Archives de catégorie : Cybersécurité

Actualités liées à la CyberSecurité.

Mise à jour, Patch

Onapsis Research Labs diffuse 21 avis de sécurité pour les applications SAP HANA

Onapsis, spécialiste mondial de la sécurité des applications métiers et principal fournisseur de solutions de cybersécurité, vient de publier 21 nouveaux avis de sécurité détaillant un nombre sans précédent de failles affectant toutes les applications SAP HANA, dont les solutions SAP S/4HANA et SAP Cloud sous HANA.

Ces avis émis par le laboratoire de recherche Onapsis mettent l’accent sur huit failles critiques, dont six concernent la conception même de SAP HANA, impliquant pour les corriger de modifier la configuration du système. À défaut, des cybers attaquants non authentifiés, pourraient prendre entièrement le contrôle des applications SAP HANA vulnérables et ainsi voler, supprimer ou modifier des informations. Ils pourraient aussi déconnecter la plate-forme afin de perturber les processus clés de l’entreprise.

C’est la première fois que des avis d’un si haut niveau de criticité et portant sur un aussi grand nombre de failles sont émis pour SAP HANA.

Ces failles font courir un risque potentiel à plus de 10 000 clients SAP utilisant différentes versions de SAP HANA, parmi lesquels figurent bon nombre des 2000 plus grandes entreprises mondiales dans tous les secteurs d’activité (énergie, pharmacie, administration, etc.). Des experts estiment qu’une violation de sécurité entraînant l’arrêt d’une application SAP pourrait coûter jusqu’à 22 millions de dollars par minute à certaines entreprises, avec notamment la perturbation de la production et de la distribution de leurs produits de base ainsi que la perte de connexion Internet et de données. L’économie mondiale pourrait être considérablement affectée par l’exploitation des failles de SAP HANA, celles-ci laissant amplement le champ libre aux cyberattaques par des États-nations, à l’espionnage économique, à la fraude financière ou au sabotage des systèmes clés des entreprises.

« La nouvelle grande vague d’attaques vise les applications stratégiques sous SAP et Oracle car ce sont des cibles économiques de choix pour les cybercriminels », explique à DataSecurityBreach.fr Mariano Nunez, CEO d’Onapsis. Elles se situent aussi majoritairement dans un angle mort pour bon nombre de directeurs de la sécurité informatique. Les failles affectant les systèmes SAP font de plus en plus l’actualité à l’image de la première attaque largement relatée dont a été victime la société USIS, fournisseur de la direction des ressources humaines (OPM) du département américain de la sécurité intérieure (DHS). En tant que solide partenaire de SAP, Onapsis collabore étroitement avec cet éditeur et ses clients afin de les aider à protéger leurs actifs stratégiques et à réduire les risques pour leur entreprise. Grâce à notre recherche de pointe, SAP a publié des patchs et des directives de sécurité qui permettent aujourd’hui à ses clients de se protéger. Nous les aidons potentiellement à éviter toute violation de sécurité à grande échelle qui pourrait avoir des conséquences désastreuses et nous leur permettons ainsi de tirer pleinement parti de leur investissement dans SAP HANA.

Les nouveaux avis de sécurité pour SAP HANA émis par le laboratoire de recherche Onapsis portent notamment sur huit failles critiques, six failles à haut risque et sept failles de risque intermédiaire. Bon nombre des failles critiques concernent les interfaces TrexNet au cœur d’HANA qui orchestrent la communication entre les serveurs dans les configurations haute disponibilité des grandes entreprises. Mais comme HANA devient la technologie sous-jacente de toutes les applications SAP, y compris SAP S/4HANA et la plate-forme Cloud SAP HANA et prend en charge un vaste écosystème d’applications d’autres éditeurs, la surface d’attaque s’élargit de façon exponentielle avec des conséquences diverses d’un système à l’autre.

Les experts en sécurité du laboratoire de recherche Onapsis ont collaboré avec des centaines de grandes entreprises afin de quantifier l’impact de ces différentes failles dans le cadre d’un service intitulé Business Risk Illustration (BRI). Celui-ci analyse de manière efficace les menaces qui pèsent sur la disponibilité, l’intégrité et la confidentialité des données et processus SAP.

« Il faut impérativement que l’industrie informatique se penche sur la cybersécurité des systèmes SAP », déclare à Data Security Breach Juan Perez-Etchegoyen, directeur technique d’Onapsis. « Cet ensemble de failles critiques est un des plus sérieux que nous ayons identifiés jusqu’ici en termes de dommages qu’un attaquant non authentifié pourrait causer à une entreprise. En cas d’exploitation de ces failles, toute information stockée ou gérée par une application SAP-HANA pourrait être extraite, falsifiée et supprimée, notamment les données à propos des clients, des salariés, des fournisseurs et des prix mais aussi celles à caractère décisionnel ou celles concernant la propriété intellectuelle, les budgets, la planification et les prévisions. Pire, le système pourrait être totalement paralysé par l’attaquant. »

Principales recommandations pour les directeurs de la sécurité informatique
Certaines de ces failles ne peuvent être corrigées par l’application de patchs de sécurité et le service HANA TrexNet affecté ne peut être stoppé. La seule solution consiste à reconfigurer le système, opération qui doit être correctement effectuée. Outre la consultation des notes de sécurité SAP, le laboratoire de recherche Onapsis recommande aux clients SAP de procéder comme suit :

Étape 1. Configurer correctement les communications TrexNet. Si elles s’exécutent dans un environnement haute disponibilité, ces communications sont essentielles au fonctionnement de SAP HANA. Vérifiez que le réseau où elles s’effectuent est isolé de l’utilisateur final et n’est pas accessible via un autre réseau. Assurez-vous également qu’il y a bien cryptage et authentification au niveau de la couche transport. S’il n’y a qu’une seule instance de SAP HANA, vérifiez que toutes les interfaces TrexNet écoutent sur l’interface réseau localhost uniquement.

Étape 2. Surveiller l’activité des utilisateurs. Certaines failles critiques pourraient être exploitées par des utilisateurs légitimes et des attaquants tentant de se connecter aux composants vulnérables (SQL et HTTP). Surveillez par conséquent le trafic HTTP à la recherche de la moindre activité suspecte. Enfin, analysez les journaux HTTP et SQL afin d’y déceler des entrées douteuses.

Étape 3. Veiller à ce que les mesures de détection et de correction soient en place. Intégrez SAP à votre stratégie de sécurité de l’information afin d’assurer une surveillance en continu des systèmes SAP et SAP HANA et de délivrer en temps réel des informations de prévention, de détection et de correction aux outils existants de gestion des événements et des informations de sécurité (SIEM) et de gouvernance et de contrôle des risques (GRC)

Les autres failles critiques, non liées au protocole TrexNet, doivent être corrigées en suivant la procédure indiquée dans les notes de sécurité SAP. Plusieurs notes de sécurité ont été publiées par SAP à propos des failles décrites ici. Elles portent les numéros 2165583, 2148854, 2175928, 2197397 et 2197428. Onapsis encourage les clients SAP à en prendre connaissance et à les appliquer dès que possible.

BYOD, Cybersécurité, Entreprise, Mise à jour, Patch, Propriété Industrielle, spam

Cyberdéfense

La sécurité de l’informatique industrielle (domotique, industrie, transports) aux éditions ENI.

Ce livre sur la cyberdéfense s’adresse à toute personne sensibilisée au concept de la sécurité dans le domaine industriel. Il a pour objectif d’initier le lecteur aux techniques les plus courantes des attaquants pour lui apprendre comment se défendre. En effet, si la sécurité de l’informatique de gestion (applications, sites, bases de données…) nous est maintenant familière, la sécurité de l’informatique industrielle est un domaine beaucoup moins traditionnel avec des périphériques tels que des robots, des capteurs divers, des actionneurs, des panneaux d’affichage, de la supervision, etc. Elle commence à la maison avec la domotique et ses concepts s’étendent bien sûr à l’industrie et aux transports.

Dans un premier temps, les auteurs décrivent les protocoles de communication particuliers qui régissent les échanges dans ce domaine et détaillent quelques techniques basiques de hacking appliquées aux systèmes industriels et les contre-mesures à mettre en place. Les méthodes de recherches sont expliquées ainsi que certaines attaques possibles avec une bibliothèque particulière nommée scapy du langage Python (pour les novices, un chapitre rapide sur la prise en main de Python est présent). Enfin, un chapitre montrera les protocoles et failles des moyens de transport ferroviaires.

Dans la lignée du livre Ethical Hacking dans la même collection, les auteurs de ce livre sur la Cyberdéfense ont à cœur d’alerter chacun sur la sécurité de l’informatique industrielle : « apprendre l’attaque pour mieux se défendre » est toujours leur adage. Hackers blancs dans l’âme, ils ouvrent au lecteur les portes de la connaissance underground. 54€.

Les chapitres du livre : Introduction – Les systèmes industriels – Les techniques de prise d’empreinte – Les différentes menaces possibles – Les protocoles utilisés et leurs faiblesses – Création d’outils avec Python – Prise en main de Scapy – D’autres outils utiles – Les systèmes domotiques – Les réseaux et protocoles ferroviaires.

BYOD, Chiffrement, cryptage, Cybersécurité, Entreprise, ID, Identité numérique, IOT, Particuliers, Vie privée

Internet des objets : les risques de la maison connectée

En examinant un échantillon aléatoire des plus récents produits issus de l’Internet des objets (IoT), les chercheurs de Kaspersky Lab ont découvert de sérieuses menaces pour la maison connectée. En effet, de nombreux objets connectés présentent des vulnérabilités importantes, à l’instar de cafetières divulguant les mots de passe Wi-Fi de leurs propriétaires (comme nous vous le révélions il y a 3 semaines, NDR), de baby phones facilement piratables ou encore de systèmes de sécurité domestique commandé par smartphone et pouvant être leurrés au moyen d’aimants.

En 2014, lorsque David Jacoby, expert en sécurité chez Kaspersky Lab, avait décidé de tester le niveau de vulnérabilité des équipements connectés de sa maison en cas de cyberattaque, il avait alors découvert que la quasi-totalité d’entre eux étaient vulnérables. A la suite de ce constat, en 2015, une équipe d’experts antimalware a réitéré l’expérience, à une légère différence près : alors que Jacoby avait concentré ses recherches principalement sur les serveurs, routeurs et téléviseurs connectés au réseau, cette nouvelle étude s’est intéressée aux divers équipements connectés disponibles sur le marché de la domotique.

Domotique : quels dangers les objets connectés représentent-ils ?
Pour mener l’expérience, l’équipe a testé une clé USB de streaming vidéo, une caméra IP, une cafetière et un système de sécurité domestique, les trois derniers étant commandés par smartphone. Des expériences réalisées dans plusieurs salons et hackfests que l’éditeur d’antivirus a repris à son compte pour cette étude.

Grâce à une connexion au réseau du propriétaire, le piratage de la caméra du baby phone a permis de se connecter à l’appareil, d’en visionner les images et d’activer le circuit audio. Notons également que d’autres caméras du même fabricant ont également servi à pirater les mots de passe du propriétaire. L’expérience a également démontré qu’il était également possible pour un pirate se trouvant sur le même réseau de récupérer le mot de passe maître de la caméra et de modifier son firmware à des fins malveillantes.

En ce qui concerne les cafetières pilotées par une application mobile, il n’est même pas nécessaire que le pirate se trouve sur le même réseau que sa victime. La cafetière examinée au cours de l’expérience a envoyé des informations suffisamment peu cryptées pour qu’un pirate découvre le mot de passe donnant accès à l’ensemble du réseau Wi-Fi de son propriétaire.

Enfin, lorsque les chercheurs de Kaspersky Lab ont étudié le système de sécurité domestique commandé par smartphone, ils ont pu constater que son logiciel ne présentait que quelques problèmes mineurs et était assez sécurisé pour résister à une cyberattaque.

Une vulnérabilité a cependant été découverte dans l’un des capteurs utilisé par le système : le fonctionnement du capteur de contact, destiné à déclencher l’alarme en cas de l’ouverture d’une porte ou d’une fenêtre, repose sur la détection d’un champ magnétique créé par un aimant monté sur le châssis. Concrètement, l’ouverture fait disparaître le champ magnétique, amenant le capteur à envoyer des messages d’alarme au système. Toutefois, si le champ magnétique est maintenu, l’alarme ne se déclenche pas.

Pendant l’expérience menée sur le système de sécurité domestique, les experts de Kaspersky Lab sont parvenus, au moyen d’un simple aimant, à remplacer le champ magnétique de l’aimant fixé sur la fenêtre, ce qui leur a permis d’ouvrir et de refermer celle-ci sans déclencher l’alarme. Le problème dans cette vulnérabilité est qu’elle est impossible à corriger par une mise à jour logicielle : elle tient à la conception même du système. Mais le plus préoccupant réside dans le fait que ces équipements sont couramment employés par de nombreux systèmes de sécurité sur le marché.

« Heureusement notre expérience montre que les fabricants prennent en compte la cyber sécurité lors du développement de leurs équipements pour l’Internet des objets. Néanmoins, tout objet connecté commandé par une application mobile est quasi certain de présenter au moins un problème de sécurité. Des criminels peuvent ainsi exploiter plusieurs de ces problèmes simultanément, raison pour laquelle il est essentiel pour les fabricants de les résoudre tous, y compris ceux qui ne paraissent pas critiques. Ces vulnérabilités doivent être corrigées avant même la commercialisation du produit car il est parfois bien plus difficile d’y remédier une fois que des milliers d’utilisateurs en ont fait l’acquisition », souligne à DataSecurityBreach.fr Victor Alyushin, chercheur en sécurité chez Kaspersky Lab.

Afin d’aider les utilisateurs à protéger leur cadre de vie et leurs proches contre les risques liés aux vulnérabilités des équipements IoT au sein de la maison connectée, voici quelques conseils élémentaires :

1. Avant d’acheter un équipement IoT quel qu’il soit, recherchez sur Internet s’il présente des vulnérabilités connues. L’Internet des objets est un sujet brûlant et de nombreux chercheurs se spécialisent dans la recherche de problèmes de sécurité de tous types de produits, qu’il s’agisse de baby phone ou d’armes à feu connectées. Il y a de fortes chances que l’objet que vous vous apprêtez à acheter ait déjà été examiné par des experts en sécurité et il est possible de savoir si les problèmes éventuellement détectés ont été corrigés.

2. Il n’est pas toujours judicieux d’acheter les produits le plus récents qui sont disponibles sur le marché. Outre les défauts habituels des nouveaux produits, ils risquent de receler des failles de sécurité qui n’ont pas encore été découvertes par les chercheurs. Le mieux est donc de privilégier des produits qui ont déjà eu plusieurs mises à jour de leur logiciel.

3. Si votre domicile renferme de nombreux objets de valeur, il est sans doute préférable d’opter pour un système d’alarme professionnel, en remplacement ou en complément de votre système existant commandé par smartphone, ou bien de configurer ce dernier afin d’éviter que toute vulnérabilité potentielle n’ait une incidence sur son fonctionnement. S’il s’agit d’un appareil appelé à collecter des informations sur votre vie personnelle et celle de vos proches, à l’instar d’un baby phone, mieux vaut peut-être vous tourner vers le modèle radio le plus simple du marché, uniquement capable de transmettre un signal audio, sans connexion Internet. Si cela n’est pas possible, alors reportez-vous à notre conseil n°1.

Argent, Arnaque, Cybersécurité, escroquerie, Justice, loi, Particuliers, santé, Social engineering

Escroquerie à la mort

Connaître le décès d’une personne permet à des escrocs d’appeler les familles pour espérer les piéger.

Des escrocs se font passer pour des associations de généalogie afin de soutirer de l’argent aux familles d’un défunt. L’idée est malheureusement terriblement efficace. D’abord, l’escroc collecte les identités des personnes décédées. Il suffit de faire une revue de presse des quotidiens locaux, voir des journaux municipaux, pour trouver les informations de base.

Ensuite, les voleurs font un environnement de la famille. Les escrocs inscrivent toutes les informations qui serviront ensuite à convaincre l’interlocuteur qu’ils contacteront par téléphone. Ils expliquent être mandatés par un avocat, un notaire ou une association de généalogie, comme ces cas révélés en Picardie.

L’excuse des voleurs, le défunt aurait souscris une assurance vie. Bien entendu, si le cas vous touche, ne fournissez AUCUNES informations bancaires. Demandez un numéro de téléphone pour rappeler. Attention ! Les escrocs peuvent vous fournir un 0899 (numéro surtaxés). Refusez aussi !

Base de données, Cybersécurité, Emploi, Entreprise, Fuite de données, Justice

Piratage contre action boursière

La Société britannique Optimal Payments Plc voit ses actions baissées après l’annonce du probable piratage d’un de ses serveurs, en 2012.

La Société britannique Optimal Payments Plc est spécialisée dans les paiements mobiles. Reuters indique qu’il aurait été découvert, en vente dans le black market, une base de données appartenant à OP. Une BDD comprenant des identités, des mails, … Une annonce qui a fait baisser l’action de l’entreprise de 11%. La société a déclaré qu’elle enquêtait sur ces allégations. Des données qui auraient été volées en 2012. Une baisse qui parait bien extrême pour quelques mails !

Apple, Cybersécurité, Logiciels, OS X, Patch, Virus

La moitié des malwares sous Mac OS X sont des adwares

Une analyse démontre que les adwares et PUA/PUP représentaient 55.1% des menaces sur Mac OS X en France, sur les six premiers mois de l’année.

Selon l’éditeur Bitdefender, éditeur de solution de sécurité informatique, les adwares intrusifs et les PUP/PUA comptaient pour près de la moitié des menaces sous Mac OS X , aux États-Unis (46%) et en Allemagne (45%), et atteignaient une large majorité au Danemark (61%), en Roumanie (58%) et en France (55.1% – 51 529 malwares Mac OS X détectés et analysés entre janvier et juin 2015.), sur le premier semestre 2015.

En effet, la moitié des utilisateurs sous Mac OS se plaignent régulièrement des adwares et autres PUA/PUP (applications/programmes potentiellement indésirables), qui détériorent l’expérience utilisateur et peuvent poser des problèmes de sécurité. Les adwares sont installés sur les machines le plus souvent à l’insu des utilisateurs, pendant qu’ils surfent sur Internet, ou lorsqu’ils installent un programme. Une fois installé, l’adware peut modifier les résultats de recherche de l’utilisateur et lancer de nombreuses fenêtres pop-up affichant de la publicité.

L’adware peut également ouvrir ou rediriger l’utilisateur vers des pages Web qu’il n’a pas souhaité visiter. Le but principal est de gagner de l’argent en affichant une quantité phénoménale de publicité, mais les adwares peuvent aussi être très curieux et s’insérer plus en profondeur dans la machine de l’utilisateur. Ainsi, ils peuvent agir en tant que keylogger (enregistreur de frappes au clavier) et intercepter le trafic en réalisant des attaques man-in-the-middle.

« Même pour un utilisateur doté de connaissances techniques, supprimer manuellement les adwares et PUA/PUP est un vrai casse-tête qui demande parfois de redémarrer jusqu’à cinq ou six fois la machine, cela malgré les efforts d’Apple pour intégrer les dernières mesures nécessaires dans sa FAQ, » explique à DataSecurityBreach.fr, Bülent Duagi, Chef de produits Bitdefender pour Mac et iOS.

Les adwares et autres PUA/PUP deviennent un problème important sur Mac. Certains acteurs en ont pleinement conscience, à l’instar d’AV-TEST qui inclura prochainement un test de reconnaissance des logiciels indésirables pour les solutions dédiées à Mac OS X, ou encore de Google qui a annoncé une amélioration de ses standards de sécurité pour supprimer de ses services les injecteurs de publicités indésirables.

Il est recommandé aux utilisateurs Mac, de vérifier chaque étape d’installation d’un logiciel tiers pour, le cas échéant, décocher certaines cases dissimulant des adwares, et de lire les Conditions Générales d’Utilisation (CGU) pour savoir, par exemple, si des données sont collectées ou partagées. Il est bien sûr conseillé de faire attention aux publicités malveillantes souvent tape-à-l’œil qui incitent l’internaute à cliquer et qui ont pour but d’infecter sa machine.

Cybersécurité, Justice, loi

Faudra-t-il, bientôt, fournir son identité pour posséder un drone ?

Jeudi 29 octobre, le Parlement européen de Strasbourg a adopté un rapport sur les drones qui pose les bases d’une prochaine législation européenne pour encadrer leur utilisation.

Certes la future réglementation européenne aura pour ambition de répondre aux inquiétudes justifiées concernant la sécurité mais tentera aussi de donner à cette filière émergente les moyens de se développer dans un cadre respectueux des citoyens et des espaces aériens. Cette filière des drones est en pleine évolution, et il est du rôle de la Commission européenne de l’appuyer tout en l’encadrant. Il est ainsi prévu qu’un volet législatif européen soit ouvert dans le futur paquet aérien qui sera présenté par la commission en décembre prochain. En effet, il n’y pas moins de 14 législations nationales (plus ou moins contraignantes) parmi les 28 pays de l’Union européenne, et la France fut l’une des premières à légiférer.

Ce rapport entend assurer la traçabilité de l’ensemble des engins, mais aussi des exploitants et propriétaires comme conditions sine qua none à toute utilisation. C’est une bonne chose car l’on a pu voir lors du survol des centrales nucléaires françaises que nous étions incapables d’en retrouver les pilotes. Il faut mettre en place un système d’immatriculation qui permettra d’identifier facilement les drones, et même à distance si possible. Les risques terroristes font craindre une véritable menace sur la sécurité du parc nucléaire français, pouvant provoquer un black-out électrique ou même un accident nucléaire majeur, comme nous avions pu le démontrer dans une lettre au gouvernement français… restée sans réponse.

Il est aussi prévu d’assurer une meilleure navigabilité pour les drones avec un partage de l’espace aérien clair. Il faudra surtout bien distinguer les usages récréatifs et professionnels, et donner des autorisations différentes à leurs utilisateurs.

Les eurodéputées Karima Delli et Michèle Rivasi (écologistes) concluent que « Ce rapport est dans la droite ligne des préoccupations écologistes, et appelle clairement à l’interdiction des survols des zones nucléaires mais aussi des zones chimiques à risque. Nous avons de plus obtenu la garantie d’une protection efficace des données de l’ensemble des citoyens européens afin que la liberté de chacun soit assurée« .

La législation est pourtant claire sur ce sujet. Le survol de zone publique, industrielle est déjà interdite ou faisant face à des règles très précises. Dans une commune, par exemple, seul un arrêté municipal peut autoriser, ou non, le survol d’un drone.

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Paiement en ligne, Patch, Propriété Industrielle

10 règles à respecter pour sécuriser l’informatique de votre PME

Si le numérique a envahi l’essentiel des espaces professionnels, la sécurité n’est pas suffisamment prise en compte par les PME.

Avec l’explosion des usages, de nouveaux risques sont apparus : indisponibilité de l’informatique, vol et destruction des données, espionnage industriel (fichiers clients, contrats, projets en cours…), escroqueries financières, sabotage de sites d’e-commerce…Des données sensibles sont dérobées lors d’intrusions informatiques ou subtilisées avec le vol d’un smartphone, d’une tablette ou d’un ordinateur portable.

Les conséquences peuvent être lourdes, de l’atteinte à l’image jusqu’à la faillite, en passant par des pertes de clientèle. La complexité des menaces, le coût élevé, le manque de temps et de personnel dédié sont les arguments les plus souvent invoqués pour justifier le manque d’intérêt pour renforcer la sécurité informatique dans les PME.

Pourtant, ces risques peuvent être considérablement réduits par un ensemble de bonnes pratiques, peu onéreuses et faciles à implémenter. « Mieux prévenir que guérir »… La sensibilisation des collaborateurs de l’entreprise aux bonnes pratiques informatiques est essentielle et circonscrit largement les dangers. Parmi les règles à respecter pour sécuriser l’informatique des PME, nous en avons retenu 10 :

Imposer des règles pour les mots de passe
Outil d’authentification permettant d’accéder à ses données ou à ses équipements numériques, il constitue une mesure de sécurité évidente. Plus un mot de passe est long et se compose de caractères différents, plus il sera difficile à cracker, notamment par des outils automatisés. Certaines bonnes pratiques augmentent de manière exponentielle son efficacité :Définissez les règles de choix et de longueur des mots de passe, rappelez régulièrement aux collaborateurs de ne pas conserver les mots de passe dans des fichiers présents dans le système informatique, modifiez ou renouvelez les moyens d’authentification proposés par défaut sur les équipements ou par les services divers, changez les mots de passe régulièrement.

Créer une séparation entre usages professionnels et personnels
Il est courant aujourd’hui d’utiliser des outils « pro » à des fins privés et vice-versa. Ces pratiques de plus en plus répandues dans les PME posent de vrais problèmes en matière de sécurité des données. Ceci augmente considérablement les risques de d’intrusion ou de vol. Dans ce contexte : Ne faites pas suivre vos messages électroniques professionnels sur des services de messagerie utilisés à des fins personnelles, n’hébergez pas de données professionnelles sur les équipements personnels ou sur les services de stockage en ligne personnels, et vice-versa.

Analyser régulièrement ses infrastructures
Avant d’enregistrer le contenu d’un support USB sur un ordinateur, prenez le temps de l’analyser avec un anti-virus … On ne sait jamais ! Ce geste simple et basique est souvent négligé et permet de protéger votre ordinateur des programmes malveillants pouvant endommager vos logiciels et mener à la perte partielle ou totale de données.

Mettre en place des sauvegardes automatiques régulières
Ne misez pas sur la discipline de chacun pour gérer ses sauvegardes ni sur un système manuel pour les sauvegardes du système d’information. L’automatisation et le monitoring sont seuls vrais garants de la sécurité.

Utiliser des solutions de sécurité
Durcissez la configuration des ordinateurs et utilisez des solutions de sécurité éprouvées (pare-feu, antivirus, etc.). Ces moyens de sécurité sont indispensables pour protéger vos outils informatiques de divers programmes malveillants. Ils bloquent le contenu et les accès dont la source ne peut être vérifiée et protègent vos données des intrusions.

Protéger les données lors des déplacements
L’utilisation des équipements nomades (smartphone, ordinateur portable, tablette) facilite les déplacements professionnels, le transport et l’échange des données. En revanche, en cas de perte ou de vol de l’appareil, l’activité de l’entreprise peut être sérieusement mise en péril. Pendant vos déplacements, n’emportez que les données nécessaires à la mission en mode déconnecté. Le reste vous attend au bureau et vous pouvez y accéder à distance en toute sécurité !

Monitorer son système
Faites surveiller votre système, notamment en utilisant les journaux d’évènements, pour réagir aux actions suspectes (connexions hors des horaires habituels, transferts massif de données…). Déterminer les droits d’utilisation en créant des comptes « administrateur » et « utilisateur » et protéger l’accès aux modifications importantes du système informatique. De même, le système d’information doit avoir des droits d’accès bien définis en fonction du profil de chaque utilisateur.

Télécharger les logiciels officiels
Téléchargez vos logiciels sur les sites officiels des éditeurs. Avant l’installation désactivez les cases proposant d’installer des logiciels complémentaires et l’ouverture automatique des documents téléchargés. Une fois téléchargés, avant toute chose, effectuez une analyse antivirus. Chaque système d’exploitation, application ou logiciel contient des vulnérabilités. Découvertes, elles sont corrigées dans les mises à jour de sécurité qu’il est nécessaire d’installer. De nombreux utilisateurs n’effectuent pas ces mises à jour : les failles sont ensuite exploitées par des personnes malveillantes. La solution la plus simple est de mettre en place des mises à jour régulières et automatiques. Vous gagnerez en productivité par la délégation de ces tâches chronophages. Vous pouvez aussi faire appel à un service professionnel qui gèrera l’ensemble de vos mises à jour de façon automatique et sécurisée.

Rédiger une charte informatique
Rédigez une charte informatique pour déterminer les droits et les obligations d’utilisation du système informatique pour cadrer le comportement des utilisateurs et prévenir les abus.

Désigner un référent
Choisissez un référent pour l’informatique dans votre PME qui est sensible aux enjeux de la sécurité. La cybersécurité peut aller encore plus loin. Face à la complexité des menaces, chaque entreprise a intérêt à se doter d’une politique de sécurisation de ses systèmes d’information. Déployée par un professionnel, une politique de cybersécurité peut même devenir un facteur de productivité, de compétitivité et de croissance pour les PME. En attendant, éteignez votre ordinateur pendant les périodes d’inactivité prolongée (nuit, weekend, vacances,…), cela aussi réduit les risques ! (par Pedro Sousa, pdg de Plenium)

Argent, Biométrie, Chiffrement, cryptage, Cybersécurité, Entreprise, Particuliers, Sécurité, Smartphone

L’iris comme mot de passe pour retirer de l’argent

Le groupe bancaire américain CitiGroup teste des distributeurs de billets proposant le contrôle du client par l’iris.

La société bancaire Citigroup vient de lancer un test géant d’un système de biométrie équipant ses distributeurs de billets. Mission, plus de mot de passe à taper, mais montrer ses yeux, et plus précisément son iris pour être identifié. Une technologie proposée par Diebold.

Comme l’indique le Wall Street Journal, une sécurité plus fiable que l’empreinte digitale. Deux machines sont testées à New-York. Il faut posséder un téléphone portable et l’application de Citigroup. Une fois votre iris validé par votre téléphone, un QR code apparaît à l’écran de l’appareil qu’il faut ensuite présenter au distributeur de billets. Une technologie qui semble lourde pour quelques billets, mais qui ne réclame plus de cartes bancaires, de code à taper, … Elle a été baptisée Irving.

La seconde technologie, Janus, rajoute une communication d’information par courriel et/ou SMS. Pour rappel, Diebold propose aussi des urnes informatiques pour les élections… qui ont été montrées du doigt, en 2008, suite à des problèmes de sécurité.

https://www.youtube.com/watch?v=awIM_M00tSA

Android, Cybersécurité, ios, Sécurité, Smartphone, Téléphonie, Windows phone

Sur les traces d’un smartphone perdu

L’éditeur Avast a « égaré » 20 téléphones aux Etats-Unis et suivi leur trace afin de connaître leur parcours.

Pour communiquer sur un des ses outils de sécurité informatique, ici une application contre le vol de téléphone portable, Avast Software a dévoilé les résultats d’une expérience au cours de laquelle la société a volontairement perdu et suivi la trace de vingt smartphones aux Etats-Unis.

Dix téléphones ont été abandonnés à divers endroits de New York, et dix autres à San Francisco. Avant de disperser les appareils, Avast avait préalablement installé trois applications de sécurité sur chaque téléphone : l’application gratuite Avast Anti-Theft, Lookout Mobile Security et Clean Master. L’éditeur avait également veillé à inscrire sur chaque périphérique l’adresse à laquelle il pouvait être retourné en cas de perte.

Sur vingt appareils, seuls quatre téléphones sont revenus chez Avast, tandis que les autres ont pu faire des périples hauts en couleurs. Sur une période de cinq mois, les analystes ont utilisé l’application Anti-Theft afin de suivre les mobiles perdus et ont découverts que la majorité des téléphones perdus ont été remis à neuf grâce à une réinitialisation aux paramètres d’usine. L’outil de l’éditeur serait la seule application de sécurité ayant « survécu » à la réinitialisation. Un appareil semble avoir voyagé dans un navire cargo transatlantique vers l’Inde, où il est actuellement utilisé par son nouveau propriétaire (Quid de la carte SIM, de l’abonnement, du réseau en mer ?). Un téléphone a pris un aller simple vers la République Dominicaine. Un appareil se trouve chez un prêteur sur gages. Un téléphone semble maintenant appartenir à un conducteur de taxi et fais des zigzags dans les rues de San Francisco

« Plus de 3 millions de téléphones sont égarés chaque année, déclare Gagan Singh à DataSecurityBreach.fr, Président de la gamme mobile chez Avast. Heureusement, grâce à Avast Anti-Theft, les utilisateurs ont la possibilité de tracer et de retrouver un téléphone perdu, ou de supprimer à distance les données qu’il contient si ce dernier est irrécupérable. Au vu du nombre de données personnelles que nous stockons sur nos téléphones à l’heure actuelle, il est fort utile de pouvoir retrouver son téléphone ou de supprimer son contenu si vous l’égarez. »

De bons samaritains
Alors que la plupart des appareils perdus continuent de parcourir le monde, quatre personnes ont toutefois renvoyé le téléphone qu’ils ont retrouvé. Comment savaient-ils qu’ils appartenaient à Avast ? Parmi celles-ci, Quiana W. de Brooklyn, a écrit : « Je sais ce que ça fait de perdre quelque chose, un portefeuille comme un téléphone, j’espère donc que cela incitera d’autres personnes à en faire de même. »