Archives de catégorie : Chiffrement

Chiffrement, Cyber-attaque, Cybersécurité, DDoS, Fuite de données, Leak, Téléphonie

Encore des prédictions sécurité pour 2014

Alors que la fin d’année approche, Symantec publie ses prévisions annuelles pour 2014 en matière de sécurité informatique. Voici les grandes tendances qui attendent les utilisateurs, particuliers comme entreprises, et ce qu’elles impliquent.

1.      Les utilisateurs et les entreprises vont enfin prendre des mesures concrètes pour garantir la confidentialité de leurs données
En 2013, les problèmes de confidentialité ont fait les gros titres, amenant les individus et les entreprises à prendre conscience de la quantité d’informations personnelles qui sont partagées et recueillies chaque jour par un nombre incroyable de personnes, allant du médecin au réseau social. Il est donc fort probable que la protection des données confidentielles devienne une fonctionnalité à part entière des produits existants et à venir. Par la suite, au-delà de 2014, la question sera de savoir si oui ou non une fonctionnalité assure une réelle protection de la vie privée. Il y a fort à parier que Tor, application qui garantit l’anonymat en ligne, saura très vite séduire l’ensemble des internautes. L’adoption de pseudonymes ou de faux noms sur les réseaux sociaux sera plébiscitée par les utilisateurs qui souhaitent protéger leur vie privée. Qui mènera la danse ? Les adolescents. Ils tiennent à protéger leur vie privée, et pas seulement vis-à-vis de leurs parents. Dans ce contexte, de plus en plus d’internautes se tournent vers de nouveaux réseaux sociaux de niche pour communiquer avec leurs amis dans l’ombre. Une tendance qui en amène une autre…

Protéger ses informations confidentielles et son identité s’applique non seulement pour les particuliers mais également pour les entreprises et administrations. En 2014, les organisations au sens large continueront leur démarche de protection de ce qui compte pour elles : leurs données critiques. Avec la profusion d’offres et de technologies existantes, elles devront déterminer celles qui seront le plus ou le mieux adaptées à leur cas de figure. Le cas échéant, leur implémentation pourrait s’avérer contre-productive et ne protéger que partiellement ou inutilement leurs données, voire les chiffrer mais les rendre indéchiffrables pour le détenteur des données. Autre tendance forte : la nécessaire protection de l’identité de ces entreprises : la compromission d’identités et le hacking de moyens de communication publics ont déjà été notés en 2013 et se répèteront probablement l’an prochain, avec des conséquences potentiellement graves pour leur réputation et les prises de décisions économiques basées sur l’information.

2.      Les escrocs, collectionneurs de données, s’intéresseront au moindre réseau social, aussi obscur soit-il – en parallèle des cyber-pirates, l’émergence de cyber-corsaires
Il est tentant de croire qu’en changeant d’environnement, les problèmes s’envolent. Cela ne se passe pas comme cela dans la vie réelle, et encore moins sur les réseaux sociaux. Dès lors qu’un nouveau réseau social séduit les utilisateurs ; inévitablement, il attire les escrocs et les cyber-attaquants. Les utilisateurs qui pensent se retrouver entre amis sur le nouveau site risquent d’être très désagréablement surpris. Sur le web comme dans la vie réelle, si une opportunité paraît trop belle pour être vraie, c’est qu’il s’agit très certainement d’une escroquerie. Les utilisateurs doivent impérativement appliquer les meilleures pratiques de sécurité, où qu’ils se trouvent sur Internet, et quel que soit leur mode de connexion. Puisque l’on parle de connexion…

Le cyber-crime ne s’arrête pas aux individus, une nouvelle classe de cyber-mercenaires apparait ; le groupe « Hidden Lynx » analysé à l’automne dernier étant un premier exemple de groupe constitué. Ce cas particulier est potentiellement la partie émergée de l’iceberg, et pourrait révéler le développement de véritable cyber-corsaires : de plus en plus d’entreprises et d’agences auto-appelées « d’intelligence » ou de « cyber-sécurité » voient le jour, proposant des offres intégrant surveillance, interception, et destruction de cyber-attaques, voire également des contre-cyber-attaques. Celles-ci flirtent avec les limites de la légalité et tirent profit des difficultés à mettre en place un cadre législatif mondial. Leurs offres ciblent les entreprises et les états, avec comme bénéfices la possibilité de ne pas agir directement et donc de ne pas être potentiellement exposé publiquement.

3.      L’Internet des objets devient celui des vulnérabilités – La protection des infrastructures critiques plus que jamais d’actualité
2014 sera probablement l’année de l’Internet des objets. Les millions d’appareils connectés à Internet, généralement avec un système d’exploitation embarqué, vont attirer les attaquants comme un aimant. Les spécialistes de la sécurité ont déjà prouvé qu’il était possible d’attaquer les télévisions intelligentes, les équipements médicaux et les caméras de sécurité. Des attaques sur les moniteurs de bébé ont également été découvertes et, en Israël, un grand tunnel a dû être fermé à la circulation parce que des pirates étaient apparemment entrés sur le réseau informatique via le système de caméras de sécurité. De nombreux éditeurs de logiciels ont trouvé une solution pour avertir leurs clients et leur fournir des correctifs de vulnérabilité. Parfois, les sociétés qui créent de nouveaux appareils pour se connecter à Internet ne se rendent même pas compte qu’elles vont rapidement avoir un problème de sécurité. Ces systèmes ne sont pas seulement vulnérables face aux attaques, ils ne prévoient aucun moyen pour avertir les utilisateurs et les entreprises lorsqu’une attaque est détectée. Pire encore, il n’existe aucune méthode simple d’utilisation pour corriger ces nouvelles vulnérabilités. Les utilisateurs doivent donc s’attendre à l’arrivée de menaces inédites à ce jour.

L’Internet des objets s’insère de plus en plus dans notre quotidien, via les terminaux eux-mêmes, mais également à travers nos déplacements ou les services que nous consommons. Cet « Internet des vulnérabilités » concerne ainsi les récents développements technologiques promus et mis en place dans le secteur de l’énergie notamment, avec par exemple les compteurs intelligents. Ces vulnérabilités pourraient générer des retards dans leurs développements, ainsi que dans celui des « smart cities » et ainsi mettre en péril les données confidentielles d’administrations, d’entreprises et bien sûr de citoyens. En 2014, la protection des infrastructures critiques ne s’arrête ainsi plus aux centrales nucléaires, mais doit être désormais étendue à l’ensemble des infrastructures qui permettent un fonctionnement normal d’un pays et d’une économie.

Enfin, ce type de menaces doit être pris très au sérieux et aussi tôt que possible dans la chaine de production des objets connectés. C’est dès leur conception et tout au long de leur assemblage que la sécurité doit intervenir afin d’éviter des conséquences graves lors de leur connexion au réseau et de leur utilisation.

4.      Les applications mobiles profiteront de l’insouciance des utilisateurs – les opérateurs télécoms et Internet, eux, ne doivent pas sous-estimer les possibles attaques contre leurs infrastructures.
Les utilisateurs font (généralement) confiance à la personne avec laquelle ils dorment. Il ne faut donc pas s’étonner si, 48 % des utilisateurs dormant avec leur smartphone se laissent berner par un (faux) sentiment de sécurité. En 2013, une application mobile censée rapporter des « J’aime » supplémentaires sur Instagram a fait son apparition. Il suffisait pour cela de communiquer son identifiant et son mot de passe à une personne située quelque part en Russie. Plus de 100 000 personnes n’ont rien trouvé à redire à cette proposition. Il est naturel de penser que, grâce aux terminaux mobiles et aux remarquables applications installées dessus, la vie des utilisateurs deviendra meilleure. Dès qu’il s’agit de l’appareil que nous avons dans la poche, le sac ou sur la table de nuit, l’utilisateur perd tout esprit critique. En 2014, les personnes malintentionnées vont profiter de cette aubaine, sans parler des applications malveillantes. En 2014, les applications mobiles elles-mêmes vont être à l’origine de canulars, arnaques et escroqueries en tous genres.

En 2014 également, les téléphones mobiles serviront encore à … passer des appels! Avec le développement de la VoIP et la dépendance accrue des particuliers, entreprises et états aux réseaux de communication, la protection des infrastructures de télécommunications sera nécessairement d’actualité, afin d’éviter des attaques telles que les TDoS (ou Telephony Denial of Service) ou autres tentatives d’interception ou de modification de conversations.

BYOD, Chiffrement, Cloud, cryptage, Entreprise, Fuite de données

Sécuriser ses données personnelles dans le Cloud

2 commentaires

L’application développée par Prim’X permet de sécuriser, en le chiffrant, n’importe quel document que l’on souhaite garder confidentiel. Nous recevons aujourd’hui de plus en plus de documents administratifs personnels par email : factures (eau, énergie, téléphone etc.), relevés bancaires, etc. comportant des informations confidentielles que nous souhaitons garder secrètes.

Certains s’interrogent même sur le meilleur moyen de protéger leurs papiers administratifs en cas de sinistres. Il peut en effet s’avérer judicieux de préserver sous format électronique des copies de factures d’électroménager, de meubles ou bijoux, de ses différents contrats, etc. Le type même de documents à fournir à son assureur après un incendie ou un cambriolage par exemple. Les différents sites de Cloud bien connus (Dropbox, Google Drive, etc.) offrent gracieusement quelques Giga de stockage pour nos données personnelles. Mais, les récentes affaires d’espionnage, nous freinent dans cette démarche. La peur nous fait hésiter à déposer dans ces drives nos fichiers les plus confidentiels, mais qui pourtant pourraient être indispensables dans les situations les moins heureuses pour espérer être indemnisé.

Grâce à Zed! il est possible de protéger dans l’équivalent d’une valise diplomatique électronique tous ses documents scannés et de les stocker dans le Cloud pour y avoir accès en quelques clics et avec un seul mot de passe. L’application Zed! permet en effet de chiffrer les documents en les plaçant dans la valise diplomatique d’un simple copier/coller. Seul le propriétaire de la valise Zed! a accès au contenu et peut lire les fichiers. Zed! est gratuit en version limitée. La version complète est disponible à 35€. L’application est compatible avec n’importe quel service de Cloud (DropBox, Google Drive, SkyDrive, etc.) et les différents documents protégés peuvent être également ouverts depuis un Smartphone. Le fonctionnement est très simple.

Désormais en application Smartphone pour lire les archives .zed ou les emails chiffrés depuis son mobile. Version gratuite, disponible dès maintenant sur l’Apple Store et pour la fin 2013 sur Google Play Store. Toutes les versions de Zed! sont compatibles entre elles.

Chiffrement, cryptage, Entreprise, Espionnae, Fuite de données

Les services secrets britanniques font dans le phishing

2 commentaires

Quoi de plus sympathique qu’un bon gros phishing pour mettre la main sur les données privées et sensibles d’une cible. Les services secrets de sa gracieuse majesté britannique, le British Intelligence Agency GCHQ (Government Communications Headquarters) aurait utilisé de fausses pages du portail professionnel communautaire Linkedin pour mettre la main sur des données ciblées.

Une information que le magazine allemand Der Spiegel a révélé après l’analyse de documents secrets du GCHQ que l’ancien « analyste » Edward Snowden aurait volé. La première attaque connue visait le gouvernement belge et Belgacom, l’opérateur de télécommunication. Une fois le visiteur piégé par la fausse page Linkedin, un logiciel espion s’installait dans l’ordinateur des cibles de la GCHQ. L’objectif aurait été d’accéder au système de routeur GRX exploité par BICS pour intercepter le trafic téléphonique.

C’est quand même dingue de voir comment ces services secrets peuvent être bavards, dans leurs bureaux ; Ca n’étonne personne de savoir qu’un simple analyse « du privé » puisse accèder à autant d’informations variées !

En attendant, pour répondre aux écoutes probables de la NSA du trafic data de Yahoo! et Google, les deux géants de l’Internet viennent d’annoncer qu’ils allaient protéger leurs données internes. La CEO de Yahoo!, Marissa Mayer, a indiqué que les connexions de son groupe seraient désormais chiffrées.

Chiffrement, Cyber-attaque, Entreprise, Fuite de données, Leak, Paiement en ligne

Loyalty build piraté : 1,2 million d’internautes concernés

3 commentaires

Les bases de données, le nouveau jouet pour les pirates informatiques. Après ADOBE [lire], après MacRumors (860.000 comptes, ndr), voici le tour du site Loyalty build a se retrouver confronté à un vol de données numériques. Ce portail est spécialisé dans la fidélisation de clients pour de grandes enseignes comme AXA Irlande.

Loyalty build vient d’annoncer le passage d’un pirate dans ses entrailles numériques. Bilan, 1,2 millions d’inscrits se retrouvent avec leur vie privée dans les mains d’un inconnu. Emails, adresses physiques, numéros de téléphone. Pour 376.000 personnes, des suisses ou belges, les données bancaires sont à rajouter à la liste des données volées. Des informations financières… non chiffrées, ce qui est illégal en Europe.

Loyalbuild propose un système de fidélisation de clienteles. Voilà qui risque de lui faire mal ! Les entreprises affiliées viennent de fermer leur espace « Loyalbuild » afin de protéger leurs propres clients.

Chiffrement, cryptage, Cybersécurité, Mise à jour, Patch

Faille critique corrigée pour OpenSSH

Un commentaire

L’excellent outil OpenSSH permet de chiffrer les communications sur Internet. Une faille critique vient d’être corrigée. Sortez la rustine, la colle et votre plus beau sourire. OpenSSH, un outil qui offre la possibilité de chiffrer vos communications sur Internet, via le protocole SSH, vient de corriger une vulnérabilité considérée comme critique. « Une corruption de mémoire existe dans le processus de sshd post-authentification lors d’un chiffrement AES-GCM (AES128-GCM @ openssh.com ou aes256-gcm@openssh.com) » indique OpenSSH.

Si elle est exploitée, cette vulnérabilité pourrait permettre l’exécution de code avec les privilèges de l’utilisateur authentifié. La vulnérabilité a été identifiée par un développeur d’OpenSSH, Mark Friedl, le 7 Novembre.

Le correctif a immédiatement été mis en ligne. L’erreur est fixé dans OpenSSH version 6.4. Pour ceux qui veulent rester sous OpenSSH 6.2 et 6.3, des rustines sont disponibles.

Chiffrement, Cyber-attaque, Entreprise, Fuite de données, ID, Leak, Vie privée

Près de 2 millions de mots de passe 123456 pour des clients ADOBE

3 commentaires

Après le piratage de 38 millions de clients de l’éditeur ADOBE, une étude montre que les mots de passe des piratés sont aussi ridicules qu’inutiles. A se demander si le piratage de 38 millions de clients ADOBE n’est pas un moyen de communiquer auprès des clients et entreprises utilisatrices des produits de l’éditeur de Photoshop, Adobe Acrobat, ColdFusion. Des chercheurs, qui ont été mettre la main sur les données diffusées sur un forum russe, ont analysé les mots de passe volés à ADOBE. Des précieux appartenant donc à ses clients.

Jeremi Gosney, chercheur chez Stricture Consulting Group révèle une liste des 100 mots de passe les plus utilisés. Autant dire qu’il y a des claques qui se perdent : 1,9 million de comptes utilisaient comme sésame : 123456 ; plus de 400 000 : 123456789. On vous passe les mots de passe « password« , « 12345678 » ou encore « adobe123« . Bref, avec de telle sécurité pas besoin de voler une base de données ! (Developpez)

Chiffrement, cryptage, Entreprise, Fuite de données

Fuite de données concernant une quarantaine de Centres Hospitaliers Français.

6 commentaires

Une fuite Internet peut rapidement intervenir si on n’y prend pas garde. Un fichier mal maîtrisé, sauvegardé n’importe comment, et c’est rapidement la catastrophe. Google, ainsi que d’autres moteurs de recherche, ne font pas la différence entre le document Excel en libre accès reprenant les recettes de Tata Jeannette, et le fichier regroupant plusieurs dizaines de Centres Hospitaliers Français, avec logins et mots de passe, permettant d’accéder à un espace informatique sensible, celui des patients reçus par les Urgences. Google les voit, donc pour lui, ils sont « libres » d’être référencés, sauvegardés en cache.

Voilà la mésaventure qui vient de toucher une société Française spécialisée dans la création de solutions informatiques de gestion des dossiers patients dédiée aux urgences. Un lecteur, Kyle, nous a alerté de cette fuite complétement folle. Lors d’une cherche d’informations qu’elle ne fût pas son étonnement de se retrouver nez-à-nez face à un fichier Excel intitulé InfosEtContacts.xls.

Si les premières lignes ne m’ont pas paru des plus perturbantes, les suivantes auraient eu de quoi faire tomber en syncope le premier SAMU/SMUR qui passait par là. Dans ce fichier, une liste de Centres Hospitaliers (Régionaux/Universitaires/…) : Saône, Brive, Besançon, Belfort, Beauvais, Amiens, R/Yon, La Rochelle, Gueret, Gentilly, St Ame, Blanc Mesnil, Forbach, Epinal, Dole, Senlis, Rennes, Provins, Guadeloupe, Neuilly, Nancy, Lille, Montpellier, Metz ou encore Lunéville.

Ce fichier relatait, avant d’être effacé du web (et de la cache Google, Ndr), les accès à distance (avec login et mot de passe en clairs) ; la prise de contrôle des serveurs (ip, vnc, accès, …), ouverture de session (avec ip et identifiants de connexion). Dans certains cas, l’accès à des bases de données avec ip, login et mot de passe. Bref, des centaines d’informations qui auraient pu faire de gros dégâts dans les mains d’internautes malveillants. Heureusement, du moins nous l’espérons, aucun pirate n’est passé par là.

Dès la découverte de la « chose », nous avons alerté le CERT A, l’ANSSI et la CNIL via le protocole d’alerte de ZATAZ.COM. Comme à son habitude, le Centre d’Expertise gouvernemental de Réponse et de Traitement des Attaques informatiques a répondu à notre alerte au quart de tour. Nous avons attendu que la fuite soit colmatée afin de vous relater ce gros, très gros problème.

Comment une telle fuite peut-elle être possible ?

Un dossier, sur le site internet officiel de cette entreprise, non protégé par un login et mot de passe. Un simple htaccess aurait suffi à réclamer les précieux identifiants de connexion. Un contrôle d’accès très simple à mettre en place pourtant. Cela aurait empêché Google, et la planète web entière, d’accéder aux informations.

Autre possibilité de sécurisation, qui nous semble la plus efficace chez DataSecuritybreach.fr : ne pas sauvegarder ce genre de données sur un espace connecté à Internet, et encore moins quand ce dernier est … le site web lui-même.C’est un peu comme si la Banque de France déposait des lingots d’or sur une table, dans la rue, à l’entrée de son bâtiment. Pas évident que les petits blocs jaunes restent sur place bien longtemps.

Pour finir, il est fortement conseillé, c’est la CNIL qui l’écrit, de chiffrer ce genre de contenu et de le sauvegarder dans un espace non disponible/accessible d’un simple clic de souris.

Chiffrement, cryptage, Cybersécurité, Espionnae, Fuite de données

Odin, le tchat sécurisé

6 commentaires

Christophe Jochum a 24 ans. Cet informaticien Suisse vient de terminer une application web qui lui aura pris 5 mois de son temps. Baptisé Odin Secure Networking, l’outil a pour mission de protéger les internautes d’une cyber surveillance. « En vue des soucis actuels concernant l’écoute d’internet publique, indique à DataSecurityBreach.fr Christophe Jochum, j’ai développé une plateforme de discussion privée, cryptée, sans logs et ne retenant aucune informations sur les utilisateurs ou leurs messages« .

Voilà une idée intéressante, surtout qu’il devient de plus en plus difficile de garder une information confidentielle suite au politiques de confidentialité des entreprises telles que Google, Facebook, Microsoft etc… Pour rester dans la confidentialité et ne pas laisser de traces des échanges sur internet, il faut une bonne dose de connaissances informatiques (réseau Freenet, Tor, I2P), acquerir un service VPN (A noter l’excellent Vypr VPN). Autant dire que cela n’est pas obligatoirement simple.

Odin offre donc la possibilité de sécuriser un échange d’informations via un tchat. Odin permet à n’importe quel néophyte en informatique de dialoguer uniquement avec son interlocuteur, sans craindre la lecture d’une tierce personne ni une retenue d’informations. Grâce à plusieurs sécurités (de multiples encryptions à différentes étapes de la transmission du message et la suppression quasi instantanée des transactions encryptées), Odin s’annonce comme le seul service à ce jour permettant un total anonymat et une confidentialité absolue sur le web, et ce, tout en se situant sur le clear web. Odin est un projet en pleine évolution, plusieurs mises à jours sont en attente de publication.

Chiffrement, cryptage, Cybersécurité, Fuite de données, Vie privée

Peersm : échanges de fichiers de manière anonyme

Un commentaire

Pour contrer l’espionnage mis en place par la NSA et son outil Prism, un chercheur Français lance Peersm : des échanges de fichiers de manière anonyme. Aymeric Vitte est un chercheur en informatique, ancien élève ingénieur à Telecom Paris, ce natif d’Aix en Provence, a travaillé pour Alcatel. Spécialiste du GSM, il a géré un grand nombre de projets en Amérique du Sud. Il a mis en place, par exemple, le premier réseau GSM au Brésil et travaillé sur des projets « Satellite » comme GlobalStar. Aujourd’hui il développe des solutions informatiques pour les entreprises et les professions libérales.

En parallèle, l’homme contribue régulièrement à W3C/WHATWG/TC39 et il est membre du groupe de travail WebCrypto W3C. Parmi ses projets personnels, Peersm, une idée dingue mais terriblement prometteuse : permettre l’échange de fichier sans aucune possibilité de traçage. Un anti Prism qui devrait voir arriver sa première application dans les semaines à venir.

Les points communs de tous ces projets est que la technologie est à l’intérieur du navigateur. Vous n’avez pas besoin d’installer quoi que ce soit. Tout est basé sur une mise en œuvre javascript du protocole Tor. Bref, des échanges de fichiers de manière anonyme et bases de données distribuées dans les navigateurs, sans rien installer puisque l’application anonymisante est une appli js. Interview !

DataSecurityBreach.fr – Parlez nous de votre projet. Pourquoi Peersm ?

Aymeric Vitte – Peersm versus Prism en inversant le r, d’où le nom, difficile de trouver un nom de domaine avec ‘peer’ ou ‘peers’ dedans, j’ai finalement trouvé Peersm, le contraire de Prism.

DataSecurityBreach.fr – Pourquoi cette idée ?

Aymeric Vitte – Pour échanger des fichiers sans passer par des tiers et en contournant d’éventuelles oreilles indiscrètes, avec tout dans le navigateur, pour ne pas avoir à installer quoique ce soit et éviter des applis pseudo anonymisantes ou sécurisantes genre VPN ou autres, j’explique sur le site pourquoi on peut avoir confiance. Il y a beaucoup de cas d’utilisation, bons ou mauvais, le jugement étant laissé à l’appréciation de chacun (sachant qu’on ne tient pas du tout aux utilisations criminelles, pédo et autres, d’où le fait que ce soit modestement payant si ça peut aider à éviter ces dérives), cas d’utilisation vécu: au cours d’une réunion de famille où j’ai passé deux heures à expliquer à tout le monde les fondements d’iAnonym (souviens toi : tracking, collusion, vie privée, anonymité, etc ), le soir même un proche met toutes les photos sur un site pour qu’on les télécharge… no comment… c’est exactement ce qu’il faut éviter de faire et que j’ai passé l’après midi à expliquer

DataSecurityBreach.fr –  Comment fonctionne-t-elle ?

Aymeric Vitte – L’innovation encore une fois est de tout avoir dans les navigateurs et de partager les données entre peers dans les navigateurs. 1,5 Milliards de navigateurs dans le monde, imaginez ce que l’on peut faire…. L’idée n’est pas notre exclusivité pour la base de données distribuée, je donne des exemples d’autres projets sur le site. L’OP js Tor dans le navigateur qui se connecte à Tor via les WebSockets est lui notre exclusivité.

DataSecurityBreach.fr – Qu’est ce qui garantie la sécurité des échanges ?

Aymeric Vitte – Personne ne sait qui parle à qui et ce qui est échangé, on peut aussi crypter ses données si vraiment on n’a pas confiance en ce que fait l’ORDB. Ca ressemble un peu à MEGA sur ces aspects.

DataSecurityBreach.fr – Evolution du projet ?

Aymeric Vitte – Une version bétâ bientôt avec de vrais utilisateurs/testeurs, on verra ensuite selon les avis/résultats (crowdfunding again ?). Pour l’instant je ne sais pas dire précisément combien un ORDB peut gérer d’utilisateurs.

DataSecurityBreach.fr – En cette période ou l’on voit la NSA partout, la sécurisation des échanges, une vraie problématique ?

Aymeric Vitte – Oui d’autant plus que l’on ne peut pas faire confiance à https/SSL/TLS.

DataSecurityBreach.fr – Vous avez expliqué comment utiliser WebRTC. Mais justement, pourquoi WebRTC ?

Aymeric Vitte – Parce que c’est ce dont tout le monde parle pour des échanges peer to peer directement dans les navigateurs et il y a plusieurs projets concernant les échanges de fichiers avec WebRTC, sur le site je tente de définir une architecture WebRTC qui pourrait fonctionner avec les concepts de Peersm, le schéma montre que ce n’est pas possible, WebRTC peut être sécurisé si les peers se connaissent et peuvent partager ou générer un secret, sachant que l’on sait toujours quand même qu’un peer se connecte (serveurs ICE STUN/TURN) ce qui est gênant. Maintenant l’avantage est une utilisation réellement peer to peer sans un serveur qui relaie les messages, comme les torrents, mais on en connait le prix : impossible de protéger sa vie privée et son anonymité.

http://www.peersm.com

Chiffrement, cryptage, Cybersécurité, Emploi, Fuite de données, Vie privée

Fuite de données : dîner de cons dans les ordinateurs des Hôtels

22 commentaires

Durant mes différents déplacements à l’étranger, j’aime me promener dans les espaces informatiques mis à disposition par les hôtels. De beaux ordinateurs des hôtels connectés à Internet, gratuitement. Si l’idée est intéressante, elle permet de rester connecter avec la famille, ses emails, la dangerosité de l’occasion offerte est à rappeler. Depuis le mois de juin, j’ai eu la chance de me promener par « monts et par vaux » pour zataz.com, zatazweb.tv, datasecuritybreach.fr ou mes employeurs, de l’Espagne au Maroc en passant par la Tunisie, l’Angleterre, la Belgique ou encore l’Île Maurice et le Québec. Dans les hôtels qui ont pu m’accueillir, des connexions web (payantes et/ou gratuites) et des machines mises à disposition. PC ou Mac, bref, des liens de connexion avec son monde familial… ou professionnel. Aussi paranoïaque que je puisse éviter de l’être, il ne me viendrait pas à l’idée de me connecter à ces machines pour le travail. A première vue, beaucoup de « vacanciers » ou « d’employés » n’ont pas mes craintes.

Il est mignon Monsieur Pignon…

Du 1er juin 2013 au 24 octobre 2013 j’ai pu étudier 107 ordinateurs en accès libres. 37 Mac et 70 PC. J’ai pu mettre la main sur 25.811 documents que je considère comme sensibles. Sensibles car ils auraient pu permettre à un pirate informatique, je ne parle même pas de l’ambiance « Les services secrets étrangers nous surveillent », d’identifier et usurper une identité, une fonction, des projets professionnels.

Ci-dessous, quelques documents que j’ai pu croiser. Il s’agit, ici, de captures d’écrans effectuées avec mon appareil photo. L’ensemble des fichiers ont été effacés après mes découvertes et les directions des hôtels alertées, histoire de coller quelques affiches, ici et là, sur les mesures que les clients devraient prendre lors de leurs pérégrinations informatiques.

En déplacement, sortez armés lors de l’utilisation des ordinateurs des Hôtels

Je peux comprendre, je suis le premier concerné, qu’en déplacement, le besoin de rester connecter se fait rapidement sentir. Un petit coucou à la famille restée à la maison, aux courriels du patron ou quelques mises à jour sur son site web et autres blogs. Seulement, il n’est pas toujours évident de se promener avec son ordinateur portable sous le bras. Si c’est le cas, voyez nos méthodes de sécurisation physiques et numériques de votre – Précieux -. Prudence, aussi, aux connexions wifi offertes dans les hôtels. Dans la foulée de mes voyages, se promènent toujours avec moi, mes Pirates Box @zataz. Pourtant baptisées PirateBox, donc de quoi inquiéter ceux qui ne connaissent pas cette merveilleuse petite amie numérique, j’ai pu découvrir pas moins de 54.291 fichiers privés (80% de photos, ndlr) téléchargés par des inconnus. Je vous passe la possibilité malveillante d’une PirateBox Man-in-the-middle s’annonçant comme un « Hotel-Free-Wifi » ou « Starbux-Wifi-Free« . Il ne reste plus qu’à collecter les données sensibles transitant entre le « touriste » et le site qu’il visite. Pour éviter de se voir gober comme un gros Ananas, la sécurisation de vos connexions est une obligation. Un service VPN est indispensable en déplacement.

Nous utilisons pour ZATAZ, DataSecurityBreach ou pour mes autres employeurs l’excellent VyprVPN, ainsi que de nombreux systèmes d’anonymisation et chiffrement de données. Présent sur les 5 continents, plus de 200.000 IP et un pare-feu NAT loin d’être négligeable. Les pirates et les bots malveillants cherchent sur Internet les appareils non protégés qu’ils peuvent utiliser pour le vol d’identité et les messages indésirables. Ils accèdent à votre système par les connexions Internet qui sont ouvertes sur vos applications. En utilisant ces connexions, ils peuvent installer des malwares et voler vos informations personnelles. Le pare-feu NAT empêche leur recherche d’atteindre votre appareil ou ordinateur quand vous vous connectez avec VyprVPN. Autre service, celui-ci est Français, ActiVPN.

Ordinateurs des Hôtels

Autres solutions, chiffrer vos informations communiquées. OpenPGP, GPG, … sont d’excellents outils qui en cas d’oubli de fichiers dans une machine étrangère (chose impensable, mais bon, ndlr datasecuritybreach.fr) évitera qu’un inconnu puisse y accéder. Nous finirons avec l’outil de la société française Gith Security Systems. Elle tente d’offrir une réponse en proposant «Gith», la première plateforme gratuite de communications sécurisées sur Internet, destinée au grand public, PME et professions libérales. Pour simplifier le processus, Gith se présente sous la forme d’une application à installer, disponible sous Windows, Mac OS, Linux et prochainement iPhone/Android. Gith permet d’échanger des Emails, partager des documents («Cloud sécurisé») et faire du chat avec les autres utilisateurs. Une sécurité bien présente, mais totalement invisible. Toutes les données sont chiffrées de bout en bout, avec les meilleurs algorithmes actuels (RSA 2048, AES 256). Même en cas de vol de votre ordinateur ou infection par un virus, vos données sont inaccessibles : elles sont stockées chiffrées sur votre machine. La sauvegarde de votre clef secrète de chiffrement sous forme de QRCode vous permet facilement d’importer votre compte sur un autre ordinateur ou votre smartphone ! Nous utilisons cette solution. Elle mérite clairement d’être découverte et exploitée. A noter que Gith a été sélectionné pour l’opération 101 projets de Xavier Niel, Marc Simoncini et Jacques-Antoine Granjon. Le 18 novembre, présentation de Gith, en 1 minute, et tenter de décrocher 25k € de financement.

Bref, mes solutions de protection de vos données, en déplacement, ne sont pas infaillibles, mais devraient vous rappeler que le libre accès n’est pas la meilleure idée pour vos données privées. Et les ordinateurs des Hôtels font parti de ces fuites potentielles.

Fuites de données : la réputation des entreprises en danger via les ordinateurs des Hôtels

La grande majorité des entreprises qui doivent faire face à un problème de sécurité sont contraintes de révéler publiquement cette information, comme le révèle l’étude Global Corporate IT Security Risks 2013 menée par Kaspersky Lab auprès de 2 895 organisations à travers le monde. Les résultats sont sans appel. 44% des entreprises ayant été victime d’une fuite de données sont dans l’obligation d’informer leurs clients de l’incident, 34% informent leurs partenaires, 33% informent leurs fournisseurs, 27% remontent les fais à un organisme de contrôle ou de régulation, 15% doivent en informer les médias. A l’échelle mondiale, les grandes entreprises seraient les plus touchées. La législation change en faveur des internautes comme nous la nouvelle directive européenne votée le 12 août dernier.