ne tient pas du tout aux utilisations criminelles, pédo et autres, d’où le fait que ce soit modestement payant si ça peut aider à éviter ces dérives), cas d’utilisation vécu: au cours d’une réunion de famille où j’ai passé deux heures à expliquer à tout le monde les fondements d’iAnonym (souviens toi : tracking, collusion, vie privée, anonymité, etc ), le soir même un proche met toutes les photos sur un site pour qu’on les télécharge… no comment… c’est exactement ce qu’il faut éviter de faire et que j’ai passé l’après midi à expliquer
Aymeric Vitte – L’innovation encore une fois est de tout avoir dans les navigateurs et de partager les données entre peers dans les navigateurs. 1,5 Milliards de navigateurs dans le monde, imaginez ce que l’on peut faire…. L’idée n’est pas notre exclusivité pour la base de données distribuée, je donne des exemples d’autres projets sur le site. L’OP js Tor dans le navigateur qui se connecte à Tor via les WebSockets est lui notre exclusivité.
DataSecurityBreach.fr – Qu’est ce qui garantie la sécurité des échanges ?
Aymeric Vitte – Personne ne sait qui parle à qui et ce qui est échangé, on peut aussi crypter ses données si vraiment on n’a pas confiance en ce que fait l’ORDB. Ca ressemble un peu à MEGA sur ces aspects.
DataSecurityBreach.fr – Evolution du projet ?
Aymeric Vitte – Une version bétâ bientôt avec de vrais utilisateurs/testeurs, on verra ensuite selon les avis/résultats (crowdfunding again ?). Pour l’instant je ne sais pas dire précisément combien un ORDB peut gérer d’utilisateurs.
DataSecurityBreach.fr – En cette période ou l’on voit la NSA partout, la sécurisation des échanges, une vraie problématique ?
Aymeric Vitte – Oui d’autant plus que l’on ne peut pas faire confiance à https/SSL/TLS.
Aymeric Vitte – Parce que c’est ce dont tout le monde parle pour des échanges peer to peer directement dans les navigateurs et il y a plusieurs projets concernant les échanges de fichiers avec WebRTC, sur le site je tente de définir une architecture WebRTC qui pourrait fonctionner avec les concepts de Peersm, le schéma montre que ce n’est pas possible, WebRTC peut être sécurisé si les peers se connaissent et peuvent partager ou générer un secret, sachant que l’on sait toujours quand même qu’un peer se connecte (serveurs ICE STUN/TURN) ce qui est gênant. Maintenant l’avantage est une utilisation réellement peer to peer sans un serveur qui relaie les messages, comme les torrents, mais on en connait le prix : impossible de protéger sa vie privée et son anonymité.
Durant mes différents déplacements à l’étranger, j’aime me promener dans les espaces informatiques mis à disposition par les hôtels. De beaux ordinateurs des hôtels connectés à Internet, gratuitement. Si l’idée est intéressante, elle permet de rester connecter avec la famille, ses emails, la dangerosité de l’occasion offerte est à rappeler. Depuis le mois de juin, j’ai eu la chance de me promener par « monts et par vaux » pour zataz.com, zatazweb.tv, datasecuritybreach.fr ou mes employeurs, de l’Espagne au Maroc en passant par la Tunisie, l’Angleterre, la Belgique ou encore l’Île Maurice et le Québec. Dans les hôtels qui ont pu m’accueillir, des connexions web (payantes et/ou gratuites) et des machines mises à disposition. PC ou Mac, bref, des liens de connexion avec son monde familial… ou professionnel. Aussi paranoïaque que je puisse éviter de l’être, il ne me viendrait pas à l’idée de me connecter à ces machines pour le travail. A première vue, beaucoup de « vacanciers » ou « d’employés » n’ont pas mes craintes.
Il est mignon Monsieur Pignon…
Du 1er juin 2013 au 24 octobre 2013 j’ai pu étudier 107 ordinateurs en accès libres. 37 Mac et 70 PC. J’ai pu mettre la main sur 25.811 documents que je considère comme sensibles. Sensibles car ils auraient pu permettre à un pirate informatique, je ne parle même pas de l’ambiance « Les services secrets étrangers nous surveillent », d’identifier et usurper une identité, une fonction, des projets professionnels.
Ci-dessous, quelques documents que j’ai pu croiser. Il s’agit, ici, de captures d’écrans effectuées avec mon appareil photo. L’ensemble des fichiers ont été effacés après mes découvertes et les directions des hôtels alertées, histoire de coller quelques affiches, ici et là, sur les mesures que les clients devraient prendre lors de leurs pérégrinations informatiques.
En déplacement, sortez armés lors de l’utilisation des ordinateurs des Hôtels
Je peux comprendre, je suis le premier concerné, qu’en déplacement, le besoin de rester connecter se fait rapidement sentir. Un petit coucou à la famille restée à la maison, aux courriels du patron ou quelques mises à jour sur son site web et autres blogs. Seulement, il n’est pas toujours évident de se promener avec son ordinateur portable sous le bras. Si c’est le cas, voyez nos méthodes de sécurisation physiques et numériques de votre – Précieux -. Prudence, aussi, aux connexions wifi offertes dans les hôtels. Dans la foulée de mes voyages, se promènent toujours avec moi, mes Pirates Box @zataz. Pourtant baptisées PirateBox, donc de quoi inquiéter ceux qui ne connaissent pas cette merveilleuse petite amie numérique, j’ai pu découvrir pas moins de 54.291 fichiers privés (80% de photos, ndlr) téléchargés par des inconnus. Je vous passe la possibilité malveillante d’une PirateBox Man-in-the-middle s’annonçant comme un « Hotel-Free-Wifi » ou « Starbux-Wifi-Free« . Il ne reste plus qu’à collecter les données sensibles transitant entre le « touriste » et le site qu’il visite. Pour éviter de se voir gober comme un gros Ananas, la sécurisation de vos connexions est une obligation. Un service VPN est indispensable en déplacement.
Nous utilisons pour ZATAZ, DataSecurityBreach ou pour mes autres employeurs l’excellent VyprVPN, ainsi que de nombreux systèmes d’anonymisation et chiffrement de données. Présent sur les 5 continents, plus de 200.000 IP et un pare-feu NAT loin d’être négligeable. Les pirates et les bots malveillants cherchent sur Internet les appareils non protégés qu’ils peuvent utiliser pour le vol d’identité et les messages indésirables. Ils accèdent à votre système par les connexions Internet qui sont ouvertes sur vos applications. En utilisant ces connexions, ils peuvent installer des malwares et voler vos informations personnelles. Le pare-feu NAT empêche leur recherche d’atteindre votre appareil ou ordinateur quand vous vous connectez avec VyprVPN. Autre service, celui-ci est Français, ActiVPN.
Ordinateurs des Hôtels
Autres solutions, chiffrer vos informations communiquées. OpenPGP, GPG, … sont d’excellents outils qui en cas d’oubli de fichiers dans une machine étrangère (chose impensable, mais bon, ndlr datasecuritybreach.fr) évitera qu’un inconnu puisse y accéder. Nous finirons avec l’outil de la société française Gith Security Systems. Elle tente d’offrir une réponse en proposant «Gith», la première plateforme gratuite de communications sécurisées sur Internet, destinée au grand public, PME et professions libérales. Pour simplifier le processus, Gith se présente sous la forme d’une application à installer, disponible sous Windows, Mac OS, Linux et prochainement iPhone/Android. Gith permet d’échanger des Emails, partager des documents («Cloud sécurisé») et faire du chat avec les autres utilisateurs. Une sécurité bien présente, mais totalement invisible. Toutes les données sont chiffrées de bout en bout, avec les meilleurs algorithmes actuels (RSA 2048, AES 256). Même en cas de vol de votre ordinateur ou infection par un virus, vos données sont inaccessibles : elles sont stockées chiffrées sur votre machine. La sauvegarde de votre clef secrète de chiffrement sous forme de QRCode vous permet facilement d’importer votre compte sur un autre ordinateur ou votre smartphone ! Nous utilisons cette solution. Elle mérite clairement d’être découverte et exploitée. A noter que Gith a été sélectionné pour l’opération 101 projets de Xavier Niel, Marc Simoncini et Jacques-Antoine Granjon. Le 18 novembre, présentation de Gith, en 1 minute, et tenter de décrocher 25k € de financement.
Bref, mes solutions de protection de vos données, en déplacement, ne sont pas infaillibles, mais devraient vous rappeler que le libre accès n’est pas la meilleure idée pour vos données privées. Et les ordinateurs des Hôtels font parti de ces fuites potentielles.
Fuites de données : la réputation des entreprises en danger via les ordinateurs des Hôtels
La grande majorité des entreprises qui doivent faire face à un problème de sécurité sont contraintes de révéler publiquement cette information, comme le révèle l’étude Global Corporate IT Security Risks 2013 menée par Kaspersky Lab auprès de 2 895 organisations à travers le monde. Les résultats sont sans appel. 44% des entreprises ayant été victime d’une fuite de données sont dans l’obligation d’informer leurs clients de l’incident, 34% informent leurs partenaires, 33% informent leurs fournisseurs, 27% remontent les fais à un organisme de contrôle ou de régulation, 15% doivent en informer les médias. A l’échelle mondiale, les grandes entreprises seraient les plus touchées. La législation change en faveur des internautes comme nous la nouvelle directive européenne votée le 12 août dernier.
La NSA a toujours été à l’écoute de ses alliés et des pays non alliés dans le cadre de la lutte anti-terroriste. Rappelons que lors de la découverte du programme Echelon en 2000, la classe politique française et européenne avait été choquée par cette découverte. Voyons messieurs les politiciens ! Echelon surveillait tout et tout le monde bien avant les années 2000, entre autres : les communications téléphoniques, les fax et les communications électroniques, celles qui transitent par ondes radio, voies hertziennes, satellites, câbles, fibres optiques, sans oublier, bien sûr, les réseaux informatiques.
Et les services français ne sont pas en reste. A la même époque, ils avaient développé leur propre système d’écoute, basé également sur Echelon, mais ne disposaient pas des mêmes moyens pour avoir une panoplie d’outils aussi large. Les entreprises comme Airbus, Thomson-CSF, Siemens, Wanadoo, Alcatel-Lucent et autres, ont toujours subi ce genre d’espionnage industriel. A l’heure où la France lance rapports sur rapports, livres blancs sur la défense et la sécurité nationale (2008 et 2013), tous abordant les questions concernant notre capacité de cyber défense, notre allié a affiné son programme d’écoute Prism et s’adapte aux nouveaux outils technologiques disponibles dans le monde. Il a ainsi créé un ensemble d’outils lui permettant d’effectuer des recherches de masse avec son moteur XKeyscore, alimenté par les différents programmes développés par la NSA (FairView, Evilolive, Prism), associés à sa capacité de surveillance des câbles sous-marins grâce à Upstream.
La NSA possède cette capacité phénoménale d’enregistrer l’ensemble du trafic mondial sur ses propres data center, lui donnant la possibilité de stocker ainsi cinq zettaoctets de données dans un seul de ses centres basé dans l’Utah. Pour comparaison, cela qui équivaut à la capacité de stockage de 250 milliards de DVD. Aujourd’hui, la question n’est plus de savoir ce qui est écouté, mais de mettre en évidence l’ensemble des techniques utilisées dans le cadre de l’espionnage ; les implications réelles des constructeurs et éditeurs de solution IT, et des opérateurs de télécommunications ; l’implication des sociétés de services de type Skype, Google, Facebook, Microsoft, etc. Avec l’avènement du Cloud Computing et du Big Data, des questions doivent être posées sérieusement.
Après les révélations d’espionnage, le Parlement demande la suspension temporaire de l’accord SWIFT. Après les tergiversations du Parti Populaire Européen qui a demandé un report du vote sans l’obtenir, les eurodéputés ont finalement adopté à une courte majorité (280 pour, 254 contre) une résolution demandant la suspension de l’accord SWIFT avec les États-Unis. En vertu de l’accord UE/États-Unis sur le Programme américain de pistage des financements terroristes (TFTP), approuvé en juillet 2010 par le Parlement européen, les autorités américaines peuvent avoir accès aux données bancaires européennes stockées sur le réseau de la société SWIFT (Society for Worldwide Interbank Financial Telecommunication), aux seules fins de lutte contre le terrorisme et dans le respect de certaines exigences de protection de la vie privée des citoyens.
Les médias brésiliens ont révélé le 8 septembre dernier que la NSA est capable d’entrer dans le système SWIFT depuis 2006, malgré les cryptages et les pare-feu. À l’occasion du débat du 9 octobre dernier en plénière, la Commission avait indiqué ne pas souhaiter, à ce stade, demander la suspension de l’accord SWIFT, car elle estimait qu’elle ne disposait d’aucune preuve selon laquelle les États-Unis auraient frauduleusement accédé à ce système.
Pour Françoise Castex, c’est inacceptable: « Il existe, selon nous, des indications claires selon lesquelles la NSA pourrait récupérer des informations relatives à nos entreprises et à nos concitoyens sur le serveur SWIFT et les détourner. Nous appelons les 28 à suspendre cet accord, le temps de faire toute la lumière sur cette affaire. Nous demandons, en outre, à EUROPOL d’ouvrir une enquête sur l’accès non autorisé aux données financières de paiement. »
Pour l’eurodéputée socialiste: « A partir du moment où votre partenaire vous espionne, la confiance est rompue. »Avant d’ajouter: « Depuis avril, je demande la suspension des accords PNR et SWIFT avec les USA. L’Europe devrait aller plus loin en gelant les négociations sur l’accord de libre-échange avec les États-Unis! ». De conclure: « Le respect des droits fondamentaux des citoyens européens doit être une condition préalable à tout accord! ». (Par Jean-François Beuze, Président de Sifaris et Madame La Député Françoise Castex pour DataSecurityBreach.fr)
