Archives de catégorie : Cybersécurité

Actualités liées à la CyberSecurité.

Cybersécurité, Justice, loi

Le Parlement européen a adopté l’accord législatif sur les règles relatives aux communications électroniques

Le nouveau paquet télécom est présenté comme une victoire pour les consommateurs alors que c’est tout simplement l’inverse. Ce paquet représente une réelle menace pour la neutralité du Net, principe fondateur de la liberté d’expression et d’information sur Internet selon le député européen europe écologie Pascal Durand.

Si le Parlement européen s’était initialement prononcé pour inscrire ce principe dans la législation, le compromis final négocié avec le Conseil de l’UE a produit un tout autre résultat. Non seulement la neutralité du Net n’est plus mentionnée, mais pire, l’accord autorise les fournisseurs de services Internet à introduire des « services spéciaux » et à mettre en place une gestion du trafic sur Internet, menaçant de facto la neutralité du Net.

Les pourfendeurs du paquet télécom annoncent par ailleurs la soi-disant « fin des frais d’itinérance ». Pur mensonge. En effet, si les frais d’itinérance seront abolis plus tôt que prévu, des failles et exceptions dans la législation vont permettre aux opérateurs de récupérer leur manque à gagner par d’autres moyens, au détriment des consommateurs. Les autorités nationales auront la responsabilité de vérifier et d’interpréter l’application des règles, ce qui risque de conduire à une myriade d’exceptions nationales. De ce fait, il est très incertain qu’utiliser son téléphone au-delà des frontières nationales après 2017 sera moins coûteux. Par Pascal Durand, Député européen europe ecologie.

Pendant ce temps…
Mardi 27 octobre 2015, le Sénat a adopté en première lecture la proposition de loi, adoptée par l’Assemblée nationale, relative aux mesures de surveillance des communications électroniques internationales. Ce texte fait suite à la décision du Conseil constitutionnel du 23 juillet 2015 par laquelle le Conseil a censuré certaines dispositions de la loi sur le renseignement, qui devaient devenir un chapitre du code de sécurité intérieure relatif aux mesures de surveillance des communications électroniques internationales. Le Conseil constitutionnel ne contestait pas la constitutionnalité de ces dispositions mais avait estimé que le législateur n’avait pas épuisé sa compétence en renvoyant l’édiction de certaines règles encadrant cette technique de recueil de renseignement au soin du pouvoir réglementaire.

Estimant que les dispositions législatives destinées à autoriser et à encadrer la surveillance des communications internationales doivent être votées rapidement, les auteurs de cette proposition de loi proposent un dispositif qui répond aux exigences du Conseil constitutionnel. Le texte vise donc à créer un cadre juridique spécifique pour la surveillance des communications internationales en introduisant un nouveau chapitre dans le code de la sécurité intérieure.

http://www.senat.fr/rap/l15-097/l15-097.html
http://www.senat.fr/rap/a15-100/a15-100.html
http://www.senat.fr/seances/comptes-rendus.html

Argent, Arnaque, Cybersécurité, escroquerie, Justice, loi, Mise à jour, Particuliers, Social engineering

Rencontres en ligne : les arnacœurs contre attaque !

35 % des français ont déjà créé un faux profil et 15 % ont menti sur leur âge : du petit mensonge aux escroqueries sentimentales, comment éviter les pièges ?

Les escroqueries qui fleurissent sur les sites et applications de rencontres sont de plus en plus courantes et les témoignages de victimes se suivent et se ressemblent. Tout internaute doit se montrer vigilant lors de ses activités en ligne et plus particulièrement lors de conversations intimes avec des inconnus. Il est essentiel de ne pas partager ses données personnelles, qu’il s’agisse d’informations bancaires, de coordonnées (adresse e-mail ou postale etc.) ou de détails sur sa vie privée. Alors, comment trouver l’amour en ligne sans se faire avoir ?

Une étude conduite par Avast auprès de plus de 1200 français de tous âges, confirme la nécessité d’appliquer certaines règles dans le cadre d’une rencontre en ligne : alors que plus de 30 % des répondants affirment être déjà tombé amoureux avant même leur première rencontre physique avec leur partenaire, des vérifications préalables s’imposent. S’il n’est probablement pas dramatique de mentir de quelques années sur son âge, la création d’un faux profil – avouée par 20 % des personnes interrogées – pose en revanche plus de questions sur les intentions de certains utilisateurs.

Parmi les informations régulièrement révélées par les membres de ce type de sites/applications, nombreuses sont celles qui permettent à des personnes mal intentionnées de mieux repérer les faiblesses de leurs interlocuteurs. L’enquête d’Avast le confirme : sur l’ensemble du panel, plus d’un tiers des personnes interrogées (34 %) affirment avoir déjà été sollicitées par une personne qui leur réclamait de l’argent lors d’échanges en ligne, et plus de 10 % ont d’ailleurs cédé ! Les arnaqueurs comptent en général sur la naïveté ou la détresse émotionnelle/sentimentale de leurs interlocuteurs pour arriver à leurs fins. Il existe pourtant des méthodes simples et efficaces pour éviter de tomber dans leurs filets.

En effet, il n’est pas compliqué de vérifier l’authenticité des photos de profil ou encore de déceler une arnaque suffisamment tôt pour ne pas se laisser impliquer émotionnellement. Car plus le temps passe avant de découvrir la supercherie, plus il sera difficile de stopper le processus, notamment dans le cadre d’un chantage qui devient « affectif ».

Près de 20 % des personnes interrogées déclarent avoir été victime de harcèlement sur un site ou une application de rencontre. Plus de la moitié des membres d’un site ou d’une application de rencontre sont mariés (38 %) ou entretiennent déjà une relation (13,78 %). La majorité des répondants sont inscrits sur un ou deux sites/applications (76 %) mais presque 5% sont membres de plus de 7 sites ou applications différentes. 20 % des répondants avouent avoir déjà créé un faux profil. 15 % confirment avoir déjà menti sur leur âge : 58 % se donnent entre 1 et 5 ans de moins (ou de plus), environ 20 % entre 6 et 11 ans et 20 % également modifient de plus de 18 ans leur véritable âge

« Il est évident que le partage d’informations personnelles est nécessaire dans le cadre d’une rencontre amoureuse en ligne, explique à DataSecurityBreach.fr Sarah Teboul, spécialiste e-commerce chez Avast. C’est la raison pour laquelle les utilisateurs doivent impérativement s’assurer de la crédibilité de leur interlocuteur avant de leur confier la moindre information personnelle. Il existe plusieurs façons de se prémunir contre ces pièges. Par exemple, lorsqu’ils sont sollicités pour de l’argent, ils peuvent entre autres bloquer la personne sur les réseaux sociaux et renforcer leurs paramètres de sécurité. Il leur est également possible de vérifier la source des photos ou poèmes reçus sur internet afin de confirmer l’identité de leur interlocuteur, les escrocs réutilisant en général les mêmes images et textes. De nombreuses ressources sont également disponibles en ligne tels que des portails dédiés mis en place par le gouvernement et des numéros verts qui apportent un soutien plus important aux victimes d’escroqueries. »

Chiffrement, cryptage, Cybersécurité, Logiciels, NFC, RFID

Montre connectée, outil involontaire pour pirates

Pirater une montre connectée Fitbit en 10 secondes permet ensuite de transformer la tocante en complice involontaire d’actes malveillants.

Des ingénieurs de Fortinet ont annoncé, il y a quelques jours, avoir trouvé le moyen de pertuerber et pirater les objets connectés de la marque Fitbit. Un piratage possible en 10 secondes. Les montres sont ensuite transformées en diffuseurs de malveillances. La chercheuse Axelle Apvrille a expliqué que trop d’objets connectés sont totalement exsangue de sécurité. Une lapalissade tant l’alerte est lancée depuis des mois. Il faut cependant que les « connectés » soient totalement ouverts par leurs utilisateurs. Et dans ce cas aussi, les fabricants devraient avoir l’obligation d’information concrètement leurs clients sur les danger d’une trop grande ouverture sur le monde connecté. Surtout que pour le cas de la Fitbit, il suffit d’être dans la zone Bluetooth d’un bracelet et lui injecter le code malveillant en proposant un téléchargement « amical ». Fitbit, alerté en mars 2015, n’avait toujours pas corrigé 8 mois plus tard. Dangereux ou simple effet d’annonce d’une société qui cherche la communication facile ? A vous de voir ! L’Etat américain d’Alaska vient d’équiper 5.000 élèves des écoles primaires avec ce genre de matériel.

Base de données, Cyber-attaque, Cybersécurité, DDoS, Emploi, Entreprise, Fuite de données, Justice, Leak, loi, Mise à jour, Piratage, Social engineering

8 entreprises sur 10 canadiennes victimes d’un piratage informatique

Une enquête révèle que 87 pour cent des entreprises canadiennes auraient subi des incidents liés au piratage informatique.

Un sondage intéressant, signé par la société HSB BI&I, auprès de gestionnaires de risques permet de constater que les entreprises sont vulnérables. Près de 90 pour cent des entreprises canadiennes ont subi au moins un incident lié au piratage informatique dans la dernière année, selon une enquête réalisée auprès de gestionnaires de risques d’entreprises, publiée aujourd’hui par La Compagnie d’Inspection et d’Assurance Chaudière et Machinerie du Canada (HSB BI&I) faisant partie de la famille Munich Re.

« Les pirates informatiques ont évolué, et les risques également. Les entreprises doivent faire davantage pour protéger leurs informations sensibles et gérer toutes les violations de données ». Plus de la moitié (60 pour cent) d’entre eux croient que leurs entreprises consacrent suffisamment d’argent, ou de personnel qualifié et expérimenté, pour lutter contre l’évolution des techniques de piratage. Pourtant, 42 pour cent de ces entreprises n’ont pas souscrit une couverture de cyber-assurance.

« Avec la prévalence des cyber-attaques au Canada, il y a une nette divergence entre les perceptions des gestionnaires de risques et le niveau réel d’exposition de leurs entreprises face à une activité de piratage informatique », a déclaré à DataSecurityBreach.fr Derrick Hughes, vice-président chez HSB BI&I. « Les pirates informatiques ont évolué, et les risques également. Les entreprises doivent faire davantage pour protéger leurs informations sensibles et gérer toutes les violations de données ».

Parmi les gestionnaires de risques interrogés dans l’enquête, 66 pour cent représentaient les grandes entreprises, suivis par 28 pour cent pour les organisations de taille moyenne et de 6 pour cent pour les petites entreprises.

L’enquête a révélé une hausse notable de la sensibilisation et des préoccupations quant aux cyber-risques suite de l’adoption récente de la Loi sur la protection des renseignements personnels numériques (projet de loi S-4). Près de 70 pour cent des gestionnaires de risques ont déclaré qu’ils seraient plus enclins à souscrire une couverture de cyber-assurance pour leur entreprise en raison des nouvelles exigences en matière de notification de violation de données.

Les préoccupations concernant le type de renseignements pouvant être violés varient des informations sensibles de l’entreprise (50 pour cent) aux renseignements personnels identifiables (42 pour cent) et aux renseignements financiers (8 pour cent).

Interrogés sur les types de services de gestion des risques envisagés pour lutter contre les cyber-risques, les gestionnaires de risques répondent : la détection d’intrusion et les tests de pénétration (40 pour cent), le cryptage (24 pour cent) et les programmes de formation du personnel (19 pour cent).

HSB BI&I a réalisé la cyber enquête, le 28 septembre 2015, lors du congrès Risk and Insurance Management Society Conference Canada (RIMS Canada) à Québec. Cette enquête est destinée à représenter l’opinion des 102 gestionnaires de risques participants. Pour ce faire, ces derniers ont pris part à l’enquête par le biais d’une entrevue en personne. Les participants représentaient les entreprises de petites (1-99 employés), moyennes (100-999 employés) et grandes tailles (1 000 employés et plus), dans les secteurs d’activités suivants : les services publics et l’énergie; les mines; l’aérospatial, la défense et la sécurité; la fabrication; le secteur public; la technologie; les services financiers, la santé/médical; la vente au détail.

backdoor, Chiffrement, cryptage, Cybersécurité, Mise à jour

Vulnérabilité de la porte de garage: le code radio de milliers de télécommandes a été piraté

Des moyens parfois simples permettent aux cambrioleurs de gagner un accès inaperçu aux garages et aux immeubles d’habitation. La Police préconise une vérification des télécommandes et un remplacement des appareils peu sûrs le plus rapidement possible.

Avec les jours qui commencent à raccourcir, le nombre de cambriolages augmente rapidement. De plus en plus souvent, les cambrioleurs profitent d’une faille de sécurité jusque-là sous-estimée. Le signal d’ouverture de nombreuses télécommandes de portes de garage peut être intercepté dans un rayon de 100 mètres de l’émetteur [lire]. Quiconque connaît l’astuce peut très facilement utiliser une télécommande clonée pour ouvrir la porte du garage et entrer dans la maison. Cette méthode fonctionne surtout sur des systèmes plus anciens, équipé d’un code dit KeeLoq Rolling. Certes, le cryptage de ces émetteurs change certes à chaque fois, pas de manière arbitraire, mais bien prévisible. Selon la police, cette méthode a été décryptée il y a déjà plusieurs années. Différents codes de fabricant sont maintenant proposés par les pirates sur des sites Internet pertinents.

Par conséquent, la police préconise aux propriétaires de vérifier si leur télécommande est concernée par ce problème. Le cas échéant, le système devra être remplacé. Des alternatives sûres existent pour cela. Chamberlain, le leader mondial des automatismes de portail, a développé déjà en 2000 sa propre technologie de commande et de cryptage. Depuis 2013, toutes les unités sont équipées de systèmes de cryptage brevetés qui vont bien au-delà du niveau des modèles habituels commercialisés. Une adaptation ultérieure d’anciens systèmes de commande vers un modèle à haute fréquence n’est pas possible en règle générale. En cas de doute, il faut procéder à un remplacement du moteur y compris le récepteur et la télécommande. Des moteurs de porte de garage à haute sécurité sont disponibles pour moins de 200 euros. Au vu d’un éventuel scénario de dommages, cet investissement est tout à fait raisonnable. En outre, grâce au moteur bloquant l’ouverture, les portes de garage motorisées contribuent généralement à une protection optimale contre les cambriolages.

En juin 2015, DataSecurityBreach.fr vous expliquait comment un jouet Mattel, légèrement modifié, permettait de pirater et ouvrir des portes de garages !

Cybersécurité, Justice, loi

Gratuité et la réutilisation des informations du secteur public

Le Sénat a adopté un projet de loi sur la gratuité et la réutilisation des informations du secteur public.

Lundi 26 octobre le Sénat a examiné le projet de loi relatif à la gratuité et aux modalités de la réutilisation des informations du secteur public. Ce texte a pour objectif de favoriser la réutilisation des données publiques en transposant une directive européenne du 26 juin 2013 qui, selon le Gouvernement, « marque une étape importante dans la politique d’ouverture et de diffusion des données publiques (« open data »)« , et en allant au-delà des exigences de la directive, « dans un souci de simplification ou pour inscrire dans la loi les principes de l’open data, notamment celui de la gratuité« .

Le texte comprend 9 articles qui proposent notamment de supprimer le régime particulier de réutilisation des informations contenues dans les documents produits ou reçus par les établissements ou institutions d’enseignement et de recherche ou culturels (article 1er) ; de limiter à dix ans la possibilité d’accorder un droit d’exclusivité à un tiers pour la réutilisation d’informations publiques, sauf si ce droit a été accordé en contrepartie de la numérisation de ressources culturelles (article 2) et de poser le principe de la gratuité de la réutilisation des informations du secteur public (article 3). Le Gouvernement ayant engagé une procédure accélérée sur ce texte le 31 juillet 2015, il pourrait ne faire l’objet que d’une seule lecture au Parlement avant convocation de la commission mixte paritaire (CMP).

Ce texte a été modifié en commission des lois par l’adoption de 11 amendements et un sous-amendement du rapporteur, ainsi qu’un amendement du Gouvernement, visant à revenir au texte initial, voire à une transposition plus fidèle de la directive.

En séance, les sénateurs ont adopté ce texte. Au cours de l’examen, ils ont notamment souhaité :
· pour un meilleur accès des citoyens aux accords d’exclusivité et à leurs avenants, exiger leur publication électronique des accords d’exclusivité et leurs avenants (amt 22 – art 2) ;
· permettre la révision de la liste informations ou catégories d’informations tous les 5 ans (amt 18 – art 3).

http://www.senat.fr/rap/l15-093/l15-093.html
http://www.senat.fr/dossier-legislatif/pjl15-034.html

Cybersécurité, Entreprise, Mise à jour, Patch, Propriété Industrielle

12ème édition des Trophées de la Confiance dans l’Economie Numérique

La Fédération des Tiers de Confiance décernera le 8 décembre 2015 ses Trophées de la Confiance dans l’Economie Numérique. Les dossiers de candidature sont d’ores et déjà disponibles sur le site de la Fédération des Tiers de Confiance.

Pour cette 12ème édition, la Fédération des Tiers de Confiance remettra :
– le Trophée de l’Innovation dans la catégorie produit
– le Trophée de l’Innovation dans la catégorie service

L’objectif est d’encourager, de promouvoir et de récompenser un produit et un service novateurs issus des secteurs privé ou public, dont les qualités et les propriétés contribuent à l’établissement d’un environnement technologique sécuritaire, de nature à renforcer le sentiment de confiance des utilisateurs, dans le cadre de leurs échanges digitalisés.

– le Trophée de la Promotion de la Confiance dans l’Economie Numérique.
Celui-ci a pour objectif de récompenser la personne physique ou morale, dont les annonces, les démarches ou les travaux, ont contribué à la promotion de la Confiance dans l’Economie Numérique. A noter que le site ZATAZ.COM participe à cette troisième catégorie en présentant son Protocole d’alerte. Une action bénévole, depuis 18 ans, qui a déjà permis d’aider plus de 60 000 entreprises, associations,… à se protéger d’une fuite de données, d’une faille…

Quels critères de confiance ?
Un jury composé d’experts, de personnalités de la sphère des nouvelles technologies et de la digitalisation des échanges et de personnalités du monde scientifique, littéraire, artistique et universitaire, élira les lauréats des Trophées de l’Innovation. Les critères suivants ont été retenus :

Légitimité : parfaite maîtrise du contexte juridique et/ou normatif associé à la solution proposée
Intégration : apports et intégration de la solution dans une chaîne globale des traitements au sein de l’entreprise
Efficience : maîtrise des éléments budgétaires et notamment les conditions d’attente d’un ROI (Retour sur investissement) programmé
Evolutivité : prise en charge de l’accompagnement des utilisateurs (accessibilité), ouverture de la solution vers d’autres fonctionnalités.

La Fédération des Tiers de Confiance (FNTC) regroupe 130 acteurs Français et étrangers qui entendent prendre une part active dans la mise en œuvre et la promotion de la Confiance dans l’Economie Numérique : professionnels fournisseurs et/ou utilisateurs de services numériques, institutions et professions réglementées, entreprises de taille variée, start-ups, experts techniques et juridiques, universitaires.

Créée en 2001 par un ensemble de professionnels réglementés et de prestataires de services suite à la loi du 13 mars 2000, afin de structurer les échanges numériques naissants, la FNTC étend désormais son action au niveau international avec l’ensemble des acteurs qui souhaitent développer la Confiance dans le Numérique. Trois missions articules le FNTC : Construire la confiance dans le numérique de demain; Promouvoir les techniques et méthodes pour garantir la confiance dans le numérique et favoriser la connaissance des meilleures pratiques; Accompagner les institutions publiques.

Argent, Arnaque, Cyber-attaque, Cybersécurité, escroquerie, Espionnae, Mise à jour, Particuliers, Patch, Piratage

Les internautes allemands confrontés à des publicités malveillantes

Les clients du Fournisseur T-Online et du site eBay visés par des publicités malveillantes. Un cheval de Troie était installé dans les ordinateurs des victimes.

Sale ambiance, fin de semaine dernière, pour des milliers d’internautes allemands. Des pirates informatiques ont réussi l’infiltration d’une importante régie publicitaire locale, MP NewMedia. Lors de cette intrusion, les malveillants ont fait de manière à afficher de fausses annonces sur d’importants sites web (boutique, presse, …).

Parmi les diffuseurs involontaires d’un cheval de Troie, le fournisseur d’accès à Internet T-Online ou encore eBay. Dans le cas du FAI, dès qu’un visiteur souhaitait se rendre sur son compte mail, une message lui proposait de télécharger un logiciel. Derrière le programme, un code malveillant d’espionnage ! Tous les clients ayant visité T-Online, du vendredi 16 octobre au dimanche 18 octobre ont pu être compromis.

Prudence, il y a de forte chance que les pirates se soient attaqués à d’autres régies publicitaires. (MalwareBytes)

Base de données, Bitcoin, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Justice, Leak, Piratage

Piratage : 4 millions de clients du FAI TalkTalk dans la nature

Une faille de type injection SQL a permis à un pirate informatique de mettre la main sur 4 millions de clients du Fournisseur d’Accès à Internet TalkTalk. Il réclamait plus de 100 000 euros pour son silence.

Le Fournisseur d’Accès à Internet (FAI) britannique TalkTalk a confirmé qu’un pirate informatique était passé dans ses entrailles numériques. Une injection SQL aurait donné accès  à des données clients. Quatre millions de fiches clients ont été, dans le meilleur des cas lus, dans le pire copiés. Il est possible que les renseignements personnels, y compris les coordonnées bancaires, ont été dérobés. Les serveurs de l’entreprise ont été fermés durant plus de 24 heures, le temps que les autorités compétentes face les constatations d’usages, ainsi que des copies afin de remonter aux traces laissées (ou pas) par l’intrus.

Le FAI a admis que « malheureusement » il y avait une «chance» que certaines données clients, les noms des abonnés, les adresses, dates de naissance, numéros de téléphone, adresses e-mail, informations de compte bancaire et numéros de cartes de crédit ont pu être consultés par des pirates. Le pirate a réclamé 80 000 livres sterlings, soit plus de 110 000 euros contre son silence.

BYOD, Chiffrement, Cloud, cryptage, cryptolocker, Cyber-attaque, Cybersécurité, Entreprise, Piratage

Ransomware pour des produits VMware

L’attaque informatique à l’encontre de deux produits VMware revient sur le devant de la scène numérique. Un pirate réclame 1200€ pour rendre les fichiers chiffrés par son ransomware.

Deux outils signés VMware, vCenter et ESXi, sont attaqués depuis quelques semaines par un ransomware qui, à la différence sur PC ou smartphone Android, ne chiffre pas les informations rencontrées. Les données sont effacées après avoir été copiées par le malveillant. « Je veux juste vous dire que votre serveur a été piraté. Votre protection était complètement horrible, indique l’intrus, Si vous voulez obtenir la sauvegarde de vos machines virtuelles, vous devez nous envoyer un montant de 5 BTC« .

Le pirate réclame 1.200 euros pour permettre aux victimes de récupérer leurs biens pris en otage. 5 bitcoins par VM touchés ! Une attaque qui vise d’anciennes versions de Esxi (5.0 à 5.5) et vCenter Server (5.0 à 6.0). Mise à jour obligatoire.

Le pirate, derriére cette malveillance, semble être russe, c’est du moins ce qu’indique son pseudo Russian guardians. Ce dernier termine son message par un avertissement « Nous allons vendre les machines virtuelles à d’autres personnes si nous ne recevons pas les Bitcoins réclamés« . Les otages ont deux semaines pour payer. Les premières attaques sont apparues en juin 2015. Elles viennent de retrouver un certains regain en cette fin octobre. (BlogMotion)