Archives de catégorie : Cybersécurité

Actualités liées à la CyberSecurité.

Apple, Cybersécurité, ios, iOS, Logiciels, Mise à jour, OS X, Patch, Smartphone, Social engineering

Sécurité de l’AppStore : la fin du mythe ou simple retour à la réalité ?

Apple et son Store victimes d’une attaque de sécurité majeure ! Une centaine d’Apps infectées par le biais d’une librairie utilisée par les développeurs ! La forteresse aura tenu longtemps, mais elle a fini par céder et l’actualité nous rappelle quelques vérités élémentaires en matière de sécurité informatique.

Peut-on faire confiance à un acteur mondial, fut-il Apple, pour traiter à l’échelle planétaire, et pour tout le monde, la sécurité des Apps ? Qui n’a jamais tenté de publier une application mobile sur l’AppStore, n’imagine pas les moyens et les efforts déployés par Apple pour effectuer des contrôles de sécurité poussés sur les applications mobiles distribuées sur son store. C’est un fait indéniable. Et c’est une réalité vécue quotidiennement par tous les développeurs. Apple évalue, Apple contrôle, Apple audite … Et Apple rejette les Apps qui ne répondent pas à ses exigences de sécurité. Cela ne fait aucun doute. Apple ne bâcle pas le travail en matière de sécurité. Il en va de son image. Mais pour autant est-il bien raisonnable d’imaginer qu’un acteur unique, fut-il le plus puissant de la sphère numérique, puisse promettre au monde entier un espace de sécurité absolue, contrôlé par lui seul et sur la base de règles qui lui sont propres ? Certes il est confortable et rassurant de le croire. Certes les preuves sont réelles des efforts consentis par Apple pour offrir à ses clients le store le plus sécurisé de la planète numérique.

Mais hélas, la réponse est non ! Et la preuve vient d’en être apportée par l’actualité récente. Apple est faillible car il est simplement impossible à échelle mondiale de garantir un espace de sécurité universel, commun pour tous, et cela, indépendamment du contexte d’usage des Apps, des terminaux mobiles et des systèmes d’information avec lesquels ils interagissent. La sécurité numérique est une notion subjective. Chaque entreprise voit la sécurité à sa porte avec ses propres règles, adaptées à ses spécificités et à ses composants sensibles. Imaginer le contraire relève quasiment de l’inconscience.

Les entreprises ne peuvent pas faire l’économie d’ajouter leur propres contrôles de sécurité aux contrôles d’Apple, fussent-ils les plus rigoureux. Agir différemment reviendrait à considérer dans le monde physique que la sureté du territoire national étant prise en charge par les services de l’Etat, il n’est pas nécessaire pour l’entreprise d’assurer sa propre sécurité et celle de ses personnels.

Apple n’y est pour rien. La firme de Cupertino aura beau multiplier les contrôles de sécurité. Ils ne couvriront jamais les exigences propres d’une banque, d’un opérateur de télécommunication ou d’un distributeur d’énergie. La sécurité numérique d’une entreprise est aussi et avant tout son affaire propre ! L’entreprise peut-elle faire confiance à ses seules équipes internes et/ou à ses prestataires, pour s’assurer de la sécurité de ses propres Apps ?

La première réponse qui vient à l’esprit est naturellement oui. Après tout, les équipes internes savent bien ce qu’elles font. Quant aux prestataires, ils sont encadrés et contrôlés, et ils auraient beaucoup à perdre à introduire des comportements malveillants au sein des applications mobiles qu’ils développent.

Hélas ! L’actualité d’Apple révèle combien le monde numérique est lié et interdépendant. La malveillance n’est pas venue des équipes de développement, qu’elles soient internes ou externes. Elle était simplement logée dans les outils qu’ils avaient à leur disposition … Dès lors la vieille histoire du cheval de Troie se réécrit en version numérique et la désormais fameuse librairie X code aura permis aux pirates de prendre la citadelle Apple en douceur.

Mais au final, et en toute bonne foi, des équipes de développement auront livré une application comportant une portion de code malveillant.

La leçon qu’il faut en retenir est simple : en matière d’applications mobiles, comme dans tous les domaines, la confiance implique le contrôle. Les entreprises doivent s’assurer que leurs applications et l’ensemble des éléments qui les composent sont auditées avec soin et cela dans les multiples et complexes ramifications qui constituent leur code informatique complet.

Peut-on aborder la sécurité des Apps au sein de l’entreprise de manière binaire ?
Une application doit être saine ou malveillante. Autorisée ou bloquée. Oui ou non, les questions de sécurité ne doivent accepter que ces seules réponses. Bien entendu, le monde des applications mobiles serait idéal si les réponses de sécurité étaient simplement binaires. Mais ce monde idéal n’existe pas. La sécurité est une notion relative. Chaque entreprise doit la considérer selon ses règles propres. En vérité, les applications se classent en 3 grandes catégories :

Les applications saines. Leur comportement ne présente pas de risque pour l’entreprise et ses collaborateurs. Pour autant, sur des critères qui ne relèvent pas de la sécurité, elles peuvent être interdites dans un cadre professionnel, à l’exemple des Apps de jeu électronique.

Les applications malveillantes. Indépendamment du contexte particulier d’une entreprise, certains malwares sont de véritables malwares universels. Une App de type « Ransomware » qui prend en otage les données de l’utilisateur (en les chiffrant) contre paiement d’une rançon, est à proscrire.

Et les applications « grises ». Elles sont saines pour certains. Elles sont malveillantes pour d’autres. L’interprétation de leur comportement dépend du contexte de l’entreprise. Une application qui récupère la géolocalisation de l’utilisateur peut être considérée comme dangereuse ou non, selon le contexte de l’entreprise.

La « zone grise » apporte de la complexité dans la gestion de la sécurité des Apps car elle possède des frontières à géométrie variable. Il convient à chaque entreprise de définir ses règles propres pour contrôler cette partie de l’univers des Apps qu’elle propose à ses salariés.

L’expérience révèle qu’à ce jour la majorité des entreprises oublient les Apps grises. Elles délèguent à un acteur mondial comme Apple le soin de gérer pour leur compte la question de la sécurité des Apps. Mais cela est impossible. Un acteur mondial ne peut déployer que des règles universelles communes pour tous. Or, les Apps grises doivent être traitées au cas par cas. D’autant que les technologies qui permettent une gestion personnalisée existent désormais sur le marché. (Par Clément Saad, Président de l’entreprise Pradeo)

Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Propriété Industrielle

Tixeo : La visioconférence sécurisée contre l’espionnage industriel

Fort d’une expérience de plus de 10 ans dans la visioconférence et d’une R&D 100% française, Tixeo introduit une innovation majeure dans sa dernière version : en s’appuyant sur une architecture de chiffrement inédite, les réunions en ligne des entreprises sont à présent protégées de tous risques d’espionnage.

Le coût annuel de l’espionnage industriel se compte désormais en centaines de milliards de dollars. Les pirates ciblent principalement les entreprises et les innovations issues de leur R&D, ainsi que des données commerciales confidentielles. S’emparer des informations stratégiques d’un concurrent est devenu une pratique commerciale courante et l’espionnage industriel une vraie industrie.

La sécurité des visioconférences est à ce jour complètement négligée alors que les informations échangées durant une réunion en ligne sont souvent stratégiques. La protection des comités de direction, réunions commerciales et autres réunions techniques réalisés à travers une visioconférence est impérative.

Aucune offre sérieuse sur le marché
La confiance en l’outil de communication s’ébrèche de plus en plus suite aux multiples scandales d’écoutes sur le réseau téléphonique et sur Skype. En effet, les gouvernements de certains pays imposent à leurs éditeurs de solutions de communication de fournir des capacités d’écoutes (Backdoors). Or, plus de 90% des solutions sur le marché de la visioconférence sont concernées…

Les sociétés qui veulent se prémunir de ces risques isolent l’outil de communication sur un réseau privé. Cette stratégie peut être efficace pour les communications internes, mais a l’énorme inconvénient de restreindre l’intérêt de ces solutions. En effet, elle exclut les utilisateurs n’ayant pas accès à ce réseau privé : clients, fournisseurs, partenaires externes à la société.

Conscient de cet enjeu, Tixeo propose dans sa nouvelle version un réel chiffrement de bout en bout dans une visioconférence multipoint, et cela tout en gardant une grande adaptabilité aux variations des réseaux. En effet, les communications sont maintenant chiffrées de bout en bout (de clients à clients), en plus du cryptage du client vers le serveur. Ce cryptage end-to-end permet donc un niveau de sécurité jamais atteint pour des communications multipoint, car même en cas d’attaque ciblant le serveur Tixeo la confidentialité des communications est garantie. Cette innovation est possible grâce à la technologie unique « SVC on Demand » (Scalable Video Coding on Demand) créée par la R&D de Tixeo. A ce jour contraint par leur architecture technologique, aucun autre acteur de visioconférence ne propose un tel niveau de sécurité.

Cybersécurité, Entreprise, Mise à jour, Patch, ransomware, Virus

Le risque caché d’un malware grand public pour les entreprises

Une analyse détaillée de la façon dont un cheval de Troie bancaire ciblant les particuliers peut infecter une entreprise.

Imperva, entreprise dédiée à la protection des données des entreprises et des applications critiques sur site et dans le cloud, vient de publier son dernier rapport Hacker Intelligence Initiative (HII) intitulé « Phishing Trip to Brasil ». Ce nouveau rapport émanant de l’Application Defense Center (ADC) analyse en détail une cyberattaque ciblant les consommateurs au moyen d’un cheval de Troie bancaire et montre comment un malware grand public peut infecter une entreprise. Il prouve également qu’en dépit d’éventuelles défenses antimalware, les attaques qui visent des employés isolés peuvent facilement pénétrer dans le réseau de l’entreprise.

La majorité des infections observées se sont produites pendant les « heures de bureau », preuve que les ordinateurs infectés étaient utilisés pour le travail. Au moins 17% des machines infectées étaient directement connectées au réseau de l’entreprise, ce qui montre la facilité avec laquelle les cyberattaques ciblant les consommateurs peuvent aussi bien menacer les entreprises.

Le malware grand public utilisé fait appel à une technique d’ingénierie sociale pour contaminer la victime, qui reçoit un message d’apparence authentique contenant un lien vers un fichier zippé. Si le destinataire extrait le fichier et lance l’exécutable délibérément ou à son insu, sa machine est infectée. Le malware commence alors à espionner l’activité de l’utilisateur. Si ce dernier se connecte à un site professionnel, en l’occurrence une banque brésilienne, le malware intercepte les données de la session et les transmet à des cybercriminels. Ces individus sont experts dans l’art de pirater les identifiants, dont ils se servent ensuite pour perpétrer des fraudes ou lancer d’autres attaques.

« Notre étude souligne le chevauchement entre vie professionnelle et vie personnelle : lorsqu’un employé reçoit un message suspect, il est plus enclin à l’ouvrir si celui-ci paraît provenir d’un expéditeur en qui il a confiance, par exemple sa banque. Malheureusement, si l’employé lit l’un de ces messages sur son ordinateur personnel connecté à l’entreprise via un réseau privé virtuel (VPN), il expose son employeur à une attaque potentielle », commente Amichai Shulman, cofondateur et CTO (Chief Technology Officer) d’Imperva. « Alors que le malware évolue plus vite que la protection antivirus, les entreprises ne doivent plus mettre l’accent sur la détection des attaques mais directement sur la surveillance et la protection de leurs données, applications et comptes utilisateurs. Avec les tendances du BYOD et du télétravail, la surveillance de l’activité sur les données et fichiers est le meilleur moyen de prévenir le piratage d’informations sensibles pour l’entreprise. »

Les attaques ne sont pas le fait d’un seul groupe de cybercriminels opérant dans l’ombre. Il apparaît qu’il en existe plusieurs, aux compétences variables sur le plan technique et en matière d’ingénierie sociale, mais exploitant tous le même malware sous-jacent. Cela illustre l’industrialisation de la cybercriminalité. Certains des serveurs C&C se trouvaient sur des sites Web légitimes qui avaient été détournés, tandis que d’autres avaient été mis en place expressément dans ce but. L’étude se concentre sur du malware provenant du Brésil et ciblant des banques de ce pays mais des attaques similaires sont possibles dans d’autres pays et secteurs.

Pour réaliser cette étude, l’ADC a évalué 14 serveurs de commande et de contrôle (C&C) différents, totalisant plus de 10 000 enregistrements sur presque 5000 adresses IP distinctes.

Chiffrement, cryptage, Cybersécurité, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, Particuliers

Les espions britanniques… espionnent des ressortissants américains

Le site Cryptome annonce que les espions britanniques du GCHQ ont surveillé les américains qui venaient consulter l’ancêtre de wikileaks.

Pour faire simple, Cryptome est le papa de wikileaks. Depuis plus de 15 ans, Cryptome diffuse des informations qui lui sont transmissent et qui relatent des documents du FBI, CIA, Services secrets de la planéte et autres documentations liées aux droits de l’homme. Cryptome vient s’expliquer, dans un article baptisé « GCHQ Illegal Spying in US » que les grandes oreilles britanniques ont espionné les internautes américains venus se renseigner sur l’espionnage dans le monde, et plus précisément celui mis en place par l’Oncle Sam. Une attaque MITM, Man-In-The-Middle, qui semble avoir permis au GCHQ de tracer les internautes venus se renseigner.

Cette opération de surveillance de masse –  baptisée Karma Police – a été lancée par des espions britanniques il y a environ sept ans. Un espionnage sans aucun débat public, ni examen politique. Un espionnage de l’Internet mondial mis en place  par l’agence des écoutes électroniques du Royaume-Uni, le Government Communications Headquarters (GCHQ). De nouveaux documents tirés des fichiers volés par Edward Snowden, ancien analyste de la NSA, ont été diffusés par The Intercept.

Android, Chiffrement, cryptage, Cybersécurité, ios, Justice, Sécurité, Smartphone, Windows phone

Révéler son mot de passe de téléphone aux autorités n’est pas une obligation

Justice : un tribunal américain indique que les autorités ne peuvent pas contraindre des suspects à révéler le mot de passe de leur téléphone.

Un juge de Pennsylvanie a indiqué, la semaine dernière, que des personnes accusés par les autorités d’un délit, peuvent invoquer leur droit et faire appel au Cinquième amendement pour ne pas fournir les informations permettant de se connecter à leur matériel informatique protégé par un mot de passe. Forcer des suspects à renoncer à leurs mots de passe de téléphone cellulaire est une violation du droit constitutionnel contre l’auto-incrimination, indique le juge fédéral Mark Kearney.

Un jugement intéressant au moment ou le FBI fait un important lobbying auprès du législateur pour contrôler le plus possible l’utilisation du chiffrement par les utilisateurs de matériel téléphonique et informatique. James Comey, le patron du Federal Bureau of Investigation, proposant même aux entreprises de réfléchir avec l’agence à des solutions plus souple pour les agents fédéraux, lors de leurs enquêtes. Bref, une porte cachée dans le matériel et système de chiffrement.

Il faut savoir qu’en France, la loi oblige les individus entendus par les force de l’ordre à fournir les mots de passe de leur ordinateur, de leur téléphone portable (ainsi que leurs clés de chiffrement). En cas de refus, en cas de peine, le juge peut doubler la sentence. (The Hill)

Apple, Cybersécurité, iOS, Logiciels, Mise à jour, OS X, Patch

Sécurité renforcée pour le nouvel OS d’Apple

Dans quelques jours sortira le nouvel OS d’Apple, EL Capitan. Apple annonce un renforcement de la sécurité pour ses Macintosh.

Les ordinateurs APPLE encore mieux protégés d’ici quelques jours ? Le géant américain indique que son nouvel OS, El Capitan proposera de nouvelles sécurités en plus de celles déjà existantes. Ce nouveau cerbère a été baptisé System Integrity Protection.

D’abord il va empêcher la moindre installation dans les dossiers sensibles du système. Les programmes non autorisés, déjà sauvegardés, vont être effacés lors de la mise à jour d’El Capitan. Les créateurs d’applications seront obligés de passer par https lors de la moindre communication de leur logiciel, le Mac et le web.

Cybersécurité, Entreprise, Mise à jour, Propriété Industrielle, Virus

Visite des laboratoires de GDATA en Allemagne

A l’occasion des 30 ans de l’éditeur de logiciels GDATA, nous avons visité les laboratoires de ce chasseur de codes malveillants dans ses locaux de Bochum, en Allemagne.

C’est dans une immense usine désaffectée de 15.000m² de la ville de Bochum, dans le nord est de Düsseldorf, que l’éditeur de GData m’a invité à découvrir ses laboratoires de lutte contre les logiciels malveillants. L’usine, imposante, est en plein travaux. Une remise au goût du jour pour ce spécialiste des nouvelles technologie et éditeurs de logiciels de sécurité informatique. Prêt de 400 employés, dont une centaine dans le monde, travaillent pour l’entreprise fondée en 1985 par Kai Figge et Frank Kühn. Depuis, l’entreprise germanique est dirigée par Franck Heisler et le Docteur Dirk Hochstrate. Dans l’ombre, des personnalités financières de première importance comme Natalya Kasperksy.

GData c’est des technologies qui sont reconnues de part le monde, comme le DoubleScan (deux moteurs d’analyse antivirus utilisant les moteurs de Bitdefender et Close Cap) qui a fait ses preuves. Il était d’ailleurs étonnant, et rigolo, de croiser le premier antivirus de la marque, tournant sous Atari ST, G Data AntiVirusKit. Sa version PC (MS-DOS) sortira 5 ans plus tard, en 1990.

Ce qui étonne le plus, l’aspect très familial de cette entreprise. Aujourd’hui encore, la majorité des parts de l’entreprise sont détenues par les employés et les fondateurs de GData. La zone de repos de l’Academy GData vaut son pesant de cacahuète, tenue par un ancien informaticien qui, un jour, a proposé à ses patrons de se charger du vin, de la bière et autres richesses « liquides » de l’entreprise. Bilan, il est devenu le sommelier de GData avec autant de folie dans ses yeux que de passion pour la vie (et le partage de sa passion, NDR). Les équipes sont nommées par des pseudos allant de « Petit Poney » en passant par Terminator 2 pour le patron du labo, Ralf Benzmüller. Il faut dire aussi que le gaillard mesure deux Schwarzenegger à lui tout seul.

Précision Allemande

Parmi les laboratoires que nous avons pu croiser, ceux des équipes en charge des codes malveillants inconnus, ceux dont les moteurs intégrés dans les logiciels de GData ne sont pas capable de bloquer. Des bureaux spacieux, des tableaux bardés de codes et d’informations sensibles. C’est d’ailleurs dans les locaux de Bochum que le code malveillant Tyupkin / APTRASST, il s’attaque aux distributeurs de billets, a été décompilé, décortiqué, analysé. Marrante aussi, cette immense boite noire qui ferait presque peur ! La boite de pandore qui cache en son sein toutes les « merdouilles » numériques capable de mettre à mal un ordinateur, un serveur, une entreprise.

Plusieurs milliers de codes malveillants sont analysés par mois. Les appareils mobiles sont d’ailleurs devenus la première préoccupation des équipes. En plus de l’augmentation des programmes malveillants (+25 % par rapport au premier trimestre 2015), le G DATA Mobile Malware Report a mis dernièrement en lumière une nouvelle tendance : la vente d’appareils Android déjà piégé dès la sortie d’usine.

Chiffrement, cryptage, Cybersécurité, Espionnae, ID, Identité numérique, Logiciels, Particuliers, Tor

Own-Mailbox, un projet de mail sécurisé

Un commentaire

Own-Mailbox promet la première boite à mails 100% sécurisé et confidentielle. Pour réussir ce tour de force, les créateurs lancent une souscription qui se termine dans une semaine.

Own-Mailbox, une idée qui s’annonce particulièrement plaisante pour les personnes souhaitant sécuriser leurs correspondances. La mission de Own-Mailbox, vous permettre d’héberger votre propre boîte électronique. Visuellement, il s’agit d’une petite boite, elle ressemble d’ailleurs un peu à la Anonabox présentée, la saison dernière, dans ZATAZ Web TV.

Derrière Own-Mailbox, la société Revolutek. 824 contributeurs, dont votre serviteur, ont mis la main à la poche. 58.000 euros ont été récoltés pour le moment. Le projet en réclame 95.000. La version bêta sera livrée en décembre 2015. La version définitive en juin 2016.

Les auteurs indiquent qu’elle sera aussi facile à installer que gMail. La « box » chiffrera automatiquement vos mails à partir de Gnu Privacy Guard (GPG). Vos correspondants n’ont pas besoin de chiffrer leur message, ou d’avoir votre clé. Un lien HTTPS filtré et temporaire est communiqué à vos contacts. Ce lien pointe vers votre message privé hébergé sur votre propre Mailbox. A suivre sur KickStarter.

Kerv, la bague qui va vous permettre d’allumer votre PC ou payer vos achats
C’est sur KickStarter qu’est apparu le projet Kerv. L’idée de son instigateur, Philipp Campbell, permettre d’allumer votre PC ou payer vos achats avec une bague dédiée. Pour le moment, plus de 13.000 livres sterling ont été collectés, sur les 77.000 que réclame son projet. Payer avec un seul geste – partout dans le monde – du moins dans les boutiques qui accepte les paiements sans contact. Si l’idée semble intéressante, savoir que notre porte monnaie est au bout d’un doigt et que le paiement par NFC peut se manipuler malheureusement assez facilement laisse quelques questions en suspend. A voir pour d’autres utilisations comme diffuser sa carte de visite numérique de manière originale ou permettre de clôturer et/ou ouvrir son ordinateur.

Apple, Cybersécurité, Espionnae, ID, Identité numérique, ios, Logiciels, Mise à jour, OS X, Particuliers, Patch, Smartphone

Contourner iOS 9 LockScreen en 30 secondes

Utiliser SIRI pour contourner l’écran de verrouillage des nouveaux appareils d’Apple fonctionnant sous iOS9.

Une faille de sécurité a été découverte dans le nouvel OS d’Apple, iOS 9, sorti en septembre. Il permet d’exploiter Siri afin de contourner l’écran de verrouillage des téléphones et autres tablettes de la grosse pomme. Le « truc » permet d’accéder aux contacts et aux photos stockées dans l’appareil en 30 secondes. La faille n’est toujours pas corrigée dans la mise à jour 9.1.

La firme de Cupertino a annoncé que plus de 50% des appareils ont été mis à jour

La faille est d’une simplicité enfantine. Il est même étonnant qu’aucun test interne n’eut été réalisé face à ce genre de « bug ». Comment cela marche ? D’abord faire 4 erreurs lors de la demande de votre mot de passe. Attention, au bout de 5 tentatives, votre téléphone sera bloqué. Une protection classique. Dans cette 5ème tentative, tapez trois chiffres et laissez le dernier espace vide. Cliquez sur le bouton « Home » et fournissez un 4ème chiffre aléatoire. L’appareil sera bloqué, mais SIRI sera lancé. Demandez l’heure à Siri et cliquez sur l’îcone « Horloge ». Rajoutez une nouvelle horloge en cliquant sur +. Enregistrez cette horloge avec le nom de votre choix. Sélectionnez l’option « Partagez », ouvrez un nouveau message. Dans le champ « À », ouvrez la page info… et vous voilà avec un accès complet aux contacts et photos stockées dans le téléphone !

Pour éviter ce désagrément à la sauce « Big Brother », allez dans « paramètres », puis « code d’accès », sélectionnez l’option « Autoriser lors du verrouillage ». Bloquez l’accès à Siri quand l’accès à votre téléphone est bloqué par un mot de passe.

Apple, Chiffrement, cryptage, Cybersécurité, Espionnae, Fuite de données, ID, Identité numérique, Linux, Logiciels, Microsoft, Mise à jour, Particuliers, Vie privée, VPN

Firefox Beta : encore plus de sécurité

Protection contre le pistage au sein de la navigation privée. Firefox Beta est désormais disponible, avec de nouvelles fonctionnalités telles que la protection contre le pistage au sein de la navigation privée.

Cette nouvelle fonctionnalité bloque certains éléments tiers au sein des pages Web, utilisés notamment pour enregistrer l’activité de l’internaute et ainsi créer un profil de l’utilisateur en se basant sur sa navigation. La navigation privée au sein de Firefox permet de limiter l’accès aux données récoltées par les tiers. Firefox Beta propose également un nouveau centre de contrôle, incluant des paramètres de sécurité et de confidentialité regroupés en un seul endroit, et accessible via le bouclier dans la barre d’adresse. Firefox Beta tourne sur Windows, Mac et Linux.