Archives de catégorie : Mise à jour

Adobe, Apple, Cyber-attaque, Cybersécurité, ios, iOS, Linux, Linux, Logiciels, Microsoft, Mise à jour, OS X, Patch, Piratage, Smartphone

Windows, moins dangereux qu’iOS et OS X d’Apple

Le National Vulnerability Database, qui recense les failles dans les logiciels et autres applications web indique que l’année 2014 aura été l’année des vulnérabilités pour iOS, OS X Apple et Linux. Windows se classe 4ème.

Voilà qui a fait pas mal parler chez les « trolleurs » en tout genre. Mais il faut bien l’admettre, la firme de Redmond a mis les bouchées double pour protéger son OS, Windows. Bilan, la National Vulnerability Database, qui recense les failles (19 par jour en 2014) a classé l’OS de Microsoft plus sécurisé qu’iOS, OS X Apple. Même Linux, classé 3ème, dans ce top 4, devance Microsoft du point de vu des failles découvertes l’année dernière. Les problèmes dans les systèmes d’exploitation (OS) ne représentent que 13% des failles recensées en 2014. 1.705 failles recensées. 182 failles de moins que l’année record, en 2010. Les navigateurs sont toujours montrés du doigt. Internet Explorer, en 2014, a souffert de 242 brèches dangereuses. Chrome (124) et Firefox (117) ont dépassé la centaine de failles. (gfi)

Cyber-attaque, Cybersécurité, Leak, Mise à jour, Piratage, Virus

Babar n’est peut-être pas un code malveillant Français

Un commentaire

Les experts du G DATA SecurityLabs ont analysé le code malveillant mentionné par les documents du CSEC, communiqués par Edward Snowden. Avec l’analyse de Babar, les experts du G DATA SecurityLabs confirment les informations dévoilées par les documents d’Edward Snowden sur l’existence d’un énième outil d’espionnage étatique. Mais l’origine française, avancée par le Communication Security Establishment Canada (CSEC) dans les documents dévoilés, ne peut toutefois pas être confirmée.

Environ un an après que l’opération SNOWGLOBE ait été publiquement mentionnée pour la première fois par le journal Le Monde, des experts en sécurité ont mis la main sur des échantillons de codes malveillants qui correspondent aux descriptions faites par le Communication Security Establishment Canada (CSEC).

Analyse détaillée de Babar

Le G DATA SecurityLabs publie la première analyse du code nommé Babar. Après les premières révélations sur EvilBunny, Babar est maintenant le second composant identifié en relation avec l‘opération SNOWGLOBE, provenant vraisemblablement des mêmes développeurs. Les fonctionnalités de Babar vont de l’enregistrement de frappes claviers, du presse papiers jusqu’aux conversations audio.

Des documents de Snowden comme base de travail

La révélation de l’existence d’un autre spyware étatique est faite en mars 2014, lorsque Le Monde publie des informations secrètes datant de 2011. Mais ces informations ne révèlent qu’une petite partie de l’histoire. En janvier 2015, le journal allemand Der Spiegel publie une autre série de documents qui donne plus d’informations sur ce que le Communication Security Establishment Canada (CSEC) a identifié: l‘opération Snowglobe. Découverte en 2009, cette campagne repose sur trois «implants» différents, deux nommés „Snowball“ et un plus sophistiqué, découverts mi-2010 et prénommé „Snowman“. Selon la diapositive 22, « le CSEC évalue, avec certitude modérée, Snowglobe comme un CNO [Opération Réseau Cyber] parrainé par un État, et dirigé par une agence de renseignement française.« 

Plusieurs codes malveillants en jeu

Avec l’analyse de Babar et d’EvilBunny, les experts du G DATA SecurityLabs ont trouvé des échantillons correspondants aux descriptions du CSEC. EvilBunny et Babar correspondent à deux des trois implants mentionnés. Le nombre de similitudes entre EvilBunny et Babar montre que ces deux codes sont issus des mêmes développeurs. De plus, les analyses laissent penser que les échantillons sont des versions plus récentes que celle décrite par le CSEC.

Origine non confirmée

Mais les experts ne peuvent pas confirmer l’information concernant l’origine des codes malveillants. Les informations du CSEC sont en partie confirmées dans les analyses du code, mais aucune preuve formelle n’a été trouvée. Même si un grand nombre de questions restent sans réponse, ces analyses marquent un pas important dans la validation des diapositives dévoilées.

BYOD, Chiffrement, Cloud, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Mise à jour, Patch, Piratage, Propriété Industrielle

Pourquoi de bonnes résolutions ne suffisent pas à se protéger en 2015 ?

Face aux cyber-menaces, les entreprises doivent s’ouvrir à de nouvelles approches en termes de cyber-sécurité.

Le paysage des cyber-menaces est en évolution permanente. Les attaques ciblées se multiplient tandis que les modes opératoires deviennent de plus en plus complexes et uniques, rendant ces menaces extrêmement difficiles à identifier. Pour ces raisons, la cyber-sécurité est devenue, aujourd’hui, une problématique prioritaire pour la plupart des entreprises.

Dans ce contexte, il existe quelques recommandations qui permettent de limiter les risques de cyber-attaques. Il est par exemple conseillé de vérifier les antécédents des employés, de limiter l’accès des salariés aux données par lesquelles ils sont concernés dans le cadre de leurs fonctions, de s’assurer du cryptage des données confidentielles, etc. Cependant, bien qu’ils méritent d’être pris au sérieux, ces prérequis de base ne sont pas suffisants pour faire face à la réalité des menaces actuelles les plus sophistiquées.

En effet, aujourd’hui, nous ne pouvons plus considérer, uniquement, les menaces externes. Dans un contexte où l’information est de plus en plus difficile à canaliser, notamment à cause de la pluralité des lieux et des supports d’utilisation, la menace interne est plus que jamais présente, et concerne chaque organisation.

D’un point de vue technologique, une société baptisée Darktrace a connu d’importantes mutations au court des dix dernières années. Le modèle traditionnel, que nous pourrions qualifier d’ancestral, consistait à construire un mur autour du réseau de l’entreprise afin de se protéger d’éventuelles menaces provenant de l’extérieur. Cette approche nécessitait une connaissance parfaite de son réseau ainsi que la capacité à délimiter ses frontières. Aussi, elle impliquait une confiance totale en tous les collaborateurs internes à l’entreprise, et une méfiance constante envers les acteurs externes. Cette vision un peu simpliste apparaît clairement obsolète dans la société contemporaine. Ainsi, pour aider les entreprises à anticiper les cyber-attaques, Darktrace a développé une nouvelle approche. Celle-ci prend comme point d’ancrage l’acceptation de la présence de menaces, sur tous les systèmes d’information.

En effet, étant donné que le risque zéro n’existe pas, et que la réalité des entreprises nous démontre, chaque jour, qu’il est de plus en plus difficile de délimiter les frontières du réseau, il n’est pas pertinent de faire la distinction entre l’interne et l’externe. C’est pourquoi, Darktrace a développé une nouvelle approche appelée « Système Immunitaire pour Entreprises ». Basée sur des avancées académiques fondamentales, elle a pour vocation de se prémunir contre les menaces les plus sophistiquées, qu’elles émanent de l’interne ou de l’externe.

La technologie repose sur l’analyse et l’apprentissage automatisé de l’environnement de l’organisation. Concrètement, il s’agit d’observer les comportements de chaque utilisateur, de chaque machine et de la structure dans sa globalité, afin d’identifier un modèle de comportement normal. La connaissance de ce modèle de référence permet, par déduction, d’identifier les activités « anormales », pouvant révéler d’éventuelles menaces.

Cette solution repose, d’une part sur une technologie auto-apprenante et, d’autre part, sur des mathématiques probabilistes bayésiennes développées à l’université de Cambridge. La combinaison de ces intelligences permet une évolution constante du modèle « de référence », en fonction de l’activité de chaque utilisateur, de chaque machine dans le réseau, et des mutations au sein de l’organisation.

Cette vision de l’activité réseau de l’entreprise, en temps réel, ne permet pas d’éliminer les cyber-menaces, elle a pour vocation de les identifier, afin d’être à même de prendre des mesures correctives avant qu’il ne soit trop tard. Le risque zéro n’existe pas, la menace est là, partout au sein de notre réseau, et elle est impossible à éradiquer. La vraie force est la capacité à l’identifier afin d’anticiper d’éventuelles attaques.

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, Mise à jour

Leçon de sécurité sur Internet

Un commentaire

De quoi une entreprise a-t-elle besoin pour instaurer la confiance des utilisateurs ? Réalisée fin 2014 auprès d’un panel de 1000 utilisateurs, une étude menée par GlobalSign met en évidence quelques règles à appliquer pour aider les entreprises à rassurer les internautes quant à l’utilisation d’internet

Il n’est plus possible d’ignorer qu’aujourd’hui très peu de personnes peuvent  vivre sans Internet. Accéder à ses comptes et faire du shopping en ligne, lire l’actualité ou ses e-mails, rester en contacts avec ses amis sur les réseaux sociaux, faire des recherches, etc. : la liste de ce que vous pouvez ou êtes obligés de faire sur Internet est longue. Cependant, seuls 19,4 % des Français pensent que leurs données sont suffisamment protégées sur le Web.

Les internautes vous le confirmeront, notamment quand des informations privées et hautement confidentielles sont en jeu. Ils admettent qu’ils redoutent, avant tout, l’usurpation d’identité en ligne.

D’après notre enquête, presque tous les visiteurs d’un site web vérifient son niveau de sécurité au moins une fois lorsqu’ils commandent en ligne. 85 % des personnes interrogées ont même répondu qu’elles ne poursuivraient pas leurs achats si elles n’étaient pas complètement persuadées que le site est suffisamment sécurisé.

Ces réponses montrent à quel point les précautions de sécurité sont importantes sur un site web. Cependant que recherchent vraiment les visiteurs ?

Le top 5 des signes qui instaurent la confiance CHEZ Les visiteurs d’un site web

N° 5 : avis et notes d’autres consommateurs
En cas de doute, la moitié des utilisateurs interrogés demanderaient à des connaissances, des proches, des amis ou d’autres consommateurs leur avis sur un site web, que ce soit à l’oral ou à l’écrit. Un client satisfait peut en amener beaucoup d’autres. En revanche, un client mécontent peut causer d’importants dégâts.

Conclusion : il est toujours recommandé d’obtenir des témoignages de clients satisfaits et des avis positifs sur Internet. Cependant, cela ne garantit en rien la sécurité d’un site.

N° 4 : sceaux de site et marques de confiance
Les sceaux et les marques de confiance renforcent la fiabilité d’un site web car ils prouvent que celui-ci a mérité ces symboles et a été approuvé par un partenaire externe. Cependant, les sceaux de site ont des significations différentes : ils peuvent afficher l’appartenance à un groupe selon des critères de sécurité spécifiques ou prouver le niveau de chiffrement SSL utilisé sur le site.

Conclusion : les sceaux et les marques de confiance sont de bons indicateurs qu’un site est sécurisé car ils ne sont distribués que si certains critères de sécurité sont respectés. Cependant, ces critères peuvent être très différents d’un sceau à un autre.

N° 3 : la réputation du site
Il semble que de nombreuses personnes fassent automatiquement confiance aux sites très populaires. Elles partent du principe que pour être si populaires, ces entreprises se doivent de garantir certains niveaux de sécurité. Les sites web en question sont sans aucun doute les leaders du secteur, tels qu’eBay, Amazon, Facebook, etc.

Conclusion : la plupart des sites les plus populaires intègrent des mécanismes de sécurité appropriés pour protéger leurs clients. Mais quels critères les consommateurs utilisent-ils pour estimer qu’un site est « populaire et donc fiable » ? Sans parler du fait que ceci ne garantit en rien la sécurité du site ! Il existe des solutions bien plus efficaces pour garantir aux visiteurs d’un site web que celui-ci est sécurisé.

N° 2 : HTTPS
Le protocole « HTTPS » est le meilleur indicateur qu’un site web est sécurisé. Et la bonne nouvelle, c’est qu’il a été désigné comme l’un des critères de confiance les plus importants par la majorité des personnes interrogées.

Conclusion : HTTPS est la meilleure technique à utiliser.

Mais en quoi consiste concrètement le protocole HTTPS ?
HTTPS est l’acronyme de Hypertext Transfer Protocol Secure (« protocole de transfert hypertexte sécurisé »). Il prouve que les données transmises entre un client et un serveur sont chiffrées et sécurisées. Il est nécessaire d’avoir un certificat numérique pour activer le protocole HTTPS. Il existe trois niveaux de certificats SSL : validation de domaine, validation de l’organisation et validation étendue.

N° 1 : le cadenas
Le cadenas est presque aussi important que le protocole HTTPS car il représente visuellement ce que le protocole effectue techniquement, et c’est pourquoi il constitue également un signe de confiance très important. L’utilisateur d’un site peut lire davantage d’informations sur le certificat en cliquant sur le cadenas qui se trouve dans la barre d’adresse, à côte de « HTTPS », telles que le niveau de confiance garanti, le niveau de chiffrement utilisé, le certificat racine, la période de validité et les informations de l’entreprise qui ont été vérifiées.

De plus, un certificat SSL à validation étendue (EV) active la barre d’adresse verte, ajoutant ainsi un niveau de reconnaissance visuelle supplémentaire.

Le nom de l’entreprise qui s’affiche dans la barre d’adresse indique également qu’un certificat EV SSL est utilisé et garantit que les paramètres de sécurité les plus élevés ont été appliqués. Les consommateurs font également plus confiance aux sites lorsqu’ils connaissent l’identité de leur propriétaire qui est indiqué dans le certificat.

La question cruciale est celle-ci : Internet est-il fiable tout court ?
A cette question, près de 40 % des personnes interrogées ont répondu qu’Internet était fiable si l’on sait ce que l’on cherche. Les personnes interrogées ont donc une très bonne idée de la situation actuelle. Internet est sans danger si l’on sait reconnaître les signes de sécurité.

Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Identité numérique, Mise à jour, Particuliers, Propriété Industrielle, Vie privée

Les objets connectés : maison en danger

La société HP vient de sortir une étude sur le top 10 des produits de sécurité vendus pour sécuriser sa maison. Caméra de vidéosurveillance et autres détecteurs de mouvement sans fil loin d’être des fort Knox.

L’entreprise américaine explique que tous les produits testés contiennent des vulnérabilités. Dans le lot des problèmes : authentification faible et manque de chiffrement. Gros écueil, selon HP, la non utilisation de la double authentification alors que ces matériels permettent d’être administrés et consultés à distance, via Internet par exemple.

La seconde inquiétude, la collecte des données personnelles allant du nom, adresse, date de naissance du propriétaire du matériel, ou encore, dans certains cas, numéro de téléphone et données de carte bancaire. L’Internet of Things a encore du chemin à faire pour fusionner la sécurité informatique à la course effrénée du marketing et de l’expérience de l’utilisateur. Avoir la plus belle robe et le clic facile ne devraient pas être prioritaires à ce qui permet de protéger la robe et le doigt.

Argent, Arnaque, BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, escroquerie, Fuite de données, Mise à jour, Paiement en ligne, Particuliers, Propriété Industrielle

La sécurité informatique : un enjeu méconnu et sous-estimé

Un commentaire

Avec l’actualité de ce début 2015, la sécurité informatique devient un sujet dont beaucoup de monde parle. Cependant, l’immense majorité des entreprises ne connaissent pas l’étendue des risques liés à la sécurité de leur site. (Par NBS System pour DataSecurityBreach.fr)

Elles ne savent pas, à proprement parler, ce qu’implique le terme de « piratage ». Beaucoup d’entre elles s’imaginent, à tort, être à l’abri car leur site n’est pas très connu, ou qu’il ne contient pas de données sensibles…

Mais ce qu’il faut bien comprendre, c’est que la sécurité concerne tout le monde et que les attaques n’arrivent pas qu’aux autres. Si certaines sont ciblées (par exemple celle de Sony en 2014), la majorité des pirates fonctionnent par pur opportunisme.

On peut faire l’analogie suivante : l’Internet est un gigantesque parking, où chaque site est une voiture. Les personnes mal intentionnées n’ont qu’à passer parmi elles et essayer d’ouvrir les portières pour en trouver une qui ne soit pas fermée afin de la voler. Peu d’entre eux vont utiliser des outils pour cibler une voiture en particulier ; ils n’ont pas besoin de connaissances techniques pour essayer d’ouvrir des portières. Ils voleront toutes les voitures ouvertes à leur disposition, quelle que soient leur marque ou leur prix.

Les pirates informatiques fonctionnent de la même manière. Ils vont passer en revue tous les sites web en espérant trouver une faille sur l’un d’eux pour investir le site.

  • Ils n’ont pas nécessairement besoin de compétences techniques.
  • Il existe de nombreux outils informatiques (légaux ou non) leur permettant de scanner la toile et de repérer très facilement des vulnérabilités.
  • Ils visent large pour être sûrs de toucher le plus de cibles possible.

C’est également pourquoi la taille ou la renommée du site importent peu ; s’il y a une faille sur votre site, il sera piraté un jour ou l’autre.

Il est important que les entreprises se rendent compte qu’on ne peut jamais garantir la sécurité de son site à 100% et encore moins la qualité de son code. En effet, même si le code est écrit par des professionnels très doués, ces derniers sont rarement experts en sécurité et restent, malgré tout, des humains : des êtres faillibles. Il faut donc rester humble ; il n’existe pas de code parfait et tous les développeurs sont voués à faire des erreurs. Par exemple, en 1996, la fusée Ariane a explosé en vol à cause d’une erreur de programmation, autrement dit une erreur de code. C’est la preuve que même l’ESA (Agence Spatiale Européenne), dont les membres sont très compétents et parmi les meilleurs mondiaux, n’est pas infaillible. Votre développeur peut-il se targuer d’avoir le même niveau de compétences ?

Aujourd’hui sur Internet il y a des millions, voire des milliards, de failles existantes et pas encore découvertes ; c’est une certitude ! L’une, voire plusieurs d’entre elles est peut-être sur votre site, ou bien sur l’un de ceux que vous consultez régulièrement… L’enjeu est donc de prendre conscience de cette situation, et de se protéger afin d’éviter les attaques qui, nous le rappelons, peuvent toucher tous les types de sites, et ont des répercussions importantes sur l’image de l’entreprise et ses bénéfices.

  1. Le piratage, comment ça marche ?

Il peut être très facile d’accéder aux données d’un site web via une faille. Or, accéder aux données, c’est accéder au serveur sur lequel est hébergé le site, c’est-à-dire la machine contenant toutes les informations et ressources utilisées pour le fonctionnement du site. Il existe de très nombreux moyens d’y arriver ; nous allons ici détailler l’un de ces moyens, très simple, appelé l’énumération d’identifiants.

Imaginons le site web « http://www.monsiteweb.com », site web d’une compagnie d’assurance. Pour pouvoir utiliser l’interface, le visiteur doit s’identifier et créer un compte, comprenant ses informations (telles que nom, prénom, adresse, etc…). La base de données lui administrera alors un identifiant : 12345678 par exemple.

Une fois identifié, si le visiteur souhaite modifier son adresse suite à un déménagement, il se rendra sur la page des paramètres de son compte. Dans de nombreux cas, peut-être le vôtre, le site affiche dans son URL l’identifiant du client :

Imaginons maintenant que le visiteur soit un pirate. Grâce à la présence de l’identifiant dans l’URL, il trouvera sur cette page uniquement les informations le concernant ; il comprend donc que pour les autres utilisateurs, le fonctionnement est identique. S’il modifie l’identifiant dans la barre d’adresse, en remplaçant le 8 à la fin par un 9 par exemple, et que le code source du site contient une faille et ne bloque pas sa requête, il aura accès aux informations correspondant au compte n°12345679.

Mais s’il a accès à ce compte, cela signifie qu’il a potentiellement accès à tous les autres comptes et donc à la base de données du site toute entière. Rien qu’avec la barre d’adresse, il est donc possible d’accéder à un serveur et de contourner sa sécurité. Cela peut être aussi simple que cela. Un adolescent aujourd’hui peut avoir les compétences suffisantes pour mettre en œuvre cette attaque ! De nombreux tutoriels existent même sur Youtube permettant à n’importe qui d’acquérir les connaissances de base pour mettre en place des attaques simples de ce genre.

Bien qu’il existe de nombreuses autres techniques plus complexes, celle décrite ci-dessus fait partie d’un grand nombre de méthodes triviales et à la portée de tous

Il est important de comprendre cela car une fois que le pirate a accès à la machine, il peut élever ses privilèges et obtenir autant de pouvoir que l’administrateur de celle-ci. C’est-à-dire qu’il pourra littéralement faire tout ce qu’il souhaite avec les informations et les ressources à sa disposition. Il existe plusieurs types d’attaques, chacune avec des objectifs et des impacts différents, mais aux conséquences toujours graves.

  1. Les différents types d’attaque
    • Défiguration d’un site web

C’est le type d’attaque le plus visible, même si c’est techniquement le moins dangereux. La défiguration ou défacement de site web (defacing en anglais) consiste à modifier une ou plusieurs pages d’un site, par exemple la page d’accueil, en la remplaçant par une image, du texte…

Ces attaques sont plutôt simples à réaliser et ne nécessitent pas de compétences techniques très développées. Les pirates utilisent simplement un outil scannant les sites un par un et repérant des vulnérabilités afin de les exploiter grossièrement.

En général, la page de remplacement affichée pendant l’attaque contient le nom du pirate et un message. En effet, par ces défigurations les pirates cherchent uniquement leur visibilité. Ils souhaitent faire passer un message en général politique, ou bien veulent de la reconnaissance. Plus de 20 000 sites, dans le cadre de l’opération OpFrance, se sont fait pirater de cette manière. L’opération a commencé le 18 janvier mais aujourd’hui encore, certains sites affectés sont toujours en maintenance. Si ces attaques ne sont pas dangereuses sur le long terme, elles ont un gros impact en termes d’image pour le site attaqué.
 

  • L’exploitation des ressources d’un site web

Les attaques que nous allons décrire dans ce point et les points suivants sont beaucoup plus dangereuses, notamment parce qu’elles ne sont pas facilement repérables par le site attaqué. Si vous subissez une attaque, dans 90% des cas vous en serez informé par un tiers (source : 2012 data breach investigations report, Verizon, 2012) ; ce sont soit les autorités, soit un client, partenaire ou prestataire qui aura été une victime indirecte de l’attaque subie. Cela cause en général une énorme chute de confiance en l’entreprise. C’est d’ailleurs une des raisons pour laquelle, comme montré sur la figure 1 le délai de découverte de plus de la moitié des attaques se compte en mois.

Dans le cas de l’exploitation des ressources d’un site web, tout est dans le titre. Le pirate, ayant gagné accès au serveur du site, va utiliser les ressources de la machine correspondante (processeur, mémoire, bande passante) pour son propre compte. Il pourra cependant rester dans l’anonymat et se prémunir des risques légaux, puisque c’est le site web piraté qui sera légalement responsable des actions effectuées avec ses ressources.

En l’occurrence, le pirate va souvent les revendre, pour plusieurs usages : l’envoi de SPAM, les DoS (attaque par déni de service, empêchant l’accès à un site), le déchiffrement de données et les boutiques fantôme.

  • L’envoi de SPAM

Il faut savoir que chaque machine possède une adresse IP qui lui est propre, et que l’on fait correspondre au(x) site(s) web hébergés dessus. Quand trop d’e-mails sont envoyés depuis une machine, celle-ci est « marquée » comme malveillante et les envois sont bloqués. En envoyant les courriers SPAM depuis l’adresse IP du/des sites piratés, l’envoi se fera sans blocage. Ainsi, utiliser l’IP d’une autre machine en achetant ses ressources est un moyen de contourner cela, jusqu’à ce que la/les machine(s) piratée(s) soit elle aussi considérée comme malveillante

Si cela vous arrive, vous ne pourrez plus envoyer aucun e-mail depuis votre nom de domaine ou votre adresse IP. Votre hébergeur aura également la possibilité de clôturer votre compte.

De plus, légalement, le spamming peut être puni de 5 ans d’emprisonnement et de 300 000 euros d’amende (Article 226-18-1 du Code Pénal).

  • Les DoS

Dans le cas des DoS, l’utilisation d’une machine infectée permet l’anonymat de la personne ayant commandé une attaque DoS vers une cible tierce, ou de multiplier la puissance de l’attaque en y ajoutant les ressources d’un ou plusieurs autres ordinateurs. Ici, le but est purement lucratif. Là encore, les sanctions légales sont importantes : selon l’article 323-2 du Code Pénal, « le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données est puni de 5 ans d’emprisonnement et de 75 000 euros d’amende ».

  • Le déchiffrement de données ou mots de passe

Il est également possible d’utiliser les ressources du serveur infecté comme puissance de calcul afin de deviner des mots de passe ou déchiffrer des données, via la méthode bruteforce. Il s’agit de faire tester à une machine toutes les combinaisons possibles jusqu’à tomber sur la bonne. Plus le nombre de machines utilisées augmente, plus les ressources sont importantes, et donc plus le temps de résolution sera court. Ici, le but est majoritairement la récupération de données, pour les utiliser ou les revendre (ce type d’attaque sera traité plus tard dans l’article).

Dans les trois cas cités, le but du pirate est de prendre le contrôle d’un maximum de machines pour monnayer ces ressources.

Partie II : La sécurité informatique : un enjeu méconnu et sous-estimé.

 

Argent, Arnaque, Cyber-attaque, Cybersécurité, Entreprise, escroquerie, Fuite de données, Leak, Logiciels, Microsoft, Mise à jour, Particuliers, Patch, Piratage, Social engineering

Faille de taille pour Internet Explorer 11

3 commentaires

Une faille vise le navigateur de Microsoft, Internet Explorer 11. Un XSS qui permet d’injecter des cochonneries numériques lors de votre visite d’un site piégé.

Les Cross-sites scripting, le site zataz.com vous en parle malheureusement très souvent. Cette vulnérabilité, baptisée XSS, permet de modifier une page d’un site web lors de la visite de ce dernier via un url particulièrement formulé, d’injecter un code malveillant dans l’ordinateur d’un internaute et de nombreuses autres possibilités aussi malveillantes les unes que les autres.

Aujourd’hui, c’est au tour du navigateur de Microsoft, Internet Explorer 11, de souffrir du problème. Un pirate peut contourner le « same-origin » du navigateur. Bilan, comme l’explique sur SecList l’inventeur de la faille, David Leo, un pirate peut diffuser ce qu’il veut dans le navigateur d’un visiteur ainsi piégé. Une démonstration a été faite dans les pages du journal britannique Daily Mail. Microsoft a confirmé la faille.

Pour « corriger » ce problème, il suffit aux webmasteurs de modifier leurs pages web, et de passer l’en-tête X-Frame-Options avec la valeur ‘deny’ ou ‘same-origin’. Bilan, plus aucune possibilité de CSS. A noter que la firme de Redmond a été alertée en octobre 2014 et n’a toujours pas patché son navigateur.

Adobe, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Logiciels, Mise à jour, Patch, Piratage, Propriété Industrielle

Nouvelle vulnérabilité zero-day dans Adobe Flash

Un commentaire

Trend Micro, éditeur de logiciel et solutions de sécurité, a identifié le week-end dernier une nouvelle vulnérabilité 0day affectant Adobe Flash Player, la troisième depuis le début de l’année ! Confirmée par Adobe mais pas encore patchée, cette faille expose plus d’un milliard d’ordinateurs utilisant la dernière version d’Adobe Flash.

Dans un post publié hier sur leur blog, les chercheurs de Trend Micro expliquent que cette vulnérabilité est semblable à celle de la semaine dernière, qui affectait les produits Flash pour Windows. Les attaques sont en effet menées via des publicités en ligne malveillantes, une technique appelée « malvertising ».

L’attaque révélée hier est en cours depuis le 14 janvier et s’est intensifiée à partir du 27 janvier. 3 294 compromissions ont déjà été détectées par les chercheurs sur l’un des sites concernés. Dailymotion.com est l’un des premiers sites où ces attaques ont été détectées.

« Il s’agit de la troisième vulnérabilité découverte depuis le début de l’année dans ce logiciel très répandu chez les particuliers et au sein des entreprises ! Un incident qui rappelle l’importance du Virtual Patching », commente à DataSecurityBreach.fr Loïc Guézo, de chez Trend Micro. « Cette démarche est essentielle pour compenser le temps nécessaire à l’éditeur concerné pour publier son patch correctif. Des délais parfois très longs ! De plus, certains patches sont incorrects, comme c’est arrivé avec Heartbleed, ou n’arrivent tout simplement jamais si les systèmes ne disposent plus de support, comme c’est le cas pour les anciennes versions de Windows. »

Il est recommandé aux entreprises ne disposant pas d’un système de sécurité adéquat de désactiver Adobe Flash Player en attendant qu’un patch de sécurité soit disponible. Data Security Breach en profite pour vous rappeler de vous méfier des fausses mises à jour [lire].

Adobe, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Joomla, Leak, Logiciels, Microsoft, Mise à jour, Oracle, Patch, Piratage, Red Hat, Social engineering, Wordpress

Selon Cisco – 100% des réseaux analysés contiennent des malwares

Le principal enjeu des équipes en charge de la sécurité des systèmes d’information est de faire face à des attaques de plus en plus ciblées et de mieux comprendre la menace pour détecter les signaux faibles sur leurs réseaux. Selon Cisco – 100% des réseaux analysés contiennent des malwares. Vous avez dit inquiétant ?

Le Rapport Annuel sur la Sécurité 2015 de Cisco révèle que 40 % des failles de sécurité en entreprise ne sont pas corrigées. Les résultats du Rapport Cisco soulignent que, malgré une prise de conscience de la menace et un nombre croissant d’attaques ciblées médiatisées, les entreprises n’utilisent pas forcément l’ensemble des outils disponibles, simples à mettre en œuvre, pour contrer les cyberattaques. L’étude Cisco a été menée auprès de 1700 entreprises dans 9 pays.

Le Rapport permet de tirer plusieurs conclusions majeures :
La menace est réelle et permanente : 100 % des réseaux analysés contiennent des malwares. Ces résultats sont identiques au Rapport 2014. En 2014, 1 % des vulnérabilités connues (43 sur 6756) ont été exploitées par les cybercriminels. D’une part, cela signifie que les entreprises doivent prioriser 1 % des vulnérabilités exploitées dans le cadre de leur politique globale de correction. D’autre part, même si les technologies atteignent de hauts niveaux de performance, il est nécessaire de comprendre les menaces pour lutter contre les vulnérabilités. Les kits d’exploits largement utilisés sont rapidement détectés par les solutions de sécurité – ce qui signifie que les cybercriminels préfèrent disposer  du 4ème ou 5ème kit d’exploits le plus utilisé, pour ne pas trop attirer l’attention. Même si les kits d’exploits ont diminué de 88 % entre mai et novembre 2014, ils restent un outil utilisé à un rythme soutenu par les cybercriminels, aux conséquences sérieuses pour les entreprises. Les failles Java sont en baisse de 34 % et les attaques Flash de 3 % alors que les failles Silverlight ont augmenté de 228 % et les failles PDF de 7 %.

Les malwares Flash peuvent désormais interagir avec JavaScript pour cacher des vulnérabilités en partageant un exploit entre deux fichiers distincts : un Flash et un JavaScript. L’activité malveillante est alors plus difficile à détecter et à analyser et prouve la sophistication des attaques et la professionnalisation des hackers.

L’industrie pharmaceutique et la chimie sont les secteurs les plus touchés par la cybercriminalité. Les médias, l’industrie, le transport et la logistique et l’aviation complètent le top 5 des secteurs les plus touchés. L’an dernier, seuls l’industrie pharmaceutique et la chimie et l’aviation figuraient parmi les secteurs les plus concernés par les attaques. Le volume de spam a augmenté de 250 % en 2014. Plus ciblé et plus dangereux, envoyé à plus faible volume à partir d’un grand nombre d’adresses IP pour échapper aux outils de détection, un nouveau type de spam est en train d’émerger (Snowshoe). Les spammeurs adaptent les messages à leur cible (phishing), de façon à contourner les filtres anti-spam pour mieux tromper leurs victimes. Le malvertising (publicités malicieuses) est une nouvelle technique utilisée par les cybercriminels en 2014 qui permet de diffuser des malwares au travers des navigateurs, tout en ne nécessitant pas de moyens importants mais permettant aux cybercriminels de gagner beaucoup d’argent. Adobe et Internet Explorer sont les éditeurs les plus vulnérables avec respectivement 19 % et 31 % des attaques observées.

Grâce à l’évolution des technologies de sécurité, les attaques directes et massives sont de plus en plus difficiles à mettre en œuvre. Les cybercriminels font désormais preuve de plus de créativité pour tromper l’utilisateur afin que celui-ci installe lui-même le logiciel malveillant. Ils profitent également de la faiblesse des entreprises en matière de mise à jour des vulnérabilités connues sur leurs systèmes : Alors que la faille Heartbleed a été découverte il y a plus de 6 mois, et qu’elle a permis de révéler une faille dans OpenSSL, 56 % des versions OpenSSL ont plus de 4 ans et sont toujours vulnérables car elles n’ont pas été mises à jour depuis la sortie du patch. Internet Explorer est le navigateur le moins mis à jour avec seulement 10 % des versions installées mises à jour avec la dernière version connue, la version la plus courante datant de 31 mois par rapport à la version la plus récente. Au contraire, 64 % des versions de Chrome sont à jour.

« La sécurité du système d’information est une affaire d’équipe : elle ne pourra être optimale que si le RSSI et l’équipe informatique, les dirigeants de l’entreprise, les directeurs métier, etc. travaillent ensemble pour mieux comprendre la menace et faire face aux cyberattaques. Les cybercriminels travaillent de mieux en mieux pour dissimuler leurs traces. L’ensemble des parties prenantes doit donc répondre à des questions majeures : est-ce que l’entreprise dispose des outils qui lui permettront non seulement d’identifier les attaques avérées, mais également de déterminer où se situent les vrais vulnérabilités de son informatique ? Comment l’entreprise peut être certaine que ses utilisateurs sont en sécurité, et cela même lorsqu’ils travaillent en dehors du périmètre du réseau de l’entreprise ? » explique à DataSecurityBreach.fr Christophe Jolly, Directeur Sécurité Cisco France. « Face à l’évolution de la menace, les entreprises doivent mettre en œuvre un ensemble de mesures de sécurité pour leur permettre de répondre aux défis liés à la cybercriminalité et au cyberespionnage industriel et pour mieux comprendre la cybersécurité du monde d’aujourd’hui ».

Retrouvez le Rapport Annuel sur la Sécurité 2015 de Cisco en intégralité ici : www.cisco.com/go/asr2015

Android, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Sécurité, Smartphone, Téléphonie

Le téléphone sécurisé BlackPhone… pas si secure que ça

Une faille sérieuse découverte dans le téléphone portable ultra sécurisé BlackPhone. Le smartphone qui protège des écoutes peut être infiltré !

Un hacker australien a découvert comment piéger la sécurité, pourtant très poussée, du téléphone BlackPhone. L’appareil permet de chiffrer les appels et les contenus qu’il diffuse. Du moins, ça c’était avant. Avant qu’un bidouilleur découvre qu’avec un simple SMS envoyé à l’application « Silent » il était possible d’exécuter un code malveillant et de prendre la main sur le téléphone. Une injection découverte en une semaine par Mark Dowd. Le fabricant du BlackPhone annonce une rustine pour son matériel. Un téléphone qui coûte 550€. (Register)