Archives de catégorie : Cybersécurité

Actualités liées à la CyberSecurité.

Cybersécurité, Entreprise, Espionnae, Facebook, Fuite de données, Particuliers

PictureBook affiche les photos Facebook que vous cachez

2 commentaires

Voilà une extension qui risque de faire un tabac, avant que Facebook face disparaitre cette option involontaire… ou pas !

PictureBook est une application dédiée au navigateur Chrome de Google. Sa mission, permettre de faire ressortir les photos que vous ne souhaitez pas afficher sur votre compte communautaire. L’outil fait ressortir les documents ou vous êtes tagués, même si vous n’avait pas validé les documents en question.

L’outil exploite les photos publiques, via les comptes de vos amis. Pour éviter ce petit espionnage entre « potes », mais pas seulement, vos « non » ami(e)s peuvent aussi vous « regarder », il suffit de dé-taguer vous même les clichés vous affichant.

PictureBook rappelle que la gestion de sa confidentialité sur la toile n’est pas un vain mot. A bon entendeur !

Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Justice, loi, Propriété Industrielle

Google accuse la MPAA de manipuler la justice

Un commentaire

L’affaire du piratage de Sony Picture n’a pas fini de faire les vagues. Il faut dire aussi que les donnés diffusées par les pirates ont de quoi faire sourire, rougir ou mettre très en colère certains acteurs médiatique, comme Google.

Dans les courriers et autres fichiers lâchés sur Internet par le/les pirates, on apprend que la Motion Picture Association of America a manipulé la justice américaine afin que Google supprime de son moteur de recherche les liens permettant de mettre la main sur des liens ou des sites renvoyant sur des contrefaçons. On comprend mieux pourquoi Sony a menacé la presse en indiquant qu’elle n’avait pas le droit de télécharger, lire et utiliser les informations mis en pâture par le/les pirate(s).

Bilan, le New York Times a lu et analysé les documents en question. Le journal a comparé avec les informations légales proposées lors du procès. Bilan, le procureur en charge du dossier, Jim Hood, a tout simplement reçu un courrier des avocats de la MPAA qui lui indiquaient quoi dire et faire.

Google a expliqué sur son blog qu’il n’était pas content et annonce que cette méthode n’était rien d’autre qu’une conspiration à son encontre. « La lettre a été signée par le procureur Wood, mais a été rédigée par un avocat du cabinet Jenner & Block qui travaille pour la MPAA ». souligne le New York Times.

Bref, le monde merveilleux du 7ème art révèle sa véritable facette. Nous sommes à deux doigts de dire merci à ce/ces pirates.

Android, Chiffrement, cryptage, Cybersécurité, Entreprise, Espionnae, Fuite de données, Identité numérique, ios, Particuliers, Sécurité, Smartphone, Vie privée

Énorme faille de confidentialité découverte dans les réseaux de téléphonie mobile

Un commentaire

Deux chercheurs allemands, spécialisés dans la sécurité informatique, ont découvert ce qui semble être un cas grave de fuite concernant les téléphones portables.

D’après Tobias Engel et Karsten Nohl, la faille pourrait permettre à des criminels et des agences de renseignement d’espionner les appels téléphoniques privés et les messages texte transmis via les réseaux cellulaires.

Le problème apparaît dans le système de signal 7 (SS7), un réseau mondial de télécommunications dont vous n’avez très certainement jamais entendu parlé. Sept permet aux opérateurs de téléphonie de faire transiter les messages et les SMS à travers le monde. Le Washington Post a rapporté que les chercheurs ont découvert des trous de sécurité dans certaines des fonctions SS7 normalement utilisées. SS7 a été conçu dans les années 1980. Il est évident que ce dernier soit criblé de vulnérabilités qui portent atteinte à la vie privée des milliards d’utilisateurs de cellulaires de part le monde.

Les failles peuvent permettre de localiser les appelants, n’importe où dans le monde, écouter les appels, les enregistrer. Il serait également possible de frauder les utilisateurs, ainsi que les opérateurs de téléphonie mobile en utilisant certaines fonctions SS7. Deux commandes semblent être particulièrement intéressantes.

La première pourrait permettre de détourner un téléphone portable en interceptant les appels qu’il reçoit. Une sorte de Man-in-middle. Avec un tel système en place, les appels peuvent être enregistrés secrètement. Deuxième commande, un pirate situé à proximité de sa cible pourrait utiliser des antennes radio pour intercepter les appels et les SMS traversant la zone « d’écoute ». Il faut une clé temporaire SS7 pour déchiffrer les communications enregistrées.

La semaine dernière, Nohl a mis ses découvertes en pratique en démontrant le danger à un sénateur allemand en déchiffrant ses SMS.

Pour se protéger, il est fortement conseillé d’utiliser des outils tels que FaceTime (Apple), Signal (Whisper System) ou RedPhone qui permettent d’avoir une communication sécurisée sur un canal non sécurisé.

Apple, Cybersécurité, Entreprise, Fuite de données, Logiciels, Mise à jour, OS X, Patch

Utilisateur de Firefox et Thunderbird, un keylogger activé dans le nouvel OS d’Apple, Yosemite

Voilà qui n’est pas amusant, mais alors pas du tout. Le chercheur en sécurité Kent Howard a rapporté à Apple un problème présent dans OS X 10,10 (Yosemite). Une fonctionne sauvegarde les informations tapées dans les produits Mozilla !

Des fichiers journaux sont créés par le CoreGraphics d’OS X dans le répertoire local /tmp. Ces fichiers journaux contiennent un enregistrement de toutes les entrées dans les programmes Mozilla (Firefox, Thunderbird) pendant leur fonctionnement. Dans les versions de Mac OS X (à partir des versions 10.6, 10,9, ndlr datasecuritybreach.fr) les CoreGraphics avaient cette capacité d’enregistrement mais le « keylogger » avait été désactivé par défaut. Dans OS X 10,10, cette journalisation a été activée de nouveau, par défaut, pour certaines applications qui utilisent une mémoire personnalisée, comme jemalloc.

Sur les systèmes vulnérables, la faille peut entraîner l’interception des données privées telles que noms d’utilisateur, mots de passe et autres données sauvegardées par ce fichier journal mal venu. Ce problème n’affecte pas les utilisateurs d’OS X avant la version 10.10. Les utilisateurs de l’OS X 10.10 doivent aller dans le dossier /tmp, supprimer les fichiers avec des noms commençant par « CGLog_ » suivie du nom d’un produit Mozilla, tels que « CGLog_firefox ». (Alerte Mozilla/Metabaron)

 

Android, backdoor, Cybersécurité, Espionnae, Fuite de données, Mise à jour, Particuliers, Patch, Sécurité, Smartphone, Vie privée

Logiciels espions dans la derniere mise à jour Galaxy Note de Samsung

Un commentaire

Mais que viennent donc faire là Cookie Jam, Drippler et RetailMeNot dans la nouvelle mise à jour de T-Mobile concernant les Galaxy Note 4 de chez Samsung. Les applications sont avides d’informations… sans que les propriétaires des smartphones soient alertés.

Voilà qui commence à faire beaucoup. Après la disparation de musique non acquise sur iTunes dans des iPod, Apple ayant décidé de faire le ménage sans que les utilisateurs ne puissent rien dire, voici le débarquement de logiciels « sniffeurs » d’informations dans les Galaxy Note 4 Samsung commercialisés par T-Mobile.

Une mise à jour, imposée par l’opérateur, en a profité pour installer sans que personne ne puisse dire « non », trois applications avec des autorisations incroyables… sans que le propriétaire du téléphone ne le sache. Cookie Jam, Drippler et RetailMeNot se sont retrouvés dans les smartphones. Les utilisateurs peuvent pas les effacer, ils se réinstallent dans la foulée.

Les logiciels malveillants ont été installés automatiquement après la mise à jour de T-Mobile. Parmi les autorisations autorisées, mais non validées par les clients : lire l’état du téléphone, l’identité, modifier, lire et supprimer le contenu de votre périphérique de stockage USB, modifier les paramètres de sécurité du système, télécharger des fichiers sans notification, voir toutes sortes de connexions et avoir accès complet au réseau… (Rick Farrow)

backdoor, Chiffrement, Cloud, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Espionnae, Fuite de données, Identité numérique, Leak, Particuliers, Piratage, Propriété Industrielle, Vie privée

007 espionne deux cables sous-marins de Vodafone

Un commentaire

L’agence britannique GCHQ aurait espionné deux câbles sous marins de Reliance Communication pour accéder aux données de millions de personnes.

L’Inde, comme des millions d’Internautes sont en colères après le GCHQ (General Communications Headquarters), les grandes oreilles britanniques, sœurs jumelles de la Nationale Security Agency de l’Oncle Sam. Dans ce qui peut être qualifié comme une autre révélation majeure des dossiers volés d’Edward Snowden, ancien analyste privé employé par la NSA, il vient d’être révélé par la presse britannique, allemande et indienne (Channel4, Süddeutsche Zeitung), que l’agence britannique « d’intelligence » a piraté deux grands câbles sous-marins de Reliance Communications. L’intimité numérique de millions d’utilisateurs aurait été compromise, sans parler de plusieurs gouvernements, dont l’Inde, l’Égypte, la péninsule arabique, la Malaisie, la Thaïlande, Hong Kong, la Chine continentale, Taïwan et le Japon.

Le piratage aurait été réalisé avec l’aide d’une société privée achetée dernièrement par le géant des télécommunication Vodafone. Ce « copain » aurait permis de pirater les câbles de Reliance Communication, ainsi que 27 autres « tuyaux » passant par le Royaume. Une action planifiée baptisée « Pfenning Alpha« , en partenariat avec la NSA américaine. Une ponction qui aurait durée de 2009 à 2011 à partir de Skewjack Farm, dans le sud de l’Angleterre.

Les câbles Reliance acheminent le trafic de données Internet entre l’Asie, l’Europe  (Flag) et le continent américain (Flag Atlantic 1).

Il y a un an, Le Monde rappelait que la France n’était pas en reste avec ce genre de « partenariat » avec la mise sur écoute d’un câble sous-marin. « Ce flux d’informations étranger-France, cette « matière première » comme la qualifie la NSA dans une note révélée par M. Snowden, fait l’objet d’une large interception par la DGSE« . Bref, la NSA a des pinces crocodiles un peu partout !

En février 2013, la NSA confirmait sa main mise sur les données transitant par le câble SEA-ME-WE 4 « Nous avons réussi à collecter les informations de gestion des systèmes du câble sous-marin SEA-ME-WE » confirmait alors la grande muette. (HindusTimes)

Argent, Banque, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Identité numérique, Leak, Paiement en ligne, Particuliers, Piratage, Vie privée

Il était possible de pirater Paypal d’un clic de souris

2 commentaires

Yasser Ali, un étudiant Égyptien vient de toucher 10.000 $ de Paypal. Le chercheur en sécurité informatique avait trouvé le moyen de pirater la grosse tirelire Paypal.

Ali, qui est ingénieur en mécanique, a découvert le moyen de passer outre la sécurité mise en place par Paypal. Inquiétant quand on connait les masses d’argent qui peuvent transiter par le géant américain. Via un simple clic, sur un lien particulièrement formulé dans un courriel envoyé à une cible, un pirate pouvait prendre la main sur le compte Paypal ciblé, et l’exploiter à loisir.

PayPal n’a pas tardé à répondre à cette alerte. Correction effectuée, Ali a touché 10 000 dollars de récompense. La faille se situait du côté des jetons d’authentification. Ces codes sont envoyés aux clients et sont changés à chaque fois que l’utilisateur clique sur le lien Paypal. Ali a cependant identifié que chaque jeton peut être réutilisé en faisant croire à Paypal que le client « cliqueur » est bien le propriétaire du compte en question. (Ali)

Banque, Cloud, Cybersécurité, Emploi, Entreprise, Mise à jour, Paiement en ligne, Patch, Propriété Industrielle

Marché de la cybersécurité du secteur financier américain: une hausse de 23%

Un commentaire

La rédaction de DataSecurityBreach.fr a reçu les résultats d’une nouvelle étude qui examine l’évolution rapide du marché de la cybersécurité dans le secteur des services financiers américains. Selon l’étude HSRC, le marché de la cybersécurité des services bancaires et financiers aux États-Unis devrait atteindre 9,5 milliards de dollars en 2015, suite à une hausse annuelle record de 23%.

Faisant suite à la flambée des cyber-attaques «réussies», les organismes financiers américains constitueront le plus important secteur non-gouvernemental du marché de la cybersécurité. Selon la nouvelle étude Banking & Financial Services Cybersecurity: U.S. Market 2015-2020, publiée par Homeland Security Research Corp. (HSRC): la multiplication et la sophistication des cyber-attaques «réussies» contre les grandes chaînes de vente au détail, les banques et les entreprises de services financiers l’année dernière (au cours de laquelle des relevés bancaires de plus de 500 millions de clients et des cartes bancaires ont été compromis) ont  incité les conseils d’administration des institutions financières américaines à l’action. Du fait de la remarquable croissance annuelle de 23%, le marché de la cybersécurité des services financiers américains atteindra 9,5 milliards de dollars en 2015 et deviendra ainsi le marché le plus important du secteur privé en matière de cybersécurité.

Argent, Banque, Cybersécurité, Emploi, Entreprise, Paiement en ligne, Particuliers

Les sites marchands sous pression à l’approche de Noël

Avec l’arrivée des fêtes de fin d’année, nombreux sont les acteurs du e-commerce qui se préparent à affronter cette saison cruciale en termes de ventes. Aux Etats-Unis, le coup d’envoi des achats de Noël est chaque année marqué par le Black Friday et le Cyber Monday, deux journées pendant lesquelles les consommateurs dépensent plusieurs millions d’euros en ligne.

Si ce phénomène est encore un peu timide en France, l’engouement pour les achats sur internet durant cette période est réel. En effet, selon les résultats du dernier baromètre de la Fevad sur les ventes en ligne, plus de 11 milliards d’euros devraient être dépensés par les Français sur internet pour Noël, soit une hausse de 10% par rapport à l’année dernière.

La très attendue période des achats de Noël représente l’une des plus importantes de l’année, et les sites marchands vont devoir prendre les mesures nécessaires pour pouvoir l’aborder sereinement. En effet, les douze derniers mois ont été difficiles pour de grands noms tels que Target, eBay ou encore Home Depot, qui ont successivement été victimes de cyberattaques ayant exposé les données bancaires et personnelles de millions de clients. De ce fait, tous les regards sont aujourd’hui tournés vers les acteurs du e-commerce, et les exigences des consommateurs sont de plus en plus élevées sur la qualité d’expérience en ligne mais aussi, et surtout, sur la sécurisation des données.

Avec autant de cartes bancaires enregistrées et utilisées sur internet, il ne fait aucun doute que les e-commerçants représentent l’une des cibles privilégiées des hackers. Il est donc primordial que les enseignes adoptent de puissants systèmes de défense pour être en mesure de lutter contre les cyberattaques de plus en plus sophistiquées. Alors que la question n’est plus de savoir si mais quand une entreprise sera visée par des pirates informatiques, les sites du e-commerce doivent prendre leurs responsabilités et assurer la protection de l’ensemble de leurs données, aussi bien pour leurs clients que pour leur réputation. Les récentes failles de sécurité ont déjà impacté les habitudes des consommateurs; ils se montrent en effet de plus en plus méfiants et accordent difficilement leur confiance quand il est question de communiquer leurs informations personnelles, encore moins si l’enseigne a déjà été victime d’une attaque.

Il est donc nécessaire que les e-commerçants fassent de la protection des données de leurs clients une priorité. Une mesure efficace serait la mise en place d’outils permettant de fournir une surveillance proactive, continue et en temps réel de l’activité sur leur réseau. Il s’agit également de la clé absolue pour être capable d’identifier le moindre comportement anormal qui laisserait présager une menace et de bénéficier d’alertes immédiates en cas d’événement critique. Ainsi, une visibilité accrue et en temps réel permet de détecter beaucoup plus tôt les éventuelles attaques, et de prendre très rapidement les mesures qui s’imposent pour les neutraliser avant qu’elles ne s’étendent et ne causent des dommages durables.

Les conséquences financières peuvent être très lourdes si les enseignes ne sont pas capables d’assurer un haut niveau de sécurité, surtout au moment de Noël. Pour palier un tel risque, elles ont donc tout intérêt à renforcer la protection de l’ensemble des données sensibles générées par leur activité ainsi que celles de leurs clients, et à adopter une stratégie globale de sécurité dans un contexte de cyber-menaces grandissantes. (Par Jean-Pierre Carlin de LogRhythm)

Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Identité numérique, Justice, Leak, loi, Particuliers, Piratage, Propriété Industrielle, Vie privée

Données personnelles, l’Europe s’active…

La très prochaine Réglementation Générale de l’Union Européenne sur la Protection des Données, prévue pour la fin de l’année, concerne toutes les entreprises disposant de bases de données personnelles. Celles-ci auront 2 ans pour se mettre en conformité avec cette nouvelle réglementation. Des sanctions financières lourdes (jusqu’à 5% du chiffre d’affaires annuel) seront appliquées en cas d’infraction.

Gouverner, c’est prévoir. Cette maxime doit être complétée par l’évidence qu’il faut, pour anticiper les décisions, disposer de l’information. Toutes les entreprises qui utilisent des bases de données personnelles doivent donc aujourd’hui s’intéresser à la future Réglementation Générale de l’Union Européenne sur la Protection des Données qui verra le jour à la fin de l’année. Avec d’autant plus d’attention que des sanctions financières lourdes (jusqu’à 5% du chiffre d’affaires annuel) seront appliquées en cas d’infraction.

Une Réglementation Générale sur la Protection des Données
Soucieuse de renforcer les droits sur la vie privée en ligne, la Commission Européenne a proposé le 25 janvier 2012 une réforme de l’UE 95/46 /CE sur la protection des données, une réglementation déjà vieille de 10 ans. Depuis la mise en œuvre de la directive initiale, les progrès technologiques ont en effet entraîné une modification profonde de la façon de collecter, de rendre accessibles et d’utiliser les données. Une proposition de Réglementation Générale sur la Protection des Données a donc vu le jour. Approuvée par le Parlement Européen en mars dernier, elle est en cours d’adoption par le Conseil de l’Union Européenne et sera effective d’ici la fin de l’année, c’est-à-dire dans un mois, pour entrer en vigueur définitive après une période transitoire de deux ans.

Des conséquences pour tous les résidents de l’Union…
La Réglementation Générale sur la Protection des Données sera applicable si l’entreprise ou le sujet des données – la personne – est installé dans l’Union Européenne. Ce qui est déjà le cas de la Directive actuelle qui soumet les entreprises européennes à des règles beaucoup plus strictes que les entreprises hors UE. Désormais, les entreprises établies en dehors de l’Union Européenne devront obéir aux mêmes normes que les sociétés européennes lorsqu’elles traiteront des données personnelles de résidents de l’UE.

Par donnée personnelle, la Commission Européenne désigne « toute information relative à une personne physique, se rapportant à sa vie privée, professionnelle ou publique. Il s’agit du nom, d’une photo, d’une adresse électronique, de coordonnées bancaires, de messages sur les réseaux sociaux, d’une information médicale ou de l’adresse IP d’un ordinateur. »

Les principales modifications touchent à trois sujets majeurs.
Le droit à effacer des données personnelles
Le droit à l’oubli numérique permettra aux personnes qui veulent maîtriser leur vie en ligne de ne plus avoir de données personnelles stockées, traitées ou accessibles. Tout particulier pourra obtenir qu’elles soient supprimées, à condition qu’aucun motif légitime ne justifie leur maintien.

Chaque utilisateur final aura le droit de transférer des données d’un service à l’autre. D’autre part, les entreprises devront obtenir l’accord des intéressés pour recueillir leurs données personnelles. La non-obtention ou la non-fourniture de ce consentement invalidera le processus. Les entreprises doivent être en mesure de prouver comment les données personnelles sont traitées, recueillies, conservées, accessibles et utilisées. Elles doivent pouvoir produire l’accord explicite qui leur permet de traiter les données en question.

Le Responsable de la protection des données
Les entreprises de plus de 250 salariés seront tenues de nommer un Responsable de la protection des données, dont les coordonnées devront être publiées, pour veiller au respect de la réglementation. En cas de violation des données, il devra informer les organismes de réglementation en fournissant des renseignements détaillés, dans les 72 heures qui suivent la prise de connaissance de l’infraction. Toute action ayant un impact «hostile» devra être notifiée. En conséquence, l’entreprise doit se préparer et prendre les dispositions nécessaires pour fournir les informations détaillées sur les violations de données, aux autorités compétentes, dans le laps de temps autorisé. Ces exigences signifient que l’entreprise doit être capable d’identifier rapidement l’infraction et mesurer l’étendue de la fuite.

Une protection intégrée
Des garanties de protection des données devraient être intégrées dès les premiers développements des produits et des services proposés par les entreprises. Les paramètres par défaut respectant la vie privée devraient devenir la norme, comme par exemple sur les réseaux sociaux.

Des conséquences importantes pour l’entreprise
La Directive en vigueur n’est pas appliquée de la même manière dans tous les pays membres de l’Union Européenne. La nouvelle Réglementation sur la Protection des Données sera, au contraire, mise en œuvre de manière identique dans tous les pays membres. Le fait que ce soit une Réglementation et non une Directive signifie qu’elle sera directement applicable à chaque Etat membre de l’UE.

Le respect de la Réglementation évitera des pénalités financières et d’éventuelles poursuites judiciaires. Des sanctions sont prévues. Etablies en fonction de l’ampleur de la fuite de données, elles peuvent atteindre 2 à 5% du chiffre d’affaires annuel global et aller jusqu’à 100 millions d’euros.

Une grande sévérité pour les entreprises !
Les diverses modifications comme le droit à l’oubli, l’accès facilité pour l’utilisateur à ses propres données, l’accord nécessaire pour pouvoir utiliser ou traiter les données des particuliers, la nomination d’un Responsable à la protection des données, la notification et les informations concernant les flux en cas de violation ainsi que la confidentialité par défaut sont évidemment à inclure dans le plan d’évolution du Système d’Information, et cette nouvelle réglementation, qui a des conséquences importantes sur l’organisation de l’entreprise, doit être mise en place avec attention.
Comment se conformer à cette nouvelle norme ?

La Réglementation Générale sur la Protection des Donnée engendrera des changements au niveau de la collecte, du stockage, de l’accessibilité et de l’utilisation des données. Quant à l’obligation de déclarer toute violation des données, cela nécessite un système actif de surveillance des échanges et des flux de données et un certain nombre de bonnes pratiques.

Un examen approfondi des politiques de sécurité et de protection des données ainsi que des rôles et responsabilités au sein de l’entreprise s’impose. La priorité est un audit pour évaluer les risques et déterminer les actions à entreprendre en fonction des faiblesses propres à l’entreprise sur ce sujet. En second lieu, l’adoption d’une solution de SIEM* est un moyen efficace de contrôler l’accès aux systèmes où sont stockées les données personnelles. Ce type de solution permet aussi de surveiller la sécurité des systèmes et recevoir des alertes quand on y accède. Les logs fournissent en effet une vision complète et exacte de ce qui a été consulté. Il est donc possible d’informer rapidement les organismes de réglementation en cas de violation des données. Il est également possible de configurer des rapports prouvant la conformité à la Réglementation, ce qui aide considérablement les Responsables de la protection des données.

Faire appel à des experts et mettre en place dès 2015 ces nouvelles exigences en matière de sécurité et de conformité s’avère d’ores et déjà une tâche à planifier. On peut bien sûr penser que la mise en œuvre effective de la réglementation étant prévue après une période de deux ans, rien ne presse… Mais l’expérience montre que l’examen d’une structure organisationnelle ainsi que les mises à niveau nécessaires du système prennent du temps. Anticiper est aussi un avantage concurrentiel (voire marketing) pour les entreprises utilisant pour leur métier de gros volumes de données personnelles. (Par Frédéric Saulet, Directeur Régional Europe du Sud de LogPoint.)

* SIEM : Security Information and Event Management – Le principe du security information management est de gérer les événements du système d’information (Wikipédia).