Archives de catégorie : Cybersécurité

Actualités liées à la CyberSecurité.

Cybersécurité, Emploi, Entreprise, Mise à jour, Patch, Propriété Industrielle, Social engineering

Des principes militaires ancestraux pour lutter contre la cybercriminalité moderne

L’origine des guerres se confond avec celle de l’humanité. De leur côté, les attaques informatiques ont vu le jour avec l’Internet. Malheureusement, aucun de ces deux phénomènes n’est près de disparaître. En effet, leurs motivations sont étroitement liées à cette soif de domination, de gloire et de richesse qui constitue le pedigree de l’humanité.

Les points communs entre la guerre et la cybercriminalité sont légions. Il est sans doute bon de s’inspirer d’un des grands classiques de la littérature militaire pour mieux lutter contre les cybercriminels : l’art de la guerre.

Écrit par Sun Tzu, célèbre général, stratège et philosophe chinois, il y a 2 500 ans, cette œuvre est souvent citée aujourd’hui par les chefs d’entreprise et autres leaders. Ce vade-mecum livre quantité de conseils aux entreprises qui cherchent à se démarquer de leurs concurrents, et aux individus qui tentent de se défaire de leurs rivaux. On y puise également des sujets de réflexion pour les entreprises qui souhaitent venir à bout de la cybercriminalité.

Voici trois enseignements de Sun Tzu que chaque DSI est invité à garder à l’esprit :

1. Qui connaît l’autre et se connaît lui-même, peut livrer cent batailles sans jamais être en péril.

Si vous ignorez quelles sont vos propres défenses contre les cybercriminels, il est grand temps d’identifier cet arsenal. Cette initiative est essentielle mais elle ne suffit pas. Vous devez aussi obtenir au plus vite des informations précises sur les cybercriminels qui vous ont pris pour cible. En d’autres termes, une veille sur les menaces est une priorité.

Lors du sommet sur la cybersécurité qui s’est tenu à la Maison-Blanche en février dernier, le président des États-Unis, Barack Obama, a appelé de ses vœux un meilleur échange d’informations sur les menaces entre le secteur privé et le secteur public, ainsi qu’une meilleure coordination entre les différents intervenants dans la lutte contre la cybercriminalité.

Tous les pays du monde devraient suivre ce conseil. À elle seule, une entreprise n’a que rarement une vue d’ensemble sur les cyberattaques. Elle a trop à faire pour contrer une attaque, restaurer ses opérations et ses services informatiques et limiter les délais d’indisponibilité. Elle ne met les informations liées aux attaques à disposition de ses homologues, donnant ainsi la possibilité à chaque assaillant de tirer des enseignements de ses attaques. Ces derniers peuvent ainsi parfaire leurs tactiques et adopter de nouvelles techniques pour s’en prendre à de nouvelles cibles.

Le partage des informations liées aux menaces consiste à échanger des éléments contextuels sur les attaques. Je trouve ce point essentiel puisqu’il invite les entreprises à appréhender trois éléments : les techniques utilisées par les hackers, les caractéristiques des entreprises qui ont été ciblées, et le comportement des hackers après avoir compromis les défenses d’une entreprise. Ces trois informations aident les équipes informatiques à tirer les conclusions qui s’imposent, à neutraliser plus efficacement toute nouvelle attaque et, au final, à renforcer la sécurité des entreprises et du grand public en général.

C’est la raison pour laquelle Fortinet a fondé la Cyber Threat Alliance. Ce programme mondial vise à partager les données sur les menaces informatiques avec d’autres fournisseurs de technologies de sécurité informatique afin d’agir en conséquence.

2. Dans l’ancien temps, ce qu’on appelait l’intelligence du combat n’était pas seulement de gagner mais de le faire avec facilité. 

L’essence de chaque entreprise est d’être rentable. Une attaque réussie porte atteinte à vos finances et à votre réputation et engendre des dépenses. Pour limiter l’impact, les entreprises doivent juguler les attaques le plus efficacement possible. Lors du sommet précité, Barack Obama a incité aux entreprises à mieux exploiter les technologies modernes. Je vous encourage à faire de même.

L’informatique a beaucoup évolué au cours des dernières décennies. Les réseaux sont devenus incroyablement complexes, alors que l’émergence du cloud, du mobile et des infrastructures agiles ont rendu la sécurité bien plus difficile à gérer. Les technologies en matière de sécurité utilisées il y a plusieurs années rencontrent des freins et doivent être remplacées.

La technologie doit évoluer afin de pouvoir tenir tête aux hackers. Nous sommes déjà capables de gérer intelligemment plusieurs facettes de la sécurité informatique. Mais ce qui nous attend est encore plus prometteur. Dans les années à venir, l’analyse comportementale deviendra la norme pour la sécurité des appareils. Les innovations en matière de science des données permettront aux équipes informatiques d’analyser les données du big data afin d’identifier les tendances en matière de sécurité. Les entreprises pourront ainsi prévoir les attaques, avant qu’elles ne soient enclenchées.

3. Si l’ennemi renforce son front, il affaiblira ses arrières, s’il renfloue ses arrières, il affaiblira son front.

S’il renforce son flanc gauche, il affaiblira son flanc droit et vice-versa. Et s’il se prépare en tous lieux, il sera partout en défaut. Il ne s’agit là que d’une piqûre de rappel pour chaque DSI. Protéger l’entreprise est une tâche difficile, car les hackers savent s’immiscer par les moindres brèches.

La faible visibilité sur les applications, les utilisateurs et les services réseau existants est une lacune majeure des entreprises de nos jours. D’autant que la situation s’aggrave. En premier lieu, compte tenu des applications qui prolifèrent au sein des environnements virtualisés. Mais aussi à cause d’un trafic qui évolue : autrefois cantonné au sein du centre de données, ce trafic s’affranchit aujourd’hui du périmètre de ce dernier et transite via ce centre de données.

De nouvelles technologies émergent pour renforcer la visibilité sur les applications au sein des environnements virtualisés. Tandis que ces technologies font leurs premiers pas sur le marché, chaque DSI doit comprendre la finalité de chacune de ces technologies et apprendre à gérer efficacement les données. Faute de quoi, les informations réellement pertinentes se retrouveraient noyées dans un océan de fausses alertes.

Les entreprises sont, bien sûr, également invitées à former leurs utilisateurs.

L’ignorance est un fléau en matière de sécurité informatique. Les individus ont souvent été le maillon faible de la sécurité des entreprises, ce qui explique leur statut de cible privilégiée par les cybercriminels. Les systèmes de sécurité les plus sophistiqués ne parviennent généralement pas à éviter les attaques utilisant des techniques d’ingénierie sociale. Dans le monde, les entreprises qui forment leurs utilisateurs via des programmes de sensibilisation constatent un fléchissement des attaques d’ingénierie sociale de type spear phishing. La formation et la sensibilisation des utilisateurs représentent des armes particulièrement efficaces pour les entreprises souhaitant maîtriser les risques de sécurité informatique. (Par Michael Xie – Fondateur, Président et Chief Technology Officer de Fortinet)

Base de données, BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, Propriété Industrielle

L’impact des clés et certificats non protégés

Un nouveau rapport de Ponemon pointe la perte de clientèle que subissent les entreprises françaises pour cause de clés et certificats non protégés.

Ponemon Institute et Venafi, éditeur de premier plan spécialisé dans la protection de nouvelle génération des infrastructures de confiance dont le slogan « The Immune System for the Internet™ » est à l’origine du concept de système immunitaire pour Internet, publient ce jour de nouvelles données sur l’incidence économique directe, pour les entreprises françaises, de la non-sécurisation des clés cryptographiques et certificats numériques dans l’étude 2015 Cost of Failed Trust Report: When Trust Online Breaks, Businesses Lose Customers.

Ces nouvelles données, tirées d’une étude menée auprès de 339 professionnels de la sécurité informatique en France, indiquent à quel point des clés et certificats non protégés et mal gérés peuvent entraîner une perte de clientèle, d’onéreuses interruptions d’activité, des défaillances d’audit et des failles de sécurité.

En début d’année, Ponemon Institute et Venafi ont publié le résultat des travaux de recherche menés sur les risques encourus par les entreprises mondiales face à des attaques basées sur des clés et certificats dans l’étude 2015 Cost of Failed Trust Report: Trust Online is at the Breaking Point. Les participants à cette enquête en France -mais aussi en Australie en Allemagne, au Royaume-Uni et aux Etats-Unis- ont unanimement admis que le système de confiance sur Internet a atteint son point de rupture. Des données inédites extraites de cette enquête sont à présent disponibles dans ce nouveau rapport qui montre à quel point les entreprises en France, et partout dans le monde, pâtissent des effets fâcheux de la non-sécurisation des clés et certificats.

En regardant les statistiques françaises

À partir du moment où la confiance en ligne est rompue, les entreprises perdent des clients – Près des deux tiers des sondés en France admettent avoir perdu des clients faute d’être parvenus à garantir la confiance en ligne instaurée par des clés et certificats, ce qui représente un coût moyen de 11 millions d’euros par interruption.

Les systèmes métiers stratégiques subissent des défaillances – En moyenne, chaque entreprise française a subi, depuis deux ans, trois arrêts intempestifs liés à des certificats. Ce nombre est nettement plus élevé que la moyenne mondiale qui est de deux arrêts intempestifs.

Les entreprises échouent aux audits – En moyenne, les entreprises françaises ont échoué à au moins deux audit SSL/TLS et à au moins deux audit SSH au cours des deux dernières années. Là encore, ce nombre est bien plus élevé que la moyenne mondiale qui elle est de un audit dans les deux cas.

« À partir du moment où les entreprises ne sécurisent ni ne gèrent correctement leurs clés et certificats, l’impact financier direct se traduit par une perte de clientèle et un manque à gagner », précise à DataSecurityBreach.fr Kevin Bocek, Vice President of Security Strategy and Threat Intelligence chez Venafi. « Dans leur activité, les entreprises sont toutes tributaires de la confiance instaurée par les clés et certificats, même si elles n’en sont pas conscientes. C’est pourquoi il est impératif que les équipes dédiées à la sécurité informatique et celles dédiées à l’opérationnel réalisent périodiquement des audits pour localiser la totalité des certificats et clés utilisés, établir les dates d’expiration, puis mettre en place des règles appropriées pour éviter le piratage de données, les arrêts intempestifs et les défaillances d’audits. ».

Depuis la banque en ligne et les applications mobiles jusqu’à l’Internet des objets, tout ce qui est basé sur IP fait appel à une clé et à un certificat pour établir une connexion digne de confiance, et cette dépendance vis-à-vis des clés et certificats ne fait que s’accentuer du fait du recours croissant au protocole SSL/TLS et des accès mobiles, WiFi et VPN. Elle accroît considérablement les risques en termes de disponibilité, de conformité et de sécurité, sachant que, dans ces domaines, l’importance des risques encourus n’est pas la même. Les risques liés à la sécurité sont presque huit fois plus importants que ceux liés à la disponibilité et à la conformité : ainsi, dans les deux ans à venir, le seul risque lié à la sécurité devrait peser 41 millions d’euros, contre 5 millions d’euros pour les risques conjugués de conformité et de disponibilité.

Interrogés sur les difficultés posées par la protection et la gestion des clés et certificats, 63 % de professionnels français de sécurité informatique affirment ignorer le nombre de clés en leur possession, l’endroit où elles se trouvent ou encore la façon dont elles sont utilisées. Encore une fois, ce chiffre est plus élevé que la moyenne mondiale établie à 54%. De même, 59% déplorent l’absence de règles et de correctifs pour les clés et certificats. Les entreprises se doivent impérativement de remédier à ces problématiques qui sous-tendent les risques de sécurité, de disponibilité et de conformité provoqués par des clés et certificats non sécurisés.

« Nous espérons que ce rapport aidera les équipes dirigeantes et celles en charge de la sécurité informatique à mesurer l’importance du risque majeur posé par des clés cryptographiques et certificats numériques non protégés et mal gérés », conclut Larry Ponemon, Chairman and Founder of The Ponemon Institute. « Les clés et certificats, largement déployés, sont essentiels à l’établissement de connexions dignes de confiance et à la sécurisation des activités. À l’évidence, les données figurant dans ce rapport sont symptomatiques d’une problématique de sécurité plus large : si vous ignorez où se trouvent vos clés et certificats, vous ne pouvez assurer leur suivi et êtes incapable d’automatiser leur cycle de vie ; en d’autres termes, vous ne parvenez tout simplement pas à les protéger. Raison pour laquelle, tôt ou tard, la confiance sur Internet est rompue. ».

Pour consulter ce rapport dans son intégralité : Venafi.com/BrokenTrust

Base de données, BYOD, Cloud, Cybersécurité, Entreprise, Fraude au président, Mise à jour, Patch, Social engineering

Prévisions en matière de menaces informatiques à l’horizon 2020

Les prévisions d’Intel Security fournissent également des perspectives précieuses aux entreprises dans le cadre de la définition de leurs stratégies de sécurité informatique à court et à long terme.

Le nouveau rapport d’Intel Security intitulé ‘McAfee Labs Threat Predictions Report’ prédit les principales tendances à anticiper en 2016 en matière de menaces informatiques. Il fournit également un aperçu prédictif unique de ce paysage jusqu’à l’horizon 2020 et livre les potentielles réponses de l’industrie de la sécurité informatique face à l’évolution des cyber-menaces.

« A l’image des joueurs de foot qui savent saisir les opportunités et anticiper le jeu, il est important que les entreprises puissent garder une longueur d’avance sur les tendances business et technologiques mais également sur l’environnement des menaces informatiques. Le rôle de l’industrie informatique est de les accompagner dans cette bataille en mettant à leur disposition des technologies performantes pour les soutenir dans leurs activités et leur permettre de comprendre à quels types de menaces elles seront confrontées demain », commente Vincent Weafer, Vice-Président de McAfee Labs d’Intel Security.

Les menaces à venir en 2016

L’éventail des risques à anticiper en 2016 s’étend des probables attaques de ransomware, aux risques d’attaques contre les véhicules connectés, en passant par des attaques contre des infrastructures, ou encore la vente de données volées, etc. Différents types d’attaques en matière de menaces sont à prévoir :

Matérielle. Les attaques sur tous les types de matériel et de firmware vont encore continuer l’année prochaine et se traduire par le développement et la croissance du marché noir liés aux outils d’exécution de ce type d’attaque. Les machines virtuelles seront également ciblées avec des rootkits de firmware.

Ransomware. L’anonymisation des réseaux et des modalités de paiement continuera à alimenter le risque de ransomwares. En 2016, un plus grand nombre de cybercriminels novices devrait exploiter les offres de Ransomware-as-a-Service et accélérer ainsi la croissance de ce marché.

Ciblées sur les accessoires connectés. Bien que la plupart des accessoires connectés stocke une quantité relativement faible de renseignements personnels, les plates-formes sur lesquelles fonctionnent ces devices pourront s’avérer la cible des cybercriminels afin d’en compromettre les smartphones associés. L’industrie devra s’atteler à la protection des potentielles surfaces d’attaques tels que les noyaux des systèmes d’exploitation, les logiciels de gestion de réseau et de WiFi, les interfaces utilisateur, la mémoire, les fichiers locaux et les systèmes de stockage, les machines virtuelles, les applications Web, les logiciels de sécurité et de contrôle d’accès.

Par des OS des salariés. Les entreprises devront continuer à rester vigilantes et à renforcer leurs mesures de sécurité via notamment la mise en place des dernières technologies de sécurité disponibles, l’embauche de personnel expérimenté pour assurer la protection de son IT et de ses données, et la définition de politiques de sécurité efficaces. En revanche, les hackers essayeront de nouveau de détourner ces mécanismes de protection en passant par les systèmes d’exploitation des salariés et en tirant profit notamment de la faible protection des systèmes qu’ils utilisent chez eux pour accéder aux réseaux de leur entreprise.

Services Cloud. La protection des services Cloud est encore souvent négligée par les entreprises. Cela devrait pousser les cybercriminels à profiter de la faiblesse, voire de l’inexistence, de certaines politiques de sécurité d’entreprises. Le Cloud rassemble une quantité croissante d’informations confidentielles d’entreprises, le vol des données stockées par ces services pourrait compromettre toute la stratégie d’une entreprise, y compris le développement de son portefeuille de produits, ses futures innovations, ses services financiers, les données de ses employés, etc.

Voitures. Les experts en sécurité continueront à étudier les potentielles menaces auxquelles sont exposés les systèmes d’exploitation des voitures connectées dépourvus des capacités de sécurité embarquée ou non conformes aux best practices des politiques de sécurité établies. Les fournisseurs de solutions de sécurité informatique et les constructeurs automobiles devront coopérer de manière proactive afin d’élaborer des directives, des normes et des solutions techniques pour protéger les surfaces d’attaques potentielles que représentent par exemple les unités de commande électronique (Engine Control Unit ou ECU) des systèmes d’accès du véhicule, les ECU relatifs au moteur et à la transmission, au système avancé d’assistance au conducteur, les systèmes de verrouillage du véhicule à distance, le télé-déverrouillage passif, le récepteur V2X, les clés USB, le diagnostic embarqué, les applications de type RemoteLink et l’accès smartphone.

Stockage de données volées. Les blocs d’informations personnelles qui permettent une identification sont aujourd’hui reliés entre eux dans de grandes bases de données, où l’ensemble des éléments volés font ainsi augmenter la valeur des dossiers compilés. L’année prochaine verra le développement d’un marché noir encore plus robuste qui offrira davantage d’informations personnelles (date d’anniversaire, adresse, etc.) associées à des identifiants en ligne et à des mots de passe.

Contre l’intégrité de système. Les attaques sélectives compromettant l’intégrité des systèmes et des données seront l’un des plus importants nouveaux vecteurs d’attaques. L’objectif de ces attaques consiste à saisir et à modifier des transactions ou des données en faveur des attaquants. Par exemple, un cybercriminel peut parvenir à modifier des paramètres de dépôt direct de versement de salaires pour verser l’argent sur son propre compte bancaire. En 2016, McAfee Labs prévoit une possible attaque contre l’intégrité de système dans le domaine financier, secteur dans lequel des millions de dollars pourraient être dérobés par des cybercriminels.

Partage de renseignements sur les menaces. Le partage de renseignements sur les menaces entre les entreprises et les fournisseurs de solutions de sécurité devrait croître rapidement. Des mesures législatives seront prises afin de faciliter les échanges d’informations entre les entreprises et les gouvernements. Le développement accéléré de best practices devrait favoriser l’identification de métriques permettant de mesurer l’amélioration des niveaux de protection.

Les prévisions à l’horizon 2020

La vision prédictive de McAfee Labs tend à identifier la manière dont les différents acteurs du cyber-crime vont évoluer, comment vont changer à la fois les comportements et les objectifs des attaquants, mais aussi de prédire la façon dont l’industrie répondra à ces défis au cours des 5 prochaines années.

Attaques sous l’OS. Alors que les applications et les systèmes d’exploitation seront de plus en plus protégés, les attaquants chercheront des faiblesses dans le firmware et le matériel informatique. Ce type d’attaque pourrait éventuellement offrir aux hackers le contrôle total des systèmes. En effet, ils seraient théoriquement en mesure d’accéder à un nombre illimité de ressources et de fonctionnalités de gestion et de contrôle au sein des systèmes.

Contournement de détection. Les assaillants chercheront à contourner les technologies de détection de cyber-menaces en ciblant de nouvelles surfaces d’attaques et en utilisant des méthodes d’attaques toujours plus sophistiquées. Cela signifie qu’il faudra dès lors anticiper des malwares sans fichier, des infiltrations cryptées, des malwares en mesure de contourner les sandbox, des exploits à distance des protocoles RSH et des protocoles de contrôle, ainsi que des attaques sous l’OS ciblant et exploitant les Master Boot Records (MBR), le BIOS et le firmware.

Appareils connectés : de nouvelles surfaces d’attaques. D’ici 2020, ces dispositifs devraient atteindre un niveau de pénétration du marché assez conséquent pour attirer les cybercriminels. Les fournisseurs de technologie et de solutions verticales seront amenés à collaborer afin de définir des conseils de sécurité pour les utilisateurs et des best practices pour l’industrie. De plus, les fabricants d’objets connectés chercheront, de plus en plus, à intégrer les mécanismes de contrôle de sécurité dès la phase de conception de leurs produits.

Pénétration du cyber-espionnage dans les entreprises. Jusqu’alors, les logiciels de cyber-espionnage ciblaient davantage le secteur public. McAfee Labs prévoit que, d’ici 2020, le marché noir des malwares et des services de piratage pourrait rendre possible leur utilisation pour exécuter des attaques contre les entreprises afin de collecter des renseignements financiers et de manipuler les marchés en faveur des attaquants.

Enjeux et opportunités de la confidentialité. Le volume et la valeur des données personnelles sur le Web vont continuer de croître. Pour répondre à la menace constante du vol de ces informations, de nouvelles réglementations sur la confidentialité vont être élaborées et mises en oeuvre à travers le monde. En parallèle, les utilisateurs devront commencer à exiger des compensations pour le partage de leurs données. Ce mouvement donnera probablement naissance à un nouveau marché d’« échange de valeur» qui pourrait profondément changer la façon dont les individus et les entreprises gèrent leurs vies privées numériques.

Réponse de l’industrie de la sécurité. Les industriels développeront des outils plus efficaces pour détecter et remédier aux attaques sophistiquées. Les nouvelles technologies devront s’appuyer sur une analyse de comportement prédictive pour repérer les activités irrégulières et détecter les comptes compromis. La protection des systèmes deviendra plus rapide et efficace grâce au partage des renseignements sur les menaces entre les parties prenantes. La sécurité intégrée avec le Cloud va améliorer la visibilité et le contrôle des systèmes et des données. Finalement, les technologies de détection et de correction automatiques assureront la protection des entreprises contre les attaques les plus courantes, en permettant aux responsables de sécurité informatique de se concentrer sur les incidents de sécurité plus critiques.

« Afin d’avoir une longueur d’avance sur des menaces en constante évolution et pourvoir devancer ses adversaires, l’industrie informatique a besoin de s’appuyer sur les mêmes ‘armes’ que les cybercriminels. Il lui faudra ainsi associer le partage des renseignements liés aux cyber-risques entre ses différents acteurs à la puissance technologique, dont le Cloud computing et l’agilité de plates-formes, mais aussi aux compétences humaines », conclut Vincent Weafer. « Ainsi, pour gagner des batailles contre les futures menaces, les entreprises doivent avoir une meilleure visibilité et une meilleure connaissance des risques potentiels. Elles doivent également être en mesure de détecter et de répondre plus rapidement et d’utiliser pleinement à la fois les ressources humaines et techniques à leur disposition. »

Chiffrement, cryptage, Cybersécurité, VPN

Cookie malveillant découvert dans une centaine d’importants sites Internet

3 commentaires

Des experts en sécurité informatique découvre une étonnante campagne de traçage des internautes à partir d’un cookie malveillant.

Voilà qui est interessant. Des experts en sécurité informatique de la société FireEye ont découvert une infiltration d’ordinateurs à partir de cookies, les petits fichiers installés dans nos ordinateurs par les sites Internet et autres régies publicitaires. Si un cookie dans un site Internet permet de gérer, par exemple, son accès à un forum, options premium… il permet aussi aux régies publicitaires de suivre le consommateur et lui proposer les annonces les plus ciblées possibles. Des pirates informatiques ont bien compris, et cela depuis longtemps, l’intérêt d’un tel outil numérique.

FireEye explique que se « profilage » viserait chefs d’entreprise, diplomates et autres chercheurs. Le cookie, et le script qui gère la chose, récupère l’IP, le navigateur des visiteurs, les sites consultés, la version de Microsoft Office, Flash Player et Java utilisés. Bref, les malveillants cherchent leurs cibles à infiltrer comme ont déjà pu le faire des pirates Russes (Russian Doll) et Chinois (Clandestine Wolf). Ca sent les 0days en cours d’utilisation un tel environementage 2.0. Parmi les sites infiltrés et injecteurs, des écoles, des ambassades ou encore des administrations en charge des passeports.

Pour se protéger de ce genre de traçage, n’hésitez pas à utiliser, entre autres, un VPN et des outils qui permettent de gérer les cookies. L’outil Freedome de F-Secure permet, par exemple, de cacher sa présence sur un site Internet, de changer son IP, de contrôler les sites trackeurs et bloquer les espaces
potentiellement malveillants. DataSecurityBreach.fr vous propose de tester gratuitement Freedome, et cela durant 1 mois. Il vous suffit de rentrer le code promo suivant dans le logiciel une fois installé : r67anej

Android, Chiffrement, cryptage, Cybersécurité, Mise à jour, Patch, Smartphone, Téléphonie

Google renforce son action pour le chiffrement des courriels

Google a décidé de resserrer la sécurité de ses utilisateurs en avertissant de l’arrivée d’un courriel non chiffré… mais ne corrige pas un bug plutôt gênant.

Google a ajouté une nouvelle fonctionnalité à Gmail qui a pour mission d’informer les utilisateurs chaque fois qu’un courriel non chiffré atterrit dans votre boîte de réception. Cette nouvelle fonction est destinée à freiner les attaques en ligne qui peuvent viser des fournisseurs de messageries. Pour développer cette fonctionnalité, Google a signé un partenariat avec les Universités du Michigan et de l’Illinois. Une sécurité qui résulte d’une recherche sur l’évolution de la sécurité des courriers électroniques depuis 2013.

Pendant ce temps…
Depuis les paramètres de Gmail via un ordinateur, une chercheuse en informatique à trouvé le moyen de modifier le nom qui apparaîtra dans le courriel envoyé. Pour prouver sa découverte, Yan Zhu, la chercheuse, a modifié son nom d’affichage en yan «  »security@google.com ». Les guillemets supplémentaires dans son identité ont provoqué un bug de traitement de l’information. Un moyen qui pourrait piéger des internautes pensant recevoir un courriel de Google, par exemple.

Le bug ne vise que l’application Android. Yan Zhu a alerté l’équipe de sécurité Google. Cette dernière n’a pas estimé qu’il était important de corriger.

Cybersécurité, Facebook, ID, Identité numérique, Particuliers, Social engineering

Photo Magic : Facebook va s’inviter dans vos photos

Un commentaire

Facebook va lancer l’application Photo Magic. Mission de l’outil, aigrener les photos de votre smartphone pour retrouver vos amis.

Photo Magic Facebook est testé, en ce moment, en Australie. Sa mission, regarder l’ensemble des photos sauvegardées dans votre téléphone portable et retrouver vos amis Facebook. Une fois trouvées, les images sont classées et l’application vous alerte qu’il vous est possible de les partager, via Messenger. David Marcus, directeur de la messagerie de Facebook, affirme qu’après la phase de test de Photo Magic, l’application sera proposée dans quelques jours aux États-Unis.

Une nouvelle « option » sécurité, qui semble dédiée à cette application, est aussi apparue dans les Facebook Français. L’application Moments, sortie en juin 2015, utilise la technologie de reconnaissance faciale avec plus de 80 % de précision. L’outil est capable de vous reconnaître, même si votre visage n’est pas complet. Les utilisateurs pourront empêcher Photo Magic de les identifier en cliquant simplement sur l’option présente dans l’administration de son compte.

Chiffrement, cryptage, Cybersécurité, Justice, Logiciels, Tor

TOR a-t-il été piraté par le FBI ?

Des documents judiciaires utilisés par le gouvernement américain à l’encontre de réseaux de BlackMarket font référence à un groupe de recherche universitaire qui aurait aidé à trouver une faille dans TOR. Le FBI réfute les accusations.

Le service de chiffrement Tor a été conçu pour garder ses utilisateurs anonymes, mais l’année dernière, une faille aurait été découverte. Il y a quelques jours, les informaticiens derrières TOR ont annoncé que cette faille était plausible. Le groupe affirme que Tor a été « infiltré » par le FBI, avec l’aide de chercheurs de l’Université Carnegie Mellon. Ces derniers auraient été payée 1 million de dollars pour leur travail. Le FBI a réfuté ces accusations.

Dans son témoignage, le Projet Tor souligne que l’attaque ayant visé son service a débuté en février 2014. Plus d’une centaine de nouveaux relais sur le réseau Tor avaient été créés à la fin du mois de janvier, et avaient été utilisés jusqu’au 4 juillet 2014. Une infiltration qui aurait permis de collecter des informations. A l’époque, le Projet TOR ne connaissait pas encore le niveau de données collectables. Seule chose certaine pour l’équipe, c’était le Computer Emergency Response Team Carnegie Mellon (CERT) qui était derrière cette « visite ».

L’année dernière, lors du Black Hat de Las Vegas, des chercheurs du Carnegie Mellon devaient expliquer comment, avec du matériel n’ayant pas coûté plus de 3.000 dollars, ils avaient réussi à pirater le réseau TOR. Une conférence annulée au dernier moment. Le projet Tor dit que les chercheurs en question ont cessé de répondre à leurs mails.

TOR accuse le FBI, à la suite de la lecture des documents utilisés par le gouvernement, et le Département de la Justice US, à l’encontre de la boutique de blackmarket Silk Road 2.0. Son créateur, Brian Richard Farrell, aka DoctorClu, avait été arrêté en janvier 2015, et jugé. Le document indique que Farrell avait été identifié grâce à une information obtenue par « un institut de recherche universitaire. » Lors de la perquisition, le mandat judiciaire indiquait, dans les mots de l’agent spécial Michael Larson, que la source du FBI avaient permis de trouver « les adresses IP fiables Tor et des services cachés tels que Silk Road 2.0 ». Des adresses collectée entre Janvier 2014 et Juillet 2014, lors de l’opération Onymous.

L’opération Onymous a été lancée, en 2014, contre des boutiques du blackmarket par Europol, Eurojust, le FBI, le département américain de la Sécurité intérieure, et plusieurs autres services de police. 17 vendeurs et administrateurs de Silk Road 2.0 seront arrêtés, 1 million de dollars US, en Bitcoin, seront saisis.

Cybersécurité, Logiciels, Microsoft, Mise à jour, OS X, Patch

Patch Tuesday – Novembre 2015

Retour à la normale pour le Patch Tuesday de Novembre 2015. Douze bulletins concernent un large éventail de produits, depuis Internet Explorer (MS15-112) jusqu’à Skype (MS15-123). Les six petits bulletins du mois dernier étaient une anomalie probablement due aux vacances d’été. La différence marquée entre les patches pour Internet Explorer et pour Edge, en revanche, n’est pas une anomalie mais le fruit d’une ingénierie sérieuse de la sécurité.

Manifestement plus sécurisé qu’Internet Explorer, Edge s’avère être un puissant choix de navigateur Internet si vos utilisateurs peuvent s’en servir pour exécuter toutes leurs applications métier.

Pour le classement des patchs, le cru de ce mois comprend un correctif pour une vulnérabilité connue fournie dans le bulletin critique MS15-115 qui résout sept vulnérabilités dans Windows. Deux des vulnérabilités se trouvent dans le sous-ensemble de polices, ce qui les rend exploitables à distance via la navigation Web et la messagerie. Elles affectent toutes les versions de Windows, y compris Windows 10 et RT. Ce mois-ci, le bulletin MS15-115 figure en haut de la liste.

Vient ensuite MS15-112 pour Internet Explorer, avec 25 correctifs dont 23 pour des vulnérabilités critiques à base d’exécution de code à distance (RCE). Le vecteur d’attaque est une page Web, très courante, malveillante. Les cybercriminels lancent les attaques en exploitant des vulnérabilités au sein de pages Web par ailleurs anodines et en prenant le contrôle du contenu des pages dans lesquelles ils insèrent des liens invisibles qui pointent vers leurs pages d’attaque basées sur des kits d’exploits commerciaux. Ces kits concernent essentiellement des vulnérabilités récentes au sein de navigateurs et de plug-ins (Flash étant choisi dans 80% des cas selon une récente enquête de Recorded Future) et s’enrichissent de nouveaux exploits quelques jours seulement après la publication d’une vulnérabilité.

Les attaques via les navigateurs et la messagerie sont si fréquentes que le Centre pour la sécurité Internet (CIS) a revu sa liste des 20 contrôles de sécurité critiques et ajouté un contrôle dédié aux navigateurs/à la messagerie ayant une priorité de niveau 7, ce qui le positionne devant les défenses classiques contre les codes malveillants concernées par le contrôle 8.

Quoi qu’il en soit, le MS15-112 doit être déployé le plus vite possible.

Le suivant sur la liste est le bulletin de sécurité MS15-116 qui résout sept failles sous Microsoft Office. Cinq de ces vulnérabilités peuvent être exploitées pour prendre le contrôle du compte de l’utilisateur qui ouvre le document malveillant et permettre ainsi une exploitation à distance. Cet accès permet de contrôler suffisamment la machine pour lancer un certain nombre d’attaques, notamment de type Ransomware. Cependant, l’attaquant peut l’associer à une vulnérabilité locale dans le noyau Windows pour compromettre totalement la machine et en prendre pleinement le contrôle afin d’y installer de nombreuses backdoors.

Les deux autres bulletins critiques concernent Edge Browser (MS15-113) et le Journal Windows (MS15-114). Ils doivent être appliqués le plus vite possible, ne serait-ce que pour votre machine bénéficie de la toute dernière mise à niveau.

Tous classés comme importants, les autres bulletins doivent être déployés dans votre cycle de patch usuel:

  • MS15-118 concerne .NET et corrige trois vulnérabilités, dont une permettant d’exécuter du code pendant que l’utilisateur visite un site Web (Cross Site Scripting). Ces vulnérabilités sont souvent exploitées pour dérober les informations de la session de l’utilisateur et se substituer à ce dernier. Selon l’application concernée, les conséquences peuvent être lourdes. En effet, l’attaquant peut ainsi accéder à un compte de niveau Administrateur associé à votre application Web.

  • MS15-119 résout une vulnérabilité d’élévation de privilèges dans la bibliothèque de sockets Windows présente dans toutes les versions dont Windows 10.

  • Quant au bulletin MS15-117, il corrige une vulnérabilité au sein du composant réseau NDIS et qui affecte uniquement les systèmes plus anciens (Vista, Windows 7 et Server 2008).

  • MS15-120, MS15-121, MS15-122 et MS15-123 corrigent des failles uniques dans IPSEC, SChannel, Kerberos et Skype pouvant être exploitées par des dénis DoS, des attaques Man In The Middle ainsi que par des contournements de chiffrement.

Dernier point et non des moindres, Adobe a également publié une mise à jour pour Adobe Flash. APSB15-28 résout plusieurs vulnérabilités critiques permettant à un attaquant d’exécuter du code dans le contexte de l’utilisateur. Sachant que Flash est cette année une cible favorite des attaquants, n’oubliez pas de le mettre à jour sur vos machines clientes. (Analyse par Wolfgang Kandek, CTO , Qualys, Inc. (wkandek)

Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données

Fuite de données : Elle est pas belle ma torpille ?

La télévision russe filme et diffuse un document top secret sur une nouvelle arme nucléaire russe, la torpille Status-6.

Les boulettes, à la télévision, il y en a souvent. Mots de passe, données sensibles. Les militaires russes viennent de faire très fort. Lors d’un reportage diffusé par les chaînes gouvernementales NTV et Pervy Kanal, un plan de coupe dans un reportage montre un amiral lire une cahier contenant des informations top secrètes sur des torpilles baptisées Status-6. Mission de ces armes marines, contaminer d’importantes zones (des ports, ndr) rendues inutilisables par les radiations.

Poutine montre les crocs ou n’est-ce qu’une « fuite » permettant une désinformation contrôlée par le gouvernement Russe ?

Pour la rédaction de Data Security Breach, nous penchons pour le second cas. Comment peut-on croire que Poutine, ancien du KGB, son service de communication et son contrôle total des medias locaux laissent passer un plan serré, fixe et net. Soit Status-6 existe vraiment (s’agit-il de la torpille drone Kanyon ? NDR), soit la blague est efficace. En attendant, le nouveau règlement du Kremlin indique que la presse n’a plus le droit de filmer autre chose que le Président Poutine lors de réunion. Un moyen de renforcer le fait qu’il s’agisse bien d’une fuite non voulue ?

Cybersécurité, Justice, loi

L’Europe veut punir le simple fait de fournir un lien vers du contenu protégé

Pour faire payer les moteurs de recherches qui diffusent des liens vers des contenus illicites ou protégés par les droits d’auteurs, l’Union Européenne souhaite sanctionner les liens vers des contrefaçons.

La député européenne Julia Reda, membre du Parti Pirate, vient d’expliquer sur son blog que l’Union Européenne serait en train de se pencher sur un nouveau moyen de faire disparaître de la toile les liens renvoyant vers des contrefaçons de films, mp3, … mais aussi d’articles de presse protégés par le droit d’auteur.

Bref, le moindre lien vers un contenu protégé par le droit d’auteur pourrait être sanctionné par la justice. Cette loi, comme le précise Huse in writting a aussi pour mission de faire payer Google et compagnie dès que les moteurs de recherche indexent des contenus protégés, comme des articles de presse. Imaginez, un blog, qui diffuse automatiquement (ou non) des liens vers des articles. Cette loi Européenne pourrait sanctionner le blogueur. « Cela ouvre la voie à une censure généralisée et sans frontières. » indique AHW.

On va rire quand Google, en réponse, ne référencera plus aucun article de presse. Cette proposition législative doit être présentée au printemps 2016. (Ipkitten)