Archives de catégorie : Mise à jour

Cybersécurité, Emploi, Entreprise, Mise à jour

L’agence de renseignement du Danemark lance une académie de hacking

Académie de hacking – Décidément, le temps ou il fallait cacher son intérêt pour le hacking est bien révolu. Après la France, les USA, la Suisse, voici venir le Danemark. L’agence de renseignement Danoise vient de créer une académie dédiée au hacking.

Les services de renseignement Danois viennent de se lancer dans un recrutement qui a le mérite d’attirer l’œil. La DDIS (Danish Center for Cyber Security), le service de cyber renseignement danois lance une académie pour former des hackers. Mission, former des pirates informatiques éthiques capables de fissurer des systèmes de sécurité cybernétique compliqués. Une création en réponse aux nombreuses attaques vécues par le pays ces derniers mois. Le Danemark a dû repousser plusieurs cyber-attaques dont une contre le ministère des affaires étrangères (via un phishing) qui aura permis un espionnage de 7 mois. En décembre 2015, un DDoS a cloué les serveurs du Parlement danois.

King of Phantom : académie de hacking

Les admissions débuteront le 1er août 2016. Le service de renseignement ne va pas par quatre chemins et parle de recruter « de talentueux blackhats« . Pour rappel, un black hat n’est pas un hacker « sympathique« , mais plutôt du genre « casse tout ».

Les principales tâches du DDiS sont de collecter, traiter et diffuser des informations sur les situations qui touchent le Danemark, à l’étranger. Une partie du service se compose d’une unité spéciale dont la tâche est d’avoir accès à l’Internet fermé, aux  systèmes informatiques et aux ordinateurs. « Notre dispositif n’est pas fait pour tout le monde, et il préconise des compétences particulières et une certaine personnalité« .

Trois modules dans cette formation : un module de base où vous apprendrez les réseaux, l’infrastructure informatique et la sécurité avancée. Un module de défense où vous apprendrez comment se défendre face aux pirates. Un module offensive où vous apprendrez à pirater. L’annonce indique que la DDiS encourage tout le monde à participer « peu importe les antécédents personnels« .

Chiffrement, cryptage, Cybersécurité, Facebook, Mise à jour, Patch, Vie privée

Chiffrement de bout en bout pour WhatsApp

La filiale de Facebook, WhatsApp, permet de converser dorénavant en mode chiffré de bout en bout. Les messages et les conversations ne pourront plus être lus, ni écoutés. Chiffrement de bout en bout pour WhatsApp, vraiment ?

C’est officiel, Facebook vient de mettre de nouveaux bâtons dans les roues des autorités. Son outil de conversation WhatsApp vient d’être mis à jour. Dans cette mise à jour, une option chiffrement qui va beaucoup amuser le FBI. L’outil chiffre les messages textes et les conversations audios, et cela de bout en bout.

Chiffrement de bout en bout pour WhatsApp – La technologie ressemble à celle utilisée par les outils PGP, GPG… les interlocuteurs doivent posséder leur clé de chiffrement (la clé privée) et diffuser leur clé publique. WhatsApp s’en charge automatiquement et rend toute tentative de lecture des interceptions impossibles. Si les contenus ne sont pas « lisibles », les interceptions sont toujours possibles (Wi-fi ouvert…).

Mais prudence, comme le rappel sur Twitter 0x356CDCDE, c’est avant tout une annonce marketing. « Le problème de Whatsapp, c’est surtout que c’est une application propriétaire, donc pas de peer review du code source… » Bilan, rien n’empêche de penser que Facebook posséde une MasterKey, un passe-partout pour déchiffrer les messages.

Pendant ce temps…

… la grande dame qu’est la CNIL vient de prononcer un avis particulièrement intéressant concernant l’utilisation dans les procédures judiciaires de « portes dérobées« . Une backdoor dans un téléphone, un ordinateur, une tablette, pourrait permettre de passer outre le mot de passe et le système de chiffrement proposé de base, comme pour les appareils sous Android et iOS.

La présidente de la Commission Nationale Informatique et des Liberté, Isabelle Falque-Pierrotin, a indiqué vendredi 8 avril, lors de la conférence de presse Annuelle de la CNIL que « autoriser […] backdoors ou portes dérobées n’est pas une bonne solution […] L’idée qu’au nom de cet impératif de sécurité il faille mettre en place des backdoors pour, dans tous les cas, permettre aux services de police d’accéder à une information qui sera le cas échéant cryptée et non décryptable, cette solution n’est pas une bonne solution ».

Pour la CNIL, le chiffrement est indispensable et il y a suffisamment « de dispositifs dédiés permettant l’accès aux données, réquisitions, captations de données informatiques, techniques de collectes mises en place par la loi renseignement ».

Entreprise, Fuite de données, Mise à jour, Patch, Social engineering, Téléphonie

43 heures de communications pirates pour la Ville de Solignac

La commune de Solignac se fait pirater son standard téléphonique. Aucun employé ne s’était rendu compte du problème. L’opérateur va réagir après avoir découvert 43 heures de communications pirates durant le week-end de Pâques.

Que dire ? Les petites et moyennes communes ne prennent pas leur sécurité informatique au sérieux. Le silence est d’or, l’excuse du droit de réserve a bon dos… Le dos de l’argent et des données des contribuables s’envolant à coups de piratages, fuites de données, ransomwares, phreaking…

C’est d’ailleurs du phreaking, piratage dans la téléphonie, qui vient de toucher une commune de la région de Limoges. La Direction Générale de la mairie de Solignac a été alertée par l’opérateur Orange d’un étrange comportement de sa ligne téléphonique. Le pirate est un malin, 43 heures d’appels téléphoniques illicites sur le dos des finances de la ville, entre le samedi après-midi et la nuit du lundi au mardi du week-end de Pâques.

Les phreakers sont particulièrement bien organisés. Je peux en croiser, dans certains blackmarkets,  proposant ce type de service. Durant ces trois jours, 283 appels à destination de l’Azerbaïdjan, le Pakistan, le Liberia, la Somalie,  les Iles Falkland, les Maldives et Haïti. Bref, plusieurs dizaines de milliers d’euros envolés.

Du piratage de standard téléphonique qui n’est pourtant pas une nouveauté. Malheureusement, je croise trop de chefs de service aux égos surdimensionnés, aux titres ronflants et à l’incapacité de gérer l’informatique, la sécurité, ou simplement la communication sur ce type de méfait. Je ne parle même pas des budgets qui se réduisent comme peau de chagrin et des employés territoriaux devenus responsables informatiques par l’effet du Saint-Esprit (comprenez le piston). Je ne généralise pas, mais mes constatations me font dire que cela ne s’arrange pas. En novembre 2015, 43 000 € de détournement téléphonique au Conseil Départemental des Deux-Sévres ; 15 000 à la commune de Pessac, 15 000 pour la commune de Licques… et ici, je ne parle que des cas connus.

Communications pirates : ce que dit la loi

Pour les pirates, la loi est claire : piratage, escroquerie, … entre 5 et 7 ans de prison et jusqu’à 350000 euros d’amende. Pour l’entreprise impactée, il est dorénavant possible de se retourner contre le prestataire de service, l’entreprise qui a pris en charge l’installation du standard. Une jurisprudence condamne les intégrateurs dans la mesure où ces derniers n’ont pas informé et formé leurs clients.

Base de données, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, ransomware, Sauvegarde

Récupération des données en cas de ransomware : 6 règles à respecter

Récupération des données en cas de ransomware ! Catastrophes naturelles, pannes de courant ou d’équipements, piratage informatique, erreurs de manipulation, virus… La liste des menaces potentielles planant sur les données et les activités d’une entreprise est sans fin. La grande mode des ransomwares permet, malheureusement, de rappeler que la sauvegarde informatique n’est pas un gadget.

Les meilleurs outils pour se protéger d’un ransomware existent-ils ? Efficace à 100 %, non. La sauvegarde est le principal secours [le meilleur outil étant de ne pas cliquer sur le fichier joint envoyé par un inconnu]. En suivant des stratégies éprouvées de récupération des données en cas de sinistre, les professionnels de l’informatique peuvent protéger efficacement les données de l’entreprise et garantir que cette dernière reste opérationnelle en cas de désastre d’origine naturelle ou humaine, et même en cas de cyberattaque. Plusieurs étapes existent pour protéger son entreprise et réduire l’impact d’un sinistre.

Planifier et se documenter – Se préparer à un sinistre éventuel consiste tout d’abord à accepter pleinement le fait qu’un désastre peut se produire. Il faut pour cela visualiser les désastres potentiels, qu’il s’agisse d’un incendie détruisant le centre de traitement des données ou d’une panne d’un serveur hébergeant des données critiques. La première étape est donc de préparer des plans de restauration des données spécifiques pour chaque scénario, et de documenter chaque étape nécessaire. Cela représente un investissement de temps, mais le temps passé à planifier maintenant peut sauver l’entreprise de la faillite plus tard.

Répliquer les applications – La protection des données de l’entreprise est essentielle en cas de désastre. Mais pour assurer la continuité des activités, il est également important que les applications de l’entreprise restent fonctionnelles et accessibles aux employés, clients et partenaires, car toute interruption des opérations à la suite d’un désastre peut causer d’importants dommages. Les professionnels de l’informatique doivent sauvegarder les applications comme Active Directory, SQL, les serveurs de courrier électronique, ERP, CRM… ainsi que toutes les applications requises pour permettre aux utilisateurs d’accéder aux données et aux services.

Utiliser une protection sur site et hors site – La sauvegarde et la restauration des données et applications représente une étape cruciale pour la préparation à un désastre éventuel. Mais si le serveur stockant les données de sauvegarde est dans la même pièce – ou sur le même lieu – que le serveur de stockage des données originales, les deux peuvent être endommagés simultanément, notamment en cas d’inondation ou d’incendie. Pour se prémunir de ce type de risque, les entreprises peuvent sauvegarder et répliquer les données et les systèmes sur un équipement basé sur site et dans le Cloud. En cas de panne, la récupération à partir de la sauvegarde Cloud est rapide et l’entreprise peut redémarrer localement ou dans le Cloud. Cette approche hybride, basée sur le Cloud, protège les données dupliquées contre une destruction éventuelle.

Récupération des données en cas de ransomware

Automatiser – Les désastres ne s’invitent que rarement au moment opportun, et même les professionnels les plus avertis peuvent avoir une réaction conflictuelle. En effet, les membres de l’équipe informatique peuvent avoir des préoccupations personnelles en tête, plus ou moins importantes selon la nature du désastre. La disponibilité, ou l’indisponibilité des techniciens IT en cas de désastre, peut donc impacter la durée d’arrêt de l’activité pour l’entreprise. L’automatisation d’un maximum de procédures permet de réduire considérablement le facteur humain dans une équation déjà très complexe. Prudence, cependant à une automatisation sans contrôle. La récupération des données en cas de ransomware doit se faire avec réflexion. Des cas de chiffrements de fichiers, à la suite d’un ransomware, se sont retrouvés dans les backups… automatisés.

Effectuer des tests réguliers – L’élaboration d’une stratégie et le déploiement d’une technologie de récupération des données constitue un bon départ. Elle pourra vous sauver en cas de besoin de récupération de données en cas de ransomware, incident… Mais il faut aller plus loin pour véritablement se protéger. Pour s’assurer que la stratégie de récupération en cas de désastre fonctionne avec les outils choisis, il faut procéder régulièrement à des essais pour vérifier le plan de sauvegarde. Les tests permettent de s’assurer que le plan fonctionne toujours parfaitement, même en cas d’ajout de nouveaux éléments au sein du réseau ou du centre de données.

Déléguer pour plus d’efficacité – Pour la plupart des entreprises, un sinistre n’arrive heureusement pas tous les jours. C’est pourquoi même les professionnels de l’informatique les plus aguerris peuvent profiter d’un coup de main pour la récupération des données après un désastre. Lorsque de l’élaboration du plan et du choix de la solution, il est important de travailler avec un partenaire spécialisé dans ce domaine, bénéficiant d’une expérience et d’une expertise pour garantir une récupération réussie. Ces 6 étapes permet de s’assurer que le sinistre, quelque soit sa taille et sa nature, n’entraine pas une grande période d’interruption de services et une perte de données. (Par Serguei Beloussov, CEO d’Acronis)

Cybersécurité, Entreprise, Mise à jour, Patch, Propriété Industrielle

Bug Bounty : quand les entreprises peuvent faire appel aux hackers

Chercher des failles, corriger son système informatique pour contrer les pirates, voilà l’idée proposée depuis trois mois par la Bounty Factory. Cette start-up française propose aux entreprises de regarder en direction du Bug Bounty.

Il y a trois mois était lancé sur la toile Européenne une petite révolution dans le monde de la sécurité informatique. Sous le nom de la Bounty Factory, une start-up normande propose aux entreprises de réfléchir à leur sécurité informatique via une nouvelle option loin d’être négligeable, le Bug Bounty. Comme l’explique ZATAZ.COM, la Bounty Factory propose aux responsables de sécurité informatique des sociétés Françaises et Européennes de rencontrer des talents et des passionnés informatiques pour sécuriser leurs systèmes.

Lancée en janvier 2016, la Bounty Factory a vu 300 personnes s’inscrire à sa bêta fermée, et cela en deux semaines. Preuve de l’intérêt de ce sujet. « Plusieurs sociétés nous ont contacté » indiquent les fondateurs. La version publique de bountyfactory.io arrive. Autant dire que les amateurs de Bug Bounty sauront où se diriger.

Android, Chiffrement, cryptage, Cybersécurité, Fuite de données, ios, Justice, loi, Mise à jour, OS X, Smartphone, Téléphonie

Apple vs. FBI : suite et fin ?

Apple vs. FBI – Suites du jugement rendu mardi 16 février par la Cour fédérale du Riverside en Californie, dans lequel cette dernière exigeait de la multinationale « une assistance technique raisonnable » au FBI afin de lui permettre d’accéder au contenu crypté de l’iPhone d’un des auteurs présumés de la fusillade de San Bernadino.

Il semblerait que le gouvernement qui parallèlement à ce jugement poursuivait ses efforts pour accéder au contenu de l’iPhone soit arrivé à ses fins. Le FBI contacté par un tiers serait sur le point de parvenir à accéder (si ce n’est déjà le cas) aux données de l’iPhone. S’en est suivie la levée d’une audience qui devait se tenir ce mardi. Le test de la viabilité de méthode fera l’objet d’un rapport d’évaluation et sera prochainement communiqué au juge en charge de l’affaire, Sheri Pym.

Il y serait parvenu sans l’aide d’Apple. Dans une telle hypothèse, la personne à l’origine de cette méthode pourrait néanmoins s’exposer à des poursuites judiciaires. Selon Robert Enderle, expert en technologies, il pourrait s’agir de John McAfee (créateur de l’anti-virus éponyme), ou d’un ancien employé d’Apple. En France, cette personne aurait pu être poursuivie sur le fondement des articles L 323-1 et suivants du Code pénal qui incriminent l’accès ou le maintien frauduleux dans un système automatisé de traitement des données. S’il s’agit d’un ancien employé d’Apple, il pourrait se voir opposer la clause de confidentialité présente dans son ancien contrat de travail.

Apple vs. FBI

En réalité, il serait surprenant qu’Apple ne soit pas intervenu. La version des faits telle qu’avancée par le gouvernement américain constituerait un juste milieu et permettrait à Apple de collaborer avec le FBI tout en maintenant son image de garant des libertés fondamentales auprès des consommateurs. En effet, depuis le jugement du 16 février dernier, la multinationale était dans une position ambigüe puisque si fournir au FBI un moyen pour accéder au contenu de l’iPhone permet de démontrer qu’Apple participe à lutter contre le terrorisme, a contrario cela engendrerait une menace de sécurité pour ses clients.

Depuis l’affaire Snowden qui avait révélé une collecte massive des données par la NSA dépassant le cadre sécuritaire, les sociétés américaines surfant sur cette vague d’indignation ont fait de la sécurité des données un véritable argument marketing. Si l’inviolabilité des téléphones rassure les consommateurs, les autorités regrettent qu’elle puisse aider la criminalité. Cette affaire ravive ainsi le débat sur la nécessité d’accéder aux contenus en vue de lutter contre le terrorisme d’une part et de renforcer la sécurité des données, d’autre part. D’un point de vue informatique, le premier suppose l’introduction d’une faille de sécurité dans le programme au moyen notamment des backdoors (ou « portes dérobées »), tandis que le second vise à rendre le logiciel infaillible à toute intrusion tierce.

Dans l’un comme dans l’autre cas, l’impact en termes d’image est négatif pour Apple. Il semble qu’elle s’en soit néanmoins sortis de cette confrontation Apple vs. FBI. Ainsi, lundi dernier alors que le FBI affirmait détenir une méthode viable pour accéder aux données de l’iPhone, Tim Cook déclarait que « nous devons décider en tant que nation quel pouvoir devrait avoir le gouvernement sur nos données et notre vie privée ».

En France, le projet renforçant la lutte contre le crime organisé, le terrorisme et leur financement qui sera prochainement en discussion devant le Sénat, complète l’article L 230-1 du Code pénal qui permet aux autorités judiciaires de désigner toute personne morale ou physique en vue d’accéder à des données chiffrées. Ce faisant, il disposera désormais en son dernier alinéa que « le fait, pour un organisme privé, de refuser de communiquer à l’autorité judiciaire requérante enquêtant sur des crimes ou délits terroristes (…) des données protégées par un moyen de cryptologie dont il est le constructeur, est puni de cinq ans d’emprisonnement et de 350 000 euros d’amende », l’amende étant portée au quintuple concernant les personnes morales. (Par Maitre Antoine Chéron, avocat spécialisé en propriété intellectuelle et NTIC, fondateur du cabinet ACBM.)

Base de données, Chiffrement, cryptage, Cybersécurité, Emploi, Entreprise, Mise à jour, Sauvegarde

Un tiers des pertes de données des entreprises se produit lors du déplacement des données

Les migrations de données et les mises à jour des systèmes d’exploitation présentent des risques de pertes de données selon une étude Kroll Ontrack.

Une étude Kroll Ontrack menée auprès d’environ 600 administrateurs IT dans le monde montre qu’un tiers (32 %) des organisations a perdu ses données pendant la migration d’un support de stockage sur un autre ou au cours d’une mise à jour de leur système. Kroll Ontrack a aussi noté que plus de la moitié (57 %) des répondants disposait d’une sauvegarde, les trois quarts (75 %) n’étaient pas capables de restaurer toutes leurs données perdues, et plus d’un sur cinq (23 %) incapable de retrouver une seule donnée.

Les résultats de l’enquête 2016 sont cohérents avec les études de ces trois dernières années : plus de la moitié des particuliers et des entreprises perdent des données malgré la mise en place d’un système de sauvegarde. Interrogés sur leurs pertes de données à la suite d’une migration ou d’une mise à jour, les répondants équipés d’un système de sauvegarde ont expliqué que la sauvegarde n’était pas à jour (17 %) ou défaillante (15 %), le support n’était pas inclus dans la sauvegarde (14 %), ou la sauvegarde était corrompue (11 %).


« Les mises à jour et la migration de données font partie du quotidien en informatique, c’est donc inquiétant de voir qu’il y a autant d’entreprises victimes d’une perte de données parce que leurs protocoles de sauvegarde échouent. » indique à DataSecurityBreach.fr Antoine Valette, Business Manager Kroll Ontrack France. « Nous constatons que les mises à jour et les processus de migration sont un risque quel que soit le support, téléphone portable, ordinateur portable, PC ou serveur. Les entreprises doivent bien sûr veiller à avoir une stratégie de sauvegarde rigoureuse et la tester régulièrement pour valider son efficacité ; notre étude montre que ces pratiques sont d’autant plus critiques avant une migration. »

Système d’exploitation ou matériel : quel est le plus risqué pour les pertes de données ?
La perte de données se produit aussi fréquemment sur des supports autonomes que sur des serveurs. La moitié (50 %) des répondants déclarent avoir perdu ses données pendant la migration vers un nouveau logiciel ou plate-forme, à partir d’un ordinateur de bureau ou d’un ordinateur portable. Les mises à jour des systèmes d’exploitation sont les plus à risque (39 %), suivies par les clones des médias (22 %), puis les migrations physiques du matériel (20 %) ou la mise à jour du matériel (17 %).

Les résultats indiquent que la perte de données est moins un problème pour les utilisateurs de mobile, mais affecte tout de même plus d’un tiers (34 %) des répondants. Malgré les mises à jour automatiques des téléphones portables, 53 % des répondants déclarent avoir perdu leurs données pendant la migration vers un nouveau portable.

Échelle des risques pertes de données
Quand on demande aux participants de l’étude d’estimer quelles seront les principales causes de perte de données en entreprise au cours des 12 prochains mois, ils classent les migrations et les mises à jour des systèmes en bas de leur échelle de préoccupation, alors qu’un tiers des répondants a perdu des données au cours de ces opérations. A la place, les répondants classent les défaillances matérielles (22 %), les erreurs d’utilisation (22 %) et les erreurs imprévues et inattendues (21 %) comme les principaux risques de perte de données. Seulement 11 % considèrent que le faible contrôle interne des données est un risque majeur.

Android, Antivirus, Cybersécurité, Logiciels, Mise à jour, Sécurité, Smartphone, Téléphonie

Avira lance AppLock+ : confidentialité et gestion à distance des applications Android

Avira, développeur du logiciel Avira Antivirus, annonce le lancement d’Avira AppLock+, l’application qui permet aux propriétaires d’appareils Android d’exercer un contrôle direct sur le type d’application utilisé sur leur appareil ainsi que sur le lieu et l’heure d’utilisation de chaque application – même lorsque l’appareil n’est pas à portée de main ou éteint à l’école. AppLock+ est disponible gratuitement pour les appareils Android, avec des fonctionnalités additionnelles pour les utilisateurs Premium.

L’application AppLock+ Avira donne aux utilisateurs un contrôle direct sur chaque application installée sur leur appareil et la possibilité de restreindre l’activité de l’application à l’aide d’un code PIN, de l’heure et de l’emplacement géographique. Qui plus est, AppLock+ permet aux utilisateurs de gérer à distance l’utilisation de leurs appareils et applications via le tableau de bord Avira Online Essentials.

« Grâce à un niveau de contrôle précis et à la possibilité de restreindre l’activité des applications en temps et lieu, AppLock+ apporte une solution au problème crucial auquel sont confrontés les parents à travers le monde : comment empêcher les enfants de jouer avec un smartphone ou d’accéder à leurs comptes sur les médias sociaux pendant les cours, tout en restant joignables », explique Andrei Petrus, chef de produit chez Avira.

Le besoin de contrôler l’utilisation de smartphones à l’école est une priorité des temps modernes étant donné que les enfants possèdent des téléphones de plus en plus tôt. En Allemagne, un quart des enfants âgés entre 8 et 9 ans possèdent déjà un smartphone, un taux qui passe à 85 % pour les jeunes de 12 ans, à en croire une enquête menée par BITKOM. Tandis que le multitâche est devenu un mot de gestion à la mode, les éducateurs sont quant à eux de plus en plus critiques envers son impact sur les cerveaux encore en développement.

L’application AppLock+ n’est pas destinée seulement aux parents, mais aussi aux utilisateurs soucieux de préserver leur vie privée, précise Andrei Petrus. « En donnant aux propriétaires d’appareils le contrôle sur l’accès et l’utilisation de leurs applications, AppLock+ leur permet de décider des données qu’ils souhaitent partager ou non. Cela vient combler le point faible d’Android d’un verrouillage par défaut unique de l’appareil. De plus, nous avons inclus notre tableau de bord Online Essentials dans AppLock+, facilitant ainsi aux utilisateurs la gestion à distance de tous leurs appareils ».

AppLock+ propose une contrôle parental – Contrôle intelligent en douceur
AppLock+ permet aux parents de fixer des limites saines à l’utilisation de smartphones sans être indiscrets. Les applications de jeux peuvent être bloquées à l’entrée de l’école avec des restrictions de verrouillage géographique ou après l’école avec des limites de temps pour les médias sociaux pour la version Premium.

Protection de la vie privée – Partagez selon vos propres conditions
Avec AppLock+, l’utilisateur décide des applications et des données privées auxquelles une autre personne peut accéder sur son smartphone. Les applications peuvent être verrouillées par PIN et gérées de façon individuelle ou en groupes. C’est son appareil, AppLock+ lui donne le choix de partager ou non ce qu’il contient.

Gestion à distance – Supervisez les activités de l’appareil où que vous soyez
AppLock+ permet à tous les utilisateurs de verrouiller ou déverrouiller les applications à distance sur leurs appareils récemment gérés via Avira Online Essentials, le tableau de bord en ligne inclus dans les produits Antivirus Security de ses clients particuliers et professionnels.

Cloud, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, ID, Identité numérique, Leak, Mise à jour, Particuliers, Phishing, Piratage, Social engineering

Partage de fichiers et phishing

Le partage de fichiers devient le service le plus ciblé par le phishing. Près d’une URL malveillante sur cinq utilise un service de partage de fichiers.

Le phishing via les services de partage de fichiers a explosé au cours des trois derniers mois, classant ainsi les services Cloud de distribution de fichiers en tête de liste des secteurs les plus ciblés par des actions malveillantes, selon une étude de Bitdefender.

À l’échelle mondiale, le partage de fichiers est davantage utilisé pour propager les arnaques de phishing que les achats en ligne et les services de paiement, qui sont les couvertures traditionnellement favorisées par les hackers. Près d’une URL malveillante sur cinq utilise un service de partage de fichiers pour infecter les utilisateurs avec des malwares, comme le montrent ces dernières données Bitdefender.

Le manque d’innovation de cette technique est compensé par sa facilité d’utilisation et la popularité des services de partage de fichiers entre particuliers. L’an dernier, Dropbox a atteint la barre des 400 millions d’utilisateurs ayant stocké 35 milliards de fichiers Microsoft Office, tandis que Google Drive en hébergeait 190 millions en 2014.

Il est également important de noter que les services de partage de fichiers et de stockage dans le Cloud ne disposent pas des fonctions de sécurité pour filtrer les contenus illicites. Les pirates profitent de cette lacune pour dissimuler leurs fichiers infectés par des malwares, sans laisser de trace.

Par exemple, Dropbox n’examine pas les fichiers détenus dans les dossiers privés des utilisateurs. Cependant, ce service a réussi à mettre en place un système basé sur le hachage qui reconnaît le contenu protégé par des droits d’auteur. Cela permet de générer automatiquement une empreinte pour les fichiers stockés. Celle-ci est ensuite comparée avec une liste des empreintes de fichiers protégés par un copyright et les contenus sont bloqués uniquement si les utilisateurs essaient de les partager avec des contacts externes. Sans grande surprise, Dropbox se place au 4e rang des marques les plus usurpées, après PayPal, Apple et Google.

Une attaque typique suit globalement ce procédé : l’utilisateur reçoit un e-mail en apparence authentique, l’invitant à cliquer sur un lien intégré afin d’afficher un document en pièce jointe. Ce lien redirige l’utilisateur vers une page de phishing hébergée sur le nom de domaine du fournisseur. La page en question demande les informations d’identification de l’utilisateur, puis les capture pour envoyer ces données aux cybercriminels via un SSL. Si les certificats SSL s’assurent que les données sur un site Web sont présentées de manière sécurisée, ils ne garantissent pas que le site lui-même soit sécurisé. C’est pourquoi les pirates en profitent : ils achètent des certificats SSL bon marché et les utilisent sur des sites de phishing pour se faire passer pour des sites légitimes.

En général, les cybercriminels ne se limitent pas à vouloir dérober uniquement de simples identifiants de service de stockage en ligne ; les URL malveillantes peuvent, par exemple, pousser les utilisateurs à télécharger des crypto-ransomwares à leur insu. Dans ce cas, les conséquences sont beaucoup plus graves car les nouvelles générations de ransomwares peuvent prendre le contrôle des fichiers stockés par ces services d’hébergement en ligne. La plupart des sites de phishing sont hébergés aux États-Unis.

« Le phishing reste un vecteur d’attaque très efficace, responsable d’une part de plus en plus élevée d’incidents provoquant des fuites de données, touchant aussi bien les particuliers que les entreprises », déclare Bogdan Botezatu, Analyste Senior chez Bitdefender. Le phishing est une technique encore très efficace et dont la proportion connaît des niveaux sans précédent comme l’a récemment souligné l’IRS (Internal Revenue Service) aux États-Unis avec une augmentation de +400% d’e-mails et de messages faussement légitimes, envoyés en 2015.

Si un employé est victime d’un e-mail de phishing, il peut compromettre à son insu l’ensemble du réseau de l’entreprise, y compris les comptes bancaires, mots de passe du système informatique et identifiants professionnels. Le spear-phishing (phishing personnalisé visant un utilisateur) est efficace parce qu’il est crédible. C’est pourquoi il est conseillé aux utilisateurs d’éviter de trop partager leurs données personnelles sur les plates-formes publiques et de ne pas ouvrir de liens et de fichiers provenant de sources inconnues.

Adobe, Cybersécurité, Logiciels, Microsoft, Mise à jour, OS X

Patch Tuesday Mars 2016

Patch Tuesday Mars 2016 – Microsoft publie 13 bulletins, dont 5 sont considérés comme critiques. Même ambition de correction pour Adobe.

Ce mois-ci, la première place de notre classement du Patch Tuesday revient au bulletin MS16-023 consacré à Internet Explorer. Ce dernier résout 13 vulnérabilités, toutes classées comme critiques. L’exploitation de ces vulnérabilités critiques créé la situation la plus dangereuse, en l’occurrence l’exécution de code à distance (RCE) qui donne à l’attaquant le contrôle complet de la machine ciblée. Ces attaques contre Internet Explorer proviendraient de sites Web malveillants créés à dessein ou de sites inoffensifs servant de vecteurs et contenant les exploits destinés à infecter les visiteurs habituels.

Si vous êtes sous Windows 10 et que vous avez opté pour le navigateur Edge, le bulletin MS16-024 fait partie de vos priorités. 11 vulnérabilités au total dont 10 critiques indiquent que les chercheurs en sécurité ont concentré leur attention sur Edge, qui a lentement perdu du terrain sur Internet Explorer en termes de vulnérabilités. En décembre 2015, nous en étions encore à 30 contre 15 et maintenant, en mars, à 13 contre 11.

Le prochain bulletin sur la liste de ce Patch Tuesdsay est le MS16-029 qui contient une nouvelle version de Microsoft Word. Word est souvent utilisé pour véhiculer des exploits, à la fois dans des documents en ligne et dans des pièces jointes. Les vulnérabilités permettant à l’attaquant d’exécuter du code RCE pour contrôler les machines ciblées doivent être résolues dans les meilleurs délais.

Le groupe de vulnérabilités suivant concerne Windows Media Player (bulletin MS16-027), les polices OpenType (bulletin MS16-026) et la nouvelle visionneuse PDF Reader à partir de Windows 8 (bulletin MS16-028). Toutes ces failles sont critiques et facilitent l’exécution de code RCE. Elles s’attaquent toutes à des problèmes de formatage complexes, que ce soit dans le lecteur Windows Media Player avec le format vidéo MPEG, dans les polices OpenType avec une référence circulaire qui provoque une récursion ou dans la visionneuse PDF avec une vérification des limites qui fait défaut dans l’interpréteur PostScript. Le flot continu de vulnérabilités dans ces domaines indique le niveau de complexité des formats de médias que nous utilisons tous les jours.

Les bulletins restants résolvent des vulnérabilités classées comme « importantes ». Ces dernières entrent essentiellement en jeu lorsqu’une élévation de privilèges est sollicitée, une fois qu’une des vulnérabilités critiques a permis de s’introduire sur la machine ciblée. Vous devriez traiter ces vulnérabilités dans les 45 jours pour éviter ce type d’utilisation secondaire.

Microsoft n’est pas le seul éditeur à résoudre les problèmes de sécurité liés au format PDF. Adobe publie en effet une nouvelle version d’Adobe Reader dans sa mise à jour de sécurité APSB16-09 qui résout trois failles de sécurité critiques. Si vous utilisez Adobe Reader ou la suite Acrobat, il s’agit d’une priorité pour vous. Si vous suivez ces mises à jour, vous aurez remarqué l’absence de la mise à jour APSB16-08 (APS16-07 concernait Adobe Connect le mois dernier). Probablement une mise à jour de Flash reportée pour faire des tests supplémentaires ou y inclure un correctif de dernière minute pour une vulnérabilité en cours.

Et une première pour Apple ce mois-ci. Le célèbre client bit torrent « Transmission » a été infecté par un ransomware. Heureusement, ce client n’a été disponible en téléchargement que pour une durée de moins de 12 heures et Apple a rapidement révoqué son certificat de signature et mis à jour les signatures dans XProtect. Vérifiez néanmoins si Transmission 2.90 est sur votre réseau et isolez-le une fois découvert.

Aucune menace 0-Day ni vulnérabilité immédiatement exploitable ce mois-ci. Mais appliquez tous ces patches dès que possible et dans tous les cas. En effet, certains attaquants sont capables de convertir rapidement des vulnérabilités en exploits, souvent en moins de 10 jours. (Analyse publiée par Wolfgang Kandek, CTO de Qualys, Inc. dans The Laws of Vulnerabilities)