Archives de catégorie : Chiffrement

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, escroquerie, Espionnae, Fuite de données, Identité numérique, Vie privée

Configurer efficacement la double identification de son Dropbox

14 octobre 2014 Damien Bancal Un commentaire

Le 13 octobre 2014, un pirate informatique annonçait avoir mis la main sur plusieurs millions de comptes utilisateurs Dropbox.Voici comment protéger, au mieux, votre espace privé de sauvegarde.

Plusieurs listes ont été diffusées sur la toile, certaines étaient fausses. Pour éviter que vos données soient interceptées, via votre mot de passe intercepté par un pirate via de multiples possibilités (phishing, logiciel espion, fuite interne à l’entreprise, …) il est conseillé d’installer la double authentification. L’idée, recevoir un code de sécurité en supplément de votre mot de passe. Sans ce dernier, point de possibilité, même pour vous, d’accéder à vos informations. Voici la méthode pour installer efficacement la double authentification de votre dropbox. Nous vous proposons le même pas-à-pas pour Google, Youtube, gMail, ainsi que pour Facebook.

1 – Le site DropBox
D’abord se rentre sur la page dédiée double authentification de Dropbox. Comme le rappel Dropbox, la validation en deux étapes est une fonctionnalité facultative mais vivement recommandée. Elle ajoute un niveau supplémentaire de protection à votre compte Dropbox. Lorsqu’elle est activée, Dropbox exige un code de sécurité à six chiffres en plus de votre mot de passe dès que vous vous connectez à Dropbox ou que vous associez un nouvel ordinateur, téléphone ou tablette.

2 – Activation
Connectez-vous d’abord au site Web Dropbox. Attention, une seule et unique adresse (https://www.dropbox.com/login). Cliquez sur votre nom dans la partie supérieure droite de n’importe quelle page pour ouvrir le menu Compte. Dans ce menu, vous cliquez sur « Paramètres » et vous sélectionnez l’onglet « Sécurité« . Direction le lien « Validation en deux étapes » et vous l’activez. Il vous faudra votre mot de passe de connexion à DropBox pour valider la modification. Il vous suffit ensuite de suivre le pas-à-pas pour installer sur votre tablette/smarpthone l’outil de création de code de sécurité. Après avoir activé cette fonctionnalité, pensez à ajouter un numéro de téléphone secondaire doté d’une fonction de réception des SMS. Si vous perdez votre téléphone principal, DropBox vous communique un code de sécurité sur ce numéro de téléphone de secours.

3 – Sécurité dropbox
Une fois le système installé, il vous suffira de choisir le mode de réception de ce code de sécurité. Soit par SMS, soit une application tiers. Vous pouvez utiliser, par facilité et regroupement de vos autres doubles authentification, le logiciel gratuit proposé par Google, le Google Authenticator.

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, Identité numérique, Leak, Propriété Industrielle, Vie privée

Comportements en matière de protection des données en Europe

11 octobre 2014 Damien Bancal

77% des personnes interrogées doutent que leur entreprise respecte les lois relatives à la protection des données.

Sophos, l’éditeur spécialiste de la cybersécurité, a publié les résultats de sa toute dernière étude révélant les comportements des utilisateurs en matière de sécurité et de protection des données en Europe. Selon cette étude réalisée par Vanson Bourne, 84% des sondés pensent que l’Europe doit renforcer les lois relatives à la protection des données. Cependant, 77% doutent que leur entreprise soit conforme aux lois actuellement en vigueur. Il suffit d’ailleurs de lire les nombreuses révélations liées aux fuites de données, ici ou encore là, pour se dire que la victoire n’est pas pour demain.

Sur les 1500 professionnels interrogés en France, en Allemagne et au Royaume-Uni, une majorité a confirmé être inquiète pour ses données personnelles (79%) ainsi que pour les données de son entreprise (65%). Cependant, alors que 91% déclarent avoir installé un logiciel de protection de leurs données personnelles, seuls 59% sont équipés d’un antivirus. Par ailleurs, presque la moitié (49%) d’entre eux ont déclaré que leur entreprise n’avait pas mis en place de politique de protection des données, ou alors qu’on ne leur avait pas expliquée en détails.

Cette étude, dont le but premier était d’évaluer la compréhension et la connaissance des utilisateurs en matière de protection des données, dans le cadre du projet de nouveau règlement européen à venir, a permis de montrer que sur seuls 23% des personnes interrogées étaient convaincus que leur entreprise observait les règles actuellement en vigueur.

50% d’entre eux ont avoué ne pas savoir ce qu’est le chiffrement (27%), ignorer si leur entreprise a mis en place des politiques de chiffrement (23%), ou que leur entreprise n’a rien mis en place dans ce domaine (20%). Seuls 23% ont confirmé que leur entreprise procédait au chiffrement des données des employés et des clients.

Sécurité des appareils mobiles
L’étude se penche également sur les comportements des utilisateurs en termes de sécurité des appareils mobiles. 98% des sondés, soit presque la totalité d’entre eux, sont d’accord sur le fait que les données stockées sont presque plus importantes que l’appareil mobile en tant que tel. Et pourtant, malgré cela, un quart de ces personnes ont avoué stocker des données d’entreprise sur leur ordinateur ou leur téléphone personnel ; quasiment 1 personne sur 5 (soit 19%) expliquant qu’elle avait déjà perdu un appareil mobile ou personnel par le passé.

Toujours en ce qui concerne la sécurité des appareils mobiles, alors que la majorité des entreprises des sondés (64%) avait mis en place des mots de passe pour protéger les mobiles, seules 31% des personnes équipées de téléphones d’entreprise savaient si ceux-ci étaient également chiffrés. Mis en comparaison avec les 51% possédant un portable d’entreprise et capables d’affirmer que celui-ci est bel et bien chiffré, ceci démontre bien que les mobiles sont désormais perçus comme vecteur de risque.

Le partage de données
La plupart des sondés pense que l’information est ce qu’il y a de plus important : 95% d’entre eux explique que, pour travailler correctement, ils ont besoin de partager, d’envoyer et d’accéder aux données de leur entreprise à partir de n’importe quel endroit ou système. Cette étude démontre également que 66% des sondés ne vérifient pas toujours s’il est prudent de partager ces données ou non. Par ailleurs, pour partager ces données plus facilement, 2/3 d’entre eux (soit 64%) sont prêts à passer par des services informatiques ou en Cloud « non autorisés » pour contourner les limites et les politiques de sécurité mises en place par leur entreprise.

On remarque également des attitudes différentes quant au stockage dans le Cloud, d’un pays à l’autre. Tous pays confondus, 31% des sondés déclarent que l’usage de solutions de stockage dans le Cloud, type Dropbox, est autorisé par l’entreprise. Cependant, ce pourcentage atteint 44% au Royaume-Uni, mais seulement 27% en France et 23% en Allemagne. En revanche, 11% déclarent ne pas être autorisés à utiliser des solutions de stockage dans le Cloud, mais le font quand même. De la même façon, ce sont bien les Britanniques qui partagent le plus de données dans le Cloud : ils sont 52% à le faire, alors que la France en compte 40% et l’Allemagne 34%.

Perception des lois relatives à la protection des données en Europe
61% des sondés déclarent qu’il est important de renforcer les lois autour de la protection des données et ce dans tous les pays européens. Ce pourcentage est ainsi réparti par pays : 68% pour les Français, 62% pour les Allemands et 54% pour les Britanniques. On note également des divergences d’opinion d’un pays à l’autre en ce qui concerne la sécurité des données personnelles : avec 86%, la France apparaît plus inquiète que le Royaume-Uni (78%) ou même l’Allemagne (74%). L’Allemagne apparaît particulièrement peu préoccupée par d’éventuels cybercriminels mettant la main sur des données (29%). En France, ils sont 49% à s’inquiéter de ce phénomène et 45% au Royaume-Uni. De la même façon, la France s’inquiète davantage de la protection des données d’entreprise (76%) contre 62% au Royaume-Uni et 59% en Allemagne.

Il est intéressant de noter que 60% des employés du Royaume-Uni déclarent que leur entreprise a mis en place des politiques de protection des données et que celles-ci leur ont clairement été expliquées, contre 43% en France et 50% en Allemagne. On note également que plus l’entreprise est importante en taille, mieux les employés sont renseignés sur les politiques de protection des données.

Gerhard Eschelbeck, directeur technique de Sophos explique à DataSecuritybreach.fr que « la cybercriminalité étant désormais partout, les grandes entreprises doivent s’assurer de la bonne mise en place de politiques de sécurisation des données, et ce pour mettre à l’abri les données d’entreprise, mais également celles de leurs employés. Cette étude montre clairement que même si la majorité des utilisateurs comprennent que l’information est stratégique et qu’il l’est tout autant de la protéger, ceux-ci sont malgré tout prêts à ignorer ces risques pour se faciliter la vie. Si les entreprises souhaitent lutter contre la cybercriminalité, elles doivent s’assurer de la pertinence et de la bonne mise en place des politiques de sécurité. Il ne s’agit pas uniquement de protéger les informations essentielles à l’entreprise, mais également de répondre aux besoins de ses employés. »

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, Propriété Industrielle

87% des entreprises françaises pensent courir un risque de sécurité actuellement, mais 70% ne changent rien

10 octobre 2014 Damien Bancal

Plus de 80% des responsables IT pensent qu’un vol de données interne est probable dans leur entreprise, mais environ 60% déclarent ne pas avoir de procédure stricte dans ce domaine.

LogRhythm, spécialiste de la Security Intelligence, annonce les résultats d’une étude* menée auprès de responsables IT d’entreprises françaises, à propos de leur perception de la sécurité au sein de leurs entreprises, et notamment des risques en interne. D’après l’enquête, les entreprises françaises ont bien conscience des dangers liés au vol de données et des conséquences pour leurs organisations. Toutefois, il semble que les bonnes intentions ne soient pas mises en pratique et qu’une remise en question des systèmes et stratégies de sécurité en place ne soit toujours pas à l’ordre du jour.

En effet, selon l’étude, 87% des entreprises françaises pensent qu’elles courent peut-être un risque de sécurité actuellement, dont 34,5% des répondants qui en sont persuadés. Pourtant, 70% des organisations indiquent n’avoir rien changé à leurs systèmes de sécurité suite aux récentes affaires de vol de données, alors que 58% d’entre elles se disent plus inquiètes sur ce sujet suite aux révélations de Snowden.

Bien que cette dernière affaire ait été érigée en parfait exemple de ce que l’on peut craindre pour les données confidentielles de la part d’employés ou de partenaires mal intentionnés, l’étude révèle que les entreprises y attachent moins d’importance qu’aux menaces externes : 52% des répondants pensent que les menaces les plus sérieuses pour les informations confidentielles de leur entreprise viennent de l’extérieur contre 37% qui jugent les menaces internes comme étant plus importantes.

Pourtant, les risques associés sont bien identifiés : lorsqu’on interroge les responsables IT sur la possibilité que des employés accèdent à des données sensibles au sein du système d’information, 81% pensent que cela est tout à fait probable, dont 23,5% déclarant que cela était déjà arrivé.

Les menaces internes jugées moins importantes
Si 41,5% des entreprises disposent de procédures contre le vol de données confidentielles en interne, environ 34,5% des personnes interrogées pensent que les systèmes en place ne sont soit pas appliqués, soit pas satisfaisants. 15% ne savent même pas si ce type de procédure existe dans leur entreprise et 9% confirment ne pas en avoir du tout. Parmi ces derniers exempts de tout contrôle de sécurité, 15% des personnes interrogées pensent que cela n’est tout simplement « pas nécessaire ».

En ce qui concerne les procédures de sécurité élémentaires, l’étude montre qu’environ 30% des personnes interrogées ne procèdent toujours pas au renouvellement de leurs mots de passe. Parmi eux, il y a ceux qui savent que c’est nécessaire mais qui ne le font pas (24%) mais aussi 5,5% des répondants qui estiment que cela ne sert à rien !

« Les entreprises françaises sont sensibilisées aux risques majeurs de sécurité mais les bonnes pratiques ne sont toujours pas appliquées, confie Jean-Pierre Carlin, Directeur Europe du Sud chez LogRhythm. Les données des entreprises ne sont peut-être pas aussi critiques que celles de la NSA, il n’en reste pas moins étonnant que les employés ne soient pas plus impliqués par la direction sur cette pratique essentielle pour la sécurité de leurs données alors que la menace est bien réelle. Il est très surprenant que des procédures aussi basiques que le renouvellement régulier de mot de passe ne soient pas encore systématiquement appliquées. »

Selon cette étude, le manque d’information, mais aussi d’implication de la part des directions à se saisir de ces problématiques, engendre une sorte de laisser-aller sur la question de l’accès aux données, surtout en interne. Malgré les inquiétudes justifiées, les stratégies et procédures en place restent insuffisantes à ce jour. La formation des employés, l’application systématique des bonnes pratiques liées au contrôle d’accès et à la gestion des mots de passe est aujourd’hui indispensable pour initier une vraie stratégie de sécurité des données. Sans compter que ces mesures doivent elles-mêmes être complétées par d’autres procédures régissant l’ensemble des questions relatives à la protection des ressources de l’entreprise, que ce soit en matière de contrôle d’accès, ou de sanction des employés en cas de manquement ou de mauvaise application des règles de sécurité.

Malgré l’augmentation du nombre de failles de données, auxquelles viennent s’ajouter le vol et la perte de plus de 2 milliards d’enregistrements de données à travers le monde depuis 2013, les entreprises restent convaincues que les technologies de sécurité périmétrique sont efficaces pour protéger leurs données. Telles sont les conclusions d’une nouvelle étude publiée par SafeNet, Inc., un des leaders mondiaux de la protection des données.

Réalisé par SafeNet, l’indice 2014 de confiance dans la sécurité des données (SafeNet Data Security Confidence Index) indique que pour près de trois quarts (74 %) des décideurs informatiques, le firewall de leur entreprise est efficace contre l’intrusion d’utilisateurs non autorisés (84% pour les répondants français). Cependant, près de la moitié (44 %) admettent que ce firewall a connu une défaillance ou ignorent si une telle situation s’est produite (les français étant eux 34% à admettre une faille et 13% à ignorer si leur entreprise y a été confrontée). De plus, plus de 60 % d’entre eux ne sont pas convaincus que les données seraient en sécurité si des utilisateurs non autorisés réussissaient à forcer la sécurité périmétrique de leur réseau (70% pour les répondants français).

Détail des chiffres par pays accessible ici.

Investissements IT : sécurité périmétrique plutôt que défense en profondeur
Les résultats de l’étude montrent que malgré le nombre croissant des failles réseau et des pertes d’enregistrements de données, les entreprises continuent d’investir davantage dans les technologies de sécurité périmétrique et de lutte contre les failles de sécurité qu’en faveur des stratégies de défense en profondeur, qui incluent l’authentification multi-facteurs (MFA) et le chiffrement fort des données. Selon l’indice BLI de SafeNet (Breach Level Index), plus de 375 millions d’enregistrements de données clients ont été volés au cours du seul premier semestre 2014, soit une hausse de 31 % par rapport à la même période de l’année précédente.

L’étude révèle par ailleurs que pour 93 % des décideurs informatiques, les investissements effectués par leur entreprise en faveur de la sécurité périmétrique ont augmenté ou sont restés identiques au cours des cinq dernières années (pour 48% des français ce budget en sécurité périmétrique a augmenté), représentant en moyenne 9 % du budget informatique actuellement consacré à l’achat, au déploiement et à la maintenance des technologies de firewall (8% du budget des français). Pour les douze prochains mois, les personnes interrogées indiquent que cette tendance devrait continuer, les dépenses consacrées aux firewalls ne variant pratiquement pas (9,05 %).

Deux tiers des décideurs informatiques (67 %) admettent en outre ne pas envisager de réduire les investissements consacrés aux défenses périmétriques — technologie de firewall, par exemple — pour les remplacer par d’autres technologies (85% en France). D’ailleurs, s’ils devaient abandonner une méthode de protection des données sensibles, les responsables informatiques déclarent en majorité qu’ils supprimeraient les solutions de détection d’anomalies (49 % au niveau mondial, 38% en France) ou de sécurité des données telles que le chiffrement (24 % monde, 28% France), plutôt que la sécurité périmétrique (15 % monde, 21% France).

Une confiance limitée quant à la capacité de prévenir les failles de sécurité et repousser efficacement les cybercriminels

De plus, malgré la confiance élevée qu’ils accordent à la sécurité périmétrique et à son efficacité, les décideurs informatiques se déclarent moins convaincus par la capacité de leur entreprise à protéger les données contre des menaces de sécurité en plein essor. L’étude souligne les points suivants :

· Plus de la moitié (60 % mondialement, 70% en France) des responsables doutent que les données soient en sécurité si des utilisateurs non autorisés parviennent à franchir le périmètre de sécurité de leur réseau.

· Près de la moitié (41 % mondialement, 44% en France) d’entre eux pensent que des utilisateurs non autorisés peuvent accéder à leur réseau.

· Un tiers (34 % mondialement, 35% en France) des décideurs informatiques se disent moins confiants quant à la capacité de l’industrie de la sécurité à détecter les menaces de sécurité et à les contrer.

· Un quart des décideurs informatiques (25 % mondialement, 22% en France) admettent qu’en tant que client de leur propre entreprise, ils ne lui feraient pas confiance pour stocker et gérer leurs données personnelles.

· Plus de la moitié (53 % mondialement, 41% en France) estiment que les grandes failles de données annoncées dans la presse ont amené leur entreprise à revoir sa stratégie de sécurité.

« Les conclusions de cette étude soulignent quelques contradictions intéressantes entre la façon dont la sécurité des données est perçue et la réalité », a déclaré Tsion Gonen, directeur de la stratégie de SafeNet. « Il est en revanche inquiétant qu’un si grand nombre d’entreprises continue à mettre tous leurs œufs dans le même panier. Bien que la sécurité périmétrique ne représente qu’une simple couche de protection, bon nombre d’entreprises l’utilisent comme socle de leur stratégie de sécurité de données alors que dans la réalité, ce périmètre n’existe plus. Le simple volume de failles de données indique à lui seul que si un cybercriminel veut pirater le système ou voler des données, il trouvera le moyen d’arriver à ses fins. C’est pourquoi les entreprises doivent se concentrer sur le plus important, c’est-à-dire la protection des données. Elles doivent à cet effet définir des stratégies de sécurité plus intelligentes et associer les technologies de défense en profondeur et d’authentification multi-facteurs tout en intégrant directement la sécurité dans les données grâce au chiffrement. »

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, Identité numérique, Leak, Vie privée

Le Cloud en confiance : oui, c’est possible !

10 octobre 2014 Damien Bancal

Volontaires, de plus en plus, pour adopter des solutions dans le cloud, de nombreuses entreprises restent freinées par l’absence de clarté autour de la sécurité de leurs données, en particulier les plus sensibles. Pourtant, la souplesse et la simplicité peuvent parfaitement cohabiter avec la sécurité dans le cloud.

Certains le qualifiaient de « buzzword ». Il faut dire qu’une déferlante sans précédent s’est abattue sur la presse spécialisée – et même un peu plus – autour du cloud. Mais force est de constater qu’au-delà de l’effet de mode, le cloud s’est bel et bien installé durablement sur le marché de l’IT en général, et dans les systèmes d’information des entreprises en particulier.

Il faut dire que le cloud tient ses promesses. Comparativement à une infrastructure en propre gérée par l’entreprise, le cloud est moins cher, plus souple et beaucoup plus simple : externalisée, l’infrastructure est louée et totalement administrée par le fournisseur de services cloud. Et s’adapte précisément aux besoins de l’entreprise, sans nécessiter d’investissements lourds au départ.

Seulement voilà, le cloud rencontre encore, dans de nombreux cas, un obstacle de taille : le manque de confiance. A tort ou à raison, les entreprises sont encore frileuses à l’idée de stocker et gérer leurs données, notamment les plus sensibles, à l’extérieur du périmètre de leur système d’information. Considérant à ce titre que leur propre système d’information est parfaitement sécurisé, ce qui est loin d’être toujours le cas.

Sensibles ou non : la gestion kafkaïenne des données
Les médias en font leurs choux gras : de nombreuses affaires de vols de données, d’intrusions sur les comptes d’autrui, etc., éclaboussent régulièrement des géants du Web. Apple et les photos de stars volées a été la dernière victime de cet acharnement médiatique. Résultat : les inquiétudes et le manque de confiance persistent. Car outre la protection des données, c’est aussi l’usage qui prime. Et les systèmes de sécurité peuvent être si contraignants qu’ils retardent ou restreignent l’adoption des solutions.

Pour éliminer ce risque, nombreuses sont les entreprises à avoir fait le choix d’un système d’information à deux vitesses. Et ventilé leurs solutions en deux catégories distinctes : celles qui hébergent des données sensibles et qui doivent nécessairement rester sur site d’une part ; et celles dont les données, moins sensibles, peuvent être externalisées vers le cloud d’autre part.

Mais cette gestion dichotomique des données ne va pas sans poser problème. Tout d’abord sur la qualification de la sensibilité des données : en tant que telles, les données d’une entreprise sont toutes plus ou moins sensibles. Et celles qui ne le sont pas pour un département de l’entreprise, peuvent l’être pour un autre.

Ensuite, parce que le système d’information des entreprises est nécessairement poreux, ne serait-ce qu’au travers des échanges avec leur environnement immédiat : clients, partenaires, fournisseurs, etc. Un cloisonnement strict des deux types de données est donc, complexe et nécessite une classification précise des données.

Un référentiel pour gagner la confiance des entreprises
Conscients de ces questionnements quant à la confiance dans le cloud des entreprises, autant que des enjeux économiques que représente le cloud, des acteurs du secteur se sont réunis autour d’une table pour construire les outils de la confiance dans le cloud. Composé d’éditeurs et d’auditeurs spécialisés, et à l’initiative de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), représentant les pouvoirs publics, le consortium ainsi réuni a récemment publié un référentiel de « qualification de prestataires de services sécurisés d’informatique en nuage ».

L’objectif est clair : proposer un cadre à ces prestataires, et surtout une certification selon les critères de ce référentiel. En particulier autour des questions de sécurité : disponibilité, intégrité et confidentialité des données, mais également traçabilité des données et des actions entreprises.

Une certification qui permet dès lors aux entreprises d’être en pleine confiance auprès d’un prestataire de services cloud certifié : plus aucun besoin de s’interroger sur la sensibilité ou non des données. Si l’entreprise estime qu’une solution cloud est la réponse à son besoin, elle peut l’intégrer à son système d’information en toute confiance. Quels que soient les données, les départements de l’entreprise ou les processus (métiers, commerciaux, administratifs, financiers…) concernés. (Frédéric Fouyet, Directeur de l’Innovation et des produits et RSSI chez Oodrive)

BYOD, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Identité numérique, Vie privée

Le Wi-Fi peut-il garantir la sécurité de l’Internet des Objets ?

21 septembre 2014 Damien Bancal

En matière d’Internet des Objets, on se satisfait souvent du fait que le système fonctionne, pourtant, la connexion physique et la sécurité inhérente sont des aspects non négligeables. Le Wi-Fi est et restera le mécanisme de connexion prépondérant pour L’Internet des Objets, car l’infrastructure permettant de l’exploiter de façon sécurisée existe déjà. Les autres modes de connectivité, tels que le Bluetooth Low Energy, sont moins répandus, et donc plus difficiles à pirater. Chacun a son propre niveau de sécurité, mais nécessite la mise en place d’une infrastructure sous-jacente. Pour permettre le déploiement étendu de L’Internet des Objets grâce au Wi-Fi, il faut s’attaquer à d’importantes problématiques, parmi lesquelles la sécurité des réseaux.

Que ce soit à la maison ou en entreprise, tout le monde utilise un seul et même réseau sans fil et utilise la même clé pré-partagée afin de s’y connecter. Dans ce contexte, la problématique se situe dans le partage répété de cette clé, et donc dans la nécessité de définir le niveau de sécurité adéquat pour les nouveaux périphériques se connectant au réseau afin de ne pas devenir une proie facile pour les pirates. L’important n’est pas la sécurité du réseau, mais celle des périphériques s’y connectant. Ces périphériques sont en général des appareils low cost, bien plus que les clients Wi-Fi traditionnels, et disposent de bien moins de fonctionnalités pour assurer leur protection et celle du réseau Wi-Fi auquel ils se connectent. Ces appareils doivent être facilement paramétrables, ce qui rend leur piratage plus simple, les identifiants utilisés pour accéder au réseau étant plus vulnérables.

Une équipe de chercheurs du cabinet de conseil Context Information Security a récemment pu confirmer ce risque en cherchant à démontrer la vulnérabilité des systèmes d’éclairage intelligent. En obtenant l’accès à l’ampoule principale, ils ont pu contrôler l’ensemble des ampoules connectées, et ainsi découvrir les configurations réseau des utilisateurs.

Généralement, ces ampoules et autres périphériques se connectent au réseau à l’aide d’une clé pré-partagée. Le problème au sein des réseaux sans fil traditionnels vient justement du fait qu’il n’y a qu’une seule clé : les organisations sont ainsi contraintes à créer un réseau Wi-Fi distinct pour chaque appareil à connecter à l’Internet des Objets. En outre, et comme l’ont démontré les chercheurs du cabinet Context, il est facile de découvrir une clé pré-partagée. Les identifiants étant potentiellement menacés, il apparaît donc logique qu’ils disposent de droits limités sur le réseau. Pourquoi ? La principale problématique avec l’Internet des Objets est la capacité des appareils à enregistrer des identifiants, surtout lorsque l’on considère tout ce que ces informations permettent de faire à l’arrivée, de la gestion de l’éclairage au contrôle autonome de la température par les réfrigérateurs, en passant par les équipements sportifs envoyant des informations personnelles à d’autres terminaux.

Si l’on utilise une clé pré-partagée pour se connecter au réseau, il faut alors que le réseau en question soit verrouillé et que les fonctionnalités de l’appareil soient limitées. En utilisant des clés pré-partagées privées, une organisation peut utiliser différentes clés pour ses différents appareils, et avec des droits spécifiques sur le réseau. Un groupe de clés pourrait ainsi être utilisé pour les accès en mode invité ou le BYOD, tandis qu’un autre pourrait permettre la gestion des bâtiments en s’appuyant sur une stratégie de pare-feu très contrôlée autorisant uniquement les changements effectués par les systèmes automatisés, et refusant ceux provenant de toute autre personne connectée au réseau. Les systèmes d’éclairage pourraient être contrôlés par un autre groupe de clés, avec éventuellement une stratégie de pare-feu propre permettant aux employés d’ajuster l’éclairage en salles de réunion, mais pas dans les couloirs.

Cette approche permettrait aux utilisateurs de disposer de milliers de clés pré-partagées différentes pour un seul réseau et avec différents profils de connexion, y compris via des pare-feu et des réseaux locaux virtuels. Dans ce scénario, si l’intégrité d’une ampoule venait à être compromise, la menace ne pourrait s’étendre aux autres, car la clé pré-partagée utilisée pour l’une n’aurait pas les privilèges nécessaires pour cela. La menace liée à cette compromission serait par conséquent limitée.

Il est également absolument essentiel que les informations d’identification utilisées n’aient qu’une faible utilité pour tout individu piratant le réseau. Il est donc nécessaire de disposer d’une méthode d’authentification et d’identification des appareils simple et sécurisée. En autorisant les périphériques sur le réseau et en leur fournissant un accès approprié à leur catégorie, les organisations doivent pouvoir gérer la menace une fois l’intégrité des identifiants compromise, afin de s’assurer qu’ils ne présentent qu’une valeur limitée pour toute personne s’en servant pour découvrir et pirater le réseau.

La méthode la plus évidente pour cela serait de placer les certificats sur les appareils afin de bien les authentifier, mais il s’agit là d’une approche coûteuse et complexe. Pour éviter ces inconvénients, les entreprises devraient alors préférer l’utilisation de différents réseaux pour leurs différents types d’appareils, ce qui représenterait un gaspillage de temps et de ressources, davantage de complexité pour l’utilisateur, ainsi qu’un ralentissement des performances globales. Il faut donc pouvoir surmonter cet obstacle plus simplement afin de s’assurer que tous les périphériques soient gérés de façon sécurisée depuis un point d’accès. En matière de Wi-Fi, l’Internet des Objets est le BYOD d’aujourd’hui, et les organisations rencontrent exactement les mêmes problèmes sur le plan de la sécurité.

À mesure que ce système s’affirmera comme la nouvelle vague en matière de réseaux, l’industrie trouvera un certain nombre de solutions afin de résoudre ces problèmes. Mais il faut cependant garder en tête que l’Internet des Objets va changer et se développer, et que dans ce contexte, il sera difficile de s’assurer que l’infrastructure puisse faire face à différents scénarios en même temps. Bien que l’on s’intéresse aujourd’hui aux failles de sécurité de l’Internet des Objets en matière de gestion des bâtiments et d’interfaces personnelles d’accès au réseau, il reste cependant un large éventail de scénarios relevant également de l’Internet des Objets dans d’autres secteurs, tels que l’automobile et les infrastructures. Une fois que nous aurons pris en compte ces types de scénarios, les problématiques en matière de sécurité se feront plus nombreuses, et les solutions permettant d’y faire face revêtiront un caractère de plus en plus urgent. (Par Benoit Mangin, Directeur Commercial Europe du Sud, Aerohive pour datasecuritybreach.fr)

Chiffrement, cryptage, Cybersécurité, Facebook, Fuite de données, Patch

Facebook : voler nom, mail et jeton de connexion

15 septembre 2014 Damien Bancal

Deux chercheurs en sécurité informatique, evil_xorb et Michał Bentkowski, ont découvert une faille qui permettait de mettre la main sur le nom, le mail et le jeton de connexion d’un utilsateur de Facebook. Le bug partait du plugin FriendFeed. Après avoir cliqué sur le bouton « Enregistrer », une requête POST à redirect_uri était délivrée. Cette requête contenait les données de l’utilisateur. Rien n’était chiffré. Nom, mail et le jeton d’accès accessibles. Une vulnérabilité sensible au Clickjacking. Le bug a été signalé à Facebook et a été corrigé assez rapidement. (Bentkowski)

Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données

Google va mettre en avant les pages web chiffrées

7 septembre 2014 Damien Bancal Un commentaire

Google l’a confirmé : son algorithme de ranking attribue désormais des “points bonus” de référencement aux pages web chiffrées.

Cette initiative vise à encourager les développeurs de sites web à adopter des technologies de chiffrement (via l’utilisation du protocole HTTPS), qui empêchent les hackers de pirater leurs sites web et voler des informations clients. C’est très bien de voir une initiative de la part de Google pour augmenter l’utilisation du chiffrement. C’est une démarche intelligente et susceptible d’avoir un impact significatif sur la façon dont les organisations sécurisent leurs sites web. Toutes les entreprises veulent un bon Google PageRank, il est donc dans leur meilleur intérêt de s’assurer que leurs pages web sont chiffrées.

A la suite d’HeartBleed nous préconisons aussi de conserver les clés racines en dur dans des modules cryptographiques. Il faut dire aussi que les données texte en clair sont faciles à lire. Donc tout site web qui stocke ou transmet des logins, mots de passe ou toutes autres données de clients en clair met ces données clients et la réputation de son entreprise en danger.

Par le passé les entreprises ont pu ignorer le chiffrement pour des contraintes de coûts ou la peur de ralentir le temps de réponse de leur site web. « Mais des technologies de chiffrement à haute vitesse sont désormais disponibles qui éliminent ces problèmes de coût et de vitesse. Ceux qui transmettent ou stockent des données texte en clair n’ont donc vraiment plus d’excuse. » confirme à Data Security Breach Julien Champagne, Directeur Commercial France et Maghreb de SafeNet.

Banque, BYOD, Chiffrement, Cloud, cryptage, Entreprise, Fuite de données, Paiement en ligne, Propriété Industrielle

Un livre blanc sur les risques associés aux certificats numériques

28 août 2014 Damien Bancal

À chaque fois que des transactions ou accès au réseau sécurisés sont requis, la personne demandant l’accès doit d’abord prouver son identité. L’une des méthodes d’identification de l’utilisateur est l’emploi de certificats numériques qui sont semblables à des cartes d’identité numériques. Cette procédure fait l’objet d’un examen dans un nouveau livre blanc publié par les spécialistes de la sécurité informatique de SecurEnvoy, intitulé « Les Risques de l’authentification à l’aide des certificats numériques ». Vous pouvez le télécharger gratuitement sur le site Web de la société [Lien ci-dessous, ndlr DataSecurityBreach.fr].

Un certificat numérique est en réalité une clé privée stockée sur une carte à puce ou un dispositif mobile, que l’utilisateur porte toujours sur lui. Toutefois, dans ce cas le problème des identités distribuées représente un désavantage important. Étant donné que pour chaque dispositif (final) qu’un utilisateur veut utiliser pour son travail, qu’il s’agisse d’un PC, d’un smartphone ou d’une tablette, un certificat séparé est requis. Ceci entraîne un travail d’installation pénible, ainsi qu’une véritable « jungle de certificats » en fonction du nombre de périphériques impliqués.

En outre, les certificats demeurent sur les appareils finaux et peuvent tomber aux mains de criminels s’ils sont perdus ou vendus, ce qui pose un problème pour les données sensibles. Une alternative plus simple, mais doublement sécurisée est l’authentification forte sans jeton, qui est également décrite dans le livre blanc [En Anglais].

Banque, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Paiement en ligne

Traitement des paiements conformes à PCI

28 août 2014 Damien Bancal

Les sociétés de service en particulier détiennent de grandes quantités de données clients qui nécessitent un niveau élevé de protection. Lors du tri des informations pour le traitement des paiements, les sociétés doivent également satisfaire aux exigences de conformité PCI DSS (normes de sécurité des données des cartes de paiement).

Ces exigences stipulent, entre autre, que la connexion au système interne d’une société ne peut pas être simplement protégée par un mot de passe. Dans cette situation, l’authentification forte sans jeton de SecurEnvoy offre la solution idéale. Les employés reçoivent un code numérique par SMS sur leur téléphone mobile, qu’ils peuvent saisir en plus de leur mot de passe.

Lors du traitement des paiements, les sociétés sont soumises à plusieurs règlements de conformité. Par exemple, les règlements PCI DSS stipulent la nécessité d’un accès hautement sécurisé aux réseaux contenant des informations sensibles à propos des paiements par carte de crédit. Les employés accédant à distance à ces réseaux sont particulièrement affectés par ces exigences spécifiques : conformément à PCI DSS, se connecter en utilisant uniquement un mot de passe n’est pas autorisée.

Sécurité supplémentaire au moment de la connexion
Les sociétés doivent répondre à cette exigence et établir une sécurité supplémentaire pour la connexion au réseau. L’authentification forte est idéale pour cette situation. De nombreuses sociétés ne sont pas satisfaites de devoir acquérir des cartes à puce coûteuses ou d’autres jetons pour l’authentification du personnel. Mais il existe une alternative moins onéreuse et sécurisée : l’authentification forte sans jeton telle que SecurAccess.Avec cette solution, les téléphones mobiles sont utilisés à la place des jetons physiques traditionnels. Lorsqu’un utilisateur souhaite se connecter au réseau, un code numérique à six chiffres est envoyé par SMS ou e-mail. Des applications à jeton virtuel sont également proposées pour toutes les plateformes mobiles principales sans frais supplémentaires. Le mot de passe est saisi avec les identifiants de connexion personnels de l’utilisateur, afin d’assurer une identification sans ambigüité. Le numéro d’identification n’est valide qu’une fois et expire immédiatement après avoir été saisi. Pour la connexion au réseau suivante, SecurAccess envoie une nouvelle combinaison de chiffres à l’utilisateur.

« SecurAccess utilise les téléphones mobiles en tant que jetons pour plusieurs bonnes raisons, » explique Steve Watts, directeur des ventes et du marketing à SecurEnvoy. « Tout d’abord, presque tout le monde possède un téléphone mobile ou un smartphone et deuxièmement, tout le monde porte son téléphone sur soi. Les jetons physiques sont souvent perdus ou les employés les oublient accidentellement chez eux. Ceci entraîne non seulement des coûts de remplacement, mais cela ralentit le travail car pendant une certaine période de temps, les employés ne peuvent pas s’authentifier et ne peuvent donc pas accéder au réseau. Par conséquent, pour les sociétés de service, la transmission d’un numéro d’identification par SMS est le moyen le plus efficace et le moins coûteux d’assurer la conformité PCI DSS ».

Bitcoin, BYOD, Chiffrement, Cloud, cryptage, Entreprise, Sauvegarde

Attaque à l’encontre de NAS de la marque Synology

8 août 2014 Damien Bancal 2 commentaires

Depuis quelques semaines, des utilisateurs de NAS de la marque Synology, des boitiers de stockages, ont été visés par un logiciel malveillant qui chiffre le contenu des disques durs du produit de la société américaine.

Baptisé Synolocker, le code malveillant est injecté de différente manière, dont une technique toute simple, retrouver l’ip du boitier et de s’y connecter pour bloquer la lecture des contenus.

Une technique qui vise de vieux NAS, du moins dont les mises à jour n’ont pas été effectuées. Le pirate réclame entre 250 et 300 euros, en bitcoin (0.6 bitcoin). L’entreprise a mis à jour son firmware pour contrer plusieurs failles qui ont pu être exploitées par le malveillant. Une technique, pour bloquer l’attaque, du moins la freiner, fermer le NAS. Cela provoquera un arrêt du chiffrement en cours.

Preuve, aussi, qu’une sauvegarde parallèle et hors connexion est loin d’être négligeable.

Message d’alerte du NAS

Dear user,
The IP address [211.228.238.239] experienced 5 failed attempts when attempting to log into DSM running on SYN1 within 5 minutes, and was blocked at Thu Jul 31 22:41:50 2014.

Sincerely,
Synology DiskStation

Argent, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Identité numérique, Leak, Vie privée

L’impact des failles de données sur la fidélité des clients

8 août 2014 Damien Bancal

65 % des consommateurs adultes se déclarent peu enclins à poursuivre leurs relations commerciales avec des entreprises ayant subi une faille touchant aux données financières.

Selon une nouvelle étude de SafeNet, Inc., un des leaders mondiaux de la protection des données, les failles de données ont un impact significatif sur les relations commerciales qu’une marque peut entretenir avec ses clients. Il ressort en effet de cette étude réalisée auprès de plus de 4 500 consommateurs adultes dans cinq des plus grandes économies du monde (États-Unis, Royaume-Uni, Allemagne, Japon et Australie) que près des deux tiers (65 %) des personnes interrogées envisagent de ne plus jamais – ou très peu – entretenir de relations commerciales avec une enseigne ayant subi une faille de données doublée d’un vol de données financières (numéros de cartes bancaires, numéros de comptes bancaires et autres informations de connexion).

En parallèle, SafeNet annonce également aujourd’hui les résultats de l’étude Breach Level Index (BLI) du deuxième trimestre qui précise que 237 failles ont été recensées d’avril à juin 2014, impactant plus de 175 millions d’enregistrements à travers le monde. Les résultats de cette étude soulignent donc l’impact que les failles de données peuvent avoir sur la fidélité des clients et le business des entreprises. Les failles de données impliquant des informations personnelles identifiables sont considérées comme légèrement moins nocives pour les entreprises que les failles impliquant des données financières : seulement un peu plus de la moitié des personnes interrogées (57 %) indiquant ne plus jamais – ou très peu – entretenir de relations commerciales avec une entreprise ayant subi une faille de données de cette nature.

« Les failles de données ne sont pas seulement des failles de sécurité. Ce sont également des violations de la confiance entre les entreprises et leurs clients, qui peuvent écorner l’image de marque, entraîner un manque à gagner, des poursuites juridiques et des amendes potentiellement menaçantes pour la viabilité des entreprises. Pour les sociétés qui ne sont pas capables de gérer leur vulnérabilité en matière de sécurité, le problème ne fera qu’empirer : en effet, à mesure que les réglementations concernant la déclaration des failles de données deviendront plus strictes à travers le monde, les failles gagneront en visibilité auprès du grand public. C’est pourquoi les entreprises doivent tout faire pour protéger les données de leurs clients », a déclaré Tsion Gonen, directeur de la stratégie de SafeNet.

Dans les cinq pays concernés par l’enquête de fidélisation client, la répartition des personnes qui envisagent de ne plus jamais – ou très peu – entretenir des relations commerciales avec une enseigne ayant subi une faille de données, est la suivante :

États-Unis : 54 %
Royaume-Uni : 68 %
Allemagne : 53 %
Japon : 82 %
Australie : 72 %

Seulement la moitié des consommateurs estiment que les entreprises prennent la sécurité des données au sérieux. Selon les résultats de cette enquête, seulement la moitié des adultes interrogés estiment que les entreprises prennent la protection et la sécurité des données suffisamment au sérieux. Ce sentiment est susceptible d’avoir été influencé par le volume élevé de failles de données enregistré en 2014. Au cours du seul deuxième trimestre, les failles de données ont frappé de nombreuses entreprises renommées dont AOL, Dominos, eBay, Office et Spotify. Plus de 175 millions de dossiers clients renfermant des informations personnelles et financières ont été impactés à travers le monde.

« Face à l’augmentation de la fréquence et de l’ampleur des failles de données, il ne fait aucun doute que toutes les entreprises sont exposées à plus ou moins longue échéance. Les cybercriminels visent les cibles les plus faciles, et dans de nombreux cas, les données personnelles ne sont pas chiffrées. Les conséquences sont limpides : il est temps que les entreprises pensent à protéger davantage leurs données au moyen d’une solution de chiffrement forte et d’authentification multi-facteurs. Seules les entreprises ayant adopté une approche basée sur les « failles sécurisées » et ayant chiffré la totalité des données seront en mesure de conserver leurs clients en cas de faille de données », a conclu Tsion Gonen.

Chiffrement, cryptage, Cybersécurité, Espionnae, Facebook, Identité numérique, Vie privée

Piratage facile des données utilisateurs Instagram

30 juillet 2014 Damien Bancal 2 commentaires

Une nouvelle vulnérabité, considérée comme critique, touche le jouet de Facebook, Instagram.

La faille permet à un internaute malveillant de mettre la main sur les informations des utilisateurs, dont le cookies de connexion. L’attaque peut se faire via les applications (sauf mobile, ndlr) du portail communautaire. Des logiciels qui n’utilisent pas les connexions chiffrées. Bref, via un hotspot wifi, une connexion d’entreprise (coucou admin, ndlr), les données transitent en clair. Un « homme du milieu », n’a plus qu’à se servir.

Mazin Ahmed, qui a découvert le probléme a contacté facebook qui lui a confirmé connaitre le probléme depuis 2012. Facebook travaille à réfléchir quand la version HTTPS sera mise en place pour Instagram. A noter qu’en France Facebook et Instagram sont donc dans l’illégalité la plus totale et pourrait être poursuivit. La loi Française impose aux entreprises de sécuriser au mieux les données que les utilisateurs peuvent lui laisser.

Data Security Breach rappelle à Facebook et Instagram que la communication d’informations à des personnes non-autorisées est punie de 5 ans d’emprisonnement et de 300 000 € d’amende. Que la divulgation d’informations commise par imprudence ou négligence est punie de 3 ans d’emprisonnement et de 100 000 € d’amende. Article 226-22 du code pénal. A cela, DataSecurityBreach.fr rajoute que le non-respect de l’obligation de sécurité est sanctionné de 5 ans d’emprisonnement et de 300 000 € d’amende. Article 226-17 du code pénal. Seule la version mobile d’Instagram chiffre les informations.

Chiffrement, cryptage, Entreprise, Fuite de données, Paiement en ligne, Propriété Industrielle

Galileo communique en mode chiffré

30 juillet 2014 Damien Bancal

Le Satelitte commercial Galileo vient de conclure ses premiers tests de diffusion en mode chiffré.

La démonstration a permis de diffuser des signaux à la fois chiffrés et non chiffrés. Au cours d’une période d’essai de 10 jours, les récepteurs situés à Tres Cantos (Espagne) et Poing (Allemagne) ont pu emettre et recvoir des informations protégées. Les essais ont confirmé le chiffrement, contenant l’authentification et l’assurance de données non altérées. Les signaux chiffrés ont été diffusés sur les « signaux » E6-B et E6-C des satelittes Galileo. Une démonstration pour ce concurrent du service américain (GPS, …). Une fois opérationnel, deux autres signaux cryptés sur la bande E6 seront proposés. Il reste encore pas mal de travail avant une mise en action définitive des services de Galileo qui devraient débuter en 2016.

Banque, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage

Piratage à la Banque Centrale Européenne

24 juillet 2014 Damien Bancal

Quelques semaines après la chaîne de livraison de pizza Domino’s Pizza, ou encore de plusieurs journaux, c’est aujourd’hui la Banque Centrale Européenne d’annoncer avoir été victime d’un vol de données personnelles de certains de ses clients.

Un piratage qui s’est suivi, comme en Belgique, d’un chantage exercé par les cybercriminels responsables de l’intrusion et du vol des données. « De plus en plus de cybercriminels volent des données non cryptées dans le but de les revendre sur le marché noir ou de les utiliser dans des actions de cyber-chantage, explique Jason Hart, vice-président Solutions Cloud de SafeNet.Toutes les données stockées sous forme de texte brut peuvent être lues sans la moindre difficulté, et sont par conséquent à la merci des cybercriminels. Face à de telles menaces, il est indispensable que les entreprises pensent à chiffrer toutes les données de leurs clients – et ce, qu’elles soient stockées ou en transit dans leur réseau. » Dans le cas de la Banque Centrale, l’atatque peut être considérée comme « modérée ».

Dans ce cas précis, la gravité a été minimisée par le fait que les mots de passe et les informations financières étaient chiffrées. Néanmoins, le fait que des pirates aient pu mettre la main sur des adresses électroniques et des numéros de téléphone peut à court terme avoir des répercussions significatives sur le niveau de confiance des clients.

BYOD, Chiffrement, Cloud, cryptage, Entreprise, Fuite de données

Le phénomène shadow IT : un cauchemar pour les entreprises

21 juillet 2014 Damien Bancal

Une meilleure coopération avec les employés, de nouveaux outils et de nouveaux processus d’obtention de services informatiques pour contrer le phénomène du Shadow IT.

Dans beaucoup d’entreprises, les administrateurs informatiques font de plus en plus face à une nouvelle source de contraintes : le Shadow IT. Beaucoup de départements et d’employés se procurent et utilisent des applications sans que le département informatique ne soit mis au courant ou n’ait donné son accord. Une enquête [1] réalisée par PricewaterhouseCoopers (PwC) indique que 15 à 30% des dépenses informatiques des entreprises sondées se font hors budget officiel.

Le BYOD légitime la prolifération
Pour tous les administrateurs informatiques, cette prolifération rapide de l’utilisation de telles applications est devenue un réel problème qui s’est développé dans l’ombre. Ce phénomène a été appelé le ‘Shadow IT’, un terme qui décrit l’utilisation de ‘services et produits informatiques n’ayant pas d’approbation’ ou comme l’a expliqué Christopher Rentrop, professeur d’informatique à l’Université de Constance au département des sciences appliquées : « Le Shadow IT, c’est l’ensemble des applications acquises sans que le département informatique ne soit impliqué et pour lesquelles l’ITSM (la gestion des services informatiques) ne gère pas l’utilisation. » Ce phénomène ne date pas d’hier : le BYOD n’a fait qu’encourager sa diffusion et, dans une certaine mesure, le légitimer dans beaucoup d’entreprises. Mais le réel problème ne vient pas des appareils personnels des employés puisqu’ils peuvent être identifiés par des outils de gestion réseau. Il provient de la difficulté à surveiller les plateformes des réseaux sociaux et les applications Cloud. Par exemple, les collaborateurs utilisent Facebook ou Dropbox pour envoyer ou publier des documents sans se faire remarquer.

Ces logiciels et services non-approuvés et impossibles à surveiller, gérer et supprimer engendrent une consommation de la bande passante, un ralentissement des réseaux, posent des problèmes de conformité, ajoutent de la charge de travail aux départements informatiques et leur infligent un plus gros coût financier. La moitié des administrateurs informatiques interrogés pour l’enquête PwC pensent que la gestion du Shadow IT représente 50% de leur budget et luttent pour plus de transparence. Une enquête effectuée par des spécialistes réseaux d’Ipswitch auprès de 400 administrateurs informatiques révèle que 12% d’entre eux souhaiteraient en premier lieu pouvoir éclaircir cette zone d’ombre que demeure le Shadow IT. Ils pensent que leur travail au quotidien serait bien plus simple si les utilisateurs signalaient les applications installées sur leur ordinateur professionnel.

L’une des raisons principales du développement du Shadow IT est que les processus d’obtention de services informatiques sont obsolètes dans la plupart des entreprises. Ce sont ces lourds processus mis en place et utilisés depuis plus de 25 ans qui créaient cette zone d’ombre. Ils doivent être repensés et restructurés. Les entreprises doivent se focaliser sur les besoins de leur personnel et tenir compte des procédures et obtentions nécessaires pour rendre les employés plus efficaces, plus productifs et en fin de compte, plus satisfaits.

Être à l’écoute du personnel
Les risques ne peuvent être contrôlés que si la ‘consumérisation’ de l’informatique est considérée comme une opportunité. Globalement, les employés ne souhaitent pas délibérément contourner les procédures informatiques. Ils ont généralement un problème spécifique et important pour lequel ils ont besoin d’une solution rapidement. Bien sûr, il est bien plus facile pour le personnel d’une entreprise d’utiliser des solutions Cloud bon marché online plutôt que d’engager de long processus d’obtention auprès des services informatiques qui pourraient au final ne servir à rien ou ne pas résoudre le cœur de leur problème. Au quotidien, ces personnes sont habituées à pouvoir utiliser les applications normales ou Cloud qu’elles souhaitent et qui leur facilitent la vie. Pourquoi ne feraient-elles pas pareil sur leur lieu de travail ? C’est ce qui explique les phénomènes tels que la grande popularité de Dropbox dans les entreprises. Puisqu’il n’est pas possible d’envoyer des emails avec des pièces jointes trop lourdes, les employés règlent rapidement le problème en créant des liens Dropbox.

Il est temps que les départements informatiques essaient de coopérer. Cinq étapes peuvent atténuer les impacts du Shadow IT et encourager la coopération avec les employés :

·        Une solution de gestion réseau est nécessaire pour identifier les applications non-autorisées avant qu’elles ne posent problème. Un système de surveillance du trafic réseau pourrait être une solution.
·        L’utilisation de la bande passante du réseau doit être transparente. L’administrateur informatique doit savoir quels sont les utilisateurs, les appareils et les applications qui obligent à repousser les limites des capacités du réseau.
·        Un système de surveillance qui identifie immédiatement les appareils posant problème est également nécessaire. Quel utilisateur a accès à quel appareil et via quel appareil ?
·        Les problèmes qui causent un ralentissement ou une panne du réseau doivent être identifiés et résolus plus rapidement.
·        Pour prévenir l’utilisation de systèmes Cloud qui ne peuvent pas être surveillés et qui exposent les données à des risques, les départements informatiques doivent mettre en place des outils d’échange de données simples et efficaces.

Les départements informatiques devraient se concentrer sur la mise en place d’outils et de solutions permettant une bonne gestion des résultats. En d’autres termes, le problème n’est pas d’éradiquer le Shadow IT mais d’en tirer avantage au maximum. Essayer d’éliminer le Shadow IT ou nier son existence ne serait que fermer les yeux devant une réalité.

Afin de créer la transparence nécessaire, il est important de coopérer avec les employés. Les outils de surveillance peuvent aider à sauvegarder les performances du réseau, à surveiller la disponibilité des applications et à prévenir un usage abusif. Cependant, il est surtout essentiel de soumettre les processus d’obtention de services informatiques établis à un examen approfondi rigoureux et de les rendre plus simples et plus rapides. (Par Yannick Hello, Responsable S-EMEA chez Ipswitch, Inc.)

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité

Les services cloud de plus en plus convoités par les pirates

17 juillet 2014 Damien Bancal

De plus en plus d’entreprises utilisent des services cloud de stockage tel que Dropbox, Onedrive, Google Disk,… sans vraiment se rendre compte du risque pour la sécurité de leurs données.

Alors que les services de stockage de fichiers dans le cloud ont depuis longtemps les faveurs des internautes, leur confort indéniable s’accompagne toutefois d’un certain nombre de risques. C’est ainsi que de nombreux utilisateurs conservent dans le cloud des copies numérisées de leur passeport et d’autres documents, bien que parfois des vulnérabilités dans le service compromettent la sécurité de leurs données personnelles. Cependant, l’utilisation de technologies cloud à des fins autres que celles pour lesquelles elles ont été conçues peut être encore plus dangereuse. Par exemple, il est facile de trouver des instructions permettant aux possesseurs d’ordinateurs désireux de mettre à profit ces services de piloter et de surveiller à distance leurs machines, de commander les téléchargements de type Torrent, etc. En appliquant ces recommandations, les utilisateurs créent involontairement différentes failles de sécurité facilement exploitables par des cybercriminels, en particulier dans le cadre d’attaques ciblées.

Scenario d’attaque
Des cybercriminels prennent le contrôle de l’ordinateur portable d’un employé via un logiciel client Dropbox installé sur celui-ci, notamment en dehors du bureau. Si des documents infectés sont placés dans des dossiers cloud, Dropbox les recopiera automatiquement sur tous les équipements connectés au réseau de l’’entreprise et utilisant le même service. Dropbox n’est pas le seul dans ce cas : – toutes les applications répandues de stockage dans le cloud – Onedrive (anciennement Skydrive), Google Disk, Yandex Disk, etc. – offrent des fonctions de synchronisation automatique. Des attaques à prendre au sérieux ? Les experts de Kaspersky Lab, éditeur de solution de sécurité informatique, ont cherché à savoir si les cybercriminels se servent effectivement de ces outils pour diffuser des malwares.

Programmes malveillants via le Cloud
Après avoir collecté des données auprès d’utilisateurs volontaires, les analystes ont déterminé qu’environ 30 % des programmes malveillants présents dans des dossiers cloud sur des ordinateurs domestiques y ont été importés par des mécanismes de synchronisation. Pour les utilisateurs au sein d’une entreprise, ce chiffre atteint 50 %. Il faut noter une certaine différence entre les utilisateurs en entreprise et à domicile : les premiers se caractérisent davantage par la présence de fichiers infectés Microsoft Office dans leurs dossiers cloud tandis que, chez les seconds, ces documents bureautiques cohabitent souvent avec des applications Android malveillantes. « Une soigneuse analyse des statistiques montre que le risque d’infection d’un réseau d’entreprise par le stockage dans le cloud est aujourd’hui relativement faible : un utilisateur sur 1000 risque de voir son ordinateur infecté sur une période d’un an. Cependant, il ne faut pas oublier que, dans certains cas, un seul ordinateur contaminé peut aboutir à une attaque touchant l’ensemble du réseau et causant des dommages considérables. La configuration du pare-feu de façon à bloquer l’accès à ces services est une procédure fastidieuse, qui nécessite des mises à jour constantes de ses paramètres », commente Kirill Kruglov, chercheur senior chez Kaspersky Lab.

En pareil cas, il est habituellement recommandé aux administrateurs système d’installer, sur chaque poste de travail du réseau, une suite logicielle de sécurité aux fonctionnalités complètes : protection antivirus heuristique et comportementale, contrôle d’accès (HIPS), contrôle du système d’exploitation (System Watcher ou Hypervisor), protection contre l’exploitation des vulnérabilités, etc. Kaspersky Lab conseille de tirer parti de la technologie innovante Application Control intégrée à sa solution d’entreprise, qui peut bloquer l’exécution de tout logiciel non explicitement autorisé par l’administrateur système. Application Control protège le réseau de l’entreprise contre les attaques ciblées via Dropbox, sans perturber le travail normal des utilisateurs.

On ne peut que conseiller aussi le chiffrement des informations que les employés souhaitent laisser sur le cloud, évitant ainsi une lecture non autorisée.

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Fuite de données

BYOD, sous le sable les malwares !

17 juillet 2014 Damien Bancal

C’est la période de l’année où les gens commencent à réserver leurs vacances d’été, à partir au soleil… et pour les employeurs, il est indispensable de s’assurer que leurs politiques de BYOD sont suffisamment rigoureuses pour protéger leur entreprise contre tout vol potentiel de données, alors que leurs équipes seront au soleil pendant une quinzaine de jours.

L’équilibre entre le travail et la vie sociale est devenu plus flou avec des salariés qui ont désormais accès à Internet, aux réseaux sociaux et aux emails à partir de leurs Smartphones ou de leurs tablettes, à l’intérieur ou à l’extérieur de l’entreprise, à tout moment et depuis n’importe où. En conséquence, les problématiques liées au BYOD ont augmenté. Alors que les entreprises apprécient les avantages de la technologie mobile en termes de productivité et de compétitivité, elles ne sont pas toujours suffisamment concentrées sur les risques que cela entraine en terme de cyber attaques.

Il n’y a aucun doute sur le fait que l’adoption des périphériques mobiles en milieu professionnel constitue un défi qui est autant une question de politique et de contrôle, qu’une question de technologie en elle-même.

De leur côté, les fabricants font la promotion des tablettes comme étant le must-have pour chaque membre de la famille. Qu’est-ce que cela signifie pour les entreprises ? Cela signifie un afflux de nouveaux appareils à venir sur le réseau, car il est fort probable que ces bijoux dernier cri ne resteront pas à la maison…

Pour les équipes en charge de la sécurité informatique, il s’agit d’un véritable casse-tête et la tendance du BYOD complique véritablement leur tâche. De plus, comme la transition des ordinateurs de bureau vers les ordinateurs portables, les tablettes et les Smartphones continue de s’accélérer, il n’est pas surprenant que les hackers choisissent les périphériques mobiles pour cible.

Le problème avec les outils mobiles personnels, c’est qu’ils permettent d’accéder à des ressources de l’entreprise, en dehors du contrôle du service informatique de l’entreprise. Cela signifie qu’il peut être difficile de connaître les informations basiques, telles que le nombre et le type d’outils utilisés, les systèmes d’exploitation et les applications en cours d’exécution.

La prolifération des périphériques mobiles et leur utilisation croissante au travail a entrainé une croissance rapide des malwares mobiles, augmentant de manière significative, le risque pour les utilisateurs et leurs employés. Et compte tenu du manque de visibilité sur ces outils personnels, de nombreuses équipes de sécurité informatique n’ont pas la capacité d’identifier les menaces potentielles.

Cependant, malgré les embuches, les avantages du BYOD sont bien trop significatifs pour être ignorés. Ainsi, afin de reprendre le contrôle sur ce monde mobile, les professionnels de la sécurité informatique doivent être capable de tout voir dans leur environnement, afin de pouvoir définir le niveau de risque et le sécuriser en fonction du contexte, spécifique à chaque entreprise. Pour la plupart d’entre elles, la meilleure solution est de mettre en place des politiques BYOD qui définissent clairement l’utilisation des outils mobiles personnels de façon appropriée et ensuite de disposer d’un système de vérification et de contrôle pour appliquer et maintenir ces politiques de sécurité.

Pour conclure, la sécurité des périphériques mobiles se dessine en 3 phases :
–   Avant l’attaque – il s’agit d’établir un contrôle sur la façon dont les appareils mobiles sont utilisés, à quelles données ils peuvent accéder et quelles sont celles qu’ils peuvent stocker
–   Pendant l’attaque – la visibilité et l’adaptabilité sont essentielles pour que les professionnels de la sécurité puissent espérer identifier les menaces et les appareils à risque pour surveiller leurs activités sur le réseau de l’entreprise.
–   Après l’attaque – lorsque l’inévitable se produit et que le réseau est compromis par une menace, il faut être en mesure d’examiner rétrospectivement comment cette menace est entrée dans le réseau ; quels systèmes ont été en interaction avec la menace et quels fichiers et applications ont été exécutés afin de s’assurer que le réseau puisse être nettoyé le plus rapidement possible. (Par Cyrille Badeau, Directeur Europe du Sud, Sourcefire, now part of Cisco)

Chiffrement, cryptage, Cybersécurité, Mise à jour

Les ampoules connectées peuvent être piratées

14 juillet 2014 Damien Bancal Un commentaire

Le piratage d’objets connectés, voilà une petite finesse du high tech qui commence à être particulièrement récurrente.

Après la possibilité d’intercepter les connexions des frigos connectés, des télévision, de certains thermomètres, voici que les ampoules wifi, peuvent passer par la case « piratage ». C’est le journal Hacker News qui revient sur cette possibilité découverte par des chercheurs britanniques de la société Context. Les failles de sécurité ont trouvées dans les ampoules LIFX Smart light bulbs. De grosses ampoules qui peuvent être contrôlées par un smartphone ou une tablette sous iOS et Android.

Le problème se situe dans le manque de chiffrement des informations transmises en l’ampoule et le wifi. Normalement, l’ampoule exploite son propre réseau (protocole 6LoWPAN). Sauf que les hackers de chez Context ont trouvé le moyen de déchiffrer les données et de les réutiliser. Bilan, Alex Chapman de chez Context nous confirme qu’un pirate pourrait se servir de cette passerelle lumineuse, sur une distance approximative (et sans mur) de 30 mètres. Depuis, la société a corrigé les ampoules mises sur le marché. Autant dire que si vous achetez ce genre de produit, assurez-vous qu’elles ont été fabriquées après le 4 juillet 2014.

Avant, la sécurité du produit, et de votre connexion, ne sera pas garantie à moins que vous pensiez à mettre à jour le firmware de votre ampoule. LIFX est une jeune start-up qui a mené une campagne de collecte de fonds en 2012, via Kickstarter. L’entreprise demandait 100.000 dollars, elle va en recueillir 13 fois plus (1,3 millions de dollars).

Chiffrement, cryptage, Cybersécurité, Identité numérique, Vie privée

Protection des données des consommateurs sur Internet

12 juillet 2014 Damien Bancal 3 commentaires

Dashlane, éditeur d’outils de gestion de mots de passe et des portefeuilles numériques, a dévoilé à DataSecurityBreach.fr les résultats de la seconde édition de son baromètre sur la protection des données des consommateurs sur Internet.

Cette seconde édition a passé au crible plus de 130 des sites américains, anglais et français (44) les plus populaires du web à la suite de la faille Heartbleed. Ce baromètre met en évidence que 86% des sites français analysés utilisent des politiques de sécurité de mots de passe en dessous de la moyenne acceptable. Beaucoup n’ont pas mis en œuvre ne serait-ce que les règles de base, laissant les données personnelles des consommateurs sur Internet dangereusement vulnérables.

Cette analyse se fonde sur 22 critères identifiés comme critiques pour la sécurité des mots de passe sur Internet. Chaque critère permet d’attribuer un nombre de points positif ou négatif, ce qui donne un score final possible en -100 et +100 pour chaque site web étudié. Un score de +50 points correspond à la mise en œuvre minimale des bonnes pratiques vis-à-vis des mots de passe suggérées par Dashlane. Cette étude fait suite au premier baromètre publié par Dashlane sur le même sujet au premier trimestre 2014.

Apple, le seul site à voir la note maximum
Le site d’Apple avait obtenu la meilleure note dans le premier baromètre, et il est de nouveau le seul site web à se voir décerner la note maximale, à savoir +100. Live.com (Microsoft) termine second, tandis que UPS, Yahoo et Paypal occupent respectivement les troisième, quatrième et cinquième positions. Les autres sites réussissant ce test sont par exemple La Poste, leboncoin.fr, eBay et Skype. Gmail et la Fnac sont ex aequo à la dixième place.

Les mauvais élèves
Dans les sites français, ce sont Showroomprivé, Meetic Affinity et Spartoo qui reçoivent les plus mauvais scores. En remontant dans le classement des mauvais élèves, on trouve les 3 Suisses, Alloresto, Viadeo, easyJet.com, Cdiscount et Amazon. Dashlane a examiné six catégories de sites web : sites de rencontre, e-commerce, sécurité, productivité, outils sociaux et voyages. Le baromètre montre que ce sont les sites de rencontre qui obtiennent la plus mauvaise moyenne avec -45. Suivent les sites de sécurité (-23 de moyenne), de e-commerce (-21) et de voyages (-16).

Toujours des pratiques dangereuses malgré Heartbleed
Même si la plupart des sites ont demandé à leurs utilisateurs de changer leur mot de passe suite à la découverte de la faille Heartbleed, ils n’ont pas corrigé leurs faiblesses dans leur politique de sécurité. Dashlane a comparé les scores de sécurité obtenus dans le baromètre avec la robustesse réelle des mots de passe utilisés sur ces sites.

Un résultat net se dessine, montrant la corrélation entre la complexité des mots de passe utilisés et la note de sécurité obtenue. En d’autres termes, plus le site impose un mot de passe complexe, meilleure est la sécurité réelle des mots de passe des utilisateurs. Il va sans dire que plus le mot de passe est simple, plus les données personnelles et bancaires des consommateurs sont exposées. Les mots de passe représentent la première ligne de défense des données personnelles des consommateurs sur Internet. Le fait que certains sites ne demandent pas de mots de passe sécurisés veut donc dire qu’ils sont conscients d’exposer leurs utilisateurs aux attaques et aux logiciels malveillants.

Autre enseignement de ce baromètre que DataSecurityBreach.fr a pu lire, 51% (55% pour les sites français) des sites les plus importants ne verrouillent pas les comptes des utilisateurs après 10 tentatives de connexion incorrectes. L’une des méthodes favorites des pirates est d’essayer au hasard les mots de passe les plus répandus. Le pirate a seulement besoin d’une liste d’adresse emails et de mots de passe populaires (les deux sont faciles à trouver sur Internet). Ils n’ont plus qu’à utiliser un programme pour tenter de se connecter à un site en essayant des millions de combinaisons associant une adresse email à un mot de passe. C’est ce que l’on appelle une attaque « par force brute ».

En bloquant un compte utilisateur après un certain nombre de tentatives de connexion erronées, les sites web peuvent simplement bloquer ce type d’attaque et de ce fait mieux protéger les données personnelles des consommateurs. Les sites suivants ne sont que quelques-uns des sites les plus connus qui ne bloquent pas les comptes utilisateurs après 10 tentatives d’accès infructueuses : Amazon, Gmail, Evernote, eBay et Nike.

Des solutions simples
Les sites web devraient adopter au minimum les mesures suivantes en matière d’exigence sur les mots de passe :
Mot de passe de 8 caractères minimum
Mot de passe comprenant des chiffres et des lettres, avec des minuscules et des majuscules
Email de confirmation pour tout changement de mot de passe
Ne pas accepter les 10 mots de passe les plus vulnérables
Bloquer le compte utilisateur après 10 tentatives incorrectes de connexion

Emmanuel Schalit, CEO de Dashlane, commente ces pratiques : « Les entreprises et les sites web n’ont aucune excuse pour leur faible politique en matière de mot de passe. La mise en œuvre de politiques de sécurité pour les mots de passe ne coûte pas cher et est facilement réalisable grâce aux technologies open source existantes. Notre étude montre une nette corrélation entre les exigences des sites en matière de mots de passe et le niveau de sécurité des mots de passe des utilisateurs. Les sites qui exigent des mots de passe complexes ont des utilisateurs qui ont des mots de passe mieux sécurisés. Les mots de passe sont la première ligne de défense pour les données personnelles et confidentielles des consommateurs sur Internet, et des exigences faibles en matière de mots de passe les exposent encore plus. »

Android, Chiffrement, cryptage, Cybersécurité, Fuite de données, ios, Logiciels, Mise à jour, Patch, Sécurité, Téléphonie

Google ne protège toujours pas Gmail pour iOS

12 juillet 2014 Damien Bancal 2 commentaires

Vous avez un iPhone, un iPad ? Vous utilisez le service webmail de Google gMail ? Vous allez être heureux d’apprendre que le géant américain n’a toujours pas corrigé la faille qui permet d’intercepter les données qui transitent entre votre précieux et gMail.

L’alerte avait été lancée en février dernier par la société Lacoon Mobile Security. A l’époque, l’entreprise expliquait déjà que Google n’avait pas sécurisé les transmissions entre l’internaute et gMail. Bilan, il était possible de lire et modifier les communications normalement chiffrées. Etonnament, la faille a été corrigée sur Android, mais l’américain a « oublié » de faire de même pour les produits d’Apple. Bref, un pirate se mettant entre vous et la connexion, via une connexion wifi « gratuite » par exemple, n’aura aucun mal à intercepter et utiliser votre compte gMail. En attendant un correction, il est fortement déconseillé d’utiliser les applications gMail via une machine commercialisée par la grosse pomme.

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Fuite de données, Identité numérique, Linux

En vacances, protégez votre vie 2.0

11 juillet 2014 Damien Bancal 4 commentaires

Que vous soyez une personne importante ou non, aux yeux d’un pirate informatique vous n’êtes rien d’autre qu’un cloud vivant dans lequel il pourra en soutirer argents et données sensibles.

La rédaction de Data Security Breach vous propose quelques trucs et astuces à utiliser lors de vos déplacements afin de sécuriser votre informatique, votre smartphone, bref, votre vie 2.0. Attention, nos conseils ne vous sécurisons pas à 100%, la sécurité totale n’existe pas. Par contre, nos conseils freineront un maximum le pirate, le curieux, bref ce malveillant. Pas de paranoïa, juste de la prudence et une hygiène numérique à respecter. Nous avons rencontré, lors de nos voyages, de vrais professionnels de la recherche d’information via des cibles touristiques ou en « séminaires ». N’oubliez jamais que le « curieux » doit être rapide pour agir. Plus il passera du temps sur sa cible, plus il sera fragilisé dans son action, visible, donc détectable.

Dans votre hôtel/camping/…
– Ranger votre machine dans le coffre de votre chambre (si coffre il y a).

– Retirer la batterie. Ranger la prise électrique ailleurs, dans la chambre. Dans votre valise, fermée à clé par exemple. Comme nous vous le montrons, il existe des prises qui permettent d’être scindée en trois parties. De quoi retarder le pirate. Il ne pourra pas alimenter l’ordinateur.

– Changer le mot de passe de portable et mettez un mot de passe au bios de votre machine. Le mot de passe bios vous évitera la modification de lancement de votre ordinateur, via une clé USB ou un CD boot casseur de mot de passe. [Voir comment Zatazweb.tv a cracké le mot de passe de n’importe quel Windows en 30 secondes].

– Chiffrer les informations sensibles ou le disque dur de votre ordinateur. Qu’on le veuille ou non, BitLocker sur Windows 8 pro est efficace. N’hésitez pas à rajouter une seconde, voire une troisième couche avec Zed! ou TrueCrypt. Zed! a reçu la qualification ANSSI niveau standard (08/2010) et Certification Critères Communs EAL3+ (07/2010). Pour TrueCrypt : qualification niveau élémentaire (08/2009) et Certification CSPN (12/2008).

– Utiliser un câble antivol.

– N’hésitez pas à mettre un bout de scotch qui bloque les deux parties de votre portable. Si quelqu’un tente de l’ouvrir, vous le verrez. Un autocollant original et difficile à trouver dans le commerce fera parfaitement l’affaire.

– Chez DataSecurityBreach.fr, nous prenons en photo les vis des disques durs de nos portables. Si ces dernières ont bougés, ont été déplacées, vous pourrez vous en rendre compte.

– Une goute de cire, sur les vis est aussi très utile pour y appercevoir une potentielle manipulation. Il existe des cires de couleurs, évitez le rouge.

– Un antivirus mis à jour obligatoire.

– Utiliser un VPN pour vos connexions. VyprVPN est, à notre sens, très efficace tout comme VyPRVPN [Nous les utilisons, plus d’autres, NDR] Nous l’utilisons. Rapide, propose des centaines de connexions protégées dans le monde, avec un firewall NAT intégré loin d’être négligeable.

– Nous employons aussi une mini caméra de 5 cm qui s’enclenche dès lors qu’un mouvement dans la zone surveillée est détecté.

Autre point, sauvegardez vos documents administratifs sur un cloud sécurisé n’est pas négligeable en cas de perte de vos papiers, moyens de paiement. Sauvegardez y aussi les numéros de téléphones d’urgences (Ambassade, amis, familles, …). Bien évidement, chiffrez les données. Utilisez, par exemple, l’excellent Zed! Free par exemple. Une connexion à votre cloud sécuriser à n’utiliser qu’en cas d’urgence. N’allez pas me taper le mot de passe, sur un poste informatique « libre ». Pensez, si vous vous sentez capable de l’utiliser, emporter avec vous une cd/clé USB bootable avec un Linux intégré (Knoppix USB ou Tails par exemples).

Il en va de même pour votre téléphone portable. Ne le quittez jamais des yeux. L’installation d’un code malveillant étant devenu très simple. Pensez à employer un filtre évitant les regards « au dessus de l’épaule » ou sur les côtés. Des filtres qui permettent d’éviter les regards un peu trop curieux. Dernier détail en date, et de taille, pensez à charger vos appareils électroniques au maximum, surtout si vous partez sur le sol de l’Oncle Sam. Dorénavant, votre téléphone, votre ordniateur, votre tablette pourront être allumés devant un agent de sécurité, histoire de s’assurer que ce dernier ne cache pas une bombe. En cas de « non » allumage, le matos finira à la poubelle. Pensez à détruire les papiers que vous souhaiteriez jeter à la poubelle. Des petits bouts de papiers dans les toilettes sont plus efficace qu’une boulette dans la corbeille de votre chambre. Coupez le wifi et le Bluetooth. Ne sauvegardez/mémorisez aucun mot de passe dans votre appareil (il en va de même pour votre ordinateur et tablette).

Loin d’être négligeable, une pochette de sécurité, de type Stop RFID, permettant de sécuriser votre carte bancaire, passeport, … d’une tentative de connexion NFC non autorisée. Un bookmark de sites indispensables comme http://www.diplomatie.gouv.fr/fr/conseils-aux-voyageurs_909/ et Data Security Breach 😉 peut être envisagé.

L’utilisation des ordinateurs et des connexions proposés par les hôtels, campings, … sont à utiliser avec modération et intelligence. N’utilisez JAMAIS ces outils « libres » à des fins privées. JAMAIS vos mots de passe ; Accéder à vos courriels est fortement déconseillé sans passer par un système de VPN, INDISPENSABLE. Vous n’êtes cependant pas à l’abris d’un logiciel d’interception de vos frappes clavier (Keylogger). Pour finir, Comme nous le révélions dans notre article « Diner de cons dans les ordinateurs des Hôtels » nous croisons beaucoup trop de données qui n’ont rien à y faire ! Attention, dernier détail important, comme le rappel l’ANSSI, prenez connaissance de la législation locale. Des informations sur les contrôles aux frontières et sur l’importation ou l’utilisation de la cryptographie sont disponibles sur le site de l’Agence Nationale de la Sécurité des Systèmes d’Information.

Bref, contraignant, mais sécurisant. Si aucune de ces solutions proposées par Data Security Breach ne vous conviennent, posez-vous une dernière question : Avez-vous vraiment besoin d’un ordinateur pendant vos vacances ?

Chiffrement, cryptage, Cybersécurité

Des appels internationaux cryptés vers des non abonnés

9 juillet 2014 Damien Bancal

Silent Circle, société spécialisée dans les communications privées, révolutionne la sécurité des appareils mobiles pour protéger les données confidentielles des particuliers et des entreprises.

Elle a annoncé aujourd’hui le développement du service Out-Circle Calling (OCC), son offre hybride d’appels cryptés qui permet aux abonnés Silent Circle de recevoir et d’effectuer des appels privés cryptés vers des personnes qui ne sont pas abonnées et ce, dans 79 pays au total par l’intermédiaire du service Silent Phone de la société. Le lancement du service mondial Out-Circle Calling bouleverse profondément les modèles traditionnels de communications mobiles sur lesquels se reposent les opérateurs de services sans fil ; modèles qui imposent des frais d’itinérance très élevés aux abonnés, particuliers comme professionnels. En revanche, le service Out-Circle Calling permet aux usagers Silent Phone de bénéficier d’une option VoIP de qualité exceptionnelle pour effectuer des appels vers des mobiles standard et des lignes relevant d’un réseau téléphonique public commuté (RTPC) partout dans le monde. Dans le même temps, ils bénéficient de l’offre combinée de Silent Circle (confidentialité, service et valeur ajoutée) en matière de communications mobiles cryptées à l’échelle mondiale et ce, dès qu’ils localisent un réseau Wi-Fi ou de téléphonie mobile.

Les abonnés qui choisissent d’adhérer à un forfait d’appels internationaux cryptés de Silent Circle recevront des numéros Silent Phone uniques à 10 chiffres. Ils pourront ainsi effectuer des appels en dehors du réseau d’abonnés Circle vers et depuis un nombre de régions beaucoup plus important – quatre à cinq fois plus important que ses principaux concurrents non positionnés sur le marché des communications sécurisées, Skype et Viber par exemple. Les forfaits d’appels cryptés Out-Circle (https://www.silentcircle.com/pricing) commencent à partir de 12,95 dollars (USD) pour 100 minutes. Cela inclut des appels illimités entre abonnés Silent Phone, un service Silent Text illimité (SMS cryptés) partout dans le monde, la possibilité de recevoir des appels sur son numéro Silent Phone de la part de n’importe quelle personne dans le monde, ainsi que 100 minutes d’appels vers des non abonnés présents dans les régions couvertes. Des forfaits offrant plus de minutes sont disponibles aux tarifs suivants : 19,95 $ pour 250 minutes ; 24,95 $ pour 500 minutes ; 39,95 $ pour 1 000 minutes. Les appels peuvent être passés depuis n’importe quel endroit dans le monde selon les tarifs internationaux standard de l’appelant.

« Les forfaits d’appels internationaux cryptés Out-Circle de Silent Circle représentent une avancée majeure dans cet effort qui vise à proposer des communications privées et cryptées partout dans le monde. Les services Silent Phone et Silent Text proposent déjà des avantages inégalés. Mais grâce à notre développement actuel, nous offrons à nos abonnés des avantages beaucoup plus notables en matière de flexibilité et de coûts », a déclaré Mike Janke, PDG de Silent Circle. « La réalité est que l’offre Out-Circle Calling propose un service de communications privées à bas coût qui se positionne en solution alternative aux forfaits mobiles classiques. Tout le monde peut l’utiliser, que ce soit votre voisin ou bien les cadres qui se déplacent fréquemment pour le compte de leur entreprise multinationale. Grâce à une présence géographique plus importante, des communications d’excellente qualité et des fonctionnalités intégrées inégalées en matière de protection de la vie privée, le service Silent Phone permet de renforcer davantage la position de chef de file de Silent Circle dans le domaine des communications sécurisées des particuliers et des entreprises que ce soit à l’échelle d’une ville ou du monde entier. »

Silent Circle change la façon dont le monde communique et ce, dans un contexte de menaces accrues à l’encontre des données confidentielles. Ces menaces criminelles, commerciales, sur Internet ou bien bénéficiant de l’aval des États concernent les individus partout dans le monde. Les abonnés Silent Circle utilisent Silent Phone pour effectuer des appels (vocaux et vidéo) privés d’excellente qualité sur des appareils iOS et Android. Ils utilisent Out-Circle Calling pour appeler des numéros classiques ; les communications sont alors cryptées entre l’appareil de l’utilisateur Silent Phone et le réseau privé de Silent Circle. Le service Silent Phone pour PC de Silent Circle propose des fonctions supplémentaires (visioconférences privées) aux utilisateurs de PC et ordinateurs portables Windows. Le service Silent Text permet aux abonnés d’échanger des SMS privés, notamment des pièces jointes volumineuses (jusqu’à 100 MB), le tout doté d’une fonction de suppression qui permet d’effacer automatiquement, en toute sécurité et à une heure prédéfinie les messages envoyés et leurs pièces jointes sur les appareils du destinataire et de l’expéditeur.

Les applis uniques de Silent Circle en matière de communications privées sont également disponibles sur Blackphone, le premier smartphone du monde à laisser le contrôle et la protection de la vie privée directement entre les mains des usagers. Les appareils Blackphone ont été mis au point par SGP Technologies, coentreprise basée en Suisse qui a été établie entre Silent Circle et Geeksphone, développeur espagnol de téléphones portables. Les appareils ont commencé à être livrés aux clients en juin. Ils comprennent PrivatOS, système d’exploitation doté d’une sécurité accrue et reposant sur Android™, ainsi qu’un éventail complet d’applications capables de protéger la vie privée des usagers, y compris Silent Phone et Silent Text.

BYOD, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Propriété Industrielle, Sauvegarde

Nécessité d’inspecter le trafic chiffré en entreprise

8 juillet 2014 Damien Bancal 2 commentaires

Aujourd’hui Internet est le principal vecteur de menaces pour l’entreprise, qu’il s’agisse de menaces massives ou ciblées. Cela concerne toutes les formes d’utilisation d’Internet, aussi bien les sites web classiques, l’Internet 2.0 avec des pages web dynamiques, les applications web et utilisant le Cloud, les réseaux sociaux etc…

L’usage d’Internet évolue avec les nouvelles technologies, les employés utilisent de plus en plus de solutions liées au Cloud, des applications web, des terminaux mobiles et même leur propre équipement informatique. L’Internet mobile représentait 40% des connexions à Internet selon la dernière étude de l’INSEE. Quelques soient ces évolutions et les suivantes, tous ces usages utilisent les flux Internet, et donc le vecteur de propagation des menaces ne change pas.

Toute entreprise devrait être en mesure de protéger ses actifs. Pour cela, elle se doit d’être capable d’analyser la totalité des flux transitant par Internet pour pouvoir bloquer les menaces connues et identifier les objets qui pourraient être des menaces inconnues. Elle doit donc pouvoir inspecter 100% du trafic.

L’accroissement du trafic chiffré

On constate une augmentation importante du volume des flux chiffrés sur Internet. On estime, en moyenne, que le trafic chiffré représente déjà entre 25 et 35% du trafic web entrant dans les entreprises. Hors si auparavant le trafic chiffré était à l’initiative de l’utilisateur qui souhaitait garantir la confidentialité de ses informations lorsqu’il se connectait à certains sites comme les sites bancaire, l’administration, un paiement en ligne… désormais ce n’est plus le cas. Le plus simple exemple est de taper l’adresse http://www.google.fr dans votre navigateur. Surprise, c’est l’adresse https://www.google.fr qui apparaîtra quand la page va s’afficher. C’est le serveur de Google qui a lancé le chiffrement de cette connexion, sans que vous l’ayez demandé.

Force est de constater que la majorité des sites et applications sur Internet chiffrent leur trafic sans que l’utilisateur en ai fait la demande. Et ce phénomène ne va aller qu’en s’accélérant. Pour preuve, Google a récemment annoncé qu’il référencerait mieux dans son moteur de recherche les sites utilisant un trafic chiffré. Quand on connait l’importance d’avoir un bon référencement dans le premier moteur de recherche du monde, on comprend aisément que la majorité des sites web vont accélérer leur passage au trafic chiffré ! Autre donnée qui va dans le même sens, le laboratoire indépendant NSS Labs estime que le trafic chiffré connait actuellement une croissance de 20% chaque année.

Même si l’utilisation du SSL est censée accroitre la sécurité des données qui transitent, cela pose un vrai problème pour les entreprises. Car dans ces 25 à 35% des flux Internet qui sont chiffrés, les outils de sécurité déployés par l’entreprise ne peuvent pas effectuer leurs missions correctement, quel que soit l’outil utilisé : un anti-virus, un IPS, du contrôle de contenu, un SIEM…

On estime que 80% des attaques complexes (APT – Advanced Persistent Threat) utilisent les connections SSL. La découverte de la faille HeartBleed a montrée au grand jour à quel point un problème sur le trafic chiffré pouvait toucher les entreprises. La grande majorité des entreprises ont dû prendre des dispositions suite à cette découverte.

Que doit faire l’entreprise pour garantir sa sécurité face à la croissance des flux chiffrés ?

Pour garantir le même niveau de sécurité, il faut que l’entreprise soit capable de déchiffrer les trafics SSL, et la technique existe depuis plusieurs années, le « Man in the Middle ». Cela n’est pas si simple à mettre en œuvre. D’abord, l’entreprise doit respecter les réglementations et donc elle doit mettre en place des politiques de déchiffrement, c’est-à-dire définir ce qui doit être déchiffré et ce qui ne doit pas l’être, avec la mise en place de catégories de sites, de type de profils d’utilisateurs etc… Il faut également que le processus de déchiffrement n’ai pas d’impact sur l’expérience utilisateur, hors cela consomme beaucoup de ressources de déchiffrer un flux Internet.

Une étude récente du NSS Labs (un test sur 7 firewalls de dernière génération) montre que l’impact sur le déchiffrement est double :

– En premier lieu cette opération entraine une diminution drastique de la capacité de traitement globale et une baisse des performances de 74% ! Et ces résultats ne concernent que les sites web utilisant une clé de chiffrement de 512 ou de 1024 bits. La chute des performances atteint 80% lorsque les clés de chiffrement utilisées sont de 2048 bits.

– Deuxièmement, l’étude constate également une diminution très important du nombre de transactions traitées par ces firewalls, pourtant de nouvelle génération, la baisse allant de 86,8% (avec des clés de 512 bits) jusqu’à 92.28% pour des clés de 2048 bits.

Il faut prévoir que cette baisse de performances va être accentuée dans les déploiements de l’infrastructure de sécurité « en silo » c’est à dire où chaque outils de sécurité fonctionne indépendamment.

Que faire ?

Dans un monde idéal, l’entreprise doit pouvoir bénéficier d’une technologie haute performance capable de d’effectuer du déchiffrement à haute vitesse (40 Gbits), sur laquelle l’entreprise sera en mesure de mettre en place une politique de déchiffrement basé sur le contexte (catégorie de site, provenance, destination, profil d’utilisateur…) et qui devra être en capacité d’alimenter différentes solutions de sécurité afin de garantir qu’une fois déchiffré, le trafic bénéficie du même niveau de contrôle que le trafic en clair. (Par Dominique Loiselet, Blue Coat)

Banque, Biométrie, Chiffrement, cryptage, Cybersécurité

Paiement par reconnaissance d’empreinte digitale

6 juillet 2014 Damien Bancal

L’empreinte digitale comme alternative possible au code confidentiel / Le premier prestataire européen de paiement multicanal se donne pour objectif d’améliorer continuellement l’expérience de ses utilisateurs.

Avec pour objectif d’améliorer en permanence l’expérience des utilisateurs grâce à des innovations ingénieuses, Yapital, premier prestataire européen de paiement multicanal, teste actuellement le paiement par reconnaissance d’empreinte digitale. Cette technologie pourrait être amenée à remplacer la saisie d’un code confidentiel lors du paiement par smartphone.

Pour Oliver Kress, premier vice-président de Yapital chargé de l’innovation, le groupe « revendique sa capacité à pouvoir rendre très rapidement opérationnel tout nouveau procédé technique susceptible d’améliorer l’expérience des utilisateurs. Dès que les principaux fabricants de smartphones ont intégré à leurs produits des dispositifs de reconnaissance d’empreinte digitale, nous avons aussitôt lancé les expérimentations. » Le but étant de déterminer si ces nouvelles technologies satisfont aux exigences de Yapital en termes d’ergonomie et de sécurité. » Le dispositif doit être simple, sûr et intuitif pour le consommateur. Si c’est le cas, alors nous le proposerons « , dit Oliver Kress.

Le paiement par reconnaissance d’empreinte digitale constituerait la troisième innovation d’importance du prestataire de paiement multicanal au cours de cette seule année : en 2014, Yapital a en effet déjà présenté l’intégration du Bluetooth Low Energy (BLE) et l’achat par flash du code QR directement depuis un support publicitaire, une affiche ou à travers une vitrine.

BYOD, Chiffrement, cryptage, Entreprise, Fuite de données

Le corsaire Jean-Bart sécurise ses terminaux mobiles

6 juillet 2014 Damien Bancal

La Communauté Urbaine de Dunkerque, avec 18 communes et 200.000 habitants sous sa coupe, a choisi Good Technology pour sécuriser ses terminaux mobiles tout en garantissant la séparation des données privée et données professionnelles. La communauté urbaine a été une des premières collectivités territoriales françaises à se soucier de la protection des données professionnelles et personnelles de ses cadres et dirigeants en situation de mobilité.

Ce qui a soulevé la question ? La sortie de l’Iphone 3GS sur le marché français, en 2009. « Tout à coup, les téléphones BlackBerry – dont étaient équipés le Directeur général, le Directeur général adjoint et quelques proches collaborateurs – ont semblé dépassés » se souvient Alain Vanlichtervelde, en charge de l’intégration et de la gestion des plates formes informatiques pour la Communauté urbaine. La réponse la plus rapide aurait alors été de renouveler les terminaux, tout simplement. Sauf que les insuffisances et risques de cette option sont immédiatement apparus aux yeux du Directeur général adjoint et d’Alain Vanlichtervelde. « L’Iphone étant très ouvert, avec des usages très larges, nous avons vite compris que nous devions trouver une solution pour sécuriser les données professionnelles, explique ce dernier. Il fallait notamment que nous puissions les effacer à distance en cas de perte ou de vol de l’appareil ».

Après une analyse des offres disponibles sur le marché, c’est finalement la solution Good For Enterprise qui a été retenue, pour deux raisons majeures. Sa fiabilité bien sûr. « La technologie du container est clairement apparue comme la plus sûre de toutes celles que nous avons examinées », confirme Alain Vanlichtervelde. Seconde raison : elle seule permettrait une stricte séparation entre les données personnelles et professionnelles sur les appareils. « Un critère clef, car certains cadres ont rapidement exprimé le souhait de consulter leur messagerie professionnelle sur leur téléphone personnel » explique le Directeur des systèmes d’information de la CUD. A l’époque, on ne donnait pas encore de nom à ce phénomène aujourd’hui très répandu, le « Bring Your Own Device »…

Certes, une légère dose de pédagogie a été ensuite nécessaire pour que les cadres et dirigeants concernés s’approprient la solution de Good Technology. « Certains avaient précédemment testé un logiciel de messagerie de push qui s’intégrait très bien avec l’Iphone, et ils en étaient satisfaits » explique en effet Alain Vanlichtervelde. Mais cette solution ne comportait pas la technologie du conteneur, et l’impératif de sécurité a primé. « François VILAIN Directeur général adjoint, Pierre MELEROWICZ DSI et moi-même avons insisté – en entretien individuel parfois – sur la nécessité première de garantir la confidentialité des données, et du carnet d’adresses en particulier, se souvient ce dernier. Finalement le message a été compris et la solution a été bien adoptée ». Seul petit souci : certains appareils de quelques cadres se sont révélés poser quelques problèmes avec la solution de Good Technology, « du fait du manque de mémoire disponible dû en partie à la surcouche de l’opérateur de téléphonie,» explique Alain Vanlichtervelde.

Début 2014, 70 cadres et dirigeants de la Communauté Urbaine de Dunkerque étaient ainsi équipés avec la solution Good For Enterprise – à la fois sur tablette et smartphone pour les seconds. Principales fonctionnalités utilisées ? « Avant tout l’accès à la messagerie professionnelle en situation de mobilité, puis la lecture de documents », répond Alain Vanlichtervelde. Ce dernier peut en effet consulter à tout moment les statistiques d’utilisation… et s’assurer ainsi que les services mis à disposition ont un réel intérêt.

Parmi ses nombreux projets, le Directeur des Systèmes d’Information de la Communauté urbaine évoque un renforcement de la collaboration avec la ville de Dunkerque, les deux collectivités étant de taille comparables. Nul doute que la sécurité des données professionnelles sera un des sujets de discussion…

Chiffrement, cryptage, Entreprise, Fuite de données, Propriété Industrielle

3 entreprises sur 4 stockent leurs clés de chiffrement dans leurs applications

1 juillet 2014 Damien Bancal Un commentaire

Personne n’est à l’abri d’une faille de sécurité.

Les révélations récentes de chercheurs de l’université de Columbia Engineering concernant la possibilité de récupérer des clés secrètes Facebook, Amazon ou Linkedin dans Google Play, l’App Store d’Android, ne sont qu’un exemple de plus qui doit contribuer à alerter les entreprises qui continuent de stocker les clés de chiffrement dans leurs applications. Les données sensibles et la propriété intellectuelle ne sont en sécurité que si les clés utilisées pour les chiffrer le sont. Quand ces clés sont stockées dans des serveurs qui stockent également les logiciels elles sont susceptibles d’être compromises ou perdues.

Pourtant, d’après une étude SafeNet récente, 74% des organisations stockent leurs clés de chiffrement dans leur logiciel. Pour des spécialistes en sécurité IT cette stratégie est comparable à laisser les clés de sa maison sous le paillasson. Il est plutôt conseillé de faire appel à des plateformes spécifiquement dédiées à la gestion de clés et qui permettent de stocker et gérer les clés dans un équipement matériel où elles seront protégées et contrôlées (des boîtiers HSM, pour « Hardware Security Module ». Une technologie qui n’est pas réservée aux grandes entreprises puisque ces boitiers peuvent être achetés par l’entreprise ou utilisés en paiement à la consommation, dans le cloud en mode SaaS). Seules les sociétés qui chiffrent leurs données sensibles et mettent en œuvre ce type de moyens de contrôle robustes et résistants aux attaques peuvent avoir la certitude que leurs données seront protégées même si une faille de sécurité survient.

L’approche la plus réaliste est en effet de considérer qu’une faille de sécurité surviendra (953 millions de fichiers compromis depuis 2013, comptabilisés sur Breachlevelindex.com), et de sécuriser la donnée elle-même par du chiffrement, pour que si elle tombait entre de mauvaises mains elle soit inexploitable. (Julien Champagne, Directeur Commercial France de SafeNet)

Chiffrement, cryptage, Cybersécurité, Fuite de données, Identité numérique, Leak, Vie privée

14 millions de patients médicaux touchés par une fuite de données

1 juillet 2014 Damien Bancal Un commentaire

La rédaction de Data Security Breach a reçu le rapport Annuel du HHS, l’US Departement of Health et Human Services, bref, le Ministére de la santé de l’Oncle Sam.

Ce rapport annuel, baptisé « Annual Report to Congress on Breaches of Unsecured Protected Health Information » revient sur les années 2011 et 2012. Cette étude égraine les violations de données en 2011 et 2012. Entre 2011 et 2012, le HHS a reçu 458 rapports de violations de données qui touchent plus de 500 personnes. Au total, c’est environ 14.690.000 de patients, d’employés… à avoir été touchés par des violations de leurs données personnelles, et donc sensibles.

Le nombre de violations de données qui affectent plus de 500 personnes sur cette période compte pour 64,5% de toutes les violations de données depuis le premier rapport, diffusé en septembre 2009. Le vol était la cause la plus commune de ces violations, soit 53% des cas, suivie par l’accès ou la divulgation non autorisée (18%).

En 2012, 68% des infractions touchaient des fournisseurs de soins de santé. 27% des fuites étaient dues à des ordinateurs portables compromis (vol, piratage, …). 23% des informations étaient diffusées en mode « papier » ; 13% via un serveur. En 2012, il y a eu 21.194 infractions signalées affectant moins de 500 personnes. Des violations de données qui ont affecté 165.135 personnes.

Le HHS, suite aux plaintes, a pu récolter 8 millions de dollars d’amende. Bref, le piratage et les fuites de données rapportent aux pirates, comme au gouvernement.

Argent, Banque, Chiffrement, cryptage, Cybersécurité, Identité numérique

Le paiement biométrique bientôt possible dans le système CB

18 juin 2014 Damien Bancal

Le Groupement des Cartes Bancaires CB évalue actuellement le principe de la biométrie appliquée au paiement et devrait d’ici la fin de cette année octroyer un agrément au standard d’authentification forte défini par Natural Security Alliance pour autoriser son utilisation dans le système CB.

Le premier agrément CB portera sur l’association de la biométrie avec une puce insérée dans un porte-clefs. L’intégration de cette puce dans la carte micro-SD d’un téléphone est également étudiée. Très pratique, l’utilisateur gardera sur lui ce porte-clefs ou ce téléphone (dans une poche, dans un sac) et n’aura pas besoin de le rechercher ou de le présenter pour effectuer un paiement ou un retrait. Outre le fait que la biométrie simplifie l’acte d’authentification avec juste un doigt à poser et plus de code confidentiel à saisir, elle renforce également la sécurité en garantissant la présence du porteur au moment de la transaction.

De plus, la mise en oeuvre de cette solution garantit le respect de la vie privée et des données personnelles de l’utilisateur puisqu’aucune base de données ne centralise les données biométriques de l’utilisateur, celles-ci restant dans la puce intégrée dans le porte-clefs ou le téléphone. Gilbert Arira, Directeur Général du Groupement des Cartes Bancaires CB : « on accorde aux produits CB. ici la fin de cette année 2014 ».

Pour Cédric Hozanne, CEO de Natural Security Alliance : « Les travaux d’agrément engagés par le Groupement des Cartes Bancaires CB constituent une étape très importante pour l’adoption de notre technologie dans le domaine du paiement puis du retrait. Cet agrément permettra aux banques françaises de proposer à leurs clients une nouvelle manière de payer qui tout en renforçant la sécurité, apportera simplicité, sérénité et praticité. CB a été le premier à adopter et à promouvoir la technologie de la carte à puce dès 1992 adoptée depuis par l’ensemble des autres pays. Avec le standard Natural Security, CB montre à nouveau la voie à suivre pour le monde de l’industrie des paiements sécurisés ».

Argent, Banque, Chiffrement, cryptage

Les banques peuvent désactiver le paiement sans contact

18 juin 2014 Damien Bancal

La France compte, depuis avril 2014, pas moins de 21 millions de cartes bancaires permettant le paiement sans contact. Des CB imposées par les banques. Elles embarquent la technologie NFC qui permet, en plaçant sa CB à quelques centimètres d’un lecteur dédié, de payer sans être obligé de taper son mot de passe. Une possibilité qui inquiètent depuis 2012, quand un chercheur Français, Renaud Lifchitz, a présenté lors de feu HES 2012 la faille qui permet de lire les données « cachées » dans le précieux bout de plastique.

Il faut dire aussi que les banques ont lancé un service qui n’est ni chiffré, ni contrôlé par un quelconque moyen d’identification. 01net (le site web), revient sur cette technologie en indiquant que les banques auraient fait un stock de protection anti-NFC (Voir l’utilité de ce genre de protection dans ZATAZ WEB TV, ndlr).

Pourquoi cette faille n’est toujours pas corrigée ? « c’est impossible à moins de changer l’architecture technique sous-jacente, ce qui serait beaucoup trop cher » dixit les chercheurs. 01net explique aussi que La Banque de France a demandé aux sociétés financières de fournir un anti-NFC dés que le client en fait la demande.

La Banque de France oblige également les banques à mettre en place la désactivation du NFC à la demande des clients. Le coût de l’opération serait de 10€ par carte indique un expert en sécurité. Après renseignements de DataSecuritybreach.fr auprès de plusieurs banques, les sociétés renvoient les CB pour modification. Autant dire que cela coûte plus de 10 euros !

Il aura fallu une plainte de la CNIL pour que certaines informations disparaissent des communications NFC : nom du client, historique des transactions.

Chiffrement, Cybersécurité, Espionnae, Fuite de données, Identité numérique, Vie privée

Un Monsieur sécurité pour protéger les données des électeurs

17 juin 2014 Damien Bancal

Le gouvernement Canadien a décidé, voilà quelques jours, de mandater une équipe de sécurité informatique qui aura comme mission de trouver la moindre faille et fuite de données concernant les électeurs du pays. Une décision politique qui fait suite au jugement d’une entreprise de généalogie qui a commercialisé durant 6 ans les données de plusieurs millions d’élécteurs via ses services oueb.

L’Institut Drouin, spécialisé dans la généalogie, avait copié une liste électorale datant de 2003. Le jugement de cour du Québec a ordonné à Drouin de détruire les données appartenant à 5,5 millions de Québécois : nom, adresse, sexe et date de naissance. « L’État a le droit d’en interdire la diffusion pour protéger la vie privée des électeurs », a indiqué le tribunal.

En France, il suffit de regarder les seconds tours d’éléctions pour appercevoir les candidats et leurs équipes décortiquer les listes électorales afin d’inciter les abstansionnistes à voter, voir certains élus analyser les employés municipaux n’ayant pas pris le temps de voter !

Chiffrement, cryptage, Cybersécurité

Et si le Cloud aidait à sécuriser Internet

17 juin 2014 Damien Bancal

Les fournisseurs de services de cloud computing sont aujourd’hui sur la sellette : ils vont devoir améliorer la sécurité d’Internet ! Les clients du cloud manifestent de plus en plus leur intérêt pour des services d’accès à Internet sécurisés, exempts de menaces malveillantes comme Heartbleed ou l’amplification DDoS, pour ne prendre que ces deux exemples. A chaque attaque, en effet, les pertes commerciales sont de plus en plus importantes. Les attaques qui impactent les clients non protégés compromettent leur sécurité et dégradent l’image de l’entreprise ou de ses marques. Les fournisseurs d’accès ont aidé à filtrer les activités malveillantes provenant des réseaux clients depuis des années dans le but de permettre aux équipes internes des entreprises et des administrations de se concentrer sur les attaques les plus avancées, mais est-ce désormais suffisant ?

Pour une plus grande sécurité des réseaux
Dès 2005, plusieurs experts de la sécurité Internet se posaient la question de savoir si le Cloud pouvait aider à sécuriser Internet. Quelques articles publiés à cette époque en témoignent, réclamant que les fournisseurs de services Internet, d’hébergement, de services cloud et de bande passante s’impliquent, dans leur propre intérêt, pour aider à sécuriser Internet. Certains affirmaient que le temps était venu d’agir, demandant pourquoi les FAI n’étaient pas tenus de livrer des données sûres et sans danger. Dans la récente Loi de Programmation Militaire qui a fait l’objet d’un large débat autour de la sécurité informatique, les fournisseurs de services Internet semblent désignés comme ceux qui peuvent contribuer à l’amélioration rapide de la cybersécurité, grâce à leur possibilité d’agir en temps réel. De même que l’abonné au réseau d’eau potable exige que l’eau qui arrive chez lui soit saine, le trafic qui passe par les tuyaux des ISP doit être sûr et exempt de menaces, positivant la technologie déployée dans le Cloud et protégeant l’utilisateur final contre les attaques par DDoS et les cybermenaces de tous ordres. Quel intérêt en effet de disposer d’un énorme réservoir (le Cloud) et de l’alimenter en eau contaminée (malwares et autres menaces) ?

Quelques exemples de dangers…
Comme les récents événements l’ont encore confirmé, aucune entreprise ni aucune administration n’est à l’abri des risques de sécurité sur Internet. La découverte de Heartbleed a ébranlé les entreprises bien au-delà du monde de la sécurité. Cette vulnérabilité laissant lire la mémoire d’un serveur par un attaquant, concerne de nombreux services Internet. A l’évidence, la sécurité et la confidentialité de nombreux serveurs Web étaient un leurre. Il ne fait aucun doute que Heartbleed a permis la fuite d’innombrables secrets et données sensibles au profit de pirates, et les conséquences sont à terme encore incalculables. Cette attaque restera sans conteste le hacking le plus répandu de l’histoire du Web parce que le nombre de communications « sécurisées » SSL, concernées directement, est sans précédent. Malheureusement, les problèmes de cybersécurité ne disparaissent pas lorsqu’ils qu’ils sont découverts. La mise à disposition de correctifs n’empêche pas que les vulnérabilités continuent à exister dans d’innombrables systèmes accessibles via Internet. L’amplification de Heartbleed risque d’être plus rapide que la mise en place des mises à jour. Autre tendance actuelle : le détournement de l’utilisation de services Internet standard tels que DNS (Domain Name System) et NTP (Network Time Protocol) par des robots lors d’attaques par déni de service distribué. Heartbleed et les attaques DDoS par amplification sont deux exemples des problèmes de cybersécurité posés par un Internet non sécurisé. Le trafic malveillant portant ces menaces circule librement sur la plupart des réseaux de fournisseurs de services. Les hébergeurs accueillent des clients dont le système d’information mal sécurisé fait du Cloud public une plate-forme de services vulnérables. Comble de l’ironie, la plupart des clients dépensent de l’argent et paient leur fournisseur pour une bande passante véhiculant un contenu Internet potentiellement dangereux.

Les technologies existent
Les fournisseurs de cloud doivent se doter de technologies qui permettent de répondre à quatre exigences de management des attaques et du réseau. Tout abord se défendre contre les menaces du réseau. La majorité des attaques DDoS se produit au niveau des couches L3 et L4. En conséquence, il convient de -serveur. Ensuite se défendre contre les menaces applicatives ; de nombreuses applications, y compris celles qui sont basées sur des communications chiffrées à l’aide de Secure Sockets Layer (SSL), sont vulnérables face aux attaques par DDoS de la couche applicative qui utilisent L7 comme vecteur analyse analyser les incidents de sécurité sur le réseau. Enfin, il faut assurer le Bypass du réseau ; Il est en effet essentiel de maintenir la disponibilité permanente du une technologie intelligente de dérivation du réseau de faible alimentation pour éliminer les interruptions de service en cas de panne de courant ou d’équipement ou lors de la maintenance de routine et lors des mises à jour de la configuration.

Tous les marchés reposent sur l’offre et la demande. Les entreprises (et on parle là des dirigeants, pas seulement des responsables de la sécurité) ont pris conscience qu’elles pouvaient tomber, ou au moins leurs activités connectées, victimes d’une cyber-attaque. De nombreux DSI et RSSI sont aujourd’hui disposés à acheter de la bande passante Internet ‘propre’. Et la tendance va aller majoritairement dans ce sens. Alors ils commencent à chercher activement des solutions. Si les fournisseurs de services empêchent les DDoS et autres cybermenaces de traverser leurs réseaux, leurs clients sont d’ores et déjà prêts à acheter de la bande passante plus sûre, avec de meilleures garanties pour leurs données sur le cloud et sur leurs réseaux. Pourquoi, dans ces conditions, les fournisseurs de services du cloud ne développent-ils pas une offre adaptée ? Leurs parts de marché sont en risque de se réduire, au bénéfice d’autres acteurs, s’ils ne répondent pas à cette exigence. (Par Adrian Bisaz, Vice President Sales EMEA de Corero Network Security)

Argent, Arnaque, Chiffrement, Contrefaçon, escroquerie, Logiciels

5 étapes pour sécuriser la confidentialité de votre navigateur

27 mai 2014 Damien Bancal Un commentaire

Peu importe la source, toutes les statistiques que vous trouverez prouvent que les navigateurs les plus utilisés sont Chrome, Firefox et Internet Explorer. De nombreuses études et tests ont été effectués pour découvrir quel était le plus sûr de tous. Cependant, les tests ne font que démontrer la capacité de chaque navigateur à répondre à un ensemble de tests prédéfinis, habituellement appelé « sécurité de base ». Néanmoins, cette base change radicalement tous les mois.

Résultat, aucun navigateur n’est sûr à 100% même si certains navigateurs réparent les failles de sécurité plus rapidement que d’autres. Alors comment est-il possible d’améliorer son expérience de navigation sur Internet ? C’est dans ce but, que Sorin Mustaca, expert en sécurité IT d’Avira, propose 5 étapes pour une navigation plus sûre, plus confidentielle et peut-être même indirectement, plus rapide:

1. Maintenez votre navigateur à jour
C’est la première étape de renforcement du navigateur car un navigateur vulnérable peut être exploité par une simple visite de sites Internet sans que vous n’en sachiez rien. Nous vous conseillons de toujours autoriser les mises à jour automatiques et de les installer aussitôt qu’elles sont disponibles. En cas de doute, installez un outil gratuit qui contrôle les failles potentielles de votre logiciel.

2. Augmenter la sécurité intégrée dans votre navigateur
C’est la deuxième étape de renforcement du navigateur, elle peut être gérer de différentes façons :
– Configurez votre navigateur pour qu’il rejette les cookies tiers
– Désactivez les plugins dont vous n’avez pas besoin comme : ActiveX, Java, Flash etc.
– Permettez la protection anti-phishing et anti-malware déjà intégrée
– Configurez le navigateur pour envoyer la requête « ne pas traquer » à votre historique de navigation
– Chaque fois que cela est possible, désactivez le script actif. Soyez conscient que certains sites web ne pourront tout simplement pas fonctionner sans script (JavaScript en particulier).

Dans Internet Explorer, nombre de ces configurations peuvent être mises en place en changeant les paramètres dans « Sécurité » et « Confidentialité ».
– Activez le bloqueur intégré de pop-up
– Désactivez les anciennes barres d’outils qui ne vous sont plus utiles. (Avez-vous vraiment besoin de voir la météo ou avoir un traducteur à portée de main tout le temps?)

3. Choisissez avec précaution quel plugin vous allez installer
Les plugins et add-ons permettent d’étendre facilement les fonctionnalités du navigateur. Cependant, il existe de nombreux plugins, même disponibles sur les stores officiels, qui sont, soit, malveillants, soit, qui présentent des problèmes importants en matière de sécurité et de confidentialité. Le plus inquiétant est que pour un utilisateur lambda, ces problèmes ne sont pas visibles jusqu’à ce qu’il soit trop tard. Ayez toujours en tête qu’un plugin a accès à tout ce que vous cliquez et voyez sur le navigateur, y compris toutes vos navigations en connexions cryptées. Le plugin réside dans le navigateur et a accès à tout ce que l’utilisateur voit. Le contenu est donc déjà décrypté et il n’y a absolument rien qui puisse empêcher un plugin malveillant d’envoyer toutes vos informations (bancaires, personnelles, etc.) à une quelconque adresse internet. Jetez toujours un coup d’œil sur le classement donné par d’autres utilisateurs avant d’installer un add-on. De plus, gardez un œil sur les autorisations demandées par l’add-on. Par exemple, si un message instantané d’add-on requiert l’accès à toutes vos URL, cela devrait vous mettre la puce à l’oreille.

4. Installez les plugins de sécurité et de confidentialité
Il existe des extensions qui améliorent votre sécurité en faisant un filtrage sur les URL que vous visitez ou même de manière dynamique en analysant le contenu des pages internet. C’est le cas d’Avira Browser Safety. Si vous préférez choisir vous-mêmes vos extensions, il en existe de nombreuses qui empêchent le « tracking » et la publicité. Vous pouvez également utiliser Web of Trust (WOT), basé sur le crowdsourcing, il donne un point de vue indépendant sur le statut des URL.

5. Forcez l’utilisation du protocole SSL quand cela est possible
Des extensions telles que HTTPS Anywhere essaient de choisir une connexion HTTPS au lieu de HTTP quand celle-ci est disponible pour sécuriser votre navigation.

Chiffrement, Cybersécurité

Authentification multi-facteurs

22 mai 2014 Damien Bancal

Selon l’étude annuelle réalisée par SafeNet, de plus en plus d’entreprises à travers le monde prévoient d’adopter des solutions d’authentification mobiles ou basées sur le Cloud pour sécuriser des effectifs nomades en constante augmentation.

L’augmentation des risques de sécurité et la volonté d’accéder à des applications et services de manière transparente et sécurisée, à tout moment et à partir de n’importe quel appareil, ont contribué à l’adoption croissante des solutions d’authentification. Telle est la principale conclusion d’une nouvelle étude publiée sous le titre 2014 Global Annual Authentication Survey par SafeNet, Inc., un leader mondial de la protection des données. Cette enquête révèle que plus d’un tiers des entreprises ont à présent recours à la technologie d’authentification multi-facteurs pour assurer à leurs utilisateurs un accès transparent et sécurisé à partir d’un large éventail d’appareils et de lieux, ce qui représente une hausse par rapport à 2013.

Cette étude montre qu’un nombre croissant d’entreprises adoptent l’authentification multi-facteurs au bénéfice d’un nombre également croissant d’utilisateurs. Ses conclusions confirment les résultats d’une enquête récemment publiée par le cabinet 451 Research, selon laquelle le contrôle d’accès et l’authentification représentent actuellement les principaux soucis et priorités des DSI. Alors que 57 % de l’ensemble des vulnérabilités de données enregistrées en 2013 sont le fait d’initiés malveillants, l’authentification multi-facteurs réduit le risque que des utilisateurs non autorisés puissent consulter des informations sensibles, tout en permettant aux employés de l’entreprise d’accéder à leur guise aux ressources de leur société.

Principaux enseignements de l’enquête
·       Augmentation sensible de l’adoption des solutions d’authentification multi-facteurs :
o   37 % des entreprises utilisent à présent l’authentification multi-facteurs pour une majorité de leurs employés, au lieu de 30 % l’année dernière ;
o   56 % des entreprises prévoient que d’ici à 2016, la majorité des utilisateurs utiliseront une solution d’authentification multi-facteurs.

·       L’authentification dans le Cloud commence à s’imposer :
o   33 % des entreprises déclarent préférer l’authentification basée sur le Cloud, contre 21 % l’année dernière – soit une progression de 50 % ;
o   33 % des entreprises sont à présent ouvertes au Cloud pour déployer des solutions d’authentification.

·       Authentification multi-facteurs et appareils mobiles :
o   Plus de 53 % des personnes interrogées ont déclaré que les utilisateurs d’appareils mobiles disposent d’un accès restreint aux ressources de l’entreprise ;
o   Le nombre d’entreprises ayant adopté l’authentification multi-facteurs pour les utilisateurs mobiles devrait atteindre 33 % en 2016 au lieu de 22 % actuellement, soit une augmentation de 30 %.

« Il apparaît clairement que certains services informatiques ont du mal à suivre la rapide évolution qu’induit l’apparition de nouvelles technologies. Le danger est que les entreprises ne puissent permettre à leurs collaborateurs d’accéder entièrement au système dont ils ont besoin pour effectuer leur travail car elles n’ont pas déployé une solution d’authentification sécurisée adaptée. Par ailleurs, il ne s’écoule pas une semaine sans qu’une entreprise soit victime d’un piratage avec vol de données à la clé. Les entreprises doivent par conséquent mener une lutte permanente pour suivre le rythme soutenu de l’évolution technologique, tout en essayant de se protéger et de minimiser les risques de sécurité », a déclaré Jason Hart, vice-président, Cloud Solutions, SafeNet.

Coût et priorités budgétaires
Le rapport publié par le cabinet 451 Research montre que l’authentification et la gestion des accès et des identités pointent en première ligne des projets liés à la sécurité[3]. Pourtant, il convient de signaler que selon l’enquête de SafeNet, près de 40 % des entreprises ne savent pas combien coûte leur solution d’authentification par utilisateur et par an, ce qui montre qu’elles ne se préoccupent guère de ce qui peut être le plus rentable pour leur fonctionnement. L’impression que les entreprises réalisent des économies en n’investissant pas dans des solutions d’authentification multi-facteurs pourrait être trompeuse pour les responsables des budgets informatiques. En fait, l’objectif des solutions d’authentification multi-facteurs est de réduire les coûts d’authentification et d’améliorer la facilité d’utilisation.

Authentification sur site ou dans le Cloud ?
Les entreprises ont répondu aux demandes croissantes des employés qui souhaitent se connecter au réseau avec leur propre appareil en augmentant les capacités d’authentification basée sur le Cloud. Cette année, 33 % des entreprises interrogées ont indiqué qu’elles privilégient l’authentification sur le Cloud, contre 20 % en 2013.

« Au bout du compte, les entreprises doivent accepter le fait que leurs employés trouveront toujours le moyen d’utiliser leurs appareils mobiles pour accéder aux données de l’entreprise – avec ou sans autorisation. Au lieu de leur interdire cet accès, les DSI doivent déployer une solution d’authentification multi-facteurs, ce qui permet de protéger les ressources de l’entreprise, tout en autorisant l’accès du personnel et en maintenant les plus hauts niveaux de productivité et de performances », a ajouté Jason Hart.

Authentification des appareils mobiles
En ce qui concerne l’utilisation de l’authentification forte pour les appareils mobiles avec accès aux ressources de l’entreprise, la majorité des réponses sont regroupées aux deux extrémités de l’échelle, faisant état de pratiques polarisées. Près de 40 % des entreprises ont déclaré que moins de 10 % des employés doivent utiliser l’authentification forte, tandis que plus de 20 % indiquent que 90 à 100 % des utilisateurs en ont actuellement besoin. Il est intéressant de souligner que ces chiffres devraient évoluer de façon sensible : 33 % des personnes interrogées prévoient en effet que 90 à 100 % des utilisateurs nécessiteront une authentification forte au cours des deux prochaines années, tandis que seulement 15 % suggèrent que cette proportion sera inférieure à 10 %, ce qui souligne l’importance croissante de l’authentification mobile.

L’évolution vers l’authentification mobile nourrit également la « dématérialisation » des tokens d’authentification. L’étude révèle en effet que l’utilisation de solutions d’authentification logicielles est passée de 27 % en 2013 à 40 % en 2014, un pourcentage qui devrait atteindre 50 % en 2016. A contrario, l’utilisation de solutions d’authentification matérielles a chuté de 60 % en 2013 à 41 % en 2014.

« Les entreprises du secteur informatique réagissent indubitablement à l’essor de la mobilité en jouant la carte de l’authentification à base logicielle. Il semble toutefois qu’il existe un écart entre la volonté de favoriser la mobilité et la difficulté à suivre son évolution tout en protégeant les ressources et les données contre les menaces extérieures. En outre, alors que l’adoption du Cloud computing se poursuit, une sécurité accrue devient indispensable. En effet, les environnements de Cloud présentent de nombreux avantages pour l’authentification et les applications, mais sans le niveau de sécurité requis, ils représentent une menace accrue », a conclu Jason Hart.

Cette étude a été réalisée par SafeNet auprès de plus de 350 décideurs informatiques du monde entier à savoir environ 29 % de la région Asie-Pacifique, 42 % de la région EMEA (Europe, Moyen-Orient et Afrique) et 29 % d’Amérique du Nord. Les informations qu’elle contient ont été comparées aux données figurant dans l’étude publiée en 2013.

Argent, Banque, Chiffrement, cryptage, Cybersécurité

Faiblesses dans les cartes à puces

22 mai 2014 Damien Bancal

Alors que les Etats-Unis d’Amérique réfléchissent à implanter la carte à puce dans le pays, lire notre actualité de mars 2014, des chercheurs de la prestigieuse université de Cambridge viennent de démontrer deux faiblesses dans la procédure ‘chip & pin’, une puce, un code secret. Il est évident que la puce, couplée à un mot de passe reste la meilleure des sécurité face à une carte bancaire n’utilisant que la bande magnétique, cependant, les chercheurs de Cambridge ont observé qu’il était possible de jouer avec la puce EMV.

Cette protection, utilisée dans un terminal de paiement que l’on retrouve dans quasiment tous les commerces, engendre un code d’authentification unique, un numéro aléatoire. Ce code pourrait être contourné de deux façons. Les chercheurs expliquent d’ailleurs que cela a déjà été constaté. Dans le premier cas, le code unique peut être prévu. Dans le second problème apparait quand le terminal de paiement a été piraté. Si des pirates peuvent prévoir les codes, voir l’adapter, il devient possible, via une carte bancaire préalablement clonée, de retirer de l’argent ou de faire un paiement.

Bref, l’étape du skimming 3.0 est en marche. Les banques auront bien du mal à définir un paiement légitime, d’un paiement cloné. Les clients piégés ne pourront plus se faire rembourser, à moins de prouver qu’ils n’étaient pas sur le lieu de la transaction. Et même dans ce cas, nous avons un doute sur la potentialité de remboursement. Il existerait dans le monde 1,62 milliard de cartes exploitant le protocole EMV. ZATAZ.COM révélait (voir les archives) des cas de piratages, via des DAB modifiés/piratés, l’année derniére.

Chiffrement, cryptage, Entreprise, Logiciels, Paiement en ligne

API IDentité Numérique Développeurs de La Poste

13 mai 2014 Damien Bancal Un commentaire

Avec l’API IDentité Numérique Développeurs, La Poste offre à tous les acteurs du web des échanges numériques sécurisés et renforce son rôle d’acteur majeur de l’internet de confiance. Dans le cadre du OUISHARE FEST 2014, le festival international de l’économie collaborative réunissant plus de 1 000 pionniers et start up innovantes, qui s’est tienu les 5, 6 et 7 mai derniers au Cabaret Sauvage (Porte de la Villette), La Poste a présenté son service IDentité Numérique dédié aux développeurs. En intégrant cette API, les acteurs du web et les ecommerçants développent la confiance entre des internautes et offrent la possibilité d’utiliser leur profil qualifié par La Poste pour se connecter sur leur site.

Qu’est-ce que l’IDentité Numérique ?
L’IDentité Numérique permet à un internaute d’attester que son identité a été vérifiée physiquement par La Poste. Avec des profils qualifiés, les échanges entre particuliers se font en toute confiance. Grâce à La Poste, les particuliers peuvent se doter gratuitement d’une IDentité Numérique sur le site www.laposte.fr/identitenumerique. L’utilisation de l’IDentité Numérique de La Poste permet ainsi de bénéficier d’une confiance accrue pour échanger plus facilement, des biens ou des services comme la location entre particuliers par exemple.

L’API, comment ça marche ?
Simple et facile à intégrer, les développeurs intègrent l’API IDentité Numérique sur leur site en se rendant au lien suivant : https://developpeurs.idn.laposte.fr. – la demande d’accès à ce service s’effectue via un formulaire de contact.

Quels bénéfices de l’API pour les sites ?
A chaque fois qu’un internaute utilise son identité numérique pour se connecter ou s’inscrire sur un site, le site en question reçoit les données de l’internaute que La Poste a vérifiées (Civilité, Nom, Prénom, date de naissance, adresse e-mail, adresse postale, N° de mobile). Les profils clients sont fiabilisés : un badge de confiance s’affiche sur le profil de l’internaute, attestant que son identité a été vérifiée par La Poste. Le badge sur son profil étant visible par les autres utilisateurs du site, cela lui permet de rassurer la communauté tout en gardant son anonymat. Grâce à la confiance que les autres ont en son profil, l’internaute va booster son profil et ses échanges. Par exemple, sur les sites partenaires comme prêtachanger.fr, les internautes ayant un badge La Poste troquent 5 fois plus que les autres. Les sites dotés de cette API renvoient également une image positive auprès des internautes et bénéficient d’un outil de communication, vecteur de notoriété pour acquérir de nouveaux clients.

Chiffrement, cryptage, Fuite de données, Logiciels

Cloud privés pour appareils mobiles via des VPN SSL de Barracuda

13 mai 2014 Damien Bancal

Grâce à la nouvelle version des VPN SSL, les tablettes et téléphones mobiles accèdent plus facilement aux fichiers et applications web internes. Barracuda Networks, fournisseur de solutions de stockage et de sécurité Cloud, a annoncé la sortie de ses VPN SSL version 2.5. Ces solutions permettent aux employés d’avoir un meilleur accès à distance aux fichiers et applications web internes à partir de n’importe quel environnement virtuel, y compris via iPad, iPhone, Windows Phone et appareils Android, sans avoir besoin de déployer ou d’être compatible avec les clients VPN.

Selon Stephen Pao, directeur général du département sécurité chez Barracuda, « Avec l’utilisation de différentes plateformes telles qu’iOS, Android ou Windows au sein des environnements BYOD habituels, trouver une solution VPN SSL et un accès à distance compatibles peut devenir problématique. La toute dernière version des VPN SSL de Barracuda a été conçue de sorte à offrir une expérience utilisateur nomade optimale puisqu’elle permet aux administrateurs informatiques de fournir aux utilisateurs un accès à distance sécurisé et moderne, de type Cloud, aux applications web et aux fichiers internes tout en évitant les frais des plateformes de téléchargement d’applications ou de gestion d’appareils mobiles pour entreprise. »

Les caractéristiques principales des nouvelles solutions VPN SSL 2.5 de Barracuda incluent :
– Un accès omniprésent : le tout nouveau portail mobile permet aux employés d’accéder, à distance et à partir de n’importe quel appareil mobile, aux applications internes d’entreprise telles que Sharepoint, Internal Order Systems ainsi qu’aux Intranets et à bien d’autres applications.

– Un contrôle d’accès sécurisé : les administrateurs contrôlent l’accès de tous les utilisateurs grâce à une option permettant de sécuriser les ressources avec des mots de passe uniques sur les téléphones mobiles, des questions de sécurité, ou une intégration à des systèmes avancés d’authentification tels que des jetons d’authentification, des protocoles RADIUS, et autres fonctions de sécurité.

– Une tarification simple : l’accès à distance pour les appareils mobiles a été conçu de sorte à être facile, économique et sans frais d’utilisateur.

– Une configuration facile : une configuration simple des appareils Windows et iOS (iPhone, iPad et Mac) pour les protocoles Exchange, LDAP, IPsec, PPTP, Webclips et Certificats Clients.

La version 2.5 des VPN SSL Barracuda offre également aux entreprises un plan de continuité grâce à un accès à distance aux ressources de l’entreprise pendant les catastrophes naturelles ou autres situations critiques. Comme en témoigne Chris Robinson, directeur informatique de la Queensland Art Gallery, « pendant les inondations, nous avons pu déployer les solutions VPN SSL de Barracuda et cela a permis à notre équipe de continuer à travailler à distance. »

Prix et disponibilité
Les solutions VPN SSL version 2.5 de Barracuda sont dès à présent disponibles, dans le monde entier, gratuitement pour les utilisateurs de la plateforme matérielle actuelle ayant un abonnement Energize Updates actif. Elles sont également disponibles sous plusieurs formes d’appareils virtuels, permettant ainsi un déploiement local ou sur le Cloud selon les besoins des entreprises. Les solutions VPN SSL de Barracuda sont disponibles à partir de 749€ pour l’appareil et à partir de 249 € pour l’abonnement Energize Updates. Un service optionnel de remplacement immédiat avec remplacement prioritaire du matériel en panne et mise à disposition gratuite d’un matériel de moins de 4 ans est disponible à partir de €149 par an. Les prix internationaux varient en fonction des régions du monde. Pour plus d’informations, veuillez contacter France@barracuda.com

Ressources
Page internet du VPN SSL Barracuda – http://cuda.co/ssl25
Page internet du VPN SSL Vx Barracuda – http://cuda.co/ssl25vx

Chiffrement, cryptage, Cybersécurité, Fuite de données, Identité numérique, Social engineering, Vie privée

Une nouvelle faille vise le web

4 mai 2014 Damien Bancal 2 commentaires

Après OpenSSL, voici une nouvelle vulnérabilité mondiale qui vient toucher la sécurité informatique. Après Heartbleed, qui touchait les serveurs ayant implémenté le protocole TLS (OpenSSL), voici venir les modules de connexion basés sur les protocoles OAuth et OpenID. C’est un chercheur de Singapour qui a mis à jour la chose. Wang Jing, un étudiant local, a découvert que ces « outils » utilisés par Facebook, Google, Yahoo, Spotify, LinkedIn, Microsoft, PayPal, GitHub, QQ, Taobao, Weibo, VK, Mail.Ru, Sina, Sohu… pouvaient être malmenés.

A la base, OAuth et OpenID permettent à des sites Internet de partager nos informations (avec notre accord, ndr). Jing a découvert qu’en créant un site frauduleux, mais qui affiche une pop-up contenant l’accès légitime au site visé, un pirate pourrait intercepter le certificat de sécurité renvoyé par le site légitime. Google et Facebook indique être au courant et préparent un correctif qui ne sera pas lancé rapidement. Il faut tout réécrire !

Il n’est plus suffisant de protéger son propre site sans prêter attention à celui de ses voisins

« Comme l’Internet devient de plus en plus connecté, il n’est plus suffisant de protéger son propre site sans prêter attention à celui de ses voisins » explique Jing. « Le patch de cette vulnérabilité est plus facile à dire qu’à faire. Si toutes les applications tierces respectaient strictement les régles, alors il n’y aurait pas de place pour les attaques. Cependant, dans le monde réel, un grand nombre d’applications tierces ne le font pas pour diverses raisons. Cela rend les systèmes basés sur OAuth 2.0 ou OpenID très vulnérables. » Bref, nous ne cessons pas de le dire, lier des sites entre-eux, pour un « confort » dans l’authentification de votre compte est dangereux. En voici une nouvelle preuve criante !

Chiffrement, cryptage, Cybersécurité, Identité numérique, Justice

DGSI, les oreilles du coq Gaulois

4 mai 2014 Damien Bancal

Depuis vendredi 2 mai, l’Etat Français dispose d’une nouvelle arme de dissuation électronique baptisée DGSI. Le journal officiel présente la Direction Générale de la Sécurité Intérieure (DGSI) comme ayant pour mission « la surveillance des communications électroniques et radioélectriques« . Une nouvelle direction qui avait été annoncée par le Ministre de l’Intérieur Emmanuel Valls, en juin 2013.

« Les menaces auxquelles est exposé le pays nécessitent une action déterminée de l’Etat qui doit se doter de moyens performants de prévention et de répression de toute forme d’ingérence étrangère, d’actes de terrorisme, d’atteintes à la sûreté de l’Etat, à l’intégrité du territoire, à la permanence des institutions de la République et aux intérêts fondamentaux de la France. » explique le site Gouvernement.fr. C’est dans cette perspective qu’est créée la direction générale de la sécurité intérieure.

Dans son decret n° 2014-445 (du 30 avril 2014) on apprend que la DGSI est rattachée au Ministére de l’Intérieur. La DGSI remplace la DCRI, fusion de la DST et des RG. Dorénavant, la Dame est chargée « sur l’ensemble du territoire de la République, de rechercher, de centraliser et d’exploiter le renseignement intéressant la sécurité nationale ou les intérêts fondamentaux de la Nation« . Bref, nos services de renseignements intérieurs passent en mode 2.0 pour la sécurité des Français et des entreprises hexagonales. La DGSI va pouvoir, officiellement, mettre sur écoute téléphone, Internet, et les réseaux qui devront être surveillés. Bien entendu, la justice donnera son feu vert (ou non). La DGSI devra faire ses demandes auprès de la Commission nationale de contrôle des interceptions de sécurité (CNCIS).

Dans son article 2, le décret explique qu' »Au titre de ses missions, la direction générale de la sécurité intérieure pour assurer la prévention et concourt à la répression de toute forme d’ingérence étrangère ;

Concourir à la prévention et à la répression des actes de terrorisme ou portant atteinte à la sûreté de l’Etat, à l’intégrité du territoire ou à la permanence des institutions de la République ;

Participer à la surveillance des individus et groupes d’inspiration radicale susceptibles de recourir à la violence et de porter atteinte à la sécurité nationale ;

Concourir à la prévention et à la répression des actes portant atteinte au secret de la défense nationale ou à ceux portant atteinte au potentiel économique, industriel ou scientifique du pays ;

Concourir à la prévention et à la répression des activités liées à l’acquisition ou à la fabrication d’armes de destruction massive ;

Concourir à la surveillance des activités menées par des organisations criminelles internationales et susceptibles d’affecter la sécurité nationale ;

Concourir à la prévention et à la répression de la criminalité liée aux technologies de l’information et de la communication ».

432 agents devraient constituer, d’ici 2018, cette nouvelle Direction. A ce rythme là, la DGSI et la DGSE devrait fusionner d’ici quelques mois, histoire de partager les coûts, les moyens et les techniciens.

Chiffrement, cryptage, Espionnae, ios, Sauvegarde, Smartphone, Vie privée

Les pièces jointes envoyées d’un iPhone ne sont pas sécurisées

4 mai 2014 Damien Bancal

Le chercheur en sécurité Andreas Kurtz vient de lâcher un grain de sable dans la communication d’Apple. La grosse pomme affirmait que les documents communiquées par courriel d’un iPhone ou d’un Ipad étaient sécurisés quand elles étaient sauvegardés dans ces « précieux ». Les pièces jointes ne pouvaient être lues, car chiffrées « à partir des capacités de chiffrement matériel de l’iPhone et de l’iPad, la sécurité des e-mails et pièces jointes stockés sur l’appareil peut être renforcée par l’utilisation des fonctionnalités de protection des données intégrées à iOS« . Bref, un charabia qui indique que l’on peut dormir tranquille, c’est « secure ».

Sauf que Kurtz vient de démontrer le contraire. Via son iPhone 4, sous iOS 7, et une fois l’option de protection des données activée, le chercheur s’est rendu compte que ses courriels étaient bien inaccessibles. Les pièces jointes, elles, étaient lisibles et non sécurisées. Inquiétant, Apple semble au courant de la faille et ne l’a toujours pas corrigé. La nouvelle version d’iOS (V. 7.1.1) n’a pas pris en compte cette potentialité malveillante, et ne la corrige pas. C’est étonnant, car Andreas Kurtz a prouvé qu’il était possible à un malveillant de mettre la main sur les données envoyées d’un appareil Apple.

Biométrie, Chiffrement, cryptage, Fuite de données, Identité numérique, Logiciels, Vie privée

Le vote électronique : le bide français

4 mai 2014 Damien Bancal Un commentaire

Fin avril les Sénateurs Alain Anziani et Antoine Lefèvre sont revenus sur le vote électronique en France. Une innovation qui n’a pas prospéré. DataSecurityBreach.fr a reçu le rapport des deux sénateurs. Découverte ! Le vote par machine figure dans notre droit électoral depuis 45 ans comme une alternative au bulletin papier (vote à l’urne). Leur utilisation relève du libre choix des communes. Les nombreuses critiques qu’elles ont suscitées à l’occasion de l’élection présidentielle de 2007, « bien qu’aucun fait majeur n’ait perturbé la régularité des scrutins organisés dans les bureaux dotés de machines à voter », indique les sénateurs Alain Anziani et Antoine Lefèvre ont conduit le Gouvernement à geler, en 2008, le périmètre des communes utilisatrices. Cette décision est toujours en vigueur.

Plus de six ans après, Alain Anziani et Antoine Lefèvre ont proposé que ce dossier soit réouvert en tenant compte des données récentes. Critiqué dès sa création, ce dispositif n’est jamais parvenu à écarter toutes les craintes résultant de ce bouleversement de notre rituel républicain. Son implantation reste modeste. Quant au débat sur sa conformité aux exigences entourant l’exercice du droit de vote, il n’est pas clos, malgré l’évolution des technologies.

Lutter contre la fraude électorale
Inspiré des États-Unis, le recours à des machines comme mode alternatif du vote à l’urne pour les élections politiques a été prévu par la loi n° 69-419 du 10 mai 1969 modifiant certaines dispositions du code électoral. Ce texte avait pour objectif de lutter contre la fraude constatée dans plusieurs circonscriptions. Il prévoyait d’introduire des machines à voter dans les communes de plus de 30 000 habitants. Pour le secrétaire d’État à l’intérieur, André Bord, « l’utilisation de ces machines est de nature à éliminer les fraudes qui peuvent être commises pendant le déroulement des opérations de vote et pendant le dépouillement du scrutin ». Le Gouvernement soulignait aussi que cette technique moderniserait les opérations de vote « en évitant l’emploi de scrutateurs et en supprimant tout risque d’erreur, dans les circonscriptions qui comptent un nombre élevé d’électeurs ».

La première expérience intervint lors des élections législatives des 4 et 11 mars 1973. Elle donna lieu à de nombreux incidents : « un des modèles agréés ne présentait pas de garanties suffisantes de fiabilité ». Après son retrait, les deux autres modèles furent à nouveau utilisés pour les scrutins suivants (élections cantonales de 1973 et 1976, municipales de 1977, législatives de 1978 et diverses élections partielles) sans que leur mise en service soit très concluante : « les défaillances, les pannes subies par ces matériels de même que le coût très élevé de leur maintenance, ont conduit à les retirer peu à peu du service ».

420 machines étaient en service en 1977. Elles furent supprimées dans la région parisienne à compter de 1984 après les conclusions d’un nouveau bilan. En 1988, elles ne subsistaient que dans les communes de Bastia et d’Ajaccio. Lors de l’élection présidentielle de 2007, quatre-vingt-trois communes étaient autorisées à utiliser des machines à voter. Elles comptaient 1,5 million d’électeurs, soit 3 % du corps électoral. Plusieurs difficultés survenues au cours du premier tour ont à nouveau conduit à de nombreuses critiques répertoriées par le groupe de travail mis en place par le ministre de l’intérieur en septembre 2007.

114 critères techniques
Sur la base des 114 critères techniques fixés par le règlement technique, trois types de machines à voter sont aujourd’hui agréés : les machines ESF1 fabriquées par la société néerlandaise NEDAP et commercialisées par France Élections. Leur agrément a été délivré par un arrêté du 12 avril 2007 ; les machines iVotronic de la société américaine Election Systems & Software (ES&S), distribuées par Berger Levrault et agréées par un arrêté du 15 février 2008 ; les machines Point & Vote plus de la société espagnole Indra Sistemas SA. Le maintien de l’agrément est soumis à un contrôle de la machine tous les deux ans. Le ministère de l’intérieur a indiqué aux sénateurs Alain Anziani et Antoine Lefèvre que le bureau Veritas a inspecté les machines ESF1 et iVotronic en 2012. En revanche, il ne détient aujourd’hui aucune information sur le matériel Point & Vote plus. Il est précisé, à cet égard, que les constructeurs et organismes certificateurs ne sont pas soumis à une obligation de transmission au ministère des rapports de contrôle. France élections estime entre 5 000 et 6 000 euros hors taxe (HT) le coût moyen d’équipement d’un bureau de vote. Les frais de maintenance et prestations annexes s’élèvent de 65 à 150 euros HT par bureau –donc par machine- et par élection. Pour Berger Levrault, le coût estimatif de la location d’une machine est de 2 300 euros HT pour une élection à deux tours et de 1 400 euros HT pour une élection à un tour lorsque celle-ci est postérieure à l’élection à deux tours. Ces montants incluent les matériels associés (BIP, Flash card, scellés, pack de communication) et l’ensemble des prestations induites (programmation, paramétrage, formation des présidents de bureau de vote, mise sous scellés, mise en place d’un serveur de centralisation le cas échéant, mise à disposition de techniciens le jour du scrutin, gestion de projet). Le prix de vente de la machine Point & Vote plus d’Indra est estimé
à 3 800 euros environ.

Trois types d’incidents
M. François Pellegrini a recensé trois types d’incidents susceptibles d’altérer la sincérité des résultats du scrutin : un dysfonctionnement de la machine comme celui de Schaerbeek, des rayonnements cosmiques, la malveillance. Celle-ci peut s’exercer par l’introduction d’un logiciel de détournement du vote qui, ensuite, s’autodétruit ou la modification du code du logiciel pour falsifier les résultats. Ces fragilités techniques justifient la procédure rigoureuse et sécurisée de stockage des machines destinée à préserver l’intégrité des équipements. Ce défaut de fiabilité du vote électronique a conduit l’Irlande, en 2009, à renoncer à l’utilisation des machines à voter. Même l’Estonie, à la pointe des nouvelles technologies, préfère le papier au numérique. Ces exigences ont conduit, en 2006, les Pays-Bas à interdire un modèle de machines à voter à la suite d’un grave incident. Leur ambassade indiquait alors à Alain Anziani et Antoine Lefèvre qu’« un certain type d’irradiation des écrans, due à la présence de caractères accentués dans le texte, s’est avérée non sécurisée et pourrait être lue à distance ». Dans le même temps, des chercheurs prouvaient la simplicité à modifier les équipements. Dès lors que la confiance dans le vote était rompue, les machines ont été supprimées. Une étude du Chaos computer club a prouvé que « les appareils utilisés étaient facilement manipulables, sans que lesdites manipulations puissent être perçues par le votant ou par le président de la commission électorale ». Et ce en dépit du fait que les appareils utilisés avaient été agréés par le ministère fédéral de l’intérieur, comme l’exigeait la procédure, après la délivrance d’un avis favorable de l’office fédéral de physique et de technique. Le groupe de travail du ministère de l’intérieur Français (2007) a, notamment, déploré qu’il « se révèle largement insuffisant sur certains points en ce qui concerne la sécurité informatique des machines, ce qui explique également que les trois modèles agréés présentent des niveaux de sécurité relativement différents ».

Exemples de faille
En 2011, une faille découverte dans l´un de ces isoloirs hitech. Une vulnérabilité informatique découverte dans le système de vote électronique Diebold AccuVote. La faille pouvait être utilisée pour altérer les résultats du vote. Bien évidement, ce « bug » ne laisse aucune trace d’effraction. Un dispositif peu couteux, aucune reprogrammation et encore moins devenir dans les jours qui viennent un génie de l’informatique. La vidéo ci-dessous montre comment il était simple de prendre le contrôle quasi complet sur ?la machine. Le plus délirant est que cela pourra se faire, à distance.

Démonter un bureau de vote en 59 secondes… pour le piéger

C’est pourquoi, au terme de leur réflexion, Alain Anziani et Antoine Lefèvre n’étaient pas, en l’état, favorables à la levée du moratoire décidé en 2007. « En définitive, le seul avantage décelé réside dans le gain de temps permis par le dépouillement électronique, indiquent les Sénateurs. Mérite-t-il de prendre, en contrepartie, tous les risques attachés à l’utilisation de l’électronique ? » Alain Anziani et Antoine Lefèvre ne le pensent pas.

Chiffrement, cryptage, Cybersécurité, Téléphonie, Vie privée, VPN

AirChat : Anonymous joue avec la FM

28 avril 2014 Damien Bancal 3 commentaires

Un collectif Anonymous, via une filiale baptisée Lulz Lab, vient d’annoncer sur GitHub la création du projet AirChat. Dans une vidéo mise en ligne sur Vimeo, Lulz Lab explique que « nous croyons fermement que les communications devraient être libres. Libre autant que l’air lui-même. » AirChat a pour mission d’aider ceux qui n’ont pas les moyens de communiquer. Pauvres, dissidents, ONG, … « Maintenant le feu de notre liberté se consume. Nos voix sont soumises à des contrôles innombrables : financier, brevets, droits, règlements, censure…«

L’outil se compose d’une radio, d’un ordinateur, de quelques outils faits maison. AirChat permet de communiquer gratuitement, sans passer par Internet, ni d’un réseau de téléphonie cellulaire. C’est du moins ce que propose, sur le papier, AirChat. Il s’appuie sur une liaison radio disponible « ou tout autre appareil capable de transmettre de l’audio » souligne Lulz Lab.

Pour le moment, le projet n’est qu’en mode « papier », même si les inventeurs annoncent des essais sur plusieurs centaines de kilomètres de distance. « Ce projet a été conçu de nos leçons apprises lors d »es révolutions égyptienne, libyenne et syrienne« . Des appareils radios bon marché, des minis ordinateurs de poche « Fabriqués en Chine ». Voilà un projet qui pourraient être utilisés par un grand nombre de personnes dont les libertés sont baffouées. On ne peut qu’applaudir des deux mains.

Jusqu’à présent, Lulz Lab a pu jouer à des jeux interactifs d’échecs avec des personnes situées à plus de 200 kilomètres de distance. « Nous avons partagé des photos et établies des chats chiffrés. Nous avons pu aussi lancer une impression 3D sur des distances de 80 miles (128km) et transmis des dossiers médicaux à des distances de plus de 100 miles (160km). »

Chiffrement, cryptage, Sauvegarde

Prosodie-Capgemini agréé hébergeur de données de santé à caractère personnel par le Ministère de la Santé

28 avril 2014 Damien Bancal

Prosodie-Capgemini, spécialiste des applications « Front Office », annonce aujourd’hui son agrément en tant qu’hébergeur de données de santé à caractère personnel. Prosodie-Capgemini a obtenu cet agrément grâce au caractère hautement sécurisé de son activité d’hébergement, sa solidité financière et une pratique éthique de ses affaires commerciales. La dématérialisation croissante des données médicales, l’évolution des systèmes d’information centralisés vers des systèmes collaboratifs, ou encore la multiplication des parties prenantes intervenant sur les actes de santé (usagers, patients, médecins, entreprises…) sont autant de facteurs qui poussent les professionnels de la santé qui souhaitent externaliser l’hébergement de leurs données à caractère personnel, à se tourner vers des partenaires technologiques disposant de systèmes d’hébergement sécurisés.

Prosodie-Capgemini travaille depuis quinze ans sur les processus de gestion de la sécurité, et adresse très sérieusement les questions de disponibilité, intégrité, confidentialité et traçabilité des données de santé tout au long de leur cycle de vie. Cette démarche implique une adhésion humaine forte, engageant la responsabilité des intervenants de Prosodie-Capgemini sur le respect des obligations relatives à la protection des données de santé à caractère personnel. Elle se traduit par une politique de sécurité des données de santé, par une organisation interne spécifique sur le plan des ressources humaines (personnel accrédité) de la communication (campagnes régulières de sensibilisation) et du contrôle (audits internes réguliers), et par la mise en place de mesures de sécurité physiques et logiques avancées. La biométrie, par exemple, fait partie des mesures de sécurité logique mises en place pour renforcer la fiabilité des données et des applications.

« Grâce à notre grande maîtrise des processus de sécurité, nous avons obtenu cet agrément en moins de sept mois de procédure. Prosodie-Capgemini, porteur de cet agrément pour le Groupe, poursuit son investissement sur des solutions à forte valeur ajoutée qui répondent aux attentes des professionnels de la santé ou d’autres secteurs, tant sur le plan de l’innovation que celui de l’accélération de mise sur le marché de nouvelles offres de service » déclare Nicolas Aidoud, CEO de Prosodie-Capgemini.

Donnée de santé à caractère personnel : information relative à la santé d’une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.

Le décret n°2006-6 du 4 janvier 2006 définit les conditions d’agrément des hébergeurs de données de santé à caractère personnel sur support informatique. Cet agrément est délivré après une évaluation des capacités des candidats portant sur des aspects financiers, d’éthiques et de sécurité de leur activité d’hébergement.

Chiffrement, cryptage, Cybersécurité

Heartbleed : Risques et recommandations face à une potentielle exploitation

23 avril 2014 Damien Bancal

Une semaine après la révélation du bug Heartbleed, de nombreux rapports ont fait part de l’exploitation de la faille de sécurité et de cyber-attaques ciblant cette vulnérabilité. Bien que les fabricants de serveurs soient en train de fournir des correctifs à appliquer en urgence sur les équipements pour protéger les utilisateurs, les attaques commencent à se multiplier.

Au Canada, le site du fisc qui avait été fermé par mesure de précaution le 8 avril avant de le rouvrir 13 avril, vient d’annoncer avoir été victime du vol de 900 numéros d’assurance sociale. A noter que le pirate présumé, un internaute de 19 ans, a été arrêté. Au Royaume-Uni, la faille a été utilisée sur le site dédié aux parents Mumset pour accéder aux données de plus de 1,5 millions d’usagers du forum. Pour rappel, il était indiqué, au lancement des alertes, que le piratage ne pouvait se détecter.

Si en France aucune attaque n’a encore été relevée, le Centre gouvernemental de veille, d’alerte et de réponses aux attaques informatiques (CERT-FR) a remis à jour hier le bulletin d’alerte émis le mardi 8 avril, pour prévenir des risques liés à Heartbleed et indiquer les mesures à prendre pour se protéger. Jean-Pierre Carlin, Directeur Europe du Sud chez LogRhythm, indique que « Nous étions probablement nombreux à prédire qu’il finirait par y avoir une faille comme celle-ci, et si Heartbleed semble être exploité aux Etats-Unis et au Canada, nous ne tarderons peut-être pas à assister à la publication de rapports similaires en France. » A noter que la CNIL a diffusé d’une page dédiée à cette faille et aux règles à tenir par les administrateurs.

La situation est clairement préoccupante dans la mesure où les données sensibles sur la mémoire d’un serveur cloud peuvent comprendre de nombreuses informations comme des noms d’utilisateurs, des mots de passe ou encore des numéros de comptes et des clés privées. Et comme si cela ne suffisait pas, l’exploitation de cette faille est extrêmement facile et il n’y a pas besoin d’être un hacker professionnel pour y parvenir, même les non-expérimentés seront susceptibles d’y arriver.

Changement de mot de passe
Nous sommes dans une situation où réagir de manière hâtive et radicale pourrait bien être le contraire de ce qu’il faut faire. Si votre fournisseur est toujours vulnérable, c’est-à-dire que le problème n’a pas été corrigé et qu’il n’y a pas eu de patch installé, et que vous changez vos mots de passe comme certains vous recommandent de le faire, vous allez rendre le nouveau mot de passe vulnérable. La situation est telle qu’il vaut mieux prendre le temps de la réflexion et porter une attention particulière aux informations communiquées par les entreprises qui détiennent vos données et agir en conséquence.

Confiance dans les sites sécurisés
Cette situation illustre parfaitement le niveau de confiance qui peut être accordé à la sécurité des technologies telles que les protocoles SSL. Les utilisateurs partent du principe que s’il y a un cadenas visible sur le site, leurs données sont protégées et transmises de façon sécurisée. Cela est vrai dans la plupart des cas mais le risque zéro n’existe pas. Nous encourageons les internautes à être plus méfiant en sécurité en général et d’agir comme s’il y avait toujours la possibilité d’être la cible d’un hacker.

Impératif de surveillance en continue et temps réel
Alors que nous entrons dans la phase d’exploitation potentielle de la faille, chaque entreprise doit surveiller de manière continue et en temps réel la moindre activité sur ses réseaux. Si des clés secrètes sont volées, la personne à l’origine de l’attaque pourra prendre le contrôle du trafic destiné aux applications et accéder à des échanges des données privées et sensibles – comme lors de transactions financières. La seule manière d’y remédier est d’être capable de surveiller méticuleusement le réseau et d’identifier les comportements anormaux. Nous pourrions bien être témoins d’attaque à grande échelle et les organisations doivent être vigilantes à la fois pour se protéger et protéger leurs clients. »

Google montre les dents
Google serait sur le point d’intégrer le chiffrement à sa liste de critères de référencement, favorisant ainsi le développement massif des sites chiffrés. Cette méthode basée sur le cryptage et censée renforcer la protection des sites et des navigateurs est en pleine explosion. Elle pourrait pourtant remettre en question les stratégies de sécurité des entreprises ; en effet, les employés seront de plus en plus amenés à naviguer sur sites chiffrés (et donc opaques), leur entreprise ayant peu de moyens d’évaluer leur niveau de malveillance. Si aujourd’hui la volumétrie moyenne de flux chiffrés est souvent comprise entre 20 et 40% de la totalité trafic de surf, il est fort à parier qu’une telle initiative fera rapidement croître ce pourcentage de manière significatif.

Plus le surf chiffré est important, moins les solutions mises en place dans les entreprises contre les menaces provenant du web seront efficaces ? Les solutions de sécurité et les investissements liés seront de moins en moins pertinents. C’est d’autant plus vrai que selon le dernier rapport du NSS Lab, déchiffrer les flux fait chuter les performances des équipements de sécurité de près de 74%. Les entreprises doivent-elles se préparer à être aveugle sur plus de la moitié des trafics de surf de leurs collaborateurs ?

Des solutions existent et permettent aux entreprises de bénéficier de technologies dédiées au déchiffrement et de gérer la volumétrie croissante et les besoins en termes de bande passante. Préserver la performance sans générer de latence. D’alimenter plusieurs solutions de sécurité en simultanée (Un déchiffrement unique pour plusieurs technologies). De mettre en place une politique de déchiffrement adaptée aux réglementations locales. C’est donc un enjeu crucial auquel sont confrontées les entreprises et qui doit désormais être pris en considération afin de garantir un niveau élevé de protection contre les menaces tout en respectant les obligations de traçabilité imposées par les différentes réglementations.

Bitcoin, Chiffrement, cryptage, Cybersécurité, Fuite de données, Paiement en ligne

Le Bitcoin : populaire mais risqué

16 avril 2014 Damien Bancal

Selon l’étude « Financial Cyber Threats in 2013 » réalisée par Kaspersky Lab, les malwares ciblant le Bitcoin sont devenus « monnaie courante » en 2013. Le nombre d’attaques contre cette crypto-monnaie a ainsi été multiplié par plus de 2,5 pour atteindre un nombre de 8,3 millions incidents recensés. Créé notamment pour permettre des paiements anonymes sur Internet, le bitcoin rencontre un immense succès depuis quelques années. Début 2013, il s’échangeait au cours de 13.6$ et en décembre dernier, il culminait au taux record de 1200$. Au fil de l’année, le cours de la monnaie virtuelle a connu des hauts et des bas mais, depuis avril 2013, il n’est jamais descendu à moins de 80$. Ce phénomène a inévitablement attiré l’attention des escrocs. Pour compliquer le problème, les bitcoins sont souvent une proie facile pour les cybercriminels : si les utilisateurs les stockent sur leurs ordinateurs sous une forme non cryptée, il suffit aux pirates de s’approprier le fichier du « portefeuille » pour obtenir les informations relatives à son contenu et accéder au compte de leur victime.

Sur la trentaine d’échantillons de malware financiers, étudiés dans le cadre de l’étude de Kaspersky Lab, neuf concernaient un programme conçu pour voler des bitcoins. Ceux-ci représentaient au total 29 % des cyberattaques financières s’appuyant sur des applications malveillantes. Les outils employés par les cybercriminels pour dérober des bitcoins peuvent être classés en deux catégories. La première se compose de programmes destinés au vol des fichiers de portefeuille. Les applications de la seconde catégorie installent un logiciel qui génère des bitcoins (opération dite de « mining ») sur un ordinateur infecté. Dans l’absolu, les voleurs de portefeuille de bitcoins ont perpétré deux fois plus d’attaques en 2013. Cependant, les outils de « mining » se sont développés plus rapidement.

« En 2013, la valeur du bitcoin a été multipliée par plus de 85, ce qui a bien entendu attiré l’attention des cybercriminels. Vers la fin de l’année, le nombre d’utilisateurs attaqués par des malwares ciblant les bitcoins a commencé à se rapprocher de celui des victimes de cybermenaces bancaires plus classiques. Les détenteurs de bitcoins doivent donc être particulièrement prudents car il est quasiment impossible de récupérer l’argent virtuel volé. C’est le risque inhérent à l’utilisation d’une crypto-monnaie qui circule sans aucun contrôle des pouvoirs publics », commente Sergey Lozhkin, chercheur senior en sécurité pour Kaspersky Lab.

Pourcentage d’utilisateurs attaqués par différents types de malware chaque mois

Plus d’utilisateurs donc plus de risques, comment lutter ?
Pour une utilisation sécurisée des crypto-monnaies, les experts de Kaspersky Lab conseillent de conserver les fichiers de portefeuille sur des supports cryptés. Pour un stockage à long terme, l’utilisateur pourra transférer la somme virtuelle dans un portefeuille dédié et en noter les détails sur le papier. Il importe également d’installer sur l’ordinateur une protection fiable contre les logiciels malveillants, via une solution éprouvée de sécurité Internet. L’étude « Financial Cyber Threats in 2013 » s’appuie sur des données fournies bénévolement par les participants du réseau Kaspersky Security Network. KSN est une infrastructure mondiale distribuée dans le cloud et conçue pour traiter rapidement des données anonymisées relatives aux menaces rencontrées par les utilisateurs des produits Kaspersky Lab.

Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Fuite de données, Leak, Vie privée

Que dit l’histoire de Heartbleed à tous les utilisateurs d’Internet ?

11 avril 2014 Damien Bancal Un commentaire

La vulnérabilité Heartbleed est l’une des plus importantes failles découverte sur Internet depuis 10 ans. Depuis mars 2012, une part considérable des serveurs sur Internet a été vulnérable à des attaques qui ne laissent pas de traces, et peuvent accéder à des informations essentielles (identifiant, mot de passe, informations personnelles, numéro de carte de crédit, clé de cryptage). Cette vulnérabilité a été révélée publiquement le 7 avril, mais il est impossible de connaître l’étendue des dommages qui ont eu lieu avant le 7 avril ou même depuis.

La vulnérabilité Heartbleed arrive comme une piqure de rappel de deux faits importants lié à la sécurité personnelle sur Internet, à l’heure où tant de nos informations personnelles sont désormais sur Internet : Il est vital d’utiliser un mot de passe diffèrent sur chaque site web. Cela limite les risques, même en cas d’une faille – les dommages ne pourront s’étendre. Si vous réutilisez le même mot de passe sur plusieurs sites web, vous êtes clairement exposé et vous devriez modifier cela au plus vite.

« Vous devriez changer tous vos mots de passe le plus rapidement possible, confirme Emmanuel Schalit, CEO de Dashlane, car chacun d’entre eux a pu être dérobé, et vous assurez que vous utilisez un mot de passe différent pour chaque site web« . De plus, pour les sites web les plus importants (voir ci-dessous, NDR DataSecurityBreach.fr), vous devriez probablement changer vos mots de passe dans les 10 jours, au cas où les sites en questions n’auraient pas encore appliqué les correctifs nécessaires depuis le 7 avril.

Heartbleed prouve que dans le monde numérique d’aujourd’hui, il est devenu impossible d’être en sécurité si vous n’utilisez pas un gestionnaire de mots de passe comme Dashlane. Premièrement car c’est la seule façon d’avoir des mots de passe forts et uniques sur chaque site web et d’être capable de les changer rapidement et sans effort. Deuxièmement parce que les gestionnaires de mots de passe sont conçus de telle manière que les données de leur utilisateurs ne peuvent pas être compromises par ce type de vulnérabilité, car les gestionnaires de mots de passe de qualité comme Dashlane n’ont pas accès aux clés de chiffrement de leurs utilisateurs.

Les sites les plus utilisés
Facebook annoncé avoir ajouté des protections supplémentaires avec OpenSSL. Des sécurités avant l’annonce de la faille de sécurité. Facebook a tout de même conseillé de changer les mots de passe. Même proposition pour Tumblr. Twitter n’a rien dit… pour le moment. Google a confirmé des problèmes avec OpenSSL. Google Chrome et Google OS ne sont pas concernés. Google, lui aussi, que nous changions nos mots de passe. Yahoo Mail, Yahoo Finance, Yahoo Sports, Flickr ont été sécurisés. Changement de mot de passe conseillé, comme pour DropBox. Hotmail n’utilise pas OpenSSL. Même confiance chez eBay et Paypal.

Chiffrement, cryptage, Entreprise, Fuite de données, Vie privée

Un risque croissant de vol de données en raison de ‘menaces internes’

11 avril 2014 Damien Bancal

Le cabinet Ovum vient de publier un rapport qui devrait faire tendre l’oreille. Cette étude commanditée par Vormetric met en évidence le faible contrôle des utilisateurs privilégiés au sein des entreprises françaises et la reconnaissance du chiffrement comme la technologie la plus efficace pour prévenir le risque des menaces intérieures. En outre, 53% des entreprises européennes trouvent ces menaces plus difficiles à détecter qu’auparavant.

Cette enquête, réalisée auprès de plus de 500 décideurs dans le domaine des hautes technologies de moyennes et grandes entreprises au Royaume-Uni, en France, en Allemagne, conclut que seuls 9% des entreprises se sentent à l’abri des menaces provenant de l’intérieur, avec presque la moitié des sondés en France (42%) reconnaissant que ce sont les « utilisateurs privilégiés » (administrateurs systèmes, de bases de données, réseaux, etc.) qui représentent le plus grand risque pour leur entreprise.

Les menaces intérieures ne proviennent plus seulement des utilisateurs habituels ayant des droits d’accès légitimes et qui en abuseraient pour voler des données et d’en retirer un gain personnel. Les utilisateurs privilégiés qui administrent les systèmes et les réseaux représentent désormais une inquiétude supplémentaire puisque leurs métiers requièrent évidemment un accès à toutes les données accessibles sur les systèmes pour effectuer leur travail. Une troisième menace intérieure identifiée comme étant particulièrement préoccupante concerne les infiltrations par des cybercriminels cherchant activement le moyen de compromettre des comptes d’utilisateurs internes (en visant principalement les comptes avec les privilèges les plus avancés) afin de s’infiltrer dans les systèmes et d’y voler des données en utilisant les identifiants usurpés.

« Environ la moitié des organisations estiment que ces menaces internes sont de plus en plus difficiles à détecter, et les responsables informatiques sont extrêmement inquiets de ce que leurs utilisateurs peuvent faire avec les données de leur entreprise, déclare Andrew Kellet, analyste principal chez Ovum, le cabinet d’analystes en charge de l’enquête. Ce risque se combine avec la menace posée par les cyberattaques qui visent les comptes utilisateurs – ce qui n’est pas complètement ignoré puisque 30 % des organisations citent les Menaces Persistantes Avancées comme motivation principale pour l’amélioration des défenses contre le vol de données. »

Selon l’étude menée, Seulement 9 % des organisations européennes interrogées se sentent à l’abri des menaces internes contre 11% des entreprises françaises ; 47 % des organisations estiment actuellement qu’il est plus difficile de détecter des incidents provenant des menaces internes qu’en 2012 ; Le contrôle d’accès aux données est identifié comme la plus grande menace pour les organisations. Pour certaines, les employés non-techniciens avec un accès autorisé aux données sensibles et aux ressources IT représentent le risque le plus important (49 %), tandis que pour d’autres, ce sont les postes de haut niveau tels que les Directeurs Administratifs et Financiers ou les PDG qui sont le principal risque (29 %) ; Le passage au cloud augmente les risques de sécurité, en raison d’une perte de visibilité sur les mesures de sécurité autour des données stockées dans le cloud, représentant une inquiétude pour 62 % des personnes interrogées ; Le Big Data peut également poser problème, avec plus de la moitié des entreprises concernées par la sécurité du Big Data (53 %) indiquant que des données sensibles peuvent y être contenues ; Il y a de bonnes nouvelles : les organisations prennent des mesures pour lutter contre les menaces intérieures avec 66 % d’entre elles qui envisagent d’augmenter leurs budgets de sécurité en réponse directe à ce risque. « Les entreprises accentuent leur utilisation du cloud computing afin de profiter de la flexibilité et des avantages financiers qu’il apporte, indique Danièle Catteddu, Responsable EMEA pour la Cloud Security Alliance. L’étude démontre qu’elles sont conscientes des nouveaux risques lié à cet usage accru, et détaille la façon dont les fournisseurs peuvent améliorer leurs offres afin de mieux satisfaire les besoins des entreprises en matière de sécurité pour contrebalancer les menaces intérieures »

« Clairement, les exigences liées à la conformité légale, les contraintes concernant la vie privée et les vols de données incessants ont un effet marqué sur les entreprises, déclare Stewart Room, partenaire du Field Fisher Waterhouse’s Technology and Outsourcing Group. Avec 66% d’entre elles qui envisagent d’augmenter leurs dépenses en sécurité pour bloquer les menaces intérieures, et en fonction du défi que la protection des données dans le cloud, les environnements mobiles et Big Data représente, les entreprises comprennent que leur niveau de sécurité doit être mis à jour et font ce qu’il faut pour. »

De plus, les entreprises reconnaissent que le chiffrement est la technologie la plus efficace pour bloquer les menaces internes, avec la plus grande proportion des organisations (38 %) la citant comme la mesure de sécurité la plus importante. (étude)

Chiffrement, cryptage, Logiciels

Projet Mylar : sécuriser les données d’un site web

7 avril 2014 Damien Bancal

Des chercheurs de la prestigieuse université du MIT présentent Mylar, un système de chiffrement entre votre navigateur et un site web. Raluca Popa est un chercheur au sein du MIT, le mythique Massachusetts Institute of Technology. Ce dernier vient de lancer le projet MYLAR, un système de sécurité qui doit permettre de protéger les informations entre votre ordinateur et un serveur web.

Le système chiffre les informations via le navigateur de l’utilisateur. Les données communiquées sur la toile ne sont lues que par le serveur autorisé. Une sécurité qui doit permettre de contrer les vols et détournements d’informations. « si un gouvernement demande des données à un fournisseur de service ou un hébergeur, le serveur ne pourra pas fournir des informations non chiffrées » rapporte Popa surfant sur l’actualité de cyber surveillance de masse mise en place par la NSA.

Raluca Ada Popa, Emily Stark, Jonas Helfer, Steven Valdez, Nickolai Zeldovich, M. Frans Kaashoek, et Hari Balakrishnan ont diffusé 16 pages (PDF) d’un rapport lié à leur projet qui devrait voir le jour, d’ici quelques semaines, sous forme d’un agenda et d’un chat sécurisés.

BYOD, Chiffrement, Cloud, cryptage, Entreprise, Fuite de données

De l’importance de la formation des employés dans la sécurité en entreprise

24 mars 2014 Damien Bancal

Forrester montre que les Européens sont maintenant plus connectés que jamais, la plupart possédant deux terminaux au moins. Puisque l’utilisation des terminaux personnels sur le lieu de travail continue de croître, la formation des employés va devenir essentielle. Beaucoup d’habitudes prises lors de l’utilisation de ces appareils personnels représentent un danger pour les entreprises, donc les employés doivent comprendre l’importance de sécuriser les données. Ils sont la plus grande menace en termes de fuites de données. Le fait que Dropbox soit actuellement utilisé dans 95% des entreprises du Fortune 500 signifie que, dès à présent, une part énorme des données professionnelles sont vulnérables.

Malheureusement pour les responsables informatiques, il ne suffit pas d’installer une solution mobile sécurisée pour protéger les données. En plus de devoir mettre en œuvre un changement technologique, les entreprises doivent également lancer un changement culturel au sein du lieu de travail. Les employés doivent avoir une meilleure connaissance du moment où les données professionnelles sont en sécurité ou non. Un des plus grands enjeux que les organisations doivent affronter est l’envoi par les employés des documents d’entreprise sensibles sur leur messagerie personnelle. Une fois qu’un document est divulgué, il n’est plus sous le contrôle de l’organisation, sa sécurité ne peut plus donc être contrôlée.

Dropbox est un cauchemar pour les départements informatiques car il génère un stockage dans le Cloud et la synchronisation des dossiers hors des entreprises. Dropbox fourni un service pratique pour les employés, mais a eu un grand nombre d’intrusions médiatisées. On en retrouve notamment en 2012 lorsque des mots de passe volés ont été utilisés pour accéder à un certain nombre de comptes Dropbox, ou encore lorsqu’en 2011 Dropbox avait éteint la fonction mot de passe, laissant toutes les données stockées sans aucune protection. Cependant, malgré ces failles médiatisées, les employés continuent d’utiliser ce service pour stocker des données sensibles. Des recherches récentes effectuées par Spiceworks Research ont constatées que 40% des employés dans l’informatique utilisent Dropbox, ou ont l’intention d’utiliser Dropbox en tant que service approuvé de partage de fichiers pour leur entreprise.

IBM a récemment interdit l’usage de Dropbox, d’iCloud et le transfert d’emails professionnels par leurs employés vers leur boite d’emails personnelle. La raison de cela est qu’il s’est avéré que ses employés avaient un manque de connaissances énorme sur ce qui constitue un risque actuellement.

Les trois raisons les plus importantes pour lesquelles les employés deviennent une menace de sécurité sont :
– L’utilisation de programmes non-autorisés sur des appareils ou du matériel d’entreprise
– Le transfert de dossiers entre les ordinateurs professionnels et personnels afin de travailler de chez soi
– La mauvaise utilisation des mots de passe – le partage de mots de passe ou l’utilisation du même mot de passe pour les applications professionnelles et personnelles

Les gens trouveront toujours un moyen d’utiliser l’appareil ou l’application qu’ils veulent, en dépit des conséquences sur la sécurité. Pour cette raison ils doivent être formés à utiliser la technologie d’une manière nouvelle qui puisse assurer aussi la sécurité des données. Les entreprises doivent faire quelques concessions, bien sûr. La connaissance – des appareils et applications – est vitale et elles doivent assurer la formation sur la sécurité des données et sur les bonnes pratiques autour de la sécurité de l’information. Si on offre une meilleure expérience d’utilisation en toute sécurité aux employés, alors ils sont moins enclins à trouver des moyens pour les contourner. Combiné à des recommandations de sécurité, les entreprises peuvent mettre en place une mobilité sécurisée sans employer une stratégie de contrôle fort.

Une approche “conteneur” de la sécurité mobile supprime la grande majorité des possibilités de fuites de données. Les employés peuvent exploiter au maximum un terminal pendant leur temps personnel et peu importe ce qu’ils font avec, les données d’entreprise sensibles resteront compartimentées en toute sécurité au sein de l’appareil. Pour poursuivre notre exemple concernant le partage de fichier, Box a une application sécurisée via une plateforme de sécurisation professionnelle. Celle-ci est contenue dans un compartiment sécurisé, afin de prévenir toute fuite de données, mais permet un accès aux documents professionnels à tout moment et de partout. (Par Florian Bienvenu, VP Europe Centrale et Europe du Sud de Good Technology)

Chiffrement, cryptage, Espionnae, Fuite de données

Surveillance de masse : Graves complicités françaises publiques et privées

24 mars 2014 Damien Bancal

Communiqué de presse de la Quadrature du Net – Depuis mai 2013, notamment grâce aux documents fournis par le lanceur d’alerte Edward Snowden, les révélations concernant les pratiques extra-légales des autorités françaises en matière de surveillance des communications Internet se multiplient. Après le vote de la loi de programmation militaire fin 2013 [1] et les dernières révélations [2] concernant la collaboration entre les services de renseignement et l’opérateur Orange, le gouvernement doit mettre fin à son silence assourdissant pour permettre la tenue d’un débat démocratique sur l’étendue des pratiques de surveillance. Au-delà, la France doit œuvrer à réformer sa législation afin de respecter le droit international en matière de protection de la vie privée.

Dans son édition du 21 mars dernier, Le Monde s’appuie sur les documents fuités par Edward Snowden pour lever un peu plus le voile sur les pratiques des autorités françaises en matière de surveillance d’Internet. Le journal met notamment en exergue la collaboration [2] de l’opérateur Orange et les services de renseignement français, lesquels disposeraient « d’un accès libre et total à ses réseaux et aux flux de données qui y transitent » en dehors de tout cadre légal. Ces informations témoignent des dérives auxquelles aboutit le passage au secteur privé des hauts fonctionnaires en charge de fonctions régaliennes liées à la sécurité nationale.

Elles s’ajoutent aux informations déjà publiées concernant notamment le transfert massif de données entre les services français et la NSA américaine (accord LUSTRE [3]), ou la mise en place [4] d’un large dispositif d’interception des flux circulant sur les réseaux internationaux avec l’appui d’entreprises comme Alcatel-Lucent ou Amesys. Le Monde indique être en possession de nombreuses pièces encore inexploitées et à partir desquels ses journalistes poursuivent leur travail d’investigation.

Alors que depuis plus de huit mois est détaillée l’étendue des pratiques de surveillance d’Internet par les États-Unis et le Royaume-Uni, mais aussi par leurs alliés comme la France ou l’Allemagne, l’absence de toute réaction politique substantielle au niveau français est révélatrice de l’hypocrisie des autorités. Ainsi, le président de la République François Hollande s’est adonné à de ridicules gesticulations politiques en réclamant sans succès un accord [5] encadrant les pratiques d’espionnage des dirigeants entre les États-Unis et les pays de l’Union européenne et en appuyant l’appel [6] d’Angela Merkel à l’édification d’un « Internet européen ».

Pour autant, il se refuse à soutenir la seule mesure de poids immédiatement applicable et efficace pour œuvrer à la protection des données personnelles des citoyens européens, à savoir la suspension de l’accord « safe-harbor » [7] entre l’Union européenne et les États-Unis, et que défend [8] le Parlement européen.

Quant au gouvernement, le lancement de son opération de communication politique [9] pour vanter son action dans le domaine numérique ne doit tromper personne : le projet de loi sur les « libertés numériques » promis il y a un an s’annonce [10] comme un texte avant tout répressif (le mot « liberté » semble d’ailleurs avoir opportunément disparu de son intitulé), tandis que le premier ministre Jean-Marc Ayrault se fait l’avocat de politiques inconséquentes [11] en matière de chiffrement des correspondances électroniques. Dans le même temps, les responsables politiques français ont l’audace de se doter d’une législation d’exception en matière de surveillance d’Internet au travers de la scandaleuse Loi de programmation militaire [12], tout en refusant de collaborer avec la commission d’enquête du Parlement européen consacrée aux révélations d’Edward Snowden [13]. Ce jeu de dupes doit cesser.

« Depuis des mois, l’exécutif français s’enferme dans un silence assourdissant pour échapper au débat démocratique sur la surveillance d’Internet. Cette position n’est plus tenable au vu des éléments qui s’accumulent et qui démontrent l’inquiétante fuite en avant dans ce domaine. Il est grand temps que l’ensemble des acteurs institutionnels – qu’il s’agisse de François Hollande, du gouvernement, du Parlement, de l’autorité judiciaire ou même de la CNIL – soient mis devant leurs responsabilités pour que ces graves violations des droits fondamentaux cessent et que leurs responsables soient condamnés », déclare Félix Tréguer, cofondateur de La Quadrature du Net.

« Au delà d’un débat inévitable sur la surveillance d’Internet et la nécessaire souveraineté sur nos infrastructures, la maîtrise de nos communications ne sera possible que par l’utilisation de logiciels libres, du chiffrement de bout en bout et de services décentralisés. En parallèle, une réforme législative s’impose afin que la France respecte le droit international [14] et que les services de renseignement fassent l’objet d’un contrôle adéquat. », conclut Benjamin Sonntag, cofondateur de La Quadrature du Net.

* Références *
1. https://www.laquadrature.net/fr/lpm-promulguee-la-derive-du-politique-vers-la-surveillance-generalisee
2. https://www.laquadrature.net/fr/lemonde-espionnage-comment-orange-et-les-services-secrets-cooperent
3. https://www.laquadrature.net/fr/lemonde-surveillance-la-dgse-a-transmis-des-donnees-a-la-nsa-americaine
4. http://reflets.info/amesys-dgse-drm-et-si/
5. https://www.laquadrature.net/fr/silicon-hollande-a-obama-les-ecoutes-de-la-nsa-c-est-deja-oublie
6. https://www.laquadrature.net/fr/francetvinfo-pourquoi-l-internet-europeen-d-angela-merkel-ne-rime-a-rien
7. https://fr.wikipedia.org/wiki/Safe_Harbor
8. https://www.laquadrature.net/fr/la-commission-europeenne-doit-entendre-lappel-du-parlement-contre-les-programmes-de-surveillance
9. http://www.pcinpact.com/news/86409-l-executif-prepare-offensive-communicationnelle-sur-numerique.htm
10. http://www.lesechos.fr/entreprises-secteurs/tech-medias/actu/0203381114149-les-premieres-pistes-de-la-loi-numerique-658053.php
11. http://www.numerama.com/magazine/28502-les-e-mails-de-france-seront-chiffres-et-stockes-en-france.html
12. https://www.laquadrature.net/fr/lpm-la-derive-du-politique-vers-la-surveillance-generalisee
13. Le rapport de la commission d’enquête du Parlement européen, adopté le 12 mars dernier, indique ainsi que « les parlements britannique et français n’ont (…) pas souhaité participer aux travaux de la commission » et précise que les responsables de la DGSE et de la DGSI ont refusé d’être auditionnés :
http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+REPORT+A7-2014-0139+0+DOC+XML+V0//FR#title5
14. https://fr.necessaryandproportionate.org/text

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Fuite de données, Justice

Affaire Orange: Le gouvernement (enfin) à l’écoute des Français

20 mars 2014 Damien Bancal

Suite aux révélations des services secrets techniques britanniques (GCHQ) sur la collaboration d’Orange avec la DGSE dans la collecte de données, l’eurodéputée Françoise Castex réagit: « Vu de Bruxelles, ces révélations ne sont malheureusement qu’une demi-surprise! Le Parlement européen a pointé du doigt, la semaine dernière, dans son rapport sur le programme d’espionnage massif de la NSA, certains États membres, à commencer par la France. »

Le rapport Moraes, voté mercredi 12 mars à Strasbourg, demandait en effet à la France et cinq autres pays européens de clarifier les allégations de surveillance massive, et notamment les éventuels accords entre services de renseignement et entreprises de télécommunications sur l’accès et l’échange de données personnelles – et leur compatibilité avec la législation européenne.

Pour Françoise Castex « à la lumière de ces révélations, on comprend mieux le manque d’empressement du gouvernement français à dénoncer le scandale de la NSA, et qu’il ait mis plus d’un an et demi à transmettre aux eurodéputés français un semblant de position sur le paquet données personnelles en cours de négociation au niveau européen. »

Pour l’eurodéputée Nouvelle Donne: « La France doit revoir sa législation nationale afin de garantir que la DGSE soit soumise à une vraie surveillance publique par le biais d’un contrôle parlementaire et judiciaire effectif. »

« Au lieu d’écouter les Français, le gouvernement ferait mieux d’entendre leurs préoccupations réelles, à commencer par le respect de leurs droits fondamentaux! » conclut l’élue du Gers.

Chiffrement, cryptage, Identité numérique, Logiciels, Sécurité

Un écureuil pour sécuriser vos connexions

18 mars 2014 Damien Bancal Un commentaire

Le projet SQRL permet de sécuriser une connexion sans taper le moindre mot de passe. Étonnante, mais néamoins très sympathique idée que celle proposée par Gibson Research Corporation. SQRL, que vous pouvez prononcer (en anglais, ndr) « squirrel » (Ecureuil), est un système de sécurité qui permet de se passer de mot de passe, de one-time-code authenticators à la sauce Google ou tout autre codes envoyés par SMS pour exploiter la double autentification d’un site Internet, d’une connexion à une administration ou tout autre espace sécurisé.

GRC explique que son idée élimine de nombreux problèmes inhérents aux techniques traditionnelles de connexion. Dans sa démonstration, l’utilisateur scanne le QRCode présent dans une page de connexion. Un espace qui réclame, à la base, login et mot de passe. Sauf qu’ici, l’utilisateur n’a pas à rentrer la moindre donnée. Il scanne et SQRL se charge de l’authentification et de la connexion.

Chaque QRCode contient un long chiffre aléatoire généré afin que chaque présentation de la page de connexion affiche un QR code différent. Une paire de clés publiques spécifiques au site est générée. Une clé privée, liée au site, se charge de sécuriser le tout. Bref, l’interaction avec le clavier disparait. Laissant plus aucune possibilité aux logiciels espions révant de vous voler vos « précieux ».

Voir aussi
http://xkcd.com

Android, Chiffrement, cryptage, Fuite de données, Smartphone, Vie privée

Portes ouvertes sur vos données pour les Samsung Galaxy ?

14 mars 2014 Damien Bancal

Vous possedez un smartphone Galaxy de Samsung ? Vous allez apprécier l’annonce effectuée par la Free Software Foundation qui vient d’annoncer la découverte d’une porte cachée, une backdoor, dans les appareils android de la marque sud coréenne. Tout en travaillant sur Replicant, une version entièrement gratuite/libre d’Android, un concepteur a découvert que le logiciel propriétaire de Samsung, en cours d’exécution sur le processeur d’applications en charge de gérer le protocole de communication avec le modem, met en œuvre une porte dérobée qui permet au modem d’effectuer des opérations sur le système de fichiers, le tout à distance. Bilan, il serait possible à celui qui connait le « truc », d’accéder à aux données personnelles stockées dans le materiel.

Autant dire que le système de chiffrement que propose Samsung ne servirait à rien face à ce tour de passe-passe. Les Galaxy S3, Galaxy Note 2 et le Galaxy Nexus sont concernés. Paul Kocialkowski, développeur de Replicant, propose aux clients Samsung d’interpeller publiquement le constructeur pour une explication sur cette porte cachée et éliminer cet outil intrusif. Faut-il encore qu’il eut été au courant que le logiciel indépendant d’Android, qui gére les « baseband chips », était « piégé ». Nous imaginons difficilement que la société commerciale tente de jouer avec le feu en cachant, bien mal, ce système espion.

A noter que Replicant propose un patch bloquant cette backdoor. Une façon de faire un peu de pub à Replicant face à l’annonce de Knox, le système de sécurité de Samsung ? Korben propose une lettre à envoyer à Samsung. Une idée proposée par la FsF.

« Bonjour,

Je tiens à exprimer mon mécontentement suite à la découverte, dans la gamme Galaxy de vos smartphones, d’une puissante backdoor dans la puce baseband. Etant moi-même propriétaire d’un Samsung Galaxy S3, j’aimerais que vous me disiez ce que vous faites de cette backdoor, qui visiblement permet un contrôle total sur le smartphone et ses données.

A l’heure des révélations d’Edward Snowden et de la mise en cause de nombreuses grandes sociétés comme Google ou Microsoft, il est dommage de constater que Samsung rejoint le banc des accusés en offrant à n’importe qui sachant y faire, NSA en tête, la possibilité de prendre le contrôle total de n’importe quel smartphone, incluant les messages, les fichiers, le GPS et la caméra.

J’attends donc de votre part des explications, et bien sûr une correction de ce système qui ne peut pas être un simple erreur. Il est temps de mettre fin à l’espionnage de masse. En tant que leader dans les nouvelles technologies, au lieu de conforter un système de surveillante malsain, Samsung devrait au contraire montrer la voie d’une technologie au service de ses utilisateurs, et non l’inverse.

Merci d’avance.
Cordialement«

Chiffrement, cryptage, Logiciels, Vie privée

Sécuriser ses correspondances : mails qui s’autodétruisent, chiffrés …

14 mars 2014 Damien Bancal 5 commentaires

Avoir besoin de communiquer de manière anonyme et sécurisé peut se faire sentir. Protéger un courriel et son contenu n’est pas à négliger. Il est évident que la première protection d’une fuite de donnée, d’un espionnage… et de ne rien diffuser sur Internet. Mais aujourd’hui, bien malin celui qui pensera que l’Internet, les mails peuvent être mis de côté. Dans cet article, nous allons voir comment écrire sans laisser de trace (ou presque, ndr), autodétruire un courriel, le chiffrer. Nous ne parlerons pas des outils déjà présenté ICI et LA, mais des sites web offrant des services gratuits d’anonymisation de vos correspondances. Je rappellerai tout de même qu’aucun système n’est infaillible et rien ne remplacera le chiffrement fort et un mot de passe sérieux. Bien entendu, évitez de communiquer des informations « top » sensibles: données bancaires, …

PrivNote
PrivNote est un service Web gratuit qui vous permet d’envoyer des notes secrètes sur Internet. C’est rapide, facile, et ne nécessite pas de mot de passe ou l’enregistrement des utilisateurs. Il suffit d’écrire votre lettre, et vous obtiendrez un lien. Ensuite, vous copiez et collez ce lien dans un mail (ou un message instantané) que vous envoyez à votre correspondant. Lorsque cette personne clique sur le lien pour la première fois, il pourra lire le message dans son navigateur. Au même moment, la missive sera automatiquement détruite, ce qui signifie que personne (même cette personne) ne lira le courrier ensuite. Le lien ne fonctionnera plus.
Vous pouvez, éventuellement, choisir d’être averti lorsque votre note est lue en laissant votre email et une référence. https, rapide, les adresses IP sont supprimées dès qu’elles ne sont plus nécessaires à des fins de communication. Les notes sont détruites au bout de 30 jours si elles n’ont pas été lues. Les administrateurs ont enregistré PrivNote en Uruguay. https://privnote.com

Note shred
Les messages envoyés avec Noteshred s’autodétruisent après la lecture ou après un certain temps. Programmable entre 1 heure et 24 semaines. Chaque note est obligatoirement envoyée avec un mot de passe que votre correspondant devra connaitre. Les messages sont chiffrés (256 bits AES), connexion https, une version mobile est disponible. Noteshred est un service gratuit. http://www.noteshred.com

One time secret
Même principe que PrivNote. Ce site propose un lien, vers le message. Le premier lecteur qui ouvrira l’url pourra lire le message. Les suivants se retrouveront face à un message d’erreur : “It either never existed or has already been viewed.” sauvegarde IP, information sur le navigateur et la provenance du visiteur (site web, moteur de recherche, …) Les messages sont gardés 7 jours pour les « anonymes », et 30 pour les internautes qui se sont inscrits. Le code source de l’outil est proposé. https://onetimesecret.com

This message will self-destruct
Comme ses cousins One Time Secret et PrivNote, This message will self destruct propose d’envoyer un lien vers un message qui s’autodétruira une fois que ce dernier sera lu. Une option de création d’un mot de passe est possible. Simple, efficace, sans fioriture. Petit détail, tout de même, s’inscrire à ce service (pas obligatoire, ndr) permet d’afficher un historique des messages envoyés et reçus. https://tmwsd.ws

cloak my
Parmi les nombreux services que nous avons testés pour vous, cloak my propose une originalité qui n’est pas négligeable. Le service permet de décider une plage horaire de lecture en plus de l’autodestruction. Il est possible de choisir une destruction manuelle (déconseillée, ndr). Log les IP, Https, basé en Californie (USA). Les mots de passe, si vous en décidez un, sont hachés en utilisant Bcrypt. Les adresses IP sont également enregistrés au cours de tentatives de connexion « seulement après un mauvais mot de passe et ou un mauvais lien, souligne les administrateurs. Afin de prévenir contre les attaques et pour nous permettre d’interdire les demandes excessives. » http://www.cloakmy.org

Destructing message
Voilà un service intéressant. Les messages sont minutés. Vous décidez de la durée de présence du message chiffré, de 15 secondes à 5 minutes. Le site propose un lien qui servira d’accès à la missive. Dès que le lien est cliqué, le compte à rebours est lancé. Les messages doivent être affichés dans les 90 jours. Le site existe depuis 2006, il est édité par Spiffy. http://www.Destructingmessage.com

ZeroBin

ZeroBin de Seb Sauvage est un outil qui est indispensable dans ses adresses. Outil simple et très efficace, qui chiffre les données avec un clé AES 256 bits. Il vous suffit de communiquer le lien à votre correspondant. Permet de choisir un temps d’expiration de votre message, de 5 minutes à 1 an. http://sebsauvage.net/paste/

Il existe aussi des applications pour vos navigateurs. Pour Firefox, TrashMail. Permet de créer des adresses jetables. Il faut cependant ouvrir un compte pour utiliser le service. Pour vos fichiers, AnonFiles permet de sauvegarder des fichiers de manière anonyme. Le plus intéressant, à mon avis, reste CryptoBin. Il permet de chiffrer un message, garder lisible la missive entre 10 minutes (1 heure, 1 journée, 1 an) et à l’infini. Il utilise l’AES 256 pour chiffrer les informations.

Côté image, Let’s Upload that Image (LUT.IM) permet d’envoyer une image et de la faire disparaitre à sa premiére lecture. Possibilité de choisir sa durée de rétention, entre 24 heures et un an. Un outil Français, signé par Luc Didry. Si les fichiers sont bien supprimés, et si vous en avez exprimé le choix, leur empreinte SHA512 est toutefois conservée. L’IP de la personne ayant déposé l’image est stockée de manière définitive pour des questions légales. https://lut.im ; Même possibilité pour IMG.BI. Ici aussi, les images sont chiffrées en AES-256. Les auteurs utilisent aussi TLS pour éviter les attaques dites de l’homme du milieu (Man-in-the-Middle), entre vous et le serveur de stockage. Les adresses IP sont codées en SHA-3 durant une journée. Les auteurs rappellent que les sociétés tierces peuvent sotcker, de leur côté, votre IP. https://img.bi

N’hésitez pas à nous faire partager vos propres outils.

BYOD, Chiffrement, Cyber-attaque, Cybersécurité, DDoS, Fuite de données, Leak, Patch

« Cybercrime-as-a-Service » : les méthodes de vol de données les plus courantes sur le Net

14 mars 2014 Damien Bancal

McAfee Labs révèle les principales menaces qui ont marqué le 4ème trimestre 2013. Les chercheurs McAfee mettent notamment en lumière le rôle joué par le « dark web » dans l’industrie des logiciels malveillants, réel catalyseur des attaques ciblant les points de vente en ligne, ainsi que les violations de données.
« Cet automne, les cybercriminels se sont appuyés sur les failles des sites marchands pour lancer leurs attaques. Ils ont su profiter de la période du shopping de Noël, où les gens se sentent le plus en confiance pour acheter pour accroître leur terrain de jeu », précise François Paget, chercheur de menaces au sein de McAfee Labs.

1/ Vente des données personnelles relatives aux cartes de crédits
Le rapport met en lumière la facilité d’achat en ligne de logiciels malveillants, de données personnelles ainsi que la vente de numéros de cartes de crédit volées. McAfee Labs relève également que le nombre de signatures électroniques malveillantes a triplé au cours de l’année 2013 et qu’une accélération de cette tendance pourrait engendrer une importante menace à l’authentification des logiciels sécurisés, par l’autorité de certification.
« Pour les professionnels de la lutte contre le cybercrime, les nouvelles pratiques employées par les hackers, simples à réaliser et à utiliser, annoncent l’ère du CaaS – ‘Cybercrime-as-a-Service’ » poursuit François Paget.

2/ Recrudescence des malwares relatifs aux certificats d’authenticité
Fin 2013, McAfee a référencé trois fois plus de malwares au sein de sa base de données (le ‘zoo’), aujourd’hui composée de plus de 8 millions de fichiers suspects. Au cours du quatrième trimestre, les chercheurs du Labs ont ainsi identifié plus de 2,3 millions de nouvelles applications malveillantes, soit une augmentation de 52 % par rapport au trimestre précédent.

Bien que le nombre total d’échantillons de logiciels malveillants intègrent des données volées, achetées ou des certificats erronés, le moteur majeur de leur croissance réside dans les réseaux de distribution aux contenus douteux. Ces organisations permettent aux développeurs de télécharger leurs programmes, ou une URL qui est en lien vers une application externe, et de la transformer en malware. McAfee entend alerter sur la confusion que peut créer ces malwares signés et remettre également en cause la viabilité du code source.

« Bien que les interventions des autorités de certification aient considérablement réduit les coûts de développement et de délivrance de logiciels pour les développeurs, les normes d’identification de l’éditeur ont également diminué spectaculairement », ajoute François Paget. « Désormais, nous devrons apprendre à faire plus confiance à la réputation du fournisseur qui a délivré/signé le fichier qu’à la simple présence d’un certificat. »

3/ Et toujours :
• Les logiciels malveillants sur mobiles.
McAfee Labs a recueilli 2,47 millions de nouveaux échantillons en 2013, dont 744 000 sur le quatrième trimestre. La base d’échantillonnage relative aux logiciels malveillants mobiles a augmenté de 197 % depuis la fin 2012.

• Les ransomwares.
Leur volume a augmenté d’un million cette année, 50 % de plus ont été référencés au 4ème trimestre 2013, en comparaison de la même période en 2012.

• Les URL suspectes.
McAfee a enregistré une augmentation de 70 % du nombre d’URL suspectes sur l’année 2013.

• La prolifération des malwares.
En 2013, McAfee Labs a trouvé, chaque minute, 200 nouveaux échantillons de malwares, soit plus de trois nouvelles menaces chaque seconde.

• L’enregistrement liés Master Boot.
2,2 millions de nouvelles -attaques ont été identifié sur 2013.

Chiffrement, cryptage, Cyber-attaque, Identité numérique, Leak, Piratage

300 000 routeurs exploités par des pirates

8 mars 2014 Damien Bancal

Cette semaine, 300 000 routeurs installés dans des foyers ou des petites et moyennes entreprises ont été piratés et utilisés pour réaliser des envois massifs de spams et de malwares. Révélée par l’entreprise Team Cymru, cette attaque particulièrement dangereuse concernerait des routeurs situés partout dans le monde, y compris dans plusieurs pays d’Europe. David Emm, chercheur senior chez Kaspersky Lab, explique que « Les petits appareils réseau qui peuvent s’installer et s’utiliser en quelques minutes, comme les routeurs, sont de plus en plus populaires. Mais cette simplicité est souvent garantit au détriment de la sécurité. La configuration par défaut est-elle pensée pour protéger l’utilisateur ? Peut-on les utiliser sans s’aventurer dans les paramètres et se sentir en sécurité ? Dans la plupart des cas, la réponse est non. Attention, il y a de forte chance que le nombre de 300.000 ne soient qu’une goûte d’eau dans la mesure ou d’autres groupes de pirates ont pu exploiter la faille sans que personne ne s’en soit aperçu.

Plusieurs éléments rendent ses appareils vulnérables (les marques D-Link, Micronet, Tenda, TP-Link, pour les plus connues, ont été la cible de l’attaque, ndr datasecuritybreach.fr) : D’abord l’utilisation d’un mot de passe faible, ou le non-renouvellement des mots de passe. Une configuration par défaut non sécurisée, qui permet aux équipes de support technique du fabricant d’accéder au réseau ; Les vulnérabilités du firmware & les erreurs dans l’implémentation des services ; Le manque de connaissance des utilisateurs et des vendeurs, l’absence de prise de conscience des risques.

À cause de tous ces éléments, les modems et routeurs sont des cibles faciles pour les cybercriminels. Contrôler un routeur permet à la fois de surveiller de façon permanente et transparente le réseau, de voler des données et de rediriger les utilisateurs vers des sites malveillants. D’autre part, ces appareils sont la solution idéale pour qui souhaite cacher un malware qui pourra par la suite infecter tous les ordinateurs connectés ou construire une réseau botnet. Quant à la raison qui se cache derrière ces attaques, elle ne change pas : l’argent.

Pour rappel, les conséquence de l’accès non autorisé à un routeur sont : Le contrôle du trafic réseau ; La capacité d’espionner les échanges/conversations VoIP ; Le vol des clés WEP/WPA ; La possibilité de modifier la configuration, changer ou réinitialiser les mots de passe ; Exposer les réseaux internes sur le WAN ; Risque de backdoors (redirection de ports) ou encore la modification des réglages DNS (drive-by pharming).

Etes-vous victimes ?

Une fois qu’un périphérique a été compromis, les pirates modifient les paramètres DNS. Ainsi toutes les demandes passent par les serveurs qu’ils contrôlent. Cela permet aux pirates de détourner des sessions à leur guise. Il vous faut découvrir si vos paramètres DNS ont été changés. Le meilleur moyen est de vous connecter à votre appareil via l’interface d’administration et de vérifier les paramètres DNS. Les malveillants ont réorientés les DNS vers les adresses IP 5.45.75.11 et 5.45.76.36. Donc si vous voyez ces adresses dans votre administration, vous avez un sérieux problème !

Argent, Banque, Chiffrement, cryptage, Cybersécurité, Fuite de données

Le bitcoin dans la ligne de mire des pirates

8 mars 2014 Damien Bancal

La monnaie virtuelle bitcoin traverse depuis ce début d’année 2014 une crise sans précédents. Après la faillite de la plateforme d’échange MtGOX et la fermeture de Flexcoins, intermédiaire spécialisé dans l’échange et le stockage de bitcoins, Poloniex, autre plateforme d’échange de crypto-monnaies, a annoncé le détournement de 12,3% des fonds qu’elle stockait. En un mois à peine, les principales bourses d’échange pour détenteurs de bitcoins ont été la cible de pirates informatiques, provoquant un véritable marasme au sein de l’écosystème de cette monnaie dématérialisée.

Pour comprendre ce phénomène de vaste piratage informatique, le laboratoire de recherche de LogRhythm s’est intéressé aux failles de sécurité existantes de bitcoin. L’équipe de chercheurs a ainsi récemment analysé un type de malware relativement nouveau qui cible plus particulièrement les utilisateurs sur les plateformes d’échange et de stockage de bitcoins.

Jean-Pierre Carlin, Directeur Europe du Sud chez LogRhythm, explique que ce malware arrive sous forme d’un fichier exécutable sous Windows (driveprice.exe) prétendant que l’exécution de ce logiciel augmentera le prix des bitcoins sur le marché, et entrainera ainsi une hausse de la valeur des bitcoins déjà détenus. Comme le dit l’adage, « Si cela semble trop beau pour être vrai, cela l’est probablement ». Ce logiciel n’est pas une exception et les créateurs du malware se servent de l’attrait pour l’argent et ciblent systématiquement les utilisateurs de plateforme d’échanges de bitcoins en misant sur le fait qu’ils téléchargeront et exécuteront ce logiciel dans le but de faire grimper la valeur globale des bitcoins.

Une fois que le logiciel s’exécute, il entraine de nombreux et importants changements au sein du système, tentant à la fois de rester invisible et d’établir une connexion permanente avec le serveur de contrôle et de commande. Le malware s’installe tout seul de manière à se lancer automatiquement lors de l’utilisation de Windows Registry, processus légitime de Windows déguisé, utilise un code injecté pour masquer l’activité du réseau, et finit par détourner tous les navigateurs disponibles sur le système. Une fois que ce dernier est infecté, le malware envoie un signal au serveur de contrôle et de commande et attend les directives du hacker. Tout en étant à l’intérieur du navigateur, le malware attend que les utilisateurs se connectent à la plateforme d’échange de bitcoins et procède ensuite au vol de leurs identifiants qui seront utilisés plus tard pour extraire la totalité des bitcoins stockés sur leur compte en ligne.

Le bitcoin, monnaie virtuelle au succès grandissant, attire l’attention de plus en plus de cybercriminels. La chute successive de deux acteurs principaux, MtGOX et Flexcoins, ainsi que l’attaque de Poloniex montre aujourd’hui un besoin urgent de sécurisation des transactions et plus largement de tout l’écosystème bitcoin. En visite début mars dans les locaux de Tracfin (Traitement du Renseignement et Action contre les Circuits FINanciers clandestins), Pierre Moscovici, Ministre de l’Economie et des Finances, a appelé à une concertation européenne sur la régulation des monnaies virtuelles comme le bitcoin, un enjeu majeur pour définir un cadre légal et limiter les pertes financières qui pourraient avoir de lourdes conséquences au niveau international. Espérons que le projet Ethereum soit un de ces possibilités de sécurisation.

Chiffrement, cryptage, Cybersécurité, Espionnae, Fuite de données, Vie privée

Inquiétude pour des clients de LaPoste.net

2 mars 2014 Damien Bancal 15 commentaires

Le site Internet de LaPoste.net propose un service webmail efficace. Sauf que les identifiants de connexions ne sont pas sécurisés. Plusieurs lecteurs de Data Security Breach nous ont annoncé être inquiets du système d’identification du site LaPoste.net. Les connexions « chiffrées » au webmail Laposte.net n’existent pas. Sur la page d’accueil du site http://www.laposte.net, il est possible de se connecter à « Ma boîte aux lettres » LaPoste.net. « Je suis extrêmement surpris que l’on puisse saisir son identifiant et son mot de passe alors que la connexion n’est pas chiffrée et sécurisée en https avec un certificat SSL » indique à la rédaction Vincent. Effectivement, cela signifie tout simplement que les identifiants et les mots de passe transitent en clair sur le réseau Internet entre l’ordinateur de l’utilisateur et les serveurs de La Poste. Une personne mal intentionnée pourrait aisément, et avec quelques outils spécialisés, comme en sniffant les trames Ethernet avec Wireshark, récupérer les informations privées au moment de la connexion. Autant dire qu’un utilisateur passant par une connexion wifi gratuite dans un aéroport, un restaurant (MacDo…), un café (Starbucks…) met tout simplement son webmail en danger. Plusieurs lecteurs ont envoyé un courriel à La Poste. Des services tels que Google ou encore Outlook (live.com) proposent des connexions en https et un certificat SSL.

Alors sécurisé ou pas ?

Ce qui compte est la sécurisation https de l’url qui se trouve dans le formulaire de login. Si celle ci est en https, aucun souci, même si la page qui héberge ce formulaire n’est pas https. Donc, pas d’inquiétude le login de la poste est sécurisé, et les identifiants ne sont pas transmis en clair. « Une fois de plus le petit logo vert partout n’est pas un garant de la sécurité d’un site » rajoute Seb, un lecteur. Il faut admettre, cependant, qu’un peu plus de visibilité ne nuirait pas à la bonne compréhension, et à rassurer les utilisateurs. La dynamique équipe sécurité de La Poste nous a répondu à ce sujet. Il faut tout d’abord différencier le portail laposte.net sur lequel est disponible le webmail et l’authentification au webmail qui ne fonctionnent pas avec les mêmes restrictions d’accès et de sécurité. « Pour accéder à leurs mails XXXX@laposte.net, nos clients doivent impérativement passer par une phase d’authentification (échange des login/mot de passe) qui est biensur cryptée en Https » confirme à Data Security Breach l’équipe sécurité de La Poste. Voilà qui devrait définitivement rassurer les utilisateurs.

Chiffrement, cryptage, Cyber-attaque, Cybersécurité, DDoS, Fuite de données, Leak

Les vulnérabilités et menaces informatiques atteignent un niveau record depuis 2000

3 février 2014 Damien Bancal

Le Rapport Annuel sur la Sécurité 2014 de Cisco révèle que le nombre total de vulnérabilités et de menaces a atteint un niveau record depuis le début de leur recensement en mai 2000. En octobre 2013, le nombre total d’alertes cumulées a augmenté de 14% en glissement annuel par rapport à 2012. Les conclusions du rapport offrent un tableau saisissant de l’évolution rapide des enjeux de sécurité auxquels sont confrontés les entreprises, les départements informatiques, et les particuliers. Les méthodes employées par les cybercriminels sont multiples : ingénierie sociale visant à dérober les mots de passe et identifiants d’utilisateurs, infiltrations « hide-in-plain-sight » (si évidentes qu’elles passent inaperçues), ou encore l’exploitation de la confiance que les internautes accordent nécessairement lorsqu’ils effectuent des transactions financières, utilisent les services publics, ou échangent sur les réseaux sociaux.

Principales conclusions du rapport :
· Une pénurie de spécialistes de la sécurité informatique à prévoir en 2014
Le rapport souligne que l’année 2014 sera marquée par une pénurie de plus d’un million de professionnels spécialisés dans le domaine de la sécurité, ce qui pourrait mettre à mal les capacités des entreprises à contrôler et sécuriser les réseaux. Du fait de leur sophistication, les technologies et tactiques employées par les criminels en ligne – et leurs tentatives incessantes d’infiltration dans les réseaux et de vol de données – ont désormais pris de vitesse les professionnels de l’informatique et de la sécurité. La plupart des entreprises ne bénéficient pas de personnel ou de systèmes dédiés en permanence à la surveillance des réseaux étendus et à la détection des menaces. Pourtant, ces investissements sont les seuls capables d’appliquer des mesures de protection efficaces en temps voulu.

· 99% des malware mobiles ont ciblé les appareils Android en 2013
Avec 43,8 % des occurrences recensées, Andr/Qdplugin-A représente le logiciel malveillant le plus fréquemment détecté. Le malware transite habituellement via des versions dupliquées d’applications légitimes distribuées par des plateformes commerciales non-officielles.

· Les industries chimiques et pharmaceutiques, ainsi que le secteur de la fabrication électronique, principales victimes des infections malveillantes.
En 2012 et en 2013, les malwares ont connu une recrudescence notable au sein des secteurs de l’agriculture et de l’exploitation minière, auparavant considérés comme des industries à faible risque. Les occurrences de malwares continuent de croître dans les secteurs de l’énergie ainsi que dans les industries gazière et pétrolière.

· Les grandes entreprises, passerelles vers les sites web piratés
L’étude d’un échantillon de 30 entreprises issues du classement Fortune 500 a révélé que 100 % des réseaux de ces entreprises avaient généré un trafic visiteurs vers des pages Web hébergeant des logiciels malveillants. En effet, 96% des réseaux étudiés ont dirigé du trafic vers des serveurs piratés, alors que 92 % d’entre eux ont généré du trafic vers des pages vierges, qui hébergent généralement des activités malveillantes.

· La recrudescence et le renforcement des attaques DDoS (par déni de service)
Les attaques DDoS (par déni de service) perturbent le trafic depuis et en direction de sites Internet ciblés, et sont capables de paralyser les FAI. Elles ont progressé à la fois en termes de volume et de gravité. Certaines attaques DDoS ont pour objectif de dissimuler d’autres activités néfastes, telles que des fraudes électroniques perpétrées avant, pendant ou après une campagne DDoS, volontairement déstabilisantes et retentissantes.

· Les chevaux de Troie multi-cibles constituent les attaques malveillantes les plus fréquemment repérées sur le Web
Les attaques des chevaux de Troie multi-cibles représentent 27 % de l’ensemble des attaques enregistrées en 2013. Les scripts malicieux, notamment les exploits ou les iframes malveillants, constituent la deuxième catégorie d’attaques la plus courante, avec 23 %. Les chevaux de Troie destinés au vol de données, tels que les password stealers et portes dérobées, représentent quant à eux 22 % des actes malveillants recensés sur la toile. Le déclin régulier du nombre d’adresses IP et hébergeurs de malware uniques – qui a chuté de 30 % entre janvier et septembre 2013 – laisse à penser que les activités malveillantes se concentrent désormais sur un nombre plus restreint d’adresses IP et d’hébergeurs.

· Java demeure le langage de programmation le plus fréquemment visé par les cybercriminels.
D’après les données fournies par Sourcefire, société désormais détenue par Cisco, les exploits Java constituent la vaste majorité (91 %) des corruptions recensées par les indicateurs IOC (Indicators Of Compromise).

Tendances majeures de la cybercriminalité :
· Une expansion et une sophistication croissantes de l’univers des menaces. Les simples attaques aux conséquences limitées ont été remplacées par des opérations de cybercriminalité minutieusement orchestrées et financées, capables d’occasionner des dommages économiques considérables et d’affecter la réputation de leurs victimes, qu’elles appartiennent au secteur privé ou à la sphère publique.

· La complexité accrue des menaces et des technologies, qui résulte de l’adoption de plus en plus massive des Smartphones et du Cloud, permet d’étendre le champ d’attaques comme jamais auparavant. Les nouvelles catégories d’appareils et les architectures d’infrastructure les plus innovantes offrent aux pirates la possibilité d’exploiter des faiblesses jusqu’alors insoupçonnées et de s’attaquer à des composants mal protégés.

· Les cybercriminels ont conscience qu’il est nettement plus rentable d’exploiter la puissance de l’infrastructure d’Internet que de simplement infiltrer les appareils et ordinateurs de particuliers. Ces attaques à l’échelle de l’infrastructure ciblent des serveurs d’hébergement en ligne bénéficiant d’un positionnement stratégique, des serveurs de nom de domaine ou des datacenters. Leur objectif est de multiplier les attaques sur les très nombreux systèmes individuels hébergés par ces serveurs. En ciblant l’infrastructure Internet, les pirates ébranlent la confiance des utilisateurs dans les terminaux qui y sont connectés ou qui y ont accès. (Le rapport)

Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Espionnae, Leak

Angry Bird, un aide involontaire de la NSA

1 février 2014 Damien Bancal

Comme le montre l’émission de zatazweb.tv du mois de janvier [S3E5], espionner un smartphone est simple comme bonjour. Prendre des photos, filmer, écouter, lire les sms à l’insu de son propriétaire, à distance, peut se pratique en deux clics de souris. A première vue, espionner un smartphone peut aussi se pratiquer via les applications offertes.

D’après de nouveaux documents volés par l’ancien analyste du renseignement Snowden, les service de renseignements électroniques américain NSA et britannique, le GCHQ, s’amusent depuis 2007 a surveiller certaines cibles via les jeux et applications embarquées. AngryBird, Google Map, mais aussi Twitter ou encore Facebook sont indiqués dans les documents diffusés par le New York Times.

007 n’infiltre pas directement la machine, il exploite les informations sauvegardées par les logiciels. A la base, cela permet aux développeurs de cibler les publicités qu’ils veulent communiquer à leurs clients de joueurs. La NSA y a trouvé une autre possibilité. Connaitre les goûts de ses cibles, son emplacement géographique, ses amis, … Le journal américain explique que les services secrets anglais utilisent des outils baptisés « Smurf« , « Tracker Smurf« , « Nosey Smurf » ou encore « Dreamy Smurf« .

Des espions informatiques qui ressemblent comme deux goutes d’eau à celui présenté dans zataz tv de janvier 2014. The Guardian indique que la NSA aurait déjà dépensé plus d’un milliard de dollars pour suivre des smartphones. Il n’est pas surprenant d’apprendre que des organisations tentent de tirer profit d’applications à priori anodines pour récolter des informations. Les données que fournissent des jeux comme Angry Birds sont utiles pour les développeurs tout autant que pour les publicitaires, alors pourquoi pas les agences de renseignement ?

De nombreuses applications permettent à un individu de jouer avec ses amis et ses contacts, créant un véritable réseau. Si nous analysons plus en détail le cas d’Angry Birds, sa dernière version requiert l’accès aux données de géolocalisation, à l’état du téléphone, ou encore aux SMS, de façon à pouvoir cibler les publicités qui sont diffusées pendant une partie de jeu. Cependant, une tierce personne qui aurait accès à ces informations aurait alors plus d’information sur vous que vous ne souhaiteriez sûrement en communiquer.

À l’échelle d’une application, le problème n’est pas bien grave, mais il s’agit là d’un simple exemple. Il faut s’imaginer que nous acceptons de partager nos données privées avec pratiquement toutes les applications que nous téléchargeons sur notre smartphone, et qu’elles communiquent toutes des informations sur nous qui pourraient éventuellement être agrégées et utilisées à des fins que nous ne connaissons pas. À l’heure actuelle, les utilisateurs sont pris au piège de ce système car refuser de partager ses informations privées avec une application revient le plus souvent à refuser de télécharger l’application. Faut-il pour autant arrêter de télécharger ce type d’application sur son smartphone ? Non bien sûr, car cela n’empêcherait pas les utilisateurs d’être espionnés. Nous n’avons pas de visibilité sur le nombre d’applications surveillées et l’étendue des programmes de renseignement, et le problème va donc bien au-delà d’Angry Birds.

A noter qu’un pirate, qui a signé son acte ANTI NSA, a piraté quelques minutes le site officiel du jeu Angry Bird en rebaptisant l’espace web Spying Bird. Piratage confirmé par Zone H.

Banque, Chiffrement, cryptage, Cybersécurité

Lancement d’Ethereum : un nouveau bitcoin sécurisé ?

1 février 2014 Damien Bancal 3 commentaires

Pour sécuriser les transactions via des monnaies non centralisées, le projet Ethereum voit le jour. Derrière ce projet, des dizaines de spécialistes du Bitcoin, la monnaie décentralisée. Parmi ses membres éminents, Charles Hoskinson, chef du Projet Bitcoin, Anthony Di Iorio, directeur exécutif de l’Alliance Bitcoin du Canada et fondateur de la coworkingspace Bitcoin (Toronto) ou encore Mihai Alisie, fondateur de Bitcoin Magazine. Ethereum est une nouvelle sécurité cryptographique qui est conçu pour permettre aux utilisateurs d’encoder leurs transactions. Ethereum fonctionnera avec toutes les devises personnalisées. Contrairement à de nombreuses idées précédentes qui ont tenté de faire la même chose, Ethereum ne pas tenté de contraindre les utilisateurs via des « caractéristiques » spécifiques, mais plutôt, de proposer un langage de programmation complet qui peut être utilisé pour construire tout type de projet qui sera définie mathématiquement. Bref, un nouveau protocole développé par le pape du sujet, Vitalik Buterin. A suivre !

Chiffrement, Hacking, Rendez-Vous

Correction des épreuves du Challenge FIC 2014 – Partie 4

1 février 2014 Damien Bancal 7 commentaires

Voici la quatrième partie (Troisième sur zataz.com) des réponses concernant les épreuves du challenge Forensic proposé par les étudiants de la licence CDAISI lors du Forum International de la Cybersécurité 2014. Les 21 et 22 janvier derniers, la ville de Lille a reçu le 6ème Forum de la CyberSécurité. Pour la première fois, un Challenge « forensic » a été proposé. Le mardi 21, les étudiants de la licence CDAISI (Collaborateur pour la Défense et l’Anti-intrusion des Systèmes Informatiques) de l’Université de Valencienne (Antenne de Maubeuge) ont proposé une vingtaine d’épreuves. Étant l’animateur de ce rendez-vous, et que vous avez été très nombreux (et le mot est un doux euphémisme, Ndr) à demander les réponses aux épreuves, voici la seconde partie du Challenge Forensic FIC 2014.

Le challenge FIC a eu pour objectifs, en distinguant quelques profils prometteurs, d’encourager et de valoriser chaque année, les métiers liés au forensic et à la lutte informatique défensive. Vous allez comprendre pourquoi des étudiants, mais aussi des professionnels de chez Google, Thalès, … sont venus tâter du bit à la sauce ethical hacking [Voir]. Les nouvelles épreuves que nous vous présentons ici sont signées par Kévin B., Tony S. et Saïd M. Ils étaient encadrés par Thibaut Salut. Retrouvez la première partie des réponses au challenge forensic FIC 2014 de la CDAISI ici et là. Pour rappel, ces épreuves consistaient à la recherche d’un mot de passe dans un ou plusieurs fichiers, dans des programmes compilé, ou encore en déchiffrant des messages codés. Le but était de valider le maximum d’épreuves et ainsi engranger un maximum de points. Les épreuves étaient classées par niveau. Chaque épreuve, selon sa difficulté, pouvait rapporter plus ou moins de points.

Épreuve : A la suite
Contenu du fichier :

d95679752134a2d9eb61dbd7b91c4bcc4b43b0aee35624cd95b910189b3dc2317b8b965ad4bca0e41ab51de7b31363a1

865c0c0b4ab0e063e5caa3387c1a8741e358efa489f58062f10dd7316b65649e2510c39011c5be704182423e3a695e91d

95679752134a2d9eb61dbd7b91c4bcc4b43b0aee35624cd95b910189b3dc231415290769594460e2e485922904f345d

7b8b965ad4bca0e41ab51de7b31363a17694f4a66316e53c8cdd9d9954bd611d7b774effe4a349c6dd82ad4f4f21d34ce1

671797c52e15f763380b45e841ec32.

Cette épreuve avait pour but de reconnaître des Hash MD5. En effet le fichier avait chaque lettre d’un mot hashé en MD5. Chaque hash placés les uns à la suite des autres. Nous avions donc ici 13 hash MD5. Les participants devaient découper cette chaîne de caractères, toutes les 32 caractères (longueur d’un hash MD5, Ndr) et à l’aide d’un dictionnaire de reverse MD5 trouver la lettre qui correspondait à chaque hash.

o = d95679752134a2d9eb61dbd7b91c4bcc
r = 4b43b0aee35624cd95b910189b3dc231
n = 7b8b965ad4bca0e41ab51de7b31363a1
i = 865c0c0b4ab0e063e5caa3387c1a8741
t = e358efa489f58062f10dd7316b65649e
h = 2510c39011c5be704182423e3a695e91
o = d95679752134a2d9eb61dbd7b91c4bcc
r = 4b43b0aee35624cd95b910189b3dc231
y = 415290769594460e2e485922904f345d
n = 7b8b965ad4bca0e41ab51de7b31363a1
q = 7694f4a66316e53c8cdd9d9954bd611d
u = 7b774effe4a349c6dd82ad4f4f21d34c
e = e1671797c52e15f763380b45e841ec32

La réponse finale était : ornithorynque.

Épreuve : Decode Me
Inspirée par Gilbert Vernam, le but de cette épreuve était de déchiffrer le masque ayant servit à chiffrer le message codé. Le principe de Gilbert Vernam est le suivant :
– Le masque doit être de la même taille que le message à chiffrer.
– Le masque ne doit jamais être ré-utilisé.
– Le masque doit être réellement aléatoire.

Cependant, pour cette épreuve, les organisateurs ont créé le masque, d’où le fait que cette épreuve est uniquement “inspirée “ de Vernam. Le message Codé était : HWYKSLK UEGWJSGU ZYMREE 3 TXEAA 1890 – 7 NVFVXEXG 1960 HBW RG VX&K OEXD PLPF WBTXEMRT EWS TR 1917 UNNUHXHR IG EWUMWMGE BSXCTLXSLFUNMN WFVWSM MROMW FEH WEFEJ SI MAZHBBXM AZ ACLSFRXVH IGM-EQEI AEP CAFBIU JMKRTD TISTZDIP E GXLPTRBBBVV RWJYGV BG ALXTL U KVRJCGHGFQ XEWEIISQ CHC CEBX HU DDTHV VHXJ NJ GAQOBRXF GATVCNXJE FQ VWAJANXEK KQKL ELQ DEDMCTWPX PIUWCNE EZ TEUHYUX ZPP DMGAZV KRXF. Le challenger devait utiliser les chiffres qui n’étaient pas “chiffrés“ pour pouvoir en déduire la page originelle se trouvant sur internet. La première difficulté était d’essayer ces dates, avec mois, en anglais.

Message d’origine : Gilbert Sandford Vernam 3 April 1890 – 7 February 1960 was an AT&T Bell Labs engineer who in 1917 invented an additive polyalphabetic stream cipher and later co invented an automated onetime pad cipher Vernam proposed a teleprinter cipher in which a previously prepared key kept on paper tape is combined character by character with the plaintext message to produce the cipher text. La seconde étape était d’en déduire le masque. Il était possible de le faire à la main, en comparant les caractères codés et d’origines. Une méthode longue. Il était donc possible d’utiliser des utilitaires disponible sur internet comme Dcode pour en déduire le masque.

Le masque reconstitué donnait : bonjour cette epreuve est inspiree de gilbert vernam selon son principe le masque doit etre de la meme taille que le message chiffre le masque ne doit jamais etre reutilise le masque doit etre reellement aleatoire pour cette epreuve nous nous inspirons de sa methode de chiffrement et cette clef n est pas aleatoire le mot de passe de ce challenge est gilbert vernam.

Épreuve : HaveFun
Cette épreuve était un fichier exécutable. Le programme, une compilation d’un code écrit en C, compilé à l’aide de GCC. Les participants devaient donc désassembler l’exécutable, à l’aide de GDB par exemple, pour retrouver le pass caché à l’intérieur. Code C : Une variable déclarée initialisée à 0x41. Elle correspond au code hexadécimal de l’ascii ‘A’. Il fallait déclarer un tableau de caractères. Puis incrémenter ou décrémenter la variable, puis assigner la valeur résultante dans l’une des cases du tableau. Le mot de passe final de cette épreuve était ‘OMGWTFBBQ‘.

Épreuve : Le rendez-vous du musée
Voici une épreuve se constituant d’un mail banal en apparence mais contenant un indice caché en WhiteSpace. Il suffisait de regarder dans le coin, en haut à gauche, et utiliser une image en pièce jointe. Le but était d’en déduire un lieu et une date de rencontre. Dans cette épreuve de stéganographie, il fallait apercevoir un QrCode, celui-ci, tel-quel, ne pouvait pas être scanné. Il devait être reconstitué. Il fallait donc recréer les carrés ; inverser horizontalement le QrCode ; inverser les couleurs. Une étape inutile avec certains scanners de QrCode. Cette reconstitution permettait de lire le flash code. Il dirigeait le joueur au pied de la Tour Eiffel.

L’étape suivante était de retrouver la date et l’heure du rendez-vous, pour cela, le challenger devait découvrir l’indice se situant dans le mail, sinon il devait analyser l’image de fond en comble. La date et l’heure étaient fondus dans la peinture de la pièce. Difficile à déchiffrer. Une excellente vue ou bonne maitrise d’un logiciel de retouche d’image était nécessaire. Le mot de passe était : TourEiffel10juin201416h15

Épreuve : cœur
Cette épreuve combinait de la stéganographie, de la recherche ainsi que la reconstruction d’un fichier corrompu. Les participants avaient à leur disposition un fichier PDF d’une nouvelle de Edgar Allan Poe. Ils devaient ouvrir ce fichier PDF en hexadécimal, à l’aide du logiciel hexeditor par exemple. Le concurrent devait se rendre compte que des données étaient cachées à la fin du fichier. En effet, un fichier PDF normal se termine par un EOF (End Of File). De ce fait, si on rajoutait des données à la suite de ce EOF, le fichier PDF restait lisible et sans perturbation. Il fallait constater après ce EOF, une suite de chiffre, 6, 22, 5, puis des données. Ces données correspondaient à une image compressée en RAR, rar corrompu. L’indicateur de fichier ‘Rar !’ était remplacé par des 0x00. Les données extraites du PDF, et les quatre premiers octets remplaçaient par 0x52, 0x61, 0x72 et 0x21, réclamaient un mot de passe. C’était ici que la suite de chiffre rentrait en compte.

En effet, 6, 22 et 5 correspondaient respectivement à un numéro de page, un numéro de la ligne et un numéro du mot. Si on ouvrait le PDF avec ces indications. La page 6, ligne 22, 5e mot correspondait à EPECTASE. Le plus « bourrin » auront utiliser un brute force sur le mot de passe qui donnait accès à l’image orgasme.jpg, et au mot de passe EPECTASE.

Épreuve : Wait Whaat
Cette épreuve se composait de 6 fichiers. Ces fichiers étaient en fait composés de données aléatoires dans le seul but de brouiller les pistes. Les participants devaient se concentrer sur les droits des différents fichiers, chaque fichier ayant des droits bien spécifiques et « non normaux ». Prenons par exemple le fichier 1, qui avait les droits : – – – x – – x r w x. On admettra que : ‘-‘ = 0 ; lettre = 1. On obtennait donc : – – – x – – x r w x, soit 000 1 001 1 1 1. Informations qui donnait le chiffre hexadécimal 0x4F. Dans la table ascii correspondante, cela donnait la lettre ‘O’. La procédure était la même avec les autres fichiers.
—x–xrwx = 0 001 001 111 = 0x4F = ‘O’
—xr—wx = 0 001 100 011 = 0x63 = ‘c’
—xrw-r– = 0 001 110 100 = 0x74 = ‘t’
—xr—-x = 0 001 100 001 = 0x61 = ‘a’
—xrw-rw- = 0 001 110 110 = 0x76 = ‘v’
—xr–r-x = 0 001 100 101 = 0x65 = ‘e’

Les droits étaient les suivant :
fichier 1 : chmod 117 1
fichier 2 : chmod 143 2
fichier 3 : chmod 164 3
fichier 4 : chmod 141 4
fichier 5 : chmod 166 5
fichier 6 : chmod 145 6

Au final, le mot de passe de l’épreuve était ‘Octave’.

La suite de la seconde partie des épreuves du challenge Forensic FIC 2014 CDAISI.

Argent, Banque, Chiffrement, cryptage, Logiciels, Sécurité

C’est la fête à 3D Secure

24 janvier 2014 Damien Bancal 2 commentaires

Des phishings web permettent de piéger le système 3D Secure et Avast perturbe le système de validation de paiement. Les pirates informatiques viennent de trouver une méthode assez étonnante pour piéger le système 3D Secure mis en place dans les banques. Pour rappel, le système de sécurité 3D Secure permet de confirmer une transaction financière, entre vous et une boutique par exemple, qu’à la condition ou vous confirmiez l’action par l’introduction d’un code, en plus de vos identifiants de base, reçu par SMS. Bref, une double authentification rassurante et efficace.

Seulement c’était oublier l’ingéniosité malveillante des professionnels de l’escroquerie numérique. Il a été rapporté à la connaissance de la rédaction une méthode non négligeable employée par des pirates. De plus en plus de banque permettent aux clients de joindre par messagerie privée, directement via le site de la banque, le conseiller financier. Le client, pour accéder à cette option proposée dans son espace bancaire privé numérique, doit fournir : son login, mot de passe et la plupart du temps, un code secret supplémentaire de connexion tiré soit d’une application, soit d’une carte papier comportant une série unique de chiffres. Série qui ne peut s’employer qu’une fois, pour une seule connexion. Les suivantes réclament de nouveaux codes.

Des attaques phishing ont été lancées dernièrement permettant aux pirates d’exploiter les comptes bancaires. Pour pallier la sécurité 3D Secure, ils font changer le numéro de téléphone du client piégé, directement via le service online de messagerie privée client/conseiller. Bilan, le pirate possède le moyen de récupérer de l’argent, tout en confirmant l’action via le code 3d secure détourné. Le nouveau numéro de téléphone renvoyant le 3d secure sur un combiné (volé ou à usage unique) utilisé par le voleur.

Pendant ce temps, et depuis le 12 décembre, de nombreux e-marchands se plaignent d’un taux d’échec important sur les paiements au moment du 3D Secure. Après de longues investigations, le service technique de la société Payzen a enfin trouvé la cause : La dernière mise à jour de l’antivirus Avast 2014.

Tous les e-commerçants sont concernés par ce problème quelques soient leur plateforme de paiement. Lors d’un paiement 3D Secure, l’internaute est dirigé depuis la plateforme de paiement vers un ACS afin de s’authentifier. Cet ACS reçoit un PAReq (Payment Authentication Request) et émet en suivant un PARes (Payment Authentication Response) à destination de la plateforme de paiement. Ce PARes informe du succès ou de l’échec de l’authentification. Or tout ceci se fait évidement via le navigateur de l’internaute. La dernière version d’Avast « à l’évidence buggée, indique Payzen tronque le code en supprimant des octets. La plateforme de paiement n’a plus toutes les informations et donc ne peut pas savoir si l’authentification est valide ou non« .

Argent, Banque, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Fuite de données, Leak

Piratage en Corée du sud : démissions dans les banques

24 janvier 2014 Damien Bancal

De grands cadres de banques et de sociétés de cartes de crédit ont présenté leur démission ce lundi dû à la fuite massive des données personnelles d’au moins 20 millions d’utilisateurs de cartes bancaires et de crédit. Les craintes que ces informations soient tombées dans les mains d’escrocs ont pris de l’ampleur après que certains clients se sont plaints de transactions financières suspectes et inattendues, malgré l’annonce antérieure par les compagnies concernées que les coupables avaient été appréhendés avant qu’ils n’aient distribué les informations.

L’Agence de supervision financière (FSS) avait promis quelques heures avant ces démissions qu’elle infligerait des sanctions sévères aux institutions financières et à leurs hauts responsables si l’enquête conclut que le piratage est le résultat d’une négligence de leur part.

Des sources du secteur bancaire ont indiqué hier que des informations privées, dont des numéros de compte et adresses, d’une vingtaine de millions de clients ont été volées. Une partie de ces fuites se seraient déroulées lors de l’envoi de données par des banques à leur filiale cartes de crédit. Pour les clients et les autorités, la question est maintenant de savoir si cet incident entraînera des dommages financiers.

«Les sociétés mères semblent s’éloigner (de la question) et ne pas montrer d’attitude responsable», estime Choi Soo-hyun, à la tête du gendarme financier. «Elles seront tenues pour responsables des fuites de données si le partage d’informations sur les clients entre filiales en est la cause.»

Le mois dernier, les données personnelles d’environ 130.000 clients de Standard Chartered Bank Korea et Citi Bank Korea ont été subtilisées, un chiffre qui n’avait encore jamais été atteint en Corée. Depuis ces derniers temps, la FSS fait l’objet de vives critiques en étant accusée de laxisme à l’égard des firmes financières.

Shim Jae-oh, le PDG de KB Kookmin Card Co. (4e à partir de la gauche), et des responsables de la société présentent des excuses pour les fuites de données de clients Shim Jae-oh, le PDG de KB Kookmin Card Co. (4e à partir de la gauche), et des responsables de la société présentent des excuses pour les fuites de données de clients

Les sociétés de cartes de crédit ont assuré de leur côté qu’elles prendraient la responsabilité de toutes les fraudes liées à ces fuites. «Nous assumerons l’entière responsabilité juridique et morale pour les cas de fuites de données personnelles», ont-elles déclaré dans un communiqué commun.

Ce matin, l’Agence des consommateurs financiers (FCA) avait fait savoir qu’elle demanderait le mois prochain à la FSS une enquête sur six banques et sociétés de cartes de crédit : Standard Chartered Bank Korea, Citi Bank Korea, Kookmin Bank, NongHyup Bank, KB Kookmin Card et Lotte Card. (Agence Yonhap)

Banque, Chiffrement, Cyber-attaque, Leak, Piratage

Le pirate de Target et Neiman Marcus aurait 17 ans

20 janvier 2014 Damien Bancal Un commentaire

L’entreprise de sécurité Intel Crawler a analysé les récentes violations de données massives ayant visé les sociétés Target et Neiman Marcus. Les enquêteurs de IC ont déclaré avoir identifié le créateur du malware utilisé dans les attaques informatiques ayant touché les deux enseignes américaines.

Selon le rapport, un adolescent russe de 17 ans (Nous ne donnerons pas son identité : il est présumé innocent jusqu’à preuve du contraire, Ndr) aurait créé le malware, contributeur des fuites de données. L’outil, baptisé BlackPos (Kaptoxa, patate en russe, Ndr), est apparu en Mars 2013.

BlackPOS, ZATAZ.COM vous en parlait il y a quelques mois, est un malware écrit en VBScript. Il est conçu pour être installé dans les périphériques bancaires des points de vente. Il vole toutes les données des cartes glissées dans le systèmes infectés.

Une technique qui ne date pas d’hier. En 2010, plusieurs grands hôtels américains avaient été visés par ce type d’attaque. La première victime du malware n’était pas américaine, mais une boutique basée au Canada. Le code malveillant a été retrouvé, aussi, en Australie. BlackPos est commercialisé dans le blackmarket 2.000 $. Les clients du jeune russe, les pirates de Target et Neiman Marcus, ne sont toujours pas connus… publiquement !

Chiffrement, cryptage, Hacking, Rendez-Vous

Des inconnus diffusent une énigme XXL sur le web

17 janvier 2014 Damien Bancal

Le 5 janvier dernier, le forum 4chan a servi de support à la 3ème édition d’une immense chasse au trésor sauce chiffrement. Depuis 2012, l’opération cigale est lancée par des inconnus. Impossible, sauf pour les vainqueurs des années passées, de savoir qui se cache derrière Cicada 3301. D’après le ou les auteurs, cette grande course doit permettre de recruter « des individus très intelligents. Pour les trouver, nous avons conçu un test. Un message se cache dans cette image. Trouvez-le, et il vous mènera sur la voie pour nous trouver. Nous sommes impatients de rencontrer les quelques personnes qui réussiront à faire le chemin jusqu’à nous. Bonne chance.«

Prétentieux les « organisateurs » ? Les premières traces ont permis de remonter, d’abord, à un leurre, puis ensuite à décortiquer l’image (il fallait multiplier 3301 à la longue et hauteur de l’image d’origine. 3 nombres premiers qui donnaient l’ip d’un site web, et d’une image de cigale qui, exploitait avec le logiciel de sténographie OutGuess indiquait aux joueurs « Vous avez été suffisamment bons pour arriver jusqu’ici. La patience est une vertu. Revenez à 17:00 lundi 9 janvier 2012, UTC. » 14 points GPS sont apparus alors ce 9 janvier. Chaque point dirige vers une affiche et un QR Code, affiches collées dans les villes de Paris, Séoul, Varsovie, Miami. Chaque QR code dirige vers de nouveaux documents à décortiquer avec le même OutGuess.

En 2012, des commentaires liés aux images pointaient du doigt la NSA. Si en plus ils inventent des jeux sympas, ils vont finir par devenir vraiment sympathiques. En 2013, un PastBin annonçait que derrière cette organisation se cachait des gens dangereux. En attendant, Snowden n’a pas diffusé d’information sur ce concours. La CIA serait aussi dans les rangs des probables GO.

Des informations sont diffusées par des « joueurs » sur un wiki. Un Twitter a aussi été ouvert pour l’occasion.

Argent, Arnaque, Chiffrement, Cyber-attaque, Cybersécurité, escroquerie, Fuite de données, Mise à jour

Le top 8 de ses prévisions de cybersécurité pour 2014

15 janvier 2014 Damien Bancal

WatchGuard Technologies, éditeur de plateformes de sécurité intégrées, publie ses prévisions annuelles de cyber-sécurité pour 2014. Parmi les éléments listés, l’équipe de chercheurs en sécurité de WatchGuard s’attend à des avancées dans le domaine des rançongiciels (ransomware), à des piratages visant l’Internet des objets, à des attaques ciblant les infrastructures stratégiques et à une violation des données du portail américain des assurances maladie Healthcare.gov.

« Entre le développement de botnets par des agences gouvernementales opérant dans l’ombre, les importantes failles de sécurité comme celle subie par Adobe et les logiciels malveillants particulièrement nuisibles de type CryptoLocker, 2013 aura été une année éprouvante pour les spécialistes de la cybersécurité », commente Corey Nachreiner, Directeur de la stratégie de sécurité de WatchGuard Technologies. « Cependant, grâce aux nouveaux outils de visibilité désormais disponibles, 2014 devrait être l’année de la visibilité en matière de sécurité. Le paysage des menaces continue certes à évoluer à un rythme effréné en raison de l’apparition de nouvelles techniques évoluées d’exploitation des vulnérabilités et de l’orientation des criminels vers de nouvelles cibles. Néanmoins, les professionnels de la sécurité devraient pouvoir utiliser ces nouveaux outils de visibilité afin de faire, à nouveau, pencher la balance de la cyberguerre en leur faveur. »

Les principales prévisions pour 2014 en matière de sécurité :
1. Le portail américain des assurances maladie sera la cible de nombreuses attaques : WatchGuard s’attend à ce que le site américain Healthcare.gov subisse au moins une violation de données en 2014. Du fait de sa popularité et de la valeur des données qu’il stocke, Healthcare.gov constitue une cible particulièrement attractive pour les cybercriminels. En réalité, cette violation a, dans une certaine mesure, déjà débuté. Différents chercheurs en sécurité ont d’ores et déjà mis en évidence plusieurs incidents mineurs (indices d’attaques avortées contre des applications Web, tentatives d’attaque en déni de service (DDoS), etc.).

2. Le développement du cyber-kidnapping accroît les profits des pirates : Les rançongiciels, une nouvelle classe de logiciels malveillants dont le but est de prendre en otage un ordinateur, ont vu leur nombre augmenter régulièrement ces dernières années, mais une variante particulièrement nuisible a fait son apparition en 2013 : CryptoLocker. Rien que cette année, il a touché plusieurs millions de machines, avec un fort retour sur investissement pour les cybercriminels d’après les estimations. WatchGuard s’attend à ce que de nombreux cyber délinquants tentent d’imiter en 2014 le succès de CryptoLocker, en copiant ses techniques et son mode de fonctionnement. WatchGuard prévoit ainsi une multiplication des rançongiciels en 2014.

3. Un scénario catastrophe hollywoodien : En 2014, une attaque majeure commanditée par un gouvernement hostile et exploitant les failles d’une infrastructure stratégique pourrait bien transformer un film d’Hollywood en réalité tragique. Et ce, même lorsque les systèmes ciblés ne sont pas connectés à un réseau. Le ver Stuxnet, si souvent montré du doigt, a en effet prouvé que des cyber-attaquants motivés pouvaient infecter une infrastructure non reliée à un réseau avec des résultats potentiellement désastreux. Des chercheurs ont consacré plusieurs années à étudier les vulnérabilités des systèmes de contrôle industriel (ICS) et des solutions de supervision et d’acquisition de données (SCADA), et ont découvert que ces systèmes présentaient de nombreuses vulnérabilités.

4. L’Internet des objets, nouvelle cible des hackers : WatchGuard s’attend à ce que, l’an prochain, les hackers, qu’ils soient white ou black hat, consacrent plus de temps aux terminaux informatiques non traditionnels comme les voitures, les montres, les jouets et le matériel médical. Si les experts en sécurité informatique insistent depuis plusieurs années sur la nécessité de sécuriser ces périphériques, il semble que le marché n’en réalise l’importance que maintenant. WatchGuard s’attend donc à ce que les hackers s’attachent fortement en 2014 à détecter les failles de ces objets connectés, que ce soit pour les combler ou pour les exploiter.

5. 2014 sera l’année de la visibilité : Ces dernières années, les cybercriminels sont parvenus à pénétrer les défenses de très grandes entreprises malgré l’utilisation de pare-feu et d’antivirus. L’ancienneté des systèmes de défense en place, la mauvaise configuration des contrôles de sécurité et la surabondance de journaux de sécurité ne permettent pas aux professionnels de protéger efficacement leur réseau et de détecter les événements réellement importants. WatchGuard prévoit qu’en 2014 de plus en plus d’entreprises déploieront des outils de visibilité afin de faciliter l’identification des vulnérabilités et la mise en place de stratégies de protection renforcée des données stratégiques.

6. Attaquer la « chaîne de confiance » sera une technique de choix pour atteindre les cibles les plus difficiles : Si les victimes les plus prestigieuses, telles que les administrations ou les entreprises du CAC 40, bénéficient d’un dispositif de sécurité plus important, ce n’est pas pour autant qu’elles parviendront à arrêter les pirates motivés et patients, qui s’attaqueront au maillon faible de la « chaîne de confiance » de l’entreprise : les partenaires et les sous-traitants. Les cybercriminels les plus doués visant désormais des cibles plus complexes, il faudra s’attendre en 2014 à une exploitation grandissante des vulnérabilités de la « chaîne de confiance », les pirates s’attaquant aux partenaires pour atteindre l’entreprise.

7. Les attaques deviendront plus nuisibles : La plupart des cyber-attaques et des logiciels malveillants ne sont pas volontairement destructeurs. En effet, lorsqu’un cybercriminel détruit l’ordinateur de sa victime, il ne peut plus accéder à ses ressources. Cependant, l’évolution du profil des pirates fait désormais de la cyber-destruction un objectif valable dans un nombre croissant de cas. Les cybercriminels peuvent également se rendre compte que la menace d’une destruction imminente contribue à améliorer les chances de succès de l’extorsion, comme le compte à rebours utilisé par CryptoLocker pour effrayer les victimes et les amener à coopérer. WatchGuard s’attend ainsi à observer une multiplication des vers, chevaux de Troie et virus destructeurs en 2014.

8. De technicien à psychologue du cybercrime : Ces dernières années, les attaquants avaient clairement l’avantage sur les défenseurs, s’appuyant sur des tactiques d’esquive et des techniques plus sophistiquées pour pénétrer des défenses vieillissantes. Cependant, le vent est en train de tourner. En 2014, les défenseurs accèderont plus facilement aux solutions de sécurité de nouvelle génération et aux fonctionnalités de protection avancée, rééquilibrant le rapport de force. Mais les cybercriminels n’abandonneront pas facilement la partie. On peut s’attendre à une évolution de leur stratégie, qui sera sans doute moins focalisée sur l’avantage technique et plus sur les faiblesses de la nature humaine. En 2014, attendez-vous à ce que les attaquants privilégient la psychologie à la technologie, en s’appuyant sur la culture populaire et sur différentes techniques (emails d’hameçonnage convaincants, par exemple) pour cibler le maillon le plus faible de la chaîne : l’utilisateur.

backdoor, Chiffrement, cryptage, Logiciels

Qui a encore confiance en RSA Security ?

30 décembre 2013 Damien Bancal

La National Security Agency, la NSA, aurait payé RSA Security 10 millions de dollars pour affaiblir la sécurité d’un algorithme de chiffrement. Voilà une information passée quelque peu sous silence, à la veille de Noël. Reuters explique (Le New York Times l’avait déjà fait en septembre dernier) que la NSA a fait créer un algorithme plus faible, histoire de le casser sans trop de fatigue. Bref, de quoi permettre aux grandes oreilles de l’Oncle Sam d’écouter, sans se casser la tête. Reuters indique que la société RSA Security, du groupe EMC, était le principal distributeur de ce chiffrement via son kit BSAFE. L’agence de presse affirme que la NSA a versé 10 millions de dollars à RSA pour alléger l’algorithme Dual Elliptic Curve. Pour rappel, le DEC est devenu le paramètre par défaut des boîtes à outils de RSA. Autant dire que les entreprises qui utilisent ce chiffrement, qu’ils ont payé le prix fort, auront apprécié l’humour.

Pour sa défense, RSA explique avoir toujours communiqué sur ses relations avec la NSA. Depuis septembre, RSA invite ses clients à ne plus utiliser l’algorithme DEC. RSA Security explique dans son communiqué de presse n’avoir jamais incorporé de backdoor dans ses produits « nous affirmons aussi catégoriquement n’avoir jamais signé de contrat, ni avoir collaboré à un projet dans l’intention d’affaiblir les produits de RSA« .

Ce même 23 décembre, RSA annonçait une faille dans son générateur de nombre aléatoire. Trois chercheurs (Daniel Genkin, Adi Shamir et Eran Tromer) ont trouvé une méthode de cryptanalyse acoustique. Ils ont ainsi pu casser une clé RSA 4.096 bits en se servant simplement d’un microphone pour écouter le son diffusé par un ordinateur lorsqu’il décrypte un message chiffré.

Il va être intéressant de voir qui va se rendre, comme conférencier, lors des prochaines « RSA Conference 2014« . Le patron de F-Secure et celui d’Atredis Partners ont annulé leur présence en février prochain, à San Francisco.

A noter que le journal Ars Technica a indiqué, il y a peu, que l’opérateur américain AT&T a revendu à la CIA des enregistrements téléphoniques.

Android, Chiffrement, cryptage, Cybersécurité, Fuite de données, ios, Leak, Sécurité, Vie privée

Sécurisons tablettes et smartphones

23 décembre 2013 Damien Bancal Un commentaire

Sacré Père Noël, il a cassé sa tirelire pour offrir l’objet high-tech à la mode. Une tablette, un smartphone, une montre connectée. Les « vendeurs », les « commerciaux » des marques ont sorti la grosse artillerie pour vanter du matériel qui, avouons-le, fait briller les yeux. Sauf qu’il y a un petit détail loin d’être négligeable que nous avons pu constater lors de 43 rencontres effectuées entre le 17 et le 24 décembre 2013 : seuls 3 souriants vendeurs de rêves nous ont parlé, naturellement, de sécurité.

Le Béaba
Un PC, une tablette sortis de leur carton ne sont pas propres, attendez par là qu’il faudra penser, lors de votre première connexion à mettre à jour vos machines. Des mises à jour de sécurité, d’applications. Indispensable. Prenons l’exemple de l’iPhone 5 (et là) ou des derniers Samsung. Évitez de voir votre données s’envoler en raison de « faille » usine. Pour les PC, comme pour les MAC, les « updates » concerneront surtout des corrections liées à des vulnérabilités. Pour vous donner une petite idée, regardez la date de fabrication de votre matériel. Si nous prenons un PC fabriqué en septembre, sous Windows 8, plus de 40 mises à jour. Même son de cloche pour un MAC. Pour les tablettes, sous Android, la dernière importante, date de mi-décembre, avec une correction interdisant l’interception possible, en clair par le wifi, des informations de connexion d’un utilisateur.

Le matos
Que le veuille ou non, un antivirus devient indispensable sur PC/MAC, mais aussi tablette et smartphone. Il en existe plusieurs dizaines, gratuites et payantes. Nous nous pencherons plus concrètement, dans quelques instants, sur ceux proposés pour les mobiles. Mais avant ça, revenons sur une option loin d’être négligeable dans la majorité des nouveaux matériels sortis pour Noël : le chiffrement des machines. Certes cela prend un peu de temps, certes cela semble fastidieux d’être obligé de retenir le mot de passe imposé. Mais c’est quelques minutes valent mieux que les heures, voir les jours à courir pour bloquer l’ensemble des comptes (PayPal, DropBox, emails, forums, sites…) que vous aurez enregistré dans le matériel que vous aurez perdu, ou que l’on vous aura volé, piraté. Pour les possesseurs des téléphones le plus vendus du moment, Samsung, il suffit de se rendre dans l’option « Paramètres » > « Sécurité » > « Crypter« . N’oubliez pas, si vous équipez votre machine d’une carte sd, de chiffrer cette dernière. Récupérer cette dernière et la copier est un jeu d’enfant. Chiffrer le contenu rendra inutilisable les informations sauvegardées.

Passons ensuite, comme indiqué plus haut, aux outils de sécurité à installer dans vos précieux. Les antivirus proposés par G Data, McAfee, BitDefender, … font l’affaire. Il détecte les applications pouvant être piégés. Loin d’être négligeable, cette menace est annoncée comme étant la 1ere des malveillances en 2014. Vient ensuite la crainte de la perte/vol de votre matos. La version proposée par Avast! Permet aussi de recevoir une notification quand votre carte SIM a été changée. Pour le contrôle des fichiers que vous auriez à récupérer/stocker dans le Cloud (ce que nous trouvons aberrant et vous invitons à ne pas faire, Ndr) des outils comme VirusBarrier permettent de scanner les documents sauvegardés sur DropBox, iDisk, et WebDAV.

Lookout Mobile Security est une application gratuite qui protège vos appareils iOS ou Android. Il permet de protéger son matériel et, en version payante, de sauvegarder vos contacts en programmant des sauvegardes automatiques. Si vous perdez votre téléphone, Lookout permet de le localiser sur une carte Google – même si le GPS est désactivé. L’application permet aussi d’activer une alarme sonore – même si votre téléphone est en mode silencieux. La fonctionnalité qui permet de verrouiller à distance le matériel est un plus non négligeable. L’outil BullGuard Mobile Security propose le même type de service. Pour les smartphone, le chien de garde propose aussi une protection pour la carte SIM. IHound propose, lui aussi, de suivre l’appareil à distance. Il permet de verrouiller le téléphone ou la tablette. IHound utilise le GPS de votre téléphone pour le suivi de l’appareil. Il comprend une alarme qui peut être déclenchée par une notification push. Fonctionne même quand le silencieux est enclenché. Sur un appareil Android, vous pouvez également effacer à distance les données et verrouiller votre machine. Application payante.

Les anti-vols

Face à une attaque « physique » de votre téléphone, il existe aussi des parades. Quelqu’un tente de rentrer dans vos données. Pour cela il tombe nez-à-nez avec votre clavier dédié au mot de passe. Les applications GadgetTrak (iOS) et LockWatch (Android) vous enverrons, par eMail, la photo de votre « curieux » et sa position géographique, via une carte Google.

Je finirai par deux outils indispensables pour la sécurité de votre vie numérique: Authy et Google Authenticator. Deux applications qui permettent de générer des clés demandées lors d’une double authentification pour Google, Facebook, Twitter, et même vos sites web (sous WordPress). Sans les chiffres fournis par l’un de ces outils de validation, même votre mot de passe demandé ne servira à rien. Parfait en cas de vol de ce dernier. Nous vous expliquons, pour votre compte Facebook, l’intérêt de la double identification.

Pour finir, pensez aussi à vos connexion web hors vos murs. Une protection VPN est loin d’être négligeable. Elle permet, quand vous êtes en déplacement, de chiffrer, de rendre illisible à une potentielle interception, vos informations (emails, mots de passe, téléchargement, …). Il existe des applications VPN simples et efficaces pour tablettes, smartphones et ordinateurs.

Cette liste est loin d’être exhaustive, elle a surtout pour mission de vous faire tendre l’oreille, de vous inciter à vous pencher sur vos doubles numériques, sur leur sécurité et la maitrise de ces matériels qui n’étaient encore que de la science-fiction, voilà 10 ans. N’oubliez jamais que vous devez contrôler vos machines… et pas le contraire !

Chiffrement, Cyber-attaque, Cybersécurité, DDoS, Fuite de données, Leak, Téléphonie

Encore des prédictions sécurité pour 2014

7 décembre 2013 Damien Bancal

Alors que la fin d’année approche, Symantec publie ses prévisions annuelles pour 2014 en matière de sécurité informatique. Voici les grandes tendances qui attendent les utilisateurs, particuliers comme entreprises, et ce qu’elles impliquent.

1. Les utilisateurs et les entreprises vont enfin prendre des mesures concrètes pour garantir la confidentialité de leurs données
En 2013, les problèmes de confidentialité ont fait les gros titres, amenant les individus et les entreprises à prendre conscience de la quantité d’informations personnelles qui sont partagées et recueillies chaque jour par un nombre incroyable de personnes, allant du médecin au réseau social. Il est donc fort probable que la protection des données confidentielles devienne une fonctionnalité à part entière des produits existants et à venir. Par la suite, au-delà de 2014, la question sera de savoir si oui ou non une fonctionnalité assure une réelle protection de la vie privée. Il y a fort à parier que Tor, application qui garantit l’anonymat en ligne, saura très vite séduire l’ensemble des internautes. L’adoption de pseudonymes ou de faux noms sur les réseaux sociaux sera plébiscitée par les utilisateurs qui souhaitent protéger leur vie privée. Qui mènera la danse ? Les adolescents. Ils tiennent à protéger leur vie privée, et pas seulement vis-à-vis de leurs parents. Dans ce contexte, de plus en plus d’internautes se tournent vers de nouveaux réseaux sociaux de niche pour communiquer avec leurs amis dans l’ombre. Une tendance qui en amène une autre…

Protéger ses informations confidentielles et son identité s’applique non seulement pour les particuliers mais également pour les entreprises et administrations. En 2014, les organisations au sens large continueront leur démarche de protection de ce qui compte pour elles : leurs données critiques. Avec la profusion d’offres et de technologies existantes, elles devront déterminer celles qui seront le plus ou le mieux adaptées à leur cas de figure. Le cas échéant, leur implémentation pourrait s’avérer contre-productive et ne protéger que partiellement ou inutilement leurs données, voire les chiffrer mais les rendre indéchiffrables pour le détenteur des données. Autre tendance forte : la nécessaire protection de l’identité de ces entreprises : la compromission d’identités et le hacking de moyens de communication publics ont déjà été notés en 2013 et se répèteront probablement l’an prochain, avec des conséquences potentiellement graves pour leur réputation et les prises de décisions économiques basées sur l’information.

2. Les escrocs, collectionneurs de données, s’intéresseront au moindre réseau social, aussi obscur soit-il – en parallèle des cyber-pirates, l’émergence de cyber-corsaires
Il est tentant de croire qu’en changeant d’environnement, les problèmes s’envolent. Cela ne se passe pas comme cela dans la vie réelle, et encore moins sur les réseaux sociaux. Dès lors qu’un nouveau réseau social séduit les utilisateurs ; inévitablement, il attire les escrocs et les cyber-attaquants. Les utilisateurs qui pensent se retrouver entre amis sur le nouveau site risquent d’être très désagréablement surpris. Sur le web comme dans la vie réelle, si une opportunité paraît trop belle pour être vraie, c’est qu’il s’agit très certainement d’une escroquerie. Les utilisateurs doivent impérativement appliquer les meilleures pratiques de sécurité, où qu’ils se trouvent sur Internet, et quel que soit leur mode de connexion. Puisque l’on parle de connexion…

Le cyber-crime ne s’arrête pas aux individus, une nouvelle classe de cyber-mercenaires apparait ; le groupe « Hidden Lynx » analysé à l’automne dernier étant un premier exemple de groupe constitué. Ce cas particulier est potentiellement la partie émergée de l’iceberg, et pourrait révéler le développement de véritable cyber-corsaires : de plus en plus d’entreprises et d’agences auto-appelées « d’intelligence » ou de « cyber-sécurité » voient le jour, proposant des offres intégrant surveillance, interception, et destruction de cyber-attaques, voire également des contre-cyber-attaques. Celles-ci flirtent avec les limites de la légalité et tirent profit des difficultés à mettre en place un cadre législatif mondial. Leurs offres ciblent les entreprises et les états, avec comme bénéfices la possibilité de ne pas agir directement et donc de ne pas être potentiellement exposé publiquement.

3. L’Internet des objets devient celui des vulnérabilités – La protection des infrastructures critiques plus que jamais d’actualité
2014 sera probablement l’année de l’Internet des objets. Les millions d’appareils connectés à Internet, généralement avec un système d’exploitation embarqué, vont attirer les attaquants comme un aimant. Les spécialistes de la sécurité ont déjà prouvé qu’il était possible d’attaquer les télévisions intelligentes, les équipements médicaux et les caméras de sécurité. Des attaques sur les moniteurs de bébé ont également été découvertes et, en Israël, un grand tunnel a dû être fermé à la circulation parce que des pirates étaient apparemment entrés sur le réseau informatique via le système de caméras de sécurité. De nombreux éditeurs de logiciels ont trouvé une solution pour avertir leurs clients et leur fournir des correctifs de vulnérabilité. Parfois, les sociétés qui créent de nouveaux appareils pour se connecter à Internet ne se rendent même pas compte qu’elles vont rapidement avoir un problème de sécurité. Ces systèmes ne sont pas seulement vulnérables face aux attaques, ils ne prévoient aucun moyen pour avertir les utilisateurs et les entreprises lorsqu’une attaque est détectée. Pire encore, il n’existe aucune méthode simple d’utilisation pour corriger ces nouvelles vulnérabilités. Les utilisateurs doivent donc s’attendre à l’arrivée de menaces inédites à ce jour.

L’Internet des objets s’insère de plus en plus dans notre quotidien, via les terminaux eux-mêmes, mais également à travers nos déplacements ou les services que nous consommons. Cet « Internet des vulnérabilités » concerne ainsi les récents développements technologiques promus et mis en place dans le secteur de l’énergie notamment, avec par exemple les compteurs intelligents. Ces vulnérabilités pourraient générer des retards dans leurs développements, ainsi que dans celui des « smart cities » et ainsi mettre en péril les données confidentielles d’administrations, d’entreprises et bien sûr de citoyens. En 2014, la protection des infrastructures critiques ne s’arrête ainsi plus aux centrales nucléaires, mais doit être désormais étendue à l’ensemble des infrastructures qui permettent un fonctionnement normal d’un pays et d’une économie.

Enfin, ce type de menaces doit être pris très au sérieux et aussi tôt que possible dans la chaine de production des objets connectés. C’est dès leur conception et tout au long de leur assemblage que la sécurité doit intervenir afin d’éviter des conséquences graves lors de leur connexion au réseau et de leur utilisation.

4. Les applications mobiles profiteront de l’insouciance des utilisateurs – les opérateurs télécoms et Internet, eux, ne doivent pas sous-estimer les possibles attaques contre leurs infrastructures.
Les utilisateurs font (généralement) confiance à la personne avec laquelle ils dorment. Il ne faut donc pas s’étonner si, 48 % des utilisateurs dormant avec leur smartphone se laissent berner par un (faux) sentiment de sécurité. En 2013, une application mobile censée rapporter des « J’aime » supplémentaires sur Instagram a fait son apparition. Il suffisait pour cela de communiquer son identifiant et son mot de passe à une personne située quelque part en Russie. Plus de 100 000 personnes n’ont rien trouvé à redire à cette proposition. Il est naturel de penser que, grâce aux terminaux mobiles et aux remarquables applications installées dessus, la vie des utilisateurs deviendra meilleure. Dès qu’il s’agit de l’appareil que nous avons dans la poche, le sac ou sur la table de nuit, l’utilisateur perd tout esprit critique. En 2014, les personnes malintentionnées vont profiter de cette aubaine, sans parler des applications malveillantes. En 2014, les applications mobiles elles-mêmes vont être à l’origine de canulars, arnaques et escroqueries en tous genres.

En 2014 également, les téléphones mobiles serviront encore à … passer des appels! Avec le développement de la VoIP et la dépendance accrue des particuliers, entreprises et états aux réseaux de communication, la protection des infrastructures de télécommunications sera nécessairement d’actualité, afin d’éviter des attaques telles que les TDoS (ou Telephony Denial of Service) ou autres tentatives d’interception ou de modification de conversations.

BYOD, Chiffrement, Cloud, cryptage, Entreprise, Fuite de données

Sécuriser ses données personnelles dans le Cloud

5 décembre 2013 Damien Bancal 2 commentaires

L’application développée par Prim’X permet de sécuriser, en le chiffrant, n’importe quel document que l’on souhaite garder confidentiel. Nous recevons aujourd’hui de plus en plus de documents administratifs personnels par email : factures (eau, énergie, téléphone etc.), relevés bancaires, etc. comportant des informations confidentielles que nous souhaitons garder secrètes.

Certains s’interrogent même sur le meilleur moyen de protéger leurs papiers administratifs en cas de sinistres. Il peut en effet s’avérer judicieux de préserver sous format électronique des copies de factures d’électroménager, de meubles ou bijoux, de ses différents contrats, etc. Le type même de documents à fournir à son assureur après un incendie ou un cambriolage par exemple. Les différents sites de Cloud bien connus (Dropbox, Google Drive, etc.) offrent gracieusement quelques Giga de stockage pour nos données personnelles. Mais, les récentes affaires d’espionnage, nous freinent dans cette démarche. La peur nous fait hésiter à déposer dans ces drives nos fichiers les plus confidentiels, mais qui pourtant pourraient être indispensables dans les situations les moins heureuses pour espérer être indemnisé.

Grâce à Zed! il est possible de protéger dans l’équivalent d’une valise diplomatique électronique tous ses documents scannés et de les stocker dans le Cloud pour y avoir accès en quelques clics et avec un seul mot de passe. L’application Zed! permet en effet de chiffrer les documents en les plaçant dans la valise diplomatique d’un simple copier/coller. Seul le propriétaire de la valise Zed! a accès au contenu et peut lire les fichiers. Zed! est gratuit en version limitée. La version complète est disponible à 35€. L’application est compatible avec n’importe quel service de Cloud (DropBox, Google Drive, SkyDrive, etc.) et les différents documents protégés peuvent être également ouverts depuis un Smartphone. Le fonctionnement est très simple.

Désormais en application Smartphone pour lire les archives .zed ou les emails chiffrés depuis son mobile. Version gratuite, disponible dès maintenant sur l’Apple Store et pour la fin 2013 sur Google Play Store. Toutes les versions de Zed! sont compatibles entre elles.

Chiffrement, cryptage, Entreprise, Espionnae, Fuite de données

Les services secrets britanniques font dans le phishing

24 novembre 2013 Damien Bancal 2 commentaires

Quoi de plus sympathique qu’un bon gros phishing pour mettre la main sur les données privées et sensibles d’une cible. Les services secrets de sa gracieuse majesté britannique, le British Intelligence Agency GCHQ (Government Communications Headquarters) aurait utilisé de fausses pages du portail professionnel communautaire Linkedin pour mettre la main sur des données ciblées.

Une information que le magazine allemand Der Spiegel a révélé après l’analyse de documents secrets du GCHQ que l’ancien « analyste » Edward Snowden aurait volé. La première attaque connue visait le gouvernement belge et Belgacom, l’opérateur de télécommunication. Une fois le visiteur piégé par la fausse page Linkedin, un logiciel espion s’installait dans l’ordinateur des cibles de la GCHQ. L’objectif aurait été d’accéder au système de routeur GRX exploité par BICS pour intercepter le trafic téléphonique.

C’est quand même dingue de voir comment ces services secrets peuvent être bavards, dans leurs bureaux ; Ca n’étonne personne de savoir qu’un simple analyse « du privé » puisse accèder à autant d’informations variées !

En attendant, pour répondre aux écoutes probables de la NSA du trafic data de Yahoo! et Google, les deux géants de l’Internet viennent d’annoncer qu’ils allaient protéger leurs données internes. La CEO de Yahoo!, Marissa Mayer, a indiqué que les connexions de son groupe seraient désormais chiffrées.

Chiffrement, Cyber-attaque, Entreprise, Fuite de données, Leak, Paiement en ligne

Loyalty build piraté : 1,2 million d’internautes concernés

14 novembre 2013 Damien Bancal 3 commentaires

Les bases de données, le nouveau jouet pour les pirates informatiques. Après ADOBE [lire], après MacRumors (860.000 comptes, ndr), voici le tour du site Loyalty build a se retrouver confronté à un vol de données numériques. Ce portail est spécialisé dans la fidélisation de clients pour de grandes enseignes comme AXA Irlande.

Loyalty build vient d’annoncer le passage d’un pirate dans ses entrailles numériques. Bilan, 1,2 millions d’inscrits se retrouvent avec leur vie privée dans les mains d’un inconnu. Emails, adresses physiques, numéros de téléphone. Pour 376.000 personnes, des suisses ou belges, les données bancaires sont à rajouter à la liste des données volées. Des informations financières… non chiffrées, ce qui est illégal en Europe.

Loyalbuild propose un système de fidélisation de clienteles. Voilà qui risque de lui faire mal ! Les entreprises affiliées viennent de fermer leur espace « Loyalbuild » afin de protéger leurs propres clients.

Chiffrement, cryptage, Cybersécurité, Mise à jour, Patch

Faille critique corrigée pour OpenSSH

11 novembre 2013 Damien Bancal Un commentaire

L’excellent outil OpenSSH permet de chiffrer les communications sur Internet. Une faille critique vient d’être corrigée. Sortez la rustine, la colle et votre plus beau sourire. OpenSSH, un outil qui offre la possibilité de chiffrer vos communications sur Internet, via le protocole SSH, vient de corriger une vulnérabilité considérée comme critique. « Une corruption de mémoire existe dans le processus de sshd post-authentification lors d’un chiffrement AES-GCM (AES128-GCM @ openssh.com ou aes256-gcm@openssh.com) » indique OpenSSH.

Si elle est exploitée, cette vulnérabilité pourrait permettre l’exécution de code avec les privilèges de l’utilisateur authentifié. La vulnérabilité a été identifiée par un développeur d’OpenSSH, Mark Friedl, le 7 Novembre.

Le correctif a immédiatement été mis en ligne. L’erreur est fixé dans OpenSSH version 6.4. Pour ceux qui veulent rester sous OpenSSH 6.2 et 6.3, des rustines sont disponibles.

Chiffrement, Cyber-attaque, Entreprise, Fuite de données, ID, Leak, Vie privée

Près de 2 millions de mots de passe 123456 pour des clients ADOBE

11 novembre 2013 Damien Bancal 3 commentaires

Après le piratage de 38 millions de clients de l’éditeur ADOBE, une étude montre que les mots de passe des piratés sont aussi ridicules qu’inutiles. A se demander si le piratage de 38 millions de clients ADOBE n’est pas un moyen de communiquer auprès des clients et entreprises utilisatrices des produits de l’éditeur de Photoshop, Adobe Acrobat, ColdFusion. Des chercheurs, qui ont été mettre la main sur les données diffusées sur un forum russe, ont analysé les mots de passe volés à ADOBE. Des précieux appartenant donc à ses clients.

Jeremi Gosney, chercheur chez Stricture Consulting Group révèle une liste des 100 mots de passe les plus utilisés. Autant dire qu’il y a des claques qui se perdent : 1,9 million de comptes utilisaient comme sésame : 123456 ; plus de 400 000 : 123456789. On vous passe les mots de passe « password« , « 12345678 » ou encore « adobe123« . Bref, avec de telle sécurité pas besoin de voler une base de données ! (Developpez)

Chiffrement, cryptage, Entreprise, Fuite de données

Fuite de données concernant une quarantaine de Centres Hospitaliers Français.

31 octobre 2013 Damien Bancal 6 commentaires

Une fuite Internet peut rapidement intervenir si on n’y prend pas garde. Un fichier mal maîtrisé, sauvegardé n’importe comment, et c’est rapidement la catastrophe. Google, ainsi que d’autres moteurs de recherche, ne font pas la différence entre le document Excel en libre accès reprenant les recettes de Tata Jeannette, et le fichier regroupant plusieurs dizaines de Centres Hospitaliers Français, avec logins et mots de passe, permettant d’accéder à un espace informatique sensible, celui des patients reçus par les Urgences. Google les voit, donc pour lui, ils sont « libres » d’être référencés, sauvegardés en cache.

Voilà la mésaventure qui vient de toucher une société Française spécialisée dans la création de solutions informatiques de gestion des dossiers patients dédiée aux urgences. Un lecteur, Kyle, nous a alerté de cette fuite complétement folle. Lors d’une cherche d’informations qu’elle ne fût pas son étonnement de se retrouver nez-à-nez face à un fichier Excel intitulé InfosEtContacts.xls.

Plusieurs moteurs de recherche avaient accès aux données.

Si les premières lignes ne m’ont pas paru des plus perturbantes, les suivantes auraient eu de quoi faire tomber en syncope le premier SAMU/SMUR qui passait par là. Dans ce fichier, une liste de Centres Hospitaliers (Régionaux/Universitaires/…) : Saône, Brive, Besançon, Belfort, Beauvais, Amiens, R/Yon, La Rochelle, Gueret, Gentilly, St Ame, Blanc Mesnil, Forbach, Epinal, Dole, Senlis, Rennes, Provins, Guadeloupe, Neuilly, Nancy, Lille, Montpellier, Metz ou encore Lunéville.

Ce fichier relatait, avant d’être effacé du web (et de la cache Google, Ndr), les accès à distance (avec login et mot de passe en clairs) ; la prise de contrôle des serveurs (ip, vnc, accès, …), ouverture de session (avec ip et identifiants de connexion). Dans certains cas, l’accès à des bases de données avec ip, login et mot de passe. Bref, des centaines d’informations qui auraient pu faire de gros dégâts dans les mains d’internautes malveillants. Heureusement, du moins nous l’espérons, aucun pirate n’est passé par là.

Dès la découverte de la « chose », nous avons alerté le CERT A, l’ANSSI et la CNIL via le protocole d’alerte de ZATAZ.COM. Comme à son habitude, le Centre d’Expertise gouvernemental de Réponse et de Traitement des Attaques informatiques a répondu à notre alerte au quart de tour. Nous avons attendu que la fuite soit colmatée afin de vous relater ce gros, très gros problème.

Comment une telle fuite peut-elle être possible ?

Un dossier, sur le site internet officiel de cette entreprise, non protégé par un login et mot de passe. Un simple htaccess aurait suffi à réclamer les précieux identifiants de connexion. Un contrôle d’accès très simple à mettre en place pourtant. Cela aurait empêché Google, et la planète web entière, d’accéder aux informations.

Autre possibilité de sécurisation, qui nous semble la plus efficace chez DataSecuritybreach.fr : ne pas sauvegarder ce genre de données sur un espace connecté à Internet, et encore moins quand ce dernier est … le site web lui-même.C’est un peu comme si la Banque de France déposait des lingots d’or sur une table, dans la rue, à l’entrée de son bâtiment. Pas évident que les petits blocs jaunes restent sur place bien longtemps.

Pour finir, il est fortement conseillé, c’est la CNIL qui l’écrit, de chiffrer ce genre de contenu et de le sauvegarder dans un espace non disponible/accessible d’un simple clic de souris.

Chiffrement, cryptage, Cybersécurité, Espionnae, Fuite de données

Odin, le tchat sécurisé

29 octobre 2013 Damien Bancal 6 commentaires

Christophe Jochum a 24 ans. Cet informaticien Suisse vient de terminer une application web qui lui aura pris 5 mois de son temps. Baptisé Odin Secure Networking, l’outil a pour mission de protéger les internautes d’une cyber surveillance. « En vue des soucis actuels concernant l’écoute d’internet publique, indique à DataSecurityBreach.fr Christophe Jochum, j’ai développé une plateforme de discussion privée, cryptée, sans logs et ne retenant aucune informations sur les utilisateurs ou leurs messages« .

Voilà une idée intéressante, surtout qu’il devient de plus en plus difficile de garder une information confidentielle suite au politiques de confidentialité des entreprises telles que Google, Facebook, Microsoft etc… Pour rester dans la confidentialité et ne pas laisser de traces des échanges sur internet, il faut une bonne dose de connaissances informatiques (réseau Freenet, Tor, I2P), acquerir un service VPN (A noter l’excellent Vypr VPN). Autant dire que cela n’est pas obligatoirement simple.

Odin offre donc la possibilité de sécuriser un échange d’informations via un tchat. Odin permet à n’importe quel néophyte en informatique de dialoguer uniquement avec son interlocuteur, sans craindre la lecture d’une tierce personne ni une retenue d’informations. Grâce à plusieurs sécurités (de multiples encryptions à différentes étapes de la transmission du message et la suppression quasi instantanée des transactions encryptées), Odin s’annonce comme le seul service à ce jour permettant un total anonymat et une confidentialité absolue sur le web, et ce, tout en se situant sur le clear web. Odin est un projet en pleine évolution, plusieurs mises à jours sont en attente de publication.

Chiffrement, cryptage, Cybersécurité, Fuite de données, Vie privée

Peersm : échanges de fichiers de manière anonyme

28 octobre 2013 Damien Bancal Un commentaire

Pour contrer l’espionnage mis en place par la NSA et son outil Prism, un chercheur Français lance Peersm : des échanges de fichiers de manière anonyme. Aymeric Vitte est un chercheur en informatique, ancien élève ingénieur à Telecom Paris, ce natif d’Aix en Provence, a travaillé pour Alcatel. Spécialiste du GSM, il a géré un grand nombre de projets en Amérique du Sud. Il a mis en place, par exemple, le premier réseau GSM au Brésil et travaillé sur des projets « Satellite » comme GlobalStar. Aujourd’hui il développe des solutions informatiques pour les entreprises et les professions libérales.

En parallèle, l’homme contribue régulièrement à W3C/WHATWG/TC39 et il est membre du groupe de travail WebCrypto W3C. Parmi ses projets personnels, Peersm, une idée dingue mais terriblement prometteuse : permettre l’échange de fichier sans aucune possibilité de traçage. Un anti Prism qui devrait voir arriver sa première application dans les semaines à venir.

Les points communs de tous ces projets est que la technologie est à l’intérieur du navigateur. Vous n’avez pas besoin d’installer quoi que ce soit. Tout est basé sur une mise en œuvre javascript du protocole Tor. Bref, des échanges de fichiers de manière anonyme et bases de données distribuées dans les navigateurs, sans rien installer puisque l’application anonymisante est une appli js. Interview !

DataSecurityBreach.fr – Parlez nous de votre projet. Pourquoi Peersm ?

Aymeric Vitte – Peersm versus Prism en inversant le r, d’où le nom, difficile de trouver un nom de domaine avec ‘peer’ ou ‘peers’ dedans, j’ai finalement trouvé Peersm, le contraire de Prism.

DataSecurityBreach.fr – Pourquoi cette idée ?

Aymeric Vitte – Pour échanger des fichiers sans passer par des tiers et en contournant d’éventuelles oreilles indiscrètes, avec tout dans le navigateur, pour ne pas avoir à installer quoique ce soit et éviter des applis pseudo anonymisantes ou sécurisantes genre VPN ou autres, j’explique sur le site pourquoi on peut avoir confiance. Il y a beaucoup de cas d’utilisation, bons ou mauvais, le jugement étant laissé à l’appréciation de chacun (sachant qu’on ne tient pas du tout aux utilisations criminelles, pédo et autres, d’où le fait que ce soit modestement payant si ça peut aider à éviter ces dérives), cas d’utilisation vécu: au cours d’une réunion de famille où j’ai passé deux heures à expliquer à tout le monde les fondements d’iAnonym (souviens toi : tracking, collusion, vie privée, anonymité, etc ), le soir même un proche met toutes les photos sur un site pour qu’on les télécharge… no comment… c’est exactement ce qu’il faut éviter de faire et que j’ai passé l’après midi à expliquer

DataSecurityBreach.fr – Comment fonctionne-t-elle ?

Aymeric Vitte – L’innovation encore une fois est de tout avoir dans les navigateurs et de partager les données entre peers dans les navigateurs. 1,5 Milliards de navigateurs dans le monde, imaginez ce que l’on peut faire…. L’idée n’est pas notre exclusivité pour la base de données distribuée, je donne des exemples d’autres projets sur le site. L’OP js Tor dans le navigateur qui se connecte à Tor via les WebSockets est lui notre exclusivité.

DataSecurityBreach.fr – Qu’est ce qui garantie la sécurité des échanges ?

Aymeric Vitte – Personne ne sait qui parle à qui et ce qui est échangé, on peut aussi crypter ses données si vraiment on n’a pas confiance en ce que fait l’ORDB. Ca ressemble un peu à MEGA sur ces aspects.

DataSecurityBreach.fr – Evolution du projet ?

Aymeric Vitte – Une version bétâ bientôt avec de vrais utilisateurs/testeurs, on verra ensuite selon les avis/résultats (crowdfunding again ?). Pour l’instant je ne sais pas dire précisément combien un ORDB peut gérer d’utilisateurs.

DataSecurityBreach.fr – En cette période ou l’on voit la NSA partout, la sécurisation des échanges, une vraie problématique ?

Aymeric Vitte – Oui d’autant plus que l’on ne peut pas faire confiance à https/SSL/TLS.

DataSecurityBreach.fr – Vous avez expliqué comment utiliser WebRTC. Mais justement, pourquoi WebRTC ?

Aymeric Vitte – Parce que c’est ce dont tout le monde parle pour des échanges peer to peer directement dans les navigateurs et il y a plusieurs projets concernant les échanges de fichiers avec WebRTC, sur le site je tente de définir une architecture WebRTC qui pourrait fonctionner avec les concepts de Peersm, le schéma montre que ce n’est pas possible, WebRTC peut être sécurisé si les peers se connaissent et peuvent partager ou générer un secret, sachant que l’on sait toujours quand même qu’un peer se connecte (serveurs ICE STUN/TURN) ce qui est gênant. Maintenant l’avantage est une utilisation réellement peer to peer sans un serveur qui relaie les messages, comme les torrents, mais on en connait le prix : impossible de protéger sa vie privée et son anonymité.

http://www.peersm.com

Chiffrement, cryptage, Cybersécurité, Emploi, Fuite de données, Vie privée

Fuite de données : dîner de cons dans les ordinateurs des Hôtels

28 octobre 2013 Damien Bancal 22 commentaires

Durant mes différents déplacements à l’étranger, j’aime me promener dans les espaces informatiques mis à disposition par les hôtels. De beaux ordinateurs des hôtels connectés à Internet, gratuitement. Si l’idée est intéressante, elle permet de rester connecter avec la famille, ses emails, la dangerosité de l’occasion offerte est à rappeler. Depuis le mois de juin, j’ai eu la chance de me promener par « monts et par vaux » pour zataz.com, zatazweb.tv, datasecuritybreach.fr ou mes employeurs, de l’Espagne au Maroc en passant par la Tunisie, l’Angleterre, la Belgique ou encore l’Île Maurice et le Québec. Dans les hôtels qui ont pu m’accueillir, des connexions web (payantes et/ou gratuites) et des machines mises à disposition. PC ou Mac, bref, des liens de connexion avec son monde familial… ou professionnel. Aussi paranoïaque que je puisse éviter de l’être, il ne me viendrait pas à l’idée de me connecter à ces machines pour le travail. A première vue, beaucoup de « vacanciers » ou « d’employés » n’ont pas mes craintes.

Il est mignon Monsieur Pignon…

Du 1er juin 2013 au 24 octobre 2013 j’ai pu étudier 107 ordinateurs en accès libres. 37 Mac et 70 PC. J’ai pu mettre la main sur 25.811 documents que je considère comme sensibles. Sensibles car ils auraient pu permettre à un pirate informatique, je ne parle même pas de l’ambiance « Les services secrets étrangers nous surveillent », d’identifier et usurper une identité, une fonction, des projets professionnels.

Ci-dessous, quelques documents que j’ai pu croiser. Il s’agit, ici, de captures d’écrans effectuées avec mon appareil photo. L’ensemble des fichiers ont été effacés après mes découvertes et les directions des hôtels alertées, histoire de coller quelques affiches, ici et là, sur les mesures que les clients devraient prendre lors de leurs pérégrinations informatiques.

En déplacement, sortez armés lors de l’utilisation des ordinateurs des Hôtels

Je peux comprendre, je suis le premier concerné, qu’en déplacement, le besoin de rester connecter se fait rapidement sentir. Un petit coucou à la famille restée à la maison, aux courriels du patron ou quelques mises à jour sur son site web et autres blogs. Seulement, il n’est pas toujours évident de se promener avec son ordinateur portable sous le bras. Si c’est le cas, voyez nos méthodes de sécurisation physiques et numériques de votre – Précieux -. Prudence, aussi, aux connexions wifi offertes dans les hôtels. Dans la foulée de mes voyages, se promènent toujours avec moi, mes Pirates Box @zataz. Pourtant baptisées PirateBox, donc de quoi inquiéter ceux qui ne connaissent pas cette merveilleuse petite amie numérique, j’ai pu découvrir pas moins de 54.291 fichiers privés (80% de photos, ndlr) téléchargés par des inconnus. Je vous passe la possibilité malveillante d’une PirateBox Man-in-the-middle s’annonçant comme un « Hotel-Free-Wifi » ou « Starbux-Wifi-Free« . Il ne reste plus qu’à collecter les données sensibles transitant entre le « touriste » et le site qu’il visite. Pour éviter de se voir gober comme un gros Ananas, la sécurisation de vos connexions est une obligation. Un service VPN est indispensable en déplacement.

Nous utilisons pour ZATAZ, DataSecurityBreach ou pour mes autres employeurs l’excellent VyprVPN, ainsi que de nombreux systèmes d’anonymisation et chiffrement de données. Présent sur les 5 continents, plus de 200.000 IP et un pare-feu NAT loin d’être négligeable. Les pirates et les bots malveillants cherchent sur Internet les appareils non protégés qu’ils peuvent utiliser pour le vol d’identité et les messages indésirables. Ils accèdent à votre système par les connexions Internet qui sont ouvertes sur vos applications. En utilisant ces connexions, ils peuvent installer des malwares et voler vos informations personnelles. Le pare-feu NAT empêche leur recherche d’atteindre votre appareil ou ordinateur quand vous vous connectez avec VyprVPN. Autre service, celui-ci est Français, ActiVPN.

Ordinateurs des Hôtels

Autres solutions, chiffrer vos informations communiquées. OpenPGP, GPG, … sont d’excellents outils qui en cas d’oubli de fichiers dans une machine étrangère (chose impensable, mais bon, ndlr datasecuritybreach.fr) évitera qu’un inconnu puisse y accéder. Nous finirons avec l’outil de la société française Gith Security Systems. Elle tente d’offrir une réponse en proposant «Gith», la première plateforme gratuite de communications sécurisées sur Internet, destinée au grand public, PME et professions libérales. Pour simplifier le processus, Gith se présente sous la forme d’une application à installer, disponible sous Windows, Mac OS, Linux et prochainement iPhone/Android. Gith permet d’échanger des Emails, partager des documents («Cloud sécurisé») et faire du chat avec les autres utilisateurs. Une sécurité bien présente, mais totalement invisible. Toutes les données sont chiffrées de bout en bout, avec les meilleurs algorithmes actuels (RSA 2048, AES 256). Même en cas de vol de votre ordinateur ou infection par un virus, vos données sont inaccessibles : elles sont stockées chiffrées sur votre machine. La sauvegarde de votre clef secrète de chiffrement sous forme de QRCode vous permet facilement d’importer votre compte sur un autre ordinateur ou votre smartphone ! Nous utilisons cette solution. Elle mérite clairement d’être découverte et exploitée. A noter que Gith a été sélectionné pour l’opération 101 projets de Xavier Niel, Marc Simoncini et Jacques-Antoine Granjon. Le 18 novembre, présentation de Gith, en 1 minute, et tenter de décrocher 25k € de financement.

Bref, mes solutions de protection de vos données, en déplacement, ne sont pas infaillibles, mais devraient vous rappeler que le libre accès n’est pas la meilleure idée pour vos données privées. Et les ordinateurs des Hôtels font parti de ces fuites potentielles.

Fuites de données : la réputation des entreprises en danger via les ordinateurs des Hôtels

La grande majorité des entreprises qui doivent faire face à un problème de sécurité sont contraintes de révéler publiquement cette information, comme le révèle l’étude Global Corporate IT Security Risks 2013 menée par Kaspersky Lab auprès de 2 895 organisations à travers le monde. Les résultats sont sans appel. 44% des entreprises ayant été victime d’une fuite de données sont dans l’obligation d’informer leurs clients de l’incident, 34% informent leurs partenaires, 33% informent leurs fournisseurs, 27% remontent les fais à un organisme de contrôle ou de régulation, 15% doivent en informer les médias. A l’échelle mondiale, les grandes entreprises seraient les plus touchées. La législation change en faveur des internautes comme nous la nouvelle directive européenne votée le 12 août dernier.

Chiffrement, cryptage, Cybersécurité, Espionnae, Fuite de données

Les écoutes de la NSA : rien de nouveau sous les drapeaux

27 octobre 2013 Damien Bancal Un commentaire

La NSA a toujours été à l’écoute de ses alliés et des pays non alliés dans le cadre de la lutte anti-terroriste. Rappelons que lors de la découverte du programme Echelon en 2000, la classe politique française et européenne avait été choquée par cette découverte. Voyons messieurs les politiciens ! Echelon surveillait tout et tout le monde bien avant les années 2000, entre autres : les communications téléphoniques, les fax et les communications électroniques, celles qui transitent par ondes radio, voies hertziennes, satellites, câbles, fibres optiques, sans oublier, bien sûr, les réseaux informatiques.

Et les services français ne sont pas en reste. A la même époque, ils avaient développé leur propre système d’écoute, basé également sur Echelon, mais ne disposaient pas des mêmes moyens pour avoir une panoplie d’outils aussi large. Les entreprises comme Airbus, Thomson-CSF, Siemens, Wanadoo, Alcatel-Lucent et autres, ont toujours subi ce genre d’espionnage industriel. A l’heure où la France lance rapports sur rapports, livres blancs sur la défense et la sécurité nationale (2008 et 2013), tous abordant les questions concernant notre capacité de cyber défense, notre allié a affiné son programme d’écoute Prism et s’adapte aux nouveaux outils technologiques disponibles dans le monde. Il a ainsi créé un ensemble d’outils lui permettant d’effectuer des recherches de masse avec son moteur XKeyscore, alimenté par les différents programmes développés par la NSA (FairView, Evilolive, Prism), associés à sa capacité de surveillance des câbles sous-marins grâce à Upstream.

La NSA possède cette capacité phénoménale d’enregistrer l’ensemble du trafic mondial sur ses propres data center, lui donnant la possibilité de stocker ainsi cinq zettaoctets de données dans un seul de ses centres basé dans l’Utah. Pour comparaison, cela qui équivaut à la capacité de stockage de 250 milliards de DVD. Aujourd’hui, la question n’est plus de savoir ce qui est écouté, mais de mettre en évidence l’ensemble des techniques utilisées dans le cadre de l’espionnage ; les implications réelles des constructeurs et éditeurs de solution IT, et des opérateurs de télécommunications ; l’implication des sociétés de services de type Skype, Google, Facebook, Microsoft, etc. Avec l’avènement du Cloud Computing et du Big Data, des questions doivent être posées sérieusement.

Après les révélations d’espionnage, le Parlement demande la suspension temporaire de l’accord SWIFT. Après les tergiversations du Parti Populaire Européen qui a demandé un report du vote sans l’obtenir, les eurodéputés ont finalement adopté à une courte majorité (280 pour, 254 contre) une résolution demandant la suspension de l’accord SWIFT avec les États-Unis. En vertu de l’accord UE/États-Unis sur le Programme américain de pistage des financements terroristes (TFTP), approuvé en juillet 2010 par le Parlement européen, les autorités américaines peuvent avoir accès aux données bancaires européennes stockées sur le réseau de la société SWIFT (Society for Worldwide Interbank Financial Telecommunication), aux seules fins de lutte contre le terrorisme et dans le respect de certaines exigences de protection de la vie privée des citoyens.

Les médias brésiliens ont révélé le 8 septembre dernier que la NSA est capable d’entrer dans le système SWIFT depuis 2006, malgré les cryptages et les pare-feu. À l’occasion du débat du 9 octobre dernier en plénière, la Commission avait indiqué ne pas souhaiter, à ce stade, demander la suspension de l’accord SWIFT, car elle estimait qu’elle ne disposait d’aucune preuve selon laquelle les États-Unis auraient frauduleusement accédé à ce système.

Pour Françoise Castex, c’est inacceptable: « Il existe, selon nous, des indications claires selon lesquelles la NSA pourrait récupérer des informations relatives à nos entreprises et à nos concitoyens sur le serveur SWIFT et les détourner. Nous appelons les 28 à suspendre cet accord, le temps de faire toute la lumière sur cette affaire. Nous demandons, en outre, à EUROPOL d’ouvrir une enquête sur l’accès non autorisé aux données financières de paiement. »

Pour l’eurodéputée socialiste: « A partir du moment où votre partenaire vous espionne, la confiance est rompue. » Avant d’ajouter: « Depuis avril, je demande la suspension des accords PNR et SWIFT avec les USA. L’Europe devrait aller plus loin en gelant les négociations sur l’accord de libre-échange avec les États-Unis! ». De conclure: « Le respect des droits fondamentaux des citoyens européens doit être une condition préalable à tout accord! ». (Par Jean-François Beuze, Président de Sifaris et Madame La Député Françoise Castex pour DataSecurityBreach.fr)

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Fuite de données

La sécurité reste le principal frein à la transformation numérique des entreprises en Europe

14 octobre 2013 Damien Bancal Un commentaire

Selon une enquête réalisée à l’échelle européenne par Quocirca pour CA Technologies, les problématiques liées à la sécurité des données (propriétés intellectuelles, données personnelles et localisation de stockage) restent la principale barrière qui freine l’adoption du Cloud par les entreprises

1. L’enquête « L’Adoption des Services basés sur le Cloud » révèle qu’une majorité d’entreprises européennes (52%) restent prudentes vis-à-vis du Cloud. Parallèlement, une proportion équivalente (environ 25%) l’adoptent et le rejettent.

2. Le premier vecteur d’adoption du Cloud reste les économies de coût. Mais désormais, les entreprises cherchent également à améliorer leur efficacité en mettant l’informatique réellement au service des métiers. Le Cloud devient ainsi le levier d’accélération des stratégies de transformation que les entreprises appellent de leurs vœux depuis 30 ans.

3. La principale barrière freinant l’adoption du Cloud est la sécurité des données. 78% des entreprises réticentes pensent qu’elles ne disposent pas de ressources suffisantes et 65% considèrent qu’elles manquent des compétences nécessaires à la sécurisation de leurs services de Cloud. Mais les entreprises ayant déjà mis en œuvre des programmes de transformation numérique reposant sur le Cloud ont pris en compte dès le départ les problématiques de sécurité.

4. Pour consulter le rapport complet, « The Adoption of Cloud-Based Services », cliquez ici.

L’adoption des services de Cloud par les entreprises ne cesse d’augmenter. Une récente enquête réalisée par Quocirca pour le compte de CA Technologies révèle que 57% des DSI de grandes entreprises européennes utilisent des services de Cloud dès qu’ils le peuvent ou en complément à leurs propres ressources internes. Selon eux, les services de Cloud accroissent la compétitivité de l’entreprise (la productivité, l’efficacité et la collaboration), le tout pour un coût total de possession inférieur. Près d’une entreprise européenne sur deux est encore réticente à adopter le Cloud, du fait de préoccupations liées à la sécurité de leurs données 43% des entreprises européennes restent encore réticentes au Cloud. Parmi elles, on en compte 23% qui évitent de recourir au Cloud. 17% évaluent leur intérêt au cas par cas et 3% bloquent systématiquement l’accès au Cloud.

La principale barrière freinant l’adoption du Cloud est la sécurité. Plus de 54% de ces entreprises se déclarent préoccupées par les problématiques de sécurité liées à la propriété intellectuelle (vol de brevets, etc.), 43% par les problématiques de respect de la vie privée (exploitation de données personnelles, etc.) et 39% par le stockage de données confidentielles dans le Cloud (l’actualité relate quotidiennement des cas retentissants de vols et de fuites de données critiques).

Plus des trois quarts (78%) de ces entreprises françaises réticentes au Cloud déclarent manquer de ressources pour sécuriser ces services de Cloud et 65% de compétences adéquates. Ces chiffres laissent entendre que si on les aidait à mettre en œuvre et à sécuriser leurs services de Cloud, la plupart pourrait surmonter la principale barrière qui freine leur adoption.

Parmi les autres barrières mentionnées par les dirigeants informatiques interrogés, les législations sont perçues comme d’importants freins, principalement dans le secteur public, l’industrie et les télécommunications. Ceci soulève deux questions fondamentales :

– comment innover dans un contexte de régulation intense ?

– la loi est-elle un obstacle à l’innovation ?

La gestion des identités et des accès pour sécuriser les services de Cloud Les entreprises qui ont adopté le Cloud ont pensé à la sécurité dès le début de leur projet : 93% des entreprises françaises favorables au Cloud disposent d’un système de gestion des identités et des accès, contre seulement 48% des entreprises réticentes. 68% d’entre elles exploitent un modèle SaaS, contre seulement 30% des entreprises réticentes.

« Notre enquête prouve que la gestion des identités et des accès est primordiale pour les entreprises adoptant le Cloud. Les entreprises françaises encore réticentes peuvent surmonter leurs problématiques de sécurité et simplifier leurs processus grâce à des offres SaaS. D’ailleurs l’étude montre que 82% des entreprises favorables au Cloud considèrent que de nombreux services de sécurité – Single Sign On (SSO), gouvernance fédérée des identités et des accès – sont plus efficaces lorsqu’ils sont délivrés via des modèles SaaS ou hybrides », déclare Gaël Kergot, Directeur des Solutions de Sécurité chez CA Technologies.

Outre les gains d’efficacité, de productivité et de satisfaction des clients, les solutions de gestion des identités et des accès en mode SaaS répondent surtout au besoin de réduction de la complexité informatique exprimé par les entreprises européennes dans cette enquête. Qu’elles soient enthousiastes ou réticentes au Cloud, entre 30 et 40% d’entre elles considèrent que la complexité est encore un frein majeur au déploiement de services de Cloud. Ceci est notamment dû au fait qu’elles considèrent manquer des compétences nécessaires pour réussir leurs déploiements.

Actualités cybersécurité, protections des données pour PME/PMI/TPE