Archives de catégorie : Chiffrement

Base de données, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Emploi, Entreprise, Fuite de données, ID, Identité numérique, Leak, Linkedin, Particuliers, Piratage

Notification d’infraction aux données : linkedIn

La société LinkedIn vient de communiquer sur son « problème » de fuite de données. Voici ses propos et sa notification d’infraction aux données.

« Vous avez pu récemment entendre parler de problème de sécurité à LinkedIn. Nous souhaitions nous assurer que vous disposiez des faits réels, des données concernées et des mesures que nous prenons pour vous protéger.

Que s’est-il passé ?
Le 17 mai 2016, nous avons découvert que des données volées en 2012 de LinkedIn ont été mises à disposition en ligne. Il ne s’agit pas d’une nouvelle infraction ou d’un hack. Nous avons pris des mesures immédiates pour invalider tous les mots de passe des comptes que nous estimons affectés. Il s’agit des comptes créés avant 2012 qui n’avaient pas mis leur mot de passe à jour après l’infraction.

Quelles sont les données concernées ?
Les adresses e-mail des membres, les mots de passe chiffrés et l’ID LinkedIn (identifiant interne attribué à chaque profil de membre) de 2012.

Nos mesures
Nous avons invalidé les mots de passe de tous les comptes créés avant l’infraction de 2012 qui n’avaient pas réinitialisé les mots de passe depuis. De plus, nous utilisons des outils automatiques pour identifier et bloquer toute activité suspicieuse qui se produirait sur les comptes LinkedIn. Nous collaborons également avec les forces de l’ordre.

LinkedIn a pris des mesures importantes depuis 2012 pour renforcer la sécurité des comptes. Nous avons ajouté des couches de protection supplémentaires au stockage des mots de passe et offrons la possibilité à nos membres d’activer la vérification en deux étapes pour plus de sécurité.

Vos options
Nous avons plusieurs équipes dédiées à la sécurité des données confiées par nos membres à LinkedIn. De votre côté, pour renforcer la sécurité de vos comptes, nous vous suggérons d’accéder au Centre de sécurité pour apprendre à activer la vérification en deux étapes et à créer des mots de passe résistants. Nous recommandons que vous changiez régulièrement de mot de passe et que si vous utilisez des mots de passe similaires, ou les mêmes, sur d’autres sites web, vous les changiez aussi.

Pour plus d’informations
Si vous avez des questions, veuillez contacter notre équipe Sécurité tns-help@linkedin.com. Pour en savoir plus, lisez notre blog officiel. »

Chiffrement, cryptage, cryptolocker, Cybersécurité, ransomware

Ransomware: +30% d’attaques en 3 mois

Le ransomware a dépassé les attaques de type APT (menaces persistantes avancées) pour devenir le principal sujet d’actualité du trimestre. 2900 nouvelles variantes de malwares au cours de ces 92 jours.

Selon le rapport de Kaspersky Lab sur les malwares au premier trimestre, les experts de la société ont détecté 2900 nouvelles variantes de malwares au cours de cette période, soit une augmentation de 14 % par rapport au trimestre précédent. 15 000 variantes de ransomware sont ainsi dorénavant recensés. Un nombre qui va sans cesse croissant. Pourquoi ? Comme j’ai pu vous en parler, plusieurs kits dédiés aux ransomwares sont commercialisés dans le blackmarket. Autant dire qu’il devient malheureusement très simple de fabriquer son arme de maître chanteur 2.0.

Au premier trimestre 2016, les solutions de sécurité de l’éditeur d’antivirus ont empêché 372 602 attaques de ransomware contre leurs utilisateurs, dont 17 % ciblant les entreprises. Le nombre d’utilisateurs attaqués a augmenté de 30 % par rapport au 4ème trimestre 2015. Un chiffre à prendre avec des pincettes, les ransomwares restant très difficiles à détecter dans leurs premiéres apparitions.

Locky , l’un des ransomwares les plus médiatisés et répandus au 1er trimestre
Le ransomware Locky est apparu, par exemple, dans 114 pays. Celui-ci était toujours actif début mai. Un autre ransomware nommé Petya est intéressant du point de vue technique en raison de sa capacité, non seulement à crypter les données stockées sur un ordinateur, mais aussi à écraser le secteur d’amorce (MBR) du disque dur, ce qui empêche le démarrage du système d’exploitation sur les machines infectées.

Les trois familles de ransomware les plus détectées au 1er trimestre ont été Teslacrypt (58,4 %), CTB-Locker (23,5 %) et Cryptowall (3,4 %). Toutes les trois se propagent principalement par des spams comportant des pièces jointes malveillantes ou des liens vers des pages web infectées. « Une fois le ransomware infiltré dans le système de l’utilisateur, il est pratiquement impossible de s’en débarrasser sans perdre des données personnelles. » confirme Aleks Gostev, expert de sécurité en chef au sein de l’équipe GReAT (Global Research & Analysis Team) de KL.

Une autre raison explique la croissance des attaques de ransomware : les utilisateurs ne s’estiment pas en mesure de combattre cette menace. Les entreprises et les particuliers n’ont pas conscience des contre-mesures technologiques pouvant les aider à prévenir une infection et le verrouillage des fichiers ou des systèmes, et négligent les règles de sécurité informatique de base, une situation dont profitent les cybercriminels entre autres. Bref, trop d’entreprise se contente d’un ou deux logiciels de sécurité, se pensant sécurisées et non concernées. L’éducation du personnel devrait pourtant être la priorité des priorités.

Android, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Mise à jour, Piratage, Smartphone, Téléphonie

Forte hausse des applications Android malveillantes

Les applications Android malveillantes et les ransomwares dominent le paysage des menaces au 1er trimestre 2016.

La société Proofpoint a publie son Rapport trimestriel sur les menaces, qui analyse les menaces, les tendances et les transformations observées au sein de notre clientèle et sur le marché de la sécurité dans son ensemble au cours des trois derniers mois. Chaque jour, plus d’un milliard de courriels sont analysés, des centaines de millions de publications sur les réseaux sociaux et plus de 150 millions d’échantillons de malwares afin de protéger les utilisateurs, les données et les marques contre les menaces avancées. On apprend, entre autres, que 98 % des applications mobiles malveillantes examinées au 1er trimestre 2016 ont ciblé des appareils Android. Cela demeure vrai en dépit de la découverte médiatisée d’un cheval de Troie pour iOS et de la présence persistante d’applications iOS ou officieuses dangereuses. Les applications Android malveillantes sont de plus en plus nombreuses.

75 % des attaques de phishing véhiculées par des e-mails imposteurs comportent une adresse «répondre à » usurpée afin de faire croire aux destinataires que l’expéditeur est une personne représentant une autorité. Ce type de menaces est de plus en plus mature et spécialisé, et c’est l’un des principaux ciblant les entreprises aujourd’hui, qui leur auraient coûté 2,6 milliards de dollars au cours des deux dernières années selon les estimations.

Applications Android malveillantes

Les ransomwares se sont hissés aux premiers rangs des malwares privilégiés par les cybercriminels. Au 1er trimestre, 24 % des attaques par e-mail reposant sur des pièces jointes contenaient le nouveau ransomware Locky. Seul le malware Dridex a été plus fréquent.

L’e-mail reste le principal vecteur de menaces : le volume de messages malveillants a fortement augmenté au 1er trimestre 2016, de 66 % par rapport au 4ème trimestre 2015 et de plus de 800 % comparé au 1er trimestre 2015. Dridex représente 74 % des pièces jointes malveillantes.

Chaque grande marque analysée a augmenté ses publications sur les réseaux sociaux d’au moins 30 %. L’accroissement du volume des contenus générés par les marques et leurs fans va de pair une accentuation des risques. Les entreprises sont constamment confrontées au défi de protéger la réputation de leurs marques et d’empêcher le spam, la pornographie et un langage grossier de polluer leur message.

Les failles de Java et Flash Player continuent de rapporter gros aux cybercriminels. Angler est le kit d’exploitation de vulnérabilités le plus utilisé, représentant 60 % du trafic total imputable à ce type d’outil. Les kits Neutrino et RIG sont également en progression, respectivement de 86 % et 136 %. (ProofPoint)

Chiffrement, Cyber-attaque, Cybersécurité, Leak, Mise à jour, Patch, Piratage, ransomware

Développement rapide des cybermenaces sur mesure

Des cybermenaces régionalisées, avec des langues, des styles et des méthodes de paiement locaux.

Une étude menée par les SophosLabs, de l’éditeur de solution de sécurité informatique éponyme, indique une tendance à l’augmentation, chez les cybercriminels, du ciblage et de la sélection spécifique de certains pays lors de la conception de leurs ransomwares et autres cyberattaques malveillantes. Cette étude intègre des informations émanant de plus d’un million de systèmes de par le monde qui ont été analysées.

Afin d’atteindre davantage de victimes avec leurs attaques, les cybercriminels conçoivent aujourd’hui des spams sur-mesure pour déployer leurs menaces en utilisant un langage, des styles et des méthodes de paiement locaux, pour une meilleure compatibilité culturelle. Les ransomwares sont malicieusement déguisés en authentiques notifications par email, en imitant des logos locaux, pour plus de crédibilité, plus de probabilité d’être cliqués et une meilleure rentabilité pour les cybercriminels. Afin d’avoir la meilleure efficacité possible, ces spams par email imitent par exemple l’agence postale locale, les services des impôts ou de police, les entreprises fournissant l’eau, le gaz, l’électricité, en utilisant des fausses confirmations d’envoi et de remboursement, de fausses amendes pour excès de vitesse, ou encore de fausses factures d’électricité. Une augmentation notable des spams dans lesquels les textes sont mieux orthographiés et ponctués, avec une meilleure structure grammaticale. « Vous devez faire davantage attention pour différencier les faux emails des vrais », déclare Chester Wisniewski, Senior Security Advisor chez Sophos à DataSecurityBreach.fr. « Etre au courant des tactiques et techniques utilisées dans votre région ou pays devient un aspect fondamental de la cybersécurité ».

Les experts ont aussi repéré une tendance nette à l’apparition de différents types de ransomwares qui ciblent des lieux spécifiques. Les différentes versions de CryptoWall frappent en priorité les Etats-Unis, le Royaume-Uni, le Canada, l’Australie, l’Allemagne et la France. TorrentLocker attaque principalement le Royaume-Uni, l’Italie, l’Australie et l’Espagne et TeslatCrypt, quant à lui, sévit au Royaume-Uni, aux Etats-Unis, au Canada, à Singapour et en Thaïlande. Les analyses montrent également le TER[1] (Threat Exposure Rates) par pays, sur les 3 premiers mois de 2016. Bien que les économies des pays occidentaux soient une cible principale, leurs TER sont plutôt faibles. Les pays classés avec un TER faible sont la France avec 5.2%, le Canada avec 4.6%, l’Australie avec 4.1%, les Etats-Unis avec 3%, et le Royaume-Uni avec 2.8%. L’Algérie avec 30.7%, la Bolivie avec 20.3%, le Pakistan avec 19.9%, la Chine avec 18.5% et l’Inde avec 16.9%, sont les pays avec les plus forts pourcentages de systèmes exposés à des attaques par malwares. ZATAZ.COM avait été l’un des premiers blog dédié à la protection numérique à annoncer la vente de « kit » pirate de création de ransomware.

« Même le blanchiment d’argent est ciblé géographiquement afin d’être plus lucratif. L’utilisation des cartes de crédit peut s’avérer risquée pour les cybercriminels. Ils ont ainsi commencé à utiliser des méthodes de paiement anonymes sur Internet, afin d’extorquer de l’argent à leurs cybervictimes via les ransomwares », a déclaré Wisniewski à Data Security Breach. « Nous avons pu observer des cybercriminels utiliser les équivalents locaux de cartes de paiement en ligne ou en magasin, telles que la carte prépayée Green Dot MoneyPak chez Walgreens aux Etats-Unis, ou encore Ukash, à présent paysafecard, utilisée dans plusieurs magasins au Royaume-Uni ». L’idée de sélectionner des pays en particulier est aussi ressortie de l’étude comme une tendance forte.

Les cybercriminels programment leurs attaques afin d’éviter certains pays ou certains types de clavier avec un langage particulier. Un phénomène qui apparaît pour plusieurs raisons. Il peut s’agir de la volonté des cybercriminels que ces attaques ne se produisent pas à proximité du point d’envoi, afin d’éviter toute détection. Il peut s’agir aussi d’un sentiment de fierté nationale, ou encore d’une stratégie conspirationniste afin de créer le doute à propos d’un pays en particulier, en l’épargnant lors du lancement de l’attaque.

Les banques sont un bon exemple de l’utilisation par les cybercriminels de malwares ciblant un endroit en particulier pour augmenter leurs gains. L’étude révèle, en effet, comment de manière historique les Trojans et malwares utilisés pour infiltrer les banques ou les institutions financières convergent vers des régions spécifiques :

·         Brazilian Banker Trojans et ses variantes ciblent le Brésil.
·         Dridex est présent davantage aux États-Unis et en Allemagne.
·         Trustezeb se rencontre plus dans les pays germanophones.
·         Yebot est populaire à Hong Kong et au Japon.
·         Zbot est plus répandu aux États-Unis, au Royaume-Uni, au Canada, en Allemagne, en Italie, en Espagne et au Japon.

Il existe une véritable industrie artisanale visant à créer des Trojans sur-mesure, prenant pour cible uniquement les banques brésiliennes. Maintenant que les cybercriminels créent des menaces qui semblent vraiment authentiques et qui sont ciblées, il est de plus en plus difficile de reconnaitre les spams malveillants. Les utilisateurs de PC domestiques sont souvent les cibles de telles attaques et doivent protéger leurs systèmes vis-à-vis de ces menaces sophistiquées.

Bitcoin, Chiffrement, cryptage, Cybersécurité, ransomware, Social engineering

Ransomwares : règles pour ne pas finir chiffré

Le ransomware est un logiciel malveillant qui infecte les équipements connectés, les réseaux et les centres de données. Ces derniers ne peuvent plus être utilisés tant qu’une rançon n’a pas été payée pour débloquer les systèmes infectés. Des attaques qui se sont démultipliées ces derniers mois.

Le ransomware existe depuis au moins 1989, à l’époque où le cheval de troie “PC Cyborg” cryptait des dossiers sur un disque dur et forçait les utilisateurs à payer 189 $ pour les récupérer. Depuis, les attaques de type ransomware sont devenues beaucoup plus sophistiquées, ciblées, et bien sûr lucratives. Même si ce protéger est dès plus simple (réflexion, éducation, anticipation), les attaques ont démontré que les internautes n’étaient toujours pas prêts face à un courriel mystérieux.

L’impact et la toxicité d’un ransomware sont difficiles à évaluer, car de nombreuses sociétés choisissent tout simplement de payer pour récupérer leurs données, une démarche qui n’est pas toujours la plus pertinente. Un rapport portant sur la campagne liée au ransomware Cryptowall v3, datant d’octobre 2015 et réalisé par la Cyber Threat Alliance, estimait que le coût engendré par cette seule attaque d’envergure ressortait à 325 millions de dollars.

Un ransomware utilise des modi operandi différents. Un crypto ransomware peut contaminer un système d’exploitation au point d’empêcher l’équipement de démarrer. D’autres ransomware vont crypter un lecteur ou un ensemble de fichiers et de dossiers. Certaines variantes, particulièrement malveillantes, disposent d’un minuteur qui déclenche la suppression des fichiers jusqu’au paiement de la rançon. Quelle que soit la variante, les ransomware exigent le règlement d’une rançon afin de débloquer ou libérer les systèmes informatiques, fichiers ou données verrouillés ou chiffrés.

Comment est-on infecté ?

Un ransomware peut être inoculé de différentes manières, mais, le plus souvent, il prend la forme d’un fichier infecté joint à un email. Par exemple, aujourd’hui, vous avez peut-être reçu un email prétendument envoyé par votre banque. Il comporte le bon logo, des liens URL vers votre véritable banque et votre nom. Le message vous indique qu’une activité suspecte a été détectée sur votre compte bancaire, et que vous devez installer le fichier joint à l’email afin de vérifier vos codes d’accès à votre compte en ligne. Ces vérifications semblent légitimes, mais il s’agit, en réalité, d’une attaque par phishing.

Vous le savez : aucune banque ne se permettrait d’envoyer un fichier à installer, surtout s’il s’agit de vérifier vos identifiants d’accès bancaire. En réalité, le document joint est vérolé par un ransomware dont l’objectif est de s’installer sur votre système d’exploitation si vous cliquez dessus.

Les documents joints aux emails ne constituent néanmoins pas les seuls leviers de contamination. Le téléchargement “drive-by” en est un autre : l’utilisateur visite un site web infecté et télécharge furtivement un logiciel malveillant qui s’installe à l’insu de l’utilisateur. Le ransomware se propage également via les réseaux sociaux ou les applications web de messagerie instantanée. Enfin, récemment, ce sont des serveurs web vulnérables qui ont été exploités pour servir de point d’entrée vers le réseau d’une entreprise.

Comment ne pas se faire piéger ?

Voici dix conseils pour protéger vos données et celles de votre entreprise des ravages d’un ransomware.

1.       Mettre en place une stratégie de sauvegarde et de restauration. Sauvegardez vos données régulièrement et stockez-les offline, sur un équipement autre que celui que vous utilisez.

2.       Utilisez des outils professionnels de sécurité email et web, capables d’analyser les documents joints aux emails, les sites web visités, les fichiers infectés par des logiciels malveillants, et qui peuvent bloquer des publicités potentiellement dangereuses, ainsi que l’accès à des sites et réseaux sociaux qui ne présentent aucun intérêt dans le cadre du travail. Ces outils doivent intégrer les fonctionnalités d’une sandbox de manière à ce qu’un fichier, nouvellement identifié ou non reconnu, puisse être exécuté et analysé dans un environnement sécurisé et cloisonné.

3.       Faites en sorte que vos systèmes d’exploitation, équipements et logiciels soient patchés et à jour.

4.       Assurez-vous que vos équipements, antivirus réseau, systèmes de prévention d’intrusion et outils antimalware bénéficient des mises à jour les plus récentes.

5.       Si possible, utilisez une liste d’applications qui empêchera les applications non conformes d’être téléchargées ou exécutées.

6.       Segmentez votre réseau en zones de sécurité, pour empêcher une infection présente dans une zone de se propager à d’autres.

Établissez et appliquez des autorisations et privilèges d’accès, de manière à ce qu’un nombre restreint d’utilisateurs présente le potentiel de contaminer les applications métiers, les données ou les services critiques.

8.       Établissez et mettez en vigueur une politique de sécurité qui va encadrer le BYOD (Bring your Own Device), afin d’inspecter et de désactiver les dispositifs non conformes à vos exigences de sécurité (absence d’anti-malware, signatures antivirales périmées, systèmes d’exploitation non patchés, etc.).

9.       Déployez des outils d’analyse post-incident pour analyser, suite à une attaque, l’origine de la menace, le délai de présence (et donc de nocuité) du logiciel malveillant au sein de votre environnement, la suppression réelle de la menace de chaque équipement et garantir que cette mésaventure ne peut se reproduire.

10.   ESSENTIEL: ne comptez PAS sur vos collaborateurs pour assurer la sécurité de votre entreprise. Même s’il est important de les sensibiliser davantage à la sécurité aux travers de formations (afin qu’ils apprennent à ne pas télécharger de fichiers, cliquer sur des pièces jointes à des emails suspects ou sur des liens internet non sollicités). L’être humain reste le maillon faible de votre chaîne de sécurité, et vous devez en tenir compte.

En effet, pour nombre de vos collaborateurs, cliquer sur des documents joints et faire des recherches sur Internet font partie de leur travail. Il est difficile d’être toujours méfiant. D’autre part, les attaques de type phishing sont devenues très convaincantes. Une attaque par phishing ciblée se sert de données disponibles en ligne et de profils sur les réseaux sociaux pour personnaliser son approche. Notons également qu’il est humain de cliquer naturellement sur une facture inattendue à régler, ou sur un message d’alerte provenant de votre banque. Enfin il ressort de nombreuses études que les utilisateurs ont le sentiment qu’assurer la sécurité est le travail de quelqu’un d’autre, mais certainement pas le leur.

Que faire si vous êtes contaminé ?

Si vous disposez d’une sauvegarde récente de vos données : vous pouvez effacer le contenu de votre équipement et procéder à la restauration.

1. Signalez le délit

Une recherche rapide en ligne vous mènera vers le site où signaler les cybercrimes dans votre pays ou région. En Europe, vous pouvez localiser le site de signalement des cybercrimes de votre pays à cette adresse.

2. Payer une rançon ne constitue pas une garantie

Payer une rançon ne garantit pas la restitution des fichiers. Les escrocs, en revanche, perçoivent les fonds et, dans certains cas, disposent des informations bancaires de leur victime. De plus, décrypter des fichiers ne signifie pas que le phénomène de contagion lié au logiciel malveillant a été éradiqué.

3. Faites appel à des experts

De nombreux systèmes d’exploitation, logiciels et solutions de sécurité sont fournis pas des acteurs qui comptent dans leurs équipes des experts capables de vous prodiguer des conseils sur la manière de réagir en cas d’infection. Des sociétés de services peuvent également vous proposer de réaliser des expertises post-incident et accélérer la reprise suite à un tel sinistre.

4. Prévoyez un plan B

Que faire si vos systèmes informatiques ou réseaux sont indisponibles ? Disposez-vous d’un plan de secours ? Pouvez-vous assurer le bon déroulement des opérations, même en mode restreint, pendant le processus de restauration ? Connaissez-vous le coût horaire subi par votre entreprise en cas d’indisponibilité système ? Ce coût est-il intégré à votre budget informatique ? Autant d’informations qui doivent être prises en compte dans votre politique de sécurité.

Bref, la cybercriminalité est une entreprise à but lucratif générant des milliards de revenus. Avec le même objectif que la plupart des entreprises, les cybercriminels sont très motivés quand il s’agit de trouver des moyens de s’enrichir. Mais contrairement aux entreprises, la fin justifie les moyens. Les cybercriminels misent sur des subterfuges, l’extorsion de fonds, des attaques, des menaces et des techniques d’ingénierie sociale pour accéder à vos données critiques et vos ressources.

Le ransomware n’est guère nouveau mais son récent essor, sa sophistication et sa rapidité de frappe soulignent une tendance orientée à la hausse et une volonté d’identifier de nouveaux moyens d’escroquer les particuliers et les entreprises qui sont en ligne.

Maintenant, plus que jamais, la sécurité n’est pas juste un élément à rajouter à votre métier. Elle est devenue indispensable pour mener vos opérations. Faites en sorte d’établir des partenariats avec des experts en sécurité qui comprennent que la sécurité ne se résume pas à activer un boîtier dans un centre de données. Il s’agit, au contraire, d’un ensemble de technologies intégrées et collaboratives, associé à une politique de sécurité efficace et à une approche par étapes qui prend en compte les phases de préparation, de protection, de détection, de réaction et d’apprentissage.

Les solutions de sécurité doivent pouvoir partager leurs informations de veille sur les menaces et neutraliser rapidement toute menace à l’échelle de votre environnement multisite. Elles doivent être intégrées au cœur de votre réseau et vous protéger de manière transparente et sur le long terme, à mesure que votre réseau évolue et se développe. Ces solutions doivent savoir s’adapter rapidement lorsque de nouvelles menaces apparaissent et, bien sûr, ne pas ralentir vos activités métiers au quotidien. (Guillaume Lovet, expert en cybercriminalité chez Fortinet)

Chiffrement, cryptage, Cybersécurité, Social engineering

Générer un mot de passe indéchiffrable, possible ?

A l’occasion de la Journée du Mot de Passe, les meilleurs conseils aux utilisateurs pour éviter que leurs codes secrets ne soient découverts.

Le 5 mai était la Journée Mondiale du Mot de Passe. Une idée marketing lancée par des éditeurs de solution de sécurité informatique. Pour marquer cette date d’une pierre blanche, plusieurs éditeurs ont analysé les habitudes des utilisateurs. Avast Software par exemple propose des recommandations pour créer et protéger des mots de passe indéchiffrables.

Créer des mots de passe fiables et les modifier fréquemment
Une actualité ponctuée d’histoires comme celles de la faille d’Ashley Madison, le site de rencontres extra-conjugales, démontre que les gens n’utilisent pas correctement leurs mots de passe. Les utilisateurs ne créent pas de codes assez fiables et il est certain qu’ils ne les changent pas régulièrement – même face au risque de voir leurs données sensibles et leurs potentielles frasques exposées, ou leur mariage brisé. Les utilisateurs créent des mots de passe facilement déchiffrables souvent par manque d’information ou par paresse, en témoigne la liste des codes les plus souvent utilisés compilée par les chercheurs. Dans le top 10 :

1.       123456
2.       123456789
3.       password
4.       101
5.       12345678
6.       12345
7.       Password1
8.       qwerty
9.       1234
10.      111111

Cette liste comprend les mots de passe les plus simples, tels que 123456, password, et qwerty. D’autres se retrouvent plus bas dans la liste comme iloveyou (#19) ou trustno1 (#57) – une ironie pour un code figurant dans la liste des mots de passe les plus populaires. « Certains pensent qu’une liste de mots de passe seuls qui fuite en ligne n’est pas un problème – cependant, environ 50 % de ces mots de passe étaient associés à une adresse mail, déclare le chercheur d’Avast Michal Salat. Nous savons que les gens utilisent les mêmes combinaisons de mails et de mots de passe pour différents comptes. C’est pourquoi si un hacker connait le mot de passe de votre profil Ashley Madison, il connaitra également celui de votre Facebook, Amazon, eBay, etc. »

Comment créer des mots de passe fiables ?

Il n’y a pas de meilleure occasion que le 5 mai pour commencer à changer ses habitudes et protéger ses codes. Voici quelques conseils pour garder un mot de passe fiable et sécurisé. Je vais être honnete avec vous, si vous ne prenez pas 5 minutes pour réfléchir à votre sécurité et à la bonne gestion de vos précieux, passez votre chemin !

Domus tutissimum cuique refugium atque receptaculum sit

·         Créer des mots de passe longs et complexes. Il suffit de reprendre une phrase d’un livre que vous aimez. N’oubliez pas d’y placer quelques chiffres, majuscules et signes de ponctuations.
·         Utiliser un mot de passe différent pour chaque compte. Lors de les conférences, je fais sortir les clés des participants. Une clé pour chaque porte (voiture, boite aux lettres, maison, bureau…). En informatique, il faut la même régle pour ses mots de passe.
·         Ne pas partager ses mots de passe. C’est peut-être une proposition idiote au premier abord, mais combien de fois, lors d’ateliers que je propose dans les écoles, j’entends le public m’expliquer avoir partager avec son ami, son voisin… sa clé wifi !
·         Changer ses mots de passe régulièrement. Pour mon cas, il change tous les 35 jours. Je ne suis pas à l’abris du vol d’une base de données dans les boutiques, sites… que j’utilise.
·         Utiliser un gestionnaire de mot de passe pour mémoriser ses mots de passe ? Je suis totalement contre. Il en existe beaucoup. Mais faire confiance à un outil dont on ne maîtrise ni le code, ni la sécurité, me parait dangereux. Beaucoup d’utilisateurs y trouvent un confort. L’ensemble de vos mots de passe sont regroupés dans une solution informatique qui chiffre les données. Un seul mot de passe est requis pour utiliser n’importe quel compte sauvegardé. Bref, vaut mieux ne pas perdre ce précieux cerbére !
·         Verrouiller son matériel avec un mot de passe. Les systèmes existent. utilisez les. Je croise bien trop d’ordinateur s’ouvrant d’une simple pression sur la touche « Entrée ».
·         Activer la double-authentification ou l’authentification forte. Indispensable aide. Téléphone portable, sites Internet, Facebook, Twitter… La double authentification renforce l’accès à vos espaces. En cas de perte, vol, piratage de votre précieux. Sans la double authentification, impossible d’accèder à vos données.

De son côté TeamViewer rappele aussi qu’il est déconseillé de fournir des informations personnelles identifiables : Utiliser plusieurs mots de passe forts peut impliquer quelques difficultés de mémorisation. Aussi, afin de s’en souvenir plus facilement, beaucoup d’utilisateurs emploient en guise de mot de passe des noms et des dates qui ont une signification personnelle. Les cyber-délinquants peuvent cependant exploiter des informations accessibles publiquement et des comptes de réseaux sociaux pour trouver ces informations et s’en servir pour deviner les mots de passe.

backdoor, Chiffrement, cryptage, Cybersécurité, Facebook, ID, Identité numérique

Une faille du Login de Facebook corrigée

Les pirates se faisaient passer pour les titulaires des comptes en exploitant une faille du Login de Facebook.

Les Bitdefender Labs ont révélé une vulnérabilité  lors de l’authentification en ligne sur des sites Web tiers via Facebook. Un manque de mesure de sécurité lors de la validation permet aux pirates d’usurper l’identité des internautes et d’accéder, sans mot de passe, à leurs comptes en ligne.

Les social logins sont une alternative à l’authentification traditionnelle et un mode apprécié par les utilisateurs pour leur côté pratique : ils permettent aux utilisateurs de se connecter à leurs comptes Web sans saisir leur nom d’utilisateur ni leur mot de passe. La plupart des sites offrent des social logins via Facebook, LinkedIn, Twitter ou Google Plus. Les chercheurs des Bitdefender Labs ont trouvé un moyen d’usurper l’identité de l’utilisateur et d’avoir accès à ses comptes Web en utilisant le plug-in Facebook Login.

« Il s’agit d’une vulnérabilité grave qui permet aux pirates de créer un compte avec une adresse e-mail ne leur appartenant pas et de changer l’adresse e-mail liée au compte d’un site par une autre adresse non vérifiée », prévient Ionut Cernica, chercheur spécialiste des vulnérabilités chez Bitdefender. « Cela signifie qu’un pirate peut effectuer des paiements en ligne au nom de l’utilisateur, arrêter son moteur antivirus pour infecter ses périphériques, propager des malwares à ses contacts et bien plus encore. »

Pour que l’attaque réussisse, l’adresse e-mail de la victime ne doit pas déjà être enregistrée sur Facebook. La plupart des internautes ont plus d’une adresse e-mail publiée sur différents sites Web, accessibles à tout le monde. Il est donc assez simple pour le pirate d’obtenir une de ces adresses et de créer un compte Facebook avec cette dernière.

Pour vérifier l’identité d’un utilisateur sans exposer ses identifiants d’authentification, Facebook Login utilise le protocole OAuth. Grâce à OAuth, Facebook est autorisé à partager certaines informations de l’utilisateur avec le site Web tiers.

Comment se fait l’usurpation d’identité ? Une faille du Login de Facebook

Bitdefender a réussi à contourner l’étape de confirmation généralement requise lors de l’enregistrement d’une nouvelle adresse e-mail Facebook.

L’un de ses chercheurs a créé un compte Facebook avec l’adresse e-mail de la victime.

Après l’inscription, il a remplacé l’adresse e-mail par une autre dont il a le contrôle.

Après actualisation de la page, il apparaît que l’adresse e-mail de la victime a également été validée.

Lorsque le chercheur a tenté de se connecter sur un autre site via le bouton Facebook Login (avec l’adresse e-mail de la victime), il a dû confirmer sa propre adresse e-mail, et non celle de la victime.

Bien que le chercheur de Bitdefender n’ait confirmé que son compte personnel dans les paramètres du compte Facebook, l’adresse de la victime était bien le contact principal.

« J’ai utilisé à nouveau Facebook Login et décidé de mettre mon adresse comme contact principal à la place de celle de la victime, puis de la changer à nouveau pour faire du compte de la victime le compte principal. C’est une étape importante pour reproduire le problème », a ajouté Ionut Cernica.

Puis, sur un autre site Web, le chercheur de Bitdefender a utilisé Facebook Login pour se connecter sous l’identité de la victime. Le site a fait le lien entre l’adresse e-mail de la victime (en passant par Facebook) et le compte existant et a permis au chercheur, qui aurait pu être un pirate, de contrôler ce compte. « Le fournisseur d’identité – dans ce cas, Facebook – aurait dû attendre que la nouvelle adresse e-mail ait bien été vérifiée », affirme Ionut Cernica à DataSecurityBreach.fr.

Une faille du Login de Facebook corrigée rapidement. Facebook a réparé la vulnérabilité après en avoir été alerté par Bitdefender.

Base de données, Bitcoin, Chiffrement, cryptage, Cybersécurité, Entreprise, Justice, ransomware, Sauvegarde, Social engineering

Fraude au président : 2 millions de dollars volés, il attaque ses associés

Fraude au président : 2 millions de dollars volés à un ancien employé de Lehman Brothers, une banque d’investissement multinationale.

Ce qui est bien avec le public dit « en col blanc » est qu’il n’écoute pas. On pourrait penser, à la suite des centaines de piratages médiatiques qu’une banque d’affaire, et donc ses employés, sont au fait de la sécurité informatique. Je les vois ses « stages » coutant des milliers d’euros de sensibilisation. Sensibilisations effectuées, dans la plupart des cas, par des gens qui ne connaissent du terrain numérique, que les heures de bureau qu’ils lui allouent.

Bref, normalement, un phishing et une fraude au président, cela ne doit plus exister chez nos banquiers. Le cas de Robert Millard, ancien codirigeant de la banque d’investissement multinationale Lehman Brothers a de quoi faire sourire. L’homme de « pouvoir » et « d’argent » a fait un virement de 1.938.000 dollars pour un achat d’appartement qu’il était en train d’orchestrer. Une jolie studette à 20 millions de dollars, à New York. Sauf que le virement a été effectué à destination d’un arnaqueur. L’escroc a piraté l’agence immobilière de Millard, son compte mail AOL et l’avocat en charge de son immobilier. Personne n’avait remarqué que le nom de l’avocat avait été mal orthographié.

Bilan, le « banquier » volé attaque en justice ce qu’il considère comme les coupables, ses anciens associés, afin de récupérer 200.000 dollars qu’il n’a pu retrouver.

Les agences immobilières sont aussi de belles cibles pour les pirates informatiques. Si vous êtes en train d’acquérir un bien, méfiez-vous de cette demande de changement d’adresse pour le virement bancaire. Je vous expliquais, en mars, comment les professionnels du FoVI, la fraude aux virements bancaires, visaient aussi les locataires de maison et d’appartements en faisant détourner les loyers.

Pendant ce temps…

… nous pourrions penser que les internautes sont maintenant habitués à ne plus cliquer sur n’importe quoi. Qu’ils ont entendu parler des ransomwares. Bref, ils se sont informés sur ces logiciels malveillants de rançonnage, ils sont donc sécurisés. A première vue… non ! Le département de la police de Newark, dans le New-Jersey s’est retrouvé fort dépourvu quand la bise numérique fut venue. Un ransomware activé et les machines des policiers prisent en otage. « Le service de police a indiqué  qu’il n’y avait aucune preuve d’une quelconque violation de données et que l’attaque n’a pas perturbé la prestation des services d’urgence aux citoyens« . Aucunes informations sur les informations chiffrées et à savoir si les données prises en otage ont été retrouvées.

Base de données, Chiffrement, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, santé, Sauvegarde

Fuite de données santé pour 1.400 institutions

Fuite de données santé – Les tests de la mise à jour d’un logiciel américain dédié aux études cardiovasculaires effectués avec de vraies données de patients. 1.400 institutions de santé américaines alertées par l’American College of Cardiology.

Ce n’est pas la première fois qu’un tel cas est découvert. J’ai bien peur que cela ne soit pas le dernier. L’American College of Cardiology vient d’alerter 1.400 institutions américaines de santé après la découverte d’une fuite de données de patients pas comme les autres.

L’American College of Cardiology indique que des informations de patients ont pu être compromises après que les dites informations se soient retrouvées dans une base de données utilisées lors du test d’un logiciel professionnel. Des dossiers médicaux datant de 2009 et 2010.

C’est lors de la refonte du logiciel du registre des données cardiovasculaires national ACC, qu’une table de la base de données (BDD) officielle a été copiée. L’incident a été découvert en Décembre 2015. Les hôpitaux ont reçu l’alerte deux mois plus tard. Dans les données de la BDD malmenée : noms, dates de naissance, numéros de sécurité sociale et les numéros d’identification des patients.

Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, Propriété Industrielle

96 % des DSI Français s’attendent à être la cible d’attaques

Les DSI français admettent investir des millions à fonds perdus dans une cybersécurité qui se révèle inopérante sur la moitié des attaques. Une nouvelle étude  indique que 96 % des DSI, en France, s’attendent à être la cible d’attaques en raison de leur aveuglement à l’égard des nouvelles menaces.

Une étude, menée par Vanson Bourne auprès de 100 DSI en France, portant sur la fréquence et l’incidence d’une sécurité informatique inefficace indique que les Directeurs des Services Informatiques s’attendent à être la cible d’attaques. Ces décideurs informatiques sont unanimes : ils estiment que les fondements de la cybersécurité – clés cryptographiques et certificats numériques – n’étant actuellement aucunement protégés, les entreprises sont dans l’ignorance, en proie au chaos, et incapables de se défendre.

Les DSI, en France, reconnaissent gaspiller plusieurs millions de dollars dans la superposition de mécanismes de défense puisque ces outils vouent une confiance aveugle aux clés et aux certificats – et se révèlent incapables de différencier ceux dignes de confiance des autres. Si l’on se réfère aux prévisions de Gartner, qui estime que 50 % des attaques réseau cibleront le protocole SSL/TLS, cela signifie que des systèmes de sécurité aussi répandus que FireEye ne seront opérants que la moitié du temps. Et les DSI français admettent que ce chaos met en péril leurs projets des plus stratégiques, à savoir ériger des structures informatiques agiles autour du concept DevOps.

Etre la cible d’attaques

  • 90 % des DSI, en France, sont convaincus de l’inefficacité de leurs mécanismes de défense puisque ceux-ci sont incapables d’analyser le trafic réseau crypté pour y déceler d’éventuelles attaques.
  • 96 % des DSI, en France, ont déjà essuyé ou s’attendent à essuyer une attaque dissimulée dans du trafic crypté.
  • 91 % des DSI, en France, estiment que les clés de cryptage et certificats numériques dérobés sont en passe de représenter un marché extrêmement lucratif pour les pirates.
  • 79 % des DSI, en France, conviennent que leur stratégie d’accélération de l’informatique et de l’innovation est en danger car leurs initiatives introduisent des vulnérabilités nouvelles.

Les entreprises s’en remettent à des dizaines de milliers de clés et de certificats qui posent les fondements de la confiance sur lesquels s’appuient leurs sites web, machines virtuelles, appareils mobiles et serveurs cloud. Cette technologie a été adoptée pour contribuer à résoudre la problématique de sécurité initiale d’Internet, c’est-à-dire être en mesure d’isoler les contenus sûrs et confidentiels. Depuis la banque en ligne jusqu’à l’Internet des objets en passant par la sécurisation des applications et les applications mobiles, tout ce qui est basé sur IP dépend d’une clé et d’un certificat pour établir une connexion fiable et sécurisée. Sauf que des cybercriminels détournent actuellement des clés et certificats sans protection pour se dissimuler dans du trafic crypté, créer de faux sites web, déployer des logiciels malveillants, élever leurs privilèges et dérober des données.

Les technologies déployées – protection des postes de travail, protection contre les menaces avancées, pare-feu de nouvelle génération, analyse comportementale, détecteurs d’intrusions et prévention des pertes de données (DLP) – sont foncièrement imparfaites puisqu’il est impossible de séparer le bon grain de l’ivraie en dissociant les clés et certificats valables de ceux qui sont corrompus. Résultat, ces outils se révèlent incapables de passer au crible la grande majorité du trafic réseau crypté. D’où des failles béantes dans les mécanismes de défense des entreprises. Les cybercriminels mettent à profit ces angles morts dans le domaine de la sécurité : ils se servent de ces clés et certificats dénués de protection pour se dissimuler dans du trafic crypté et contourner les contrôles de sécurité.

« Les clés et certificats constituent les fondements de la cybersécurité : ils authentifient les connexions système et nous indiquent si les logiciels et équipements fonctionnent comme prévu. Si ces fondements s’effondrent, nous rencontrons de graves difficultés », commente Kevin Bocek, vice-président stratégie de sécurité et veille des menaces chez Venafi. « Si la France dispose de l’une des approches les plus évoluées au monde en matière de cybersécurité, elle se classe également parmi les 10 pays où la cybercriminalité fait rage : les entreprises françaises courent donc davantage de risques. Dotés d’une clé et d’un certificat compromis, dérobés ou falsifiés, les pirates peuvent usurper, contrefaire et surveiller les sites web, infrastructures, clouds et appareils mobiles de leurs cibles, et décrypter des communications censées être confidentielles. »

« Progressivement, les systèmes que nous avons mis en place pour tester et instituer une confiance en ligne se retournent contre nous. Pire, les éditeurs et fournisseurs qui affirment être en mesure de nous protéger en sont bien incapables. Leurs outils de protection pour postes de travail, pare-feu, détecteurs d’intrusions, systèmes DLP et autres sont pires qu’inutiles puisqu’ils leurrent les clients en les entretenant dans une illusion de sécurité. Cette étude indique que les DSI, en France, sont désormais conscients de dilapider des millions dans la mesure où des systèmes de sécurité tels que FireEye ne peuvent stopper la moitié des attaques. Selon les prévisions de Gartner, d’ici à 2017, plus de la moitié des attaques réseau ciblant les entreprises utiliseront du trafic crypté pour esquiver les contrôles ; ces technologies sont sans défense face à elles ! Sachant que le marché mondial de la sécurité des entreprises pèse environ 83 milliards de dollars, autant dire que c’est énormément d’argent gaspillé dans des solutions qui ne s’acquittent de leur mission qu’à temps partiel. »

« Et les marchés expriment clairement leur manque de confiance dans la cybersécurité. Ce n’est pas une coïncidence si 96 % des DSI admettent dilapider des milliards dans une cybersécurité inadéquate et si le fonds spéculatif HACK, spécialisé dans ce domaine, a perdu 25 % depuis novembre 2015. Des résultats bien en-deçà de l’indice S&P500 qui, lui, s’inscrit en repli de 10 % du fait des turbulences sur les marchés. »

Les risques liés à des clés et certificats sans protection, échappant à tout contrôle, se multiplient à mesure que leur nombre augmente. Un récent rapport de Ponemon révèle qu’en moyenne, une entreprise possède plus de 23 000 clés et certificats, et que 54 % des professionnels de la sécurité avouent tout ignorer de leur emplacement, de leurs détenteurs et de leur mode d’utilisation. Les DSI craignent que la multiplication des clés et certificats à l’appui des nouvelles initiatives informatiques n’aggrave encore la situation.

La cible d’attaques : trop de clés et certificats

À la lumière des initiatives de cryptage systématique (« Encryption Everywhere »), apparues dans le sillage des révélations d’Edward Snowden et des opérations d’espionnage de la NSA, la quasi-totalité des DSI français (97 %) se disent préoccupés par la marche à suivre pour sécuriser la gestion et la protection de l’ensemble des certificats et clés de cryptage. Car à mesure que l’informatique s’accélèrera – via l’activation et la désactivation de services en fonction de l’élasticité des besoins – le nombre de clés et de certificats progressera en proportion. À la question de savoir si la rapidité de progression du mouvement « DevOps » complique encore l’identification de ce qui est ou non digne de confiance au sein de leurs entreprises, les DSI, en France, affirment à 79 % que c’est le cas.

« Gartner prévoit que d’ici à 2017, trois entreprises sur quatre évolueront vers une structure informatique bimodale avec une informatique à deux axes et deux vitesses : l’une qui accompagnera les applications en place en quête de stabilité, l’autre qui dispensera des services agiles adaptés aux projets d’innovation et stratégiques pour l’activité », poursuit Kevin Bocek. « Pourtant, le recours à des méthodes agiles et l’adoption du concept DevOps est une tentative extrêmement risquée et chaotique. Dans ces nouveaux environnements, la sécurité sera toujours mise à mal, et il sera pratiquement impossible de suivre ce qui est digne de confiance de ce qui ne l’est pas. »

« Raison pour laquelle il nous faut un système immunitaire pour Internet », conclut Kevin Bocek. « Comme chez l’homme, ce système donne aux entreprises les moyens de détecter instantanément les clés et certificats dignes de confiance des autres. Et, à partir du moment où la confiance en ces clés et certificats renaît, la valeur accordée aux autres investissements réalisés par l’entreprise dans le domaine de la sécurité augmente. »

Cette étude a été réalisée par le cabinet d’études de marché indépendant Vanson Bourne qui a interrogé 100 DSI au total, en poste dans de grandes entreprises en France.