Archives de catégorie : Cybersécurité

Actualités liées à la CyberSecurité.

Argent, Banque, Base de données, Cyber-attaque, Cybersécurité, Entreprise, Fraude au président, Fuite de données, Leak, Particuliers, Piratage

Renforcer la cybersécurité des organismes financiers

La société financière SWIFT a publié très récemment un communiqué visant à sensibiliser ses 11 000 banques clientes à relever le niveau de sécurité lors de l’utilisation de leur système de transfert. Cette recommandation fait suite à la cyberattaque perpétrée contre la Banque Centrale du Bangladesh (BCB) ayant conduit au vol de 81 millions de dollars via un système de transfert de fonds Swift.

Dans ce contexte de sensibilisation accrue et de transformation digitale des entreprises, les cyberattaques perpétrées contre les organismes financiers démontrent le besoin global de revoir la place de la sécurité dans les stratégies des organismes financiers et des entreprises, aux plus hauts niveaux de ces dernières. C’est d’autant plus essentiel à l’heure où les dommages collatéraux tels que l’impact sur le cours de la bourse et sur les investissements semblent inévitables.

Jean-François Pruvot, Regional Director France chez CyberArk, commente à Data Security Breach : « La cybersécurité doit irrévocablement être considérée comme une priorité par les entreprises car les répercussions immédiates d’une faille de sécurité concernent directement, et en premier lieu, leurs dirigeants qui sont porteurs de ces questions et sont donc tenus pour responsables du moindre incident. Dans le cas d’une cyberattaque de grande ampleur, cela aboutit la plupart du temps au renvoi ou à la démission quasi immédiate du PDG, comme ce fût le cas, par exemple, de la Banque Centrale du Bangladesh. Des mesures souvent radicales qui s’expliquent par des arguments économiques et stratégiques« .

D’un point de vue économique, les cybermenaces doivent aujourd’hui être considérées comme un risque systémique. En effet, les attaques contre les organisations financières impactent directement les investissements et le cours de la bourse, ce qui contribue à inciter les agences de notation et les organismes de contrôles financiers, qui jusqu’à présent ne prenaient pas en compte le risque cyber dans leurs analyses, à l’intégrer de plus en plus, à l’instar d’analystes financiers tels que Moody’s. L’adoption de cette démarche anticipative leur permet entre autres d’éviter que les investisseurs ne se retournent contre eux dans le cas d’un décrochage boursier causé par une cyberattaque.

Relever le niveau de sécurité

Par ailleurs, dès lors que les investissements et/ou le cours de la bourse sont impactés, les organisations doivent prendre conscience de l’effet « boule de neige » d’une cyberattaque, d’un point de vue stratégique. En effet, en attaquant l’entreprise, elle touche en premier lieu la direction, suivi du comité de direction et par extension atteint le conseil d’administration. Cela conduit à la nécessité de développer en amont un plan d’urgence, tenant compte des répercussions sur l’image et la réputation, pour faire face à l’éventualité d’une cyberattaque. Mais ce qui aura le plus de poids est sa manière d’appréhender une telle crise auprès de ses clients, partenaires et investisseurs et surtout sa capacité à recouvrer le business suite à une compromission. Par exemple, le renvoi effectif d’un dirigeant, ou sa démission, reste à l’heure actuelle quasiment inévitable car il démontre une volonté de l’entreprise d’aller de l’avant et de ne pas reproduire les mêmes erreurs : il envoie un message de renouveau à l’opinion.

Cependant, avant d’en arriver là, les hauts dirigeants, qui ont en majorité pris conscience de la menace du risque lié à la cybersécurité, doivent à présent s’atteler sérieusement à la mise en place et au verrouillage d’un plan de sécurité de l’information au sein de leur organisation, et ce, au-delà des investissements financiers dans les technologies. Pour y parvenir, ils doivent indiscutablement impliquer l’ensemble des départements de l’entreprise afin d’adresser à l’unisson, et en priorité, le problème central des pirates informatiques qui trouveront le moyen de s’introduire dans le périmètre de sécurité, et de détourner et d’abuser d’identifiants afin d’accéder à des informations sensibles ou de perpétrer des transactions frauduleuses dont les conséquences risquent de marquer l’organisme au fer rouge pour de longues années.

Cybersécurité, Justice, loi

7 ans de prison et 750000€ d’amende pour les réseaux de contrefacteurs en France

Un commentaire

Vêtements, produits de luxe, dvd, films, albums de musique… Les réseaux de contrefacteurs en bande organisée, comme un portail diffuseur de liens torrents reliés à des copies illicites risquent 7 ans d’emprisonnement et 750.000€ d’amende.

L’Union des Fabricants (Unifab), association française de lutte anti-contrefaçon qui œuvre depuis plus de 140 ans pour la protection et la promotion du droit de la propriété intellectuelle, et ses 200 entreprises adhérentes issues de tous les secteurs d’activité, se félicitent de l’adoption en Commission Mixte Paritaire (CMP) de l’amendement concernant l’aggravation des sanctions en matière de contrefaçon en bande organisée, portant les peines encourues pour les contrefacteurs, de 5 ans et 500.000€,  à 7 ans d’emprisonnement et 750.000€ d’amende.

Les discussions dans le cadre du projet de loi lutte contre le terrorisme, entamées à l’Assemblée Nationale et poursuivies au Sénat, ont abouti à une véritable avancée,  dans la protection des œuvres de l’esprit qui sont, il est important de le rappeler, les piliers de la tradition, du savoir-faire, de l’économie, de la création, et de la sécurité des consommateurs.

Réseaux de contrefacteurs

Cette disposition, qui demeure à l’adoption finale et définitive du texte, s’inscrit dans la droite ligne des 10 recommandations formulées par l’Unifab à l’occasion de la sortie de son rapport sur le lien direct entre « contrefaçon et terrorisme » remis officiellement au Ministre des Finances et des Comptes Publics M. Michel Sapin le 28 janvier dernier.

« Aujourd’hui nous célébrons une véritable et authentique victoire, une avancée spectaculaire, qui provoquera une réelle prise de conscience dans l’application des peines à leur plus juste niveau. Je ne peux que féliciter et remercier les acteurs majeurs de cette initiative, et particulièrement le président du Comité National Anti-Contrefaçon (CNAC) et Sénateur des Français à l’étranger M.Richard Yung, qui, grâce à un engagement sans faille a permis de réévaluer le cadre répressif de la propriété intellectuelle pour être en phase avec l’échelle des peines des délits similaires… » déclare Christian Peugeot, Président de l’Unifab.

Alors que la France, leader en matière de protection des droits de propriété intellectuelle, renforce son système répressif concernant les activités liées aux réseaux de contrefacteurs, le tribunal populaire de Putuo, à Shanghai vient de condamner un revendeur, sur une célèbre plateforme chinoise de e-commerce, à fermer sa boutique en ligne et à cesser d’utiliser frauduleusement la marque « Bonpoint ». Le contrefacteur a été condamné à payer 35.000 yuans, et, fait surprenant, à exprimer publiquement ses excuses dans le journal local Xinmin.

Argent, Banque, Bitcoin, Cybersécurité, Justice, Particuliers

Pirate de données bancaires arrêté en Pologne

Un pirate de données bancaires Polonais, recherché depuis 6 mois, arrêté après avoir volé plus de 100.000 €. Il en avait 800.000 en réserve.

Selon les autorités polonaises, Mateusza C., un internaute de 35 ans originaire de Varsovie, est accusé de piratage bancaire. Lui et un complice [Polsilverem], ce dernier a été arrêté en octobre 2015, auraient réussi à s’infiltrer dans des banques locales pour orchestrer des virements illicites. 100.000 euros ont pu être dérobés et transformés en bitcoin, la crypto monnaie. Les pirates avaient encore la main sur 800.000 euros qu’ils n’ont pu transférer. Connu sur la toile sous le pseudonyme de Pocket, le pirate risque 10 ans de prison. Pendant ce temps, en Russie, le gouvernement de Vladimir Poutine se penche à punir les utilisateurs « malveillants » de Bitcoin. Des peines d’amendes et de prisons sont proposés dans une loi qui doit être votée le mois prochain.

Base de données, Cybersécurité, Entreprise, Mise à jour, santé, Sauvegarde

Google s’ouvre les portes de centaines de milliers de dossiers de santé

Un accord signé entre Google et le National Health Service (NHS) britannique va permettre à Google d’accéder à plus de 1,6 millions de dossiers médicaux.

Le National Health Service (NHS) est le système de la santé publique du Royaume-Uni. Sa mission, permettre aux britanniques de se soigner dans les meilleures conditions. Quatre NHS régissent le système de santé publique des Écossais, Britanniques, Irlandais et Gallois. Les sujets de sa gracieuse majesté vont adorer apprendre que le NHS a signé un accord avec une filiale de Google, DeepMind. Finalité de ce partenariat, comprendre la santé humaine. Sauf qu’il semble que ce contrat passé en 2014 vient de prendre une nouvelle tournure plus intrusive.

DeepMind a dorénavant un accès complet à 1,6 millions de dossiers de patients britanniques. Des dossiers de patients passés par les trois principaux hôpitaux de Londres : Barnet, Chase Farm, et le Royal Free. En février, la filiale de Google dédiée à l’intelligence artificielle a indiqué avoir mis en place une application appelée Streams. Elle est destinée à aider les hôpitaux à surveiller les patients atteints de maladie rénale. Cependant, il vient d’être révélé que l’étendue des données partagées va beaucoup plus loin et inclut des journaux d’activité, au jour le jour, de l’hôpital (qui rend visite au malade, quand…) et de l’état des patients.

Les résultats des tests de pathologie et de radiologie sont également partagés. En outre, DeepMind a accès aux registres centralisés de tous les traitements hospitaliers du NHS au Royaume-Uni, et cela depuis 5 ans. Dans le même temps, DeepMind développe une plate-forme appelée Rescue Patient. Le logiciel utilise les flux de données de l’hôpital. Des informations qui doivent permettre de mener à bien un diagnostic. New Scientist explique que l’application compare les informations d’un nouveau patient avec des millions d’autres cas « Patient Rescue pourrait être en mesure de prédire les premiers stades d’une maladie. Les médecins pourraient alors effectuer des tests pour voir si la prédiction est correcte« .

Chiffrement, cryptage, Cybersécurité, Social engineering

Générer un mot de passe indéchiffrable, possible ?

A l’occasion de la Journée du Mot de Passe, les meilleurs conseils aux utilisateurs pour éviter que leurs codes secrets ne soient découverts.

Le 5 mai était la Journée Mondiale du Mot de Passe. Une idée marketing lancée par des éditeurs de solution de sécurité informatique. Pour marquer cette date d’une pierre blanche, plusieurs éditeurs ont analysé les habitudes des utilisateurs. Avast Software par exemple propose des recommandations pour créer et protéger des mots de passe indéchiffrables.

Créer des mots de passe fiables et les modifier fréquemment
Une actualité ponctuée d’histoires comme celles de la faille d’Ashley Madison, le site de rencontres extra-conjugales, démontre que les gens n’utilisent pas correctement leurs mots de passe. Les utilisateurs ne créent pas de codes assez fiables et il est certain qu’ils ne les changent pas régulièrement – même face au risque de voir leurs données sensibles et leurs potentielles frasques exposées, ou leur mariage brisé. Les utilisateurs créent des mots de passe facilement déchiffrables souvent par manque d’information ou par paresse, en témoigne la liste des codes les plus souvent utilisés compilée par les chercheurs. Dans le top 10 :

1.       123456
2.       123456789
3.       password
4.       101
5.       12345678
6.       12345
7.       Password1
8.       qwerty
9.       1234
10.      111111

Cette liste comprend les mots de passe les plus simples, tels que 123456, password, et qwerty. D’autres se retrouvent plus bas dans la liste comme iloveyou (#19) ou trustno1 (#57) – une ironie pour un code figurant dans la liste des mots de passe les plus populaires. « Certains pensent qu’une liste de mots de passe seuls qui fuite en ligne n’est pas un problème – cependant, environ 50 % de ces mots de passe étaient associés à une adresse mail, déclare le chercheur d’Avast Michal Salat. Nous savons que les gens utilisent les mêmes combinaisons de mails et de mots de passe pour différents comptes. C’est pourquoi si un hacker connait le mot de passe de votre profil Ashley Madison, il connaitra également celui de votre Facebook, Amazon, eBay, etc. »

Comment créer des mots de passe fiables ?

Il n’y a pas de meilleure occasion que le 5 mai pour commencer à changer ses habitudes et protéger ses codes. Voici quelques conseils pour garder un mot de passe fiable et sécurisé. Je vais être honnete avec vous, si vous ne prenez pas 5 minutes pour réfléchir à votre sécurité et à la bonne gestion de vos précieux, passez votre chemin !

Domus tutissimum cuique refugium atque receptaculum sit

·         Créer des mots de passe longs et complexes. Il suffit de reprendre une phrase d’un livre que vous aimez. N’oubliez pas d’y placer quelques chiffres, majuscules et signes de ponctuations.
·         Utiliser un mot de passe différent pour chaque compte. Lors de les conférences, je fais sortir les clés des participants. Une clé pour chaque porte (voiture, boite aux lettres, maison, bureau…). En informatique, il faut la même régle pour ses mots de passe.
·         Ne pas partager ses mots de passe. C’est peut-être une proposition idiote au premier abord, mais combien de fois, lors d’ateliers que je propose dans les écoles, j’entends le public m’expliquer avoir partager avec son ami, son voisin… sa clé wifi !
·         Changer ses mots de passe régulièrement. Pour mon cas, il change tous les 35 jours. Je ne suis pas à l’abris du vol d’une base de données dans les boutiques, sites… que j’utilise.
·         Utiliser un gestionnaire de mot de passe pour mémoriser ses mots de passe ? Je suis totalement contre. Il en existe beaucoup. Mais faire confiance à un outil dont on ne maîtrise ni le code, ni la sécurité, me parait dangereux. Beaucoup d’utilisateurs y trouvent un confort. L’ensemble de vos mots de passe sont regroupés dans une solution informatique qui chiffre les données. Un seul mot de passe est requis pour utiliser n’importe quel compte sauvegardé. Bref, vaut mieux ne pas perdre ce précieux cerbére !
·         Verrouiller son matériel avec un mot de passe. Les systèmes existent. utilisez les. Je croise bien trop d’ordinateur s’ouvrant d’une simple pression sur la touche « Entrée ».
·         Activer la double-authentification ou l’authentification forte. Indispensable aide. Téléphone portable, sites Internet, Facebook, Twitter… La double authentification renforce l’accès à vos espaces. En cas de perte, vol, piratage de votre précieux. Sans la double authentification, impossible d’accèder à vos données.

De son côté TeamViewer rappele aussi qu’il est déconseillé de fournir des informations personnelles identifiables : Utiliser plusieurs mots de passe forts peut impliquer quelques difficultés de mémorisation. Aussi, afin de s’en souvenir plus facilement, beaucoup d’utilisateurs emploient en guise de mot de passe des noms et des dates qui ont une signification personnelle. Les cyber-délinquants peuvent cependant exploiter des informations accessibles publiquement et des comptes de réseaux sociaux pour trouver ces informations et s’en servir pour deviner les mots de passe.

Banque, Contrefaçon, Cybersécurité, Mise à jour

Forte hausse de la contrefaçon des billets de banque

La police allemande s’inquiète de la forte hausse de la contrefaçon des billets de banque de 20 et 50 euros. Elle a quasiment doublée en 2015.

Les billets de banques Euros contrefaits ont augmenté considérablement, en 2015, selon un rapport publié par l’Agence fédérale de la police criminelle allemande (BKA). En 2015, 86.500 cas ont été enregistrés par les autorités. Deux fois plus d’affaires qu’en 2011. 42% de plus qu’en 2014. Un total de 112.000 billets Euros falsifiées ont été découverts en Allemagne pour une valeur nominale de 5,5 millions d’euros. Une hausse de 48% par rapport à l’année précédente. 37% des faux étaient des billets de 20 euros. Les billets de 50 montent sur la plus haute marche de ce business de la contrefaçon avec la moitié des euros saisis.

Contrefaçon des billets de banque

Selon le rapport, cette hausse de la contrefaçon des billets de banque serait due au black market, le marché noir des données piratées, contrefaites et illégales. En plus des faux billets, il n’est pas rare de croiser du matériel pour contrefaire des billets de banque : des hologrammes et des modes d’emploi vendus dans les boutiques du dark net, par exemples.

Inquiétant, les contrefacteurs semblent être en mesure d’imiter beaucoup plus de fonctionnalités de sécurité, comme que la micro-impression. Le BKA a noté que la plupart des « contrefaçons de haute qualité » ont été produites en Europe orientale et méridionale. L’Italie est montrée du doigt.

En dépit de l’amélioration de la qualité des contrefaçons, les autorités indiquent que la majorité des billets contrefaits sont détectables sans l’utilisation d’aides techniques. (DW)

Cybersécurité, Justice, loi

Le droit des données personnelles

N’attendez pas que la CNIL ou les pirates vous tombent dessus ! « Le droit des données personnelles » aux éditions Eyrolles.

La seconde édition de « Le droit des données personnelles » de Fabrice Mattatia, aux éditions Eyrolles augmentée et mise à jour, fait le point sur le droit applicable en France aux traitements de données personnelles. Elle intéressera aussi bien les juristes en quête d’un ouvrage de synthèse ou les informaticiens préparant un nouveau développement, que les directeurs informatiques et les dirigeants d’entreprises ou d’administrations désireux de connaître leurs obligations légales. Ils y trouveront un exposé méthodique des lois applicables, ainsi que l’analyse des jurisprudences les plus récentes, afin de pouvoir répondre aux questions concrètes qu’ils peuvent se poser : quelles formalités administratives accomplir ? Quels sont les droits des personnes concernées ? Y a-t-il des données dont le traitement est interdit ou encadré ? Combien de temps peuvent-ils conserver les données personnelles collectées ? Peut-on envoyer des données personnelles hors d’Europe, et notamment aux États-Unis ? Quel risque pénal prennent-ils en négligeant leurs obligations ? Quelles évolutions du cadre européen sont prévues dans les années à venir ? Un livre d’autant plus indispensable que le Parlement européen vient d’adopter définitivement le règlement sur la protection des données personnelles qui sera applicable d’ici 2 ans et dont l’analyse constitue le chapitre 9 de cet ouvrage. « Le droit des données personnelles » Ed. Eyrolles, chez votre libraire depuis le 22 avril 2016. (240 pages / 978-2-212-14298-3 / 35€).

Cybersécurité, Emploi, Entreprise, loi, Propriété Industrielle

Sécurité, conception et outils collaboratifs

Une étude européenne révèle que les décideurs informatiques mettent en priorité la sécurité de leurs équipements. La conception et les outils collaboratifs représentent également une préoccupation grandissante.

Une nouvelle étude révèle que, tandis qu’un quart des entreprises à travers l’Europe affirment avoir subi un incident de sécurité sur leurs équipements au cours des 12 derniers mois, moins d’un tiers d’entre elles (32 %) font entièrement confiance au niveau de sécurité de leur parc informatique. L’étude commandée par HP a été réalisée par Redshift Research dans sept pays européens auprès de 1016 décideurs informatiques, dont 205 en France. Ils ont été interrogés sur l’utilisation des équipements dans leur entreprise et les résultats font apparaître une inquiétude au sujet des technologies actuelles ; 90 % des participants étant particulièrement préoccupés par la sécurité des équipements.

Cependant, si les décideurs informatiques soulignent l’importance de la sécurité des équipements, ils reconnaissent que la conception est également un critère essentiel pour eux. Elle favorise la flexibilité au travail et contribue à la satisfaction des collaborateurs. Plus de deux tiers (69 %) des responsables interrogés estiment que la conception d’un PC est cruciale pour une mobilité optimale, tandis que plus des trois quarts (77 %) pensent qu’un PC bien conçu améliore la satisfaction au travail. Près de la moitié des décideurs informatiques (44 % – 47 % pour la France) admettent l’absence d’une politique de BYOD dans leur entreprise. Les équipements fournis par leur service informatique jouent de ce fait un rôle d’autant plus important pour les collaborateurs, surtout que la génération Y représente une proportion croissante du personnel.

« L’utilisation des équipements professionnels par nos clients ne cesse d’évoluer, se traduisant notamment par une collaboration, une mobilité et une productivité accrues pour les utilisateurs », commente Philippe Chaventré, Directeur de la Catégorie PC pour HP France. « Ces nouvelles méthodes de travail représentent également un véritable défi pour les décideurs informatiques. Ils doivent veiller à préserver la sécurité de leurs équipements tout en fournissant des produits modernes et bien pensés qui répondent aux exigences de leurs collaborateurs en matière de productivité et de design ».

Parmi les motifs les plus courants d’insatisfaction par rapport aux PC professionnels, les décideurs informatiques citent le design peu attrayant (32 %) et la faible autonomie de batterie (25 %). Grâce aux smartphones, les utilisateurs peuvent désormais travailler où et quand ils le souhaitent, à domicile, au bureau ou en déplacement, mais aussi se servir de leur équipement professionnel à des fins personnelles, notamment sur les réseaux sociaux. Cette tendance se reflète dans l’évolution de l’attitude des décideurs informatiques: plus d’un tiers (37 %) d’entre eux déclarent que leur entreprise ne surveille pas les activités extraprofessionnelles sur les PC professionnels. Ils indiquent également que leurs employés deviennent de plus en plus mobiles : 43 % précisent que leurs collaborateurs passent moins de 35 heures par semaine dans un bureau et, en moyenne, 9 heures hebdomadaires dans des réunions en face-à-face et à distance.

Avec un personnel toujours plus mobile, la demande d’outils collaboratifs en entreprise se fait plus pressante. La messagerie instantanée est l’outil collaboratif le plus couramment utilisé : plus de 50 % des personnes interrogées disent l’utiliser chaque jour (cela atteint même 60 % en France). La moitié des décideurs informatiques indiquent que leurs collaborateurs se servent d’outils de vidéoconférence sur leur PC au moins deux fois par semaine (25 % pour la France). Cependant, la connectivité des équipements demeure un défi, et même le principal frein technologique au travail collaboratif pour 29 % des participants à l’enquête. 25 % s’estiment par ailleurs bridés par les logiciels (20 % pour la France).

Les outils collaboratifs : expériences différentes à travers l’Europe
Les résultats de l’enquête mettent également en lumière des différences dans l’utilisation des équipements en entreprise à travers l’Europe. En Allemagne, les décideurs informatiques sont très nombreux à fournir des outils de vidéoconférence à leurs collaborateurs (seuls 7 % ne le font pas), alors qu’au Royaume-Uni ils sont plus d’un quart (27 %) à ne pas offrir cet équipement. De même, l’usage de la messagerie instantanée varie suivant les pays : 84 % des responsables interrogés en Espagne indiquent que leurs collaborateurs l’emploient quotidiennement, contre seulement 27 % en Suisse.

En France, 78 % des décideurs informatiques inscrivent la sécurité des équipements au cœur de leurs préoccupations, contre moins de la moitié de leurs homologues britanniques (49 %). Par ailleurs, en Espagne, plus de trois quarts (78 %) des participants à l’enquête ont subi un incident de sécurité sur les équipements de leur entreprise, contre à peine plus de la moitié (51 %) outre-Manche.

« En France, les décideurs informatiques s’inquiètent encore plus que leurs homologues européens de la sécurité de leurs équipements, dans la mesure où plus de trois quarts (78 %) en font une préoccupation majeure », précise Philippe Chaventré, Directeur de la Division PC pour HP France. « Cela n’est pas surprenant compte tenu de la vague récente de cyberattaques de grande ampleur lancées contre des entreprises françaises au cours des six derniers mois. Chaque responsable informatique a cela en tête et souhaite éviter à tout prix que son entreprise soit la prochaine sur la liste. Cependant, 84 % d’entre eux déclarent avoir confiance dans les solutions ou services de sécurité équipant les outils informatiques ».

Par contre, les décideurs informatiques ne font pas ressortir de différences significatives d’un pays à l’autre pour ce qui est de la satisfaction de leur personnel face à la conception des équipements.

backdoor, Chiffrement, cryptage, Cybersécurité, Facebook, ID, Identité numérique

Une faille du Login de Facebook corrigée

Les pirates se faisaient passer pour les titulaires des comptes en exploitant une faille du Login de Facebook.

Les Bitdefender Labs ont révélé une vulnérabilité  lors de l’authentification en ligne sur des sites Web tiers via Facebook. Un manque de mesure de sécurité lors de la validation permet aux pirates d’usurper l’identité des internautes et d’accéder, sans mot de passe, à leurs comptes en ligne.

Les social logins sont une alternative à l’authentification traditionnelle et un mode apprécié par les utilisateurs pour leur côté pratique : ils permettent aux utilisateurs de se connecter à leurs comptes Web sans saisir leur nom d’utilisateur ni leur mot de passe. La plupart des sites offrent des social logins via Facebook, LinkedIn, Twitter ou Google Plus. Les chercheurs des Bitdefender Labs ont trouvé un moyen d’usurper l’identité de l’utilisateur et d’avoir accès à ses comptes Web en utilisant le plug-in Facebook Login.

« Il s’agit d’une vulnérabilité grave qui permet aux pirates de créer un compte avec une adresse e-mail ne leur appartenant pas et de changer l’adresse e-mail liée au compte d’un site par une autre adresse non vérifiée », prévient Ionut Cernica, chercheur spécialiste des vulnérabilités chez Bitdefender. « Cela signifie qu’un pirate peut effectuer des paiements en ligne au nom de l’utilisateur, arrêter son moteur antivirus pour infecter ses périphériques, propager des malwares à ses contacts et bien plus encore. »

Pour que l’attaque réussisse, l’adresse e-mail de la victime ne doit pas déjà être enregistrée sur Facebook. La plupart des internautes ont plus d’une adresse e-mail publiée sur différents sites Web, accessibles à tout le monde. Il est donc assez simple pour le pirate d’obtenir une de ces adresses et de créer un compte Facebook avec cette dernière.

Pour vérifier l’identité d’un utilisateur sans exposer ses identifiants d’authentification, Facebook Login utilise le protocole OAuth. Grâce à OAuth, Facebook est autorisé à partager certaines informations de l’utilisateur avec le site Web tiers.

Comment se fait l’usurpation d’identité ? Une faille du Login de Facebook

Bitdefender a réussi à contourner l’étape de confirmation généralement requise lors de l’enregistrement d’une nouvelle adresse e-mail Facebook.

L’un de ses chercheurs a créé un compte Facebook avec l’adresse e-mail de la victime.

Après l’inscription, il a remplacé l’adresse e-mail par une autre dont il a le contrôle.

Après actualisation de la page, il apparaît que l’adresse e-mail de la victime a également été validée.

Lorsque le chercheur a tenté de se connecter sur un autre site via le bouton Facebook Login (avec l’adresse e-mail de la victime), il a dû confirmer sa propre adresse e-mail, et non celle de la victime.

Bien que le chercheur de Bitdefender n’ait confirmé que son compte personnel dans les paramètres du compte Facebook, l’adresse de la victime était bien le contact principal.

« J’ai utilisé à nouveau Facebook Login et décidé de mettre mon adresse comme contact principal à la place de celle de la victime, puis de la changer à nouveau pour faire du compte de la victime le compte principal. C’est une étape importante pour reproduire le problème », a ajouté Ionut Cernica.

Puis, sur un autre site Web, le chercheur de Bitdefender a utilisé Facebook Login pour se connecter sous l’identité de la victime. Le site a fait le lien entre l’adresse e-mail de la victime (en passant par Facebook) et le compte existant et a permis au chercheur, qui aurait pu être un pirate, de contrôler ce compte. « Le fournisseur d’identité – dans ce cas, Facebook – aurait dû attendre que la nouvelle adresse e-mail ait bien été vérifiée », affirme Ionut Cernica à DataSecurityBreach.fr.

Une faille du Login de Facebook corrigée rapidement. Facebook a réparé la vulnérabilité après en avoir été alerté par Bitdefender.

Cybersécurité, Social engineering

Social Engineering : les cybercriminels profitent de la nature humaine

Les cybercriminels profitent de la nature humaine, révèle l’édition 2016 du rapport Data Breach Investigations Report de Verizon.

L’édition 2016 du rapport Data Breach Investigations Report de Verizon montre que les cybercriminels recourent à des schémas d’attaques familiers et exploitant les failles de la nature humaine, notamment à travers des méthodes de phishing et de ransomware.

Plusieurs tendances remarquées les années précédentes se stabilisent et restent valables, parmi lesquelles :

  • On retrouve des motivations financières ou d’espionnage dans 89% de toutes les attaques
  • Dans la plupart des cas, ce sont des vulnérabilités connues et non corrigées qui sont exploitées, alors que des correctifs existent et sont disponibles depuis des mois voire des années. Les 10 vulnérabilités connues les plus fréquentes se retrouvent dans 85% des cas de compromissions réussies.
  • 63% des compromissions de données avérées sont imputables à l’utilisation de mots de passe volés, faciles à deviner ou de mots de passe par défaut qui n’ont pas été modifiés
  • 95% des cas de compromissions et 86% des incidents de sécurité ont été perpétrés en suivant l’un ou l’autre des neuf scénarios recensés comme les plus fréquents
  • Les attaques par ransomware augmentent de 16% par rapport à 2015
  • Il est navrant de constater que des mesures de défense pourtant basiques font toujours défaut dans de nombreuses entreprises

« Les entreprises, forces de sécurité et organisations gouvernementales font preuve d’une volonté forte de devancer les cybercriminels, et le Data Breach Investigations Report revêt pour cela une importance croissante », commente Chris Formant, président de Verizon Enterprise Solutions. « Les contributions et collaborations rassemblées au sein du DBIR, apportées par des organisations du monde entier, sont plus que jamais nécessaires pour bien appréhender l’état des menaces. Et la compréhension est la première étape de l’action. »

Les pratiques de phishing de plus en plus préoccupantes

Les pratiques de phishing, qui font qu’un utilisateur reçoit un e-mail qui lui apparaît légitime de la part d’une source frauduleuse, se sont nettement intensifiées par rapport à l’an dernier. Ce qui est alarmant, c’est que les messages de phishing ont été ouverts dans 30% des cas, contre 23% dans le rapport 2015, et que dans 13% de ces cas le destinataire a aussi ouvert la pièce jointe ou cliqué sur le lien délétère, provoquant l’activation du malware et ouvrant ainsi les portes aux cybercriminels.

Ces dernières années, le phishing était le scénario d’attaque privilégié du cyber espionnage. Il s’est maintenant généralisé, au point d’entrer dans la composition de 7 des 9 scénarios d’incidents les plus fréquents recensés dans l’édition 2016 du rapport. Cette technique d’une grande efficacité présente de nombreux avantages, dont un délai de compromission très court et la possibilité de cibler des individus et des entreprises spécifiques.

A la liste des erreurs humaines s’ajoutent celles commises par les entreprises elles-mêmes. Ces erreurs, labellisées dans la catégorie « Erreurs diverses », constituent le scénario n°1 des incidents de sécurité dans le rapport de cette année. Dans 26% des cas, ces erreurs impliquent l’envoi d’informations sensibles à la mauvaise personne. Mais on trouve aussi d’autres types d’erreurs de la même catégorie : pratiques inappropriées de destruction des informations internes, mauvaise configuration des systèmes IT, et perte ou vol d’actifs de la société, comme les PC portables et smartphones.

La nature humaine : la base d’une attaque informatique

« On peut dire qu’un sujet central est commun aux constatations de ce rapport : l’élément humain », déclare Bryan Sartin, directeur exécutif de l’équipe Verizon RISK à DataSecurityBreach.fr. « Malgré les avancées de la recherche en sécurité informatique et la disponibilité d’outils et de solutions de cyber détection, nous continuons de déplorer les mêmes erreurs depuis plus de dix ans. Alors que faire ? »

Les chercheurs spécialistes de la sécurité de Verizon soulignent aussi la grande rapidité avec laquelle les cybercriminels perpétuent leurs attaques. Dans 93% des cas, il faut à peine quelques minutes à des hackers pour compromettre des systèmes, et dans 28% des cas ils parviennent à exfiltrer des données en quelques minutes seulement.

Comme pour l’édition 2015 du rapport DBIR, les compromissions de terminaux mobiles et d’objets de l’Internet des objets (IoT) ne sont pas très représentées.  Mais le rapport signale qu’il existe bien des tentatives visant à démontrer la faisabilité de ces compromissions (proof of concept), et que ce n’est qu’une question de temps avant qu’une compromission à grande échelle se produise qui impacte les mobiles et terminaux IoT, ce qui signifie que les entreprises ne doivent pas relâcher leur vigilance en termes de protection des smartphones et des objets de l’IoT.

Il est important de noter également que les attaques d’applications Web sont devenues le vecteur n°1 des cas de compromissions de données, et que 95% des compromissions d’applis Web avaient des motivations financières.

Progression de l’attaque en trois volets

L’édition 2016 du rapport alerte sur le risque d’être victime d’un nouveau type d’attaque en trois volets qui se répète avec une grande régularité. De nombreuses entreprises ont fait les frais de telles attaques :

  • La nature humaine – Envoi d’un e-mail de phishing avec un lien pointant vers un site web malveillant ou une pièce jointe infectée
  • Un malware est téléchargé sur le PC de la victime et il ouvre la voie à d’autres malwares utilisés pour rechercher des informations secrètes et confidentielles à usurper (cyber espionnage) ou pour chiffrer des fichiers en vue de demander une rançon. Très souvent, le malware vole les identifiants d’accès à diverses applications au moyen d’enregistreurs de frappe.
  • Les droits d’accès dérobés servent à s’infiltrer davantage et perpétrer de nouvelles attaques : se connecter à des sites web de tiers, de banque en ligne ou de e-commerce, par exemple.

« L’objectif est de comprendre le mode opératoire des cybercriminels », déclare Bryan Sartin à datasecuritybreach.fr. « C’est en maîtrisant les scénarios des attaques que nous pourrons mieux les détecter, les prévenir et y répondre. » Téléchargez le rapport.