Archives de catégorie : Cybersécurité

Actualités liées à la CyberSecurité.

BYOD, Chiffrement, cryptage, Entreprise, Fuite de données

Le corsaire Jean-Bart sécurise ses terminaux mobiles

La Communauté Urbaine de Dunkerque, avec 18 communes et 200.000 habitants sous sa coupe, a choisi Good Technology pour sécuriser ses terminaux mobiles tout en garantissant la séparation des données privée et données professionnelles. La communauté urbaine  a été une des premières collectivités territoriales françaises à se soucier de la protection des données professionnelles et personnelles de ses cadres et dirigeants en situation de mobilité.

Ce qui a soulevé la question ? La sortie de l’Iphone 3GS sur le marché français, en 2009. « Tout à coup, les téléphones BlackBerry – dont étaient équipés le Directeur général, le Directeur général adjoint et  quelques proches collaborateurs – ont semblé dépassés » se souvient Alain Vanlichtervelde, en charge de l’intégration et de la gestion des plates formes informatiques pour la Communauté urbaine. La réponse la plus rapide aurait alors été de renouveler les terminaux, tout simplement. Sauf que les insuffisances et risques de cette option sont immédiatement apparus aux yeux du Directeur général adjoint et d’Alain Vanlichtervelde. « L’Iphone étant très ouvert, avec des usages très larges, nous avons vite compris que nous devions trouver une solution pour sécuriser les données professionnelles, explique ce dernier. Il fallait notamment que nous puissions les effacer à distance en cas de perte ou de vol de l’appareil ».

Après une analyse des offres disponibles sur le marché, c’est finalement la solution Good For Enterprise qui a été retenue, pour deux raisons majeures. Sa fiabilité bien sûr. « La technologie du container est clairement apparue comme la plus sûre de toutes celles que nous avons examinées », confirme Alain Vanlichtervelde. Seconde raison : elle seule permettrait une stricte séparation entre les données personnelles et professionnelles sur les appareils. « Un critère clef, car certains cadres ont rapidement exprimé le souhait de consulter leur messagerie professionnelle sur leur téléphone personnel » explique le Directeur des systèmes d’information de la CUD. A l’époque, on ne donnait pas encore de nom à ce phénomène aujourd’hui très répandu, le « Bring Your Own Device »…

Certes, une légère dose de pédagogie a été ensuite nécessaire pour que les cadres et dirigeants concernés s’approprient la solution de Good Technology. « Certains avaient précédemment testé un logiciel de messagerie de push qui s’intégrait très bien avec l’Iphone, et ils en étaient satisfaits » explique en effet Alain Vanlichtervelde. Mais cette solution ne comportait pas la technologie du conteneur, et l’impératif de sécurité a primé. « François VILAIN Directeur général adjoint, Pierre MELEROWICZ DSI et moi-même avons insisté – en entretien individuel parfois – sur la nécessité première de garantir la confidentialité des données, et du carnet d’adresses en particulier, se souvient ce dernier. Finalement le message a été compris et la solution a été bien adoptée ». Seul petit souci : certains appareils de quelques cadres se sont révélés poser quelques problèmes avec la solution de Good Technology, « du fait du manque de mémoire disponible dû en partie à la surcouche de l’opérateur de téléphonie,» explique Alain Vanlichtervelde.

Début 2014, 70 cadres et dirigeants de la Communauté Urbaine de Dunkerque étaient ainsi équipés avec la solution Good For Enterprise – à la fois sur tablette et smartphone pour les seconds. Principales fonctionnalités utilisées ? « Avant tout l’accès à la messagerie professionnelle en situation de mobilité, puis la lecture de documents », répond Alain Vanlichtervelde. Ce dernier peut en effet consulter à tout moment les statistiques d’utilisation…  et s’assurer ainsi que les services mis à disposition ont un réel intérêt.

Parmi ses nombreux projets, le Directeur des Systèmes d’Information de la Communauté urbaine évoque un renforcement de la collaboration avec la ville de Dunkerque, les deux collectivités étant de taille comparables. Nul doute que la sécurité des données professionnelles sera un des sujets de discussion…

Argent, Banque, Cybersécurité, Fuite de données, Paiement en ligne, Twitter, Vie privée

Quand Twitter diffuse des cartes de crédit

3 commentaires
Extrait de la page du bot sur Twitter

Etonnant jeu que celui effectué par des centaines d’internautes, sur Twitter. Ces amateurs pas comme les autres du portail de micro blogging américain sont tellement content de posséder une carte bancaire (credit card, debit card, …) qu’ils en diffusent des photographies, dans l’espace du petit oiseau.

Totalement idiot, surtout que certains diffuseurs placent les informations sensibles (les 16 chiffres, la date de validité, certains même le CVV) à la portée du premier surfeur qui passerait par là.

Plus dingue encore, un bot, un robot Twitter baptisée « besoin d’une carte de crédit« , intercepte les messages et les répertories dans un compte Twitter dédié. Bilan, plusieurs centaines de photos, une cinquantaine de vidéos. Depuis 2012, Twitter laisse faire.

Pour l’américain, les Twitteriens sont responsables de ce qu’ils diffusent ! Bilan, faut pas pleurer si votre CB se retrouve sur Need a Debit Card.

 

Chiffrement, cryptage, Entreprise, Fuite de données, Propriété Industrielle

3 entreprises sur 4 stockent leurs clés de chiffrement dans leurs applications

Un commentaire

Personne n’est à l’abri d’une faille de sécurité.

Les révélations récentes de chercheurs de l’université de Columbia Engineering concernant la possibilité de récupérer des clés secrètes Facebook, Amazon ou Linkedin dans Google Play, l’App Store d’Android, ne sont qu’un exemple de plus qui doit contribuer à alerter les entreprises qui continuent de stocker les clés de chiffrement dans leurs applications. Les données sensibles et la propriété intellectuelle ne sont en sécurité que si les clés utilisées pour les chiffrer le sont. Quand ces clés sont stockées dans des serveurs qui stockent également les logiciels elles sont susceptibles d’être compromises ou perdues.

Pourtant, d’après une étude SafeNet récente, 74% des organisations stockent leurs clés de chiffrement dans leur logiciel. Pour des spécialistes en sécurité IT cette stratégie est comparable à laisser les clés de sa maison sous le paillasson. Il est plutôt conseillé de faire appel à des plateformes spécifiquement dédiées à la gestion de clés et qui permettent de stocker et gérer les clés dans un équipement matériel où elles seront protégées et contrôlées (des boîtiers HSM, pour « Hardware Security Module ». Une technologie qui n’est pas réservée aux grandes entreprises puisque ces boitiers peuvent être achetés par l’entreprise ou utilisés en paiement à la consommation, dans le cloud en mode SaaS). Seules les sociétés qui chiffrent leurs données sensibles et mettent en œuvre ce type de moyens de contrôle robustes et résistants aux attaques peuvent avoir la certitude que leurs données seront protégées même si une faille de sécurité survient.

L’approche la plus réaliste est en effet de considérer qu’une faille de sécurité surviendra (953 millions de fichiers compromis depuis 2013, comptabilisés sur Breachlevelindex.com), et de sécuriser la donnée elle-même par du chiffrement, pour que si elle tombait entre de mauvaises mains elle soit inexploitable. (Julien Champagne, Directeur Commercial France de SafeNet)

Chiffrement, cryptage, Cybersécurité, Fuite de données, Identité numérique, Leak, Vie privée

14 millions de patients médicaux touchés par une fuite de données

Un commentaire

La rédaction de Data Security Breach a reçu le rapport Annuel du HHS, l’US Departement of Health et Human Services, bref, le Ministére de la santé de l’Oncle Sam.

Ce rapport annuel, baptisé « Annual Report to Congress on Breaches of Unsecured Protected Health Information » revient sur les années 2011 et 2012. Cette étude égraine les violations de données en 2011 et 2012. Entre 2011 et 2012, le HHS a reçu 458 rapports de violations de données qui touchent plus de 500 personnes. Au total, c’est environ 14.690.000 de patients, d’employés… à avoir été touchés par des violations de leurs données personnelles, et donc sensibles.

Le nombre de violations de données qui affectent plus de 500 personnes sur cette période compte pour 64,5% de toutes les violations de données depuis le premier rapport, diffusé en septembre 2009. Le vol était la cause la plus commune de ces violations, soit 53% des cas, suivie par l’accès ou la divulgation non autorisée (18%).

En 2012, 68% des infractions touchaient des fournisseurs de soins de santé. 27% des fuites étaient dues à des ordinateurs portables compromis (vol, piratage, …). 23% des informations étaient diffusées en mode « papier » ; 13% via un serveur. En 2012, il y a eu 21.194 infractions signalées affectant moins de 500 personnes. Des violations de données qui ont affecté 165.135 personnes.

Le HHS, suite aux plaintes, a pu récolter 8 millions de dollars d’amende. Bref, le piratage et les fuites de données rapportent aux pirates, comme au gouvernement.

Android, Argent, Banque, Cyber-attaque, escroquerie, Leak, Vie privée, Virus

Des applis Google Play voleuses de données bancaires

Lookout a repéré cette semaine dans le Google Play store une application de banque en ligne clonée, conçue pour subtiliser les identifiants des utilisateurs, mais étrangement sans les mots de passe.

Nous avons aussitôt alerté Google qui a dans la foulée supprimé l’application concernée. Nous tenons à préciser que tous les utilisateurs de Lookout sont protégés contre cette menace. Le programme malveillant incriminé, baptisé « BankMirage », ciblait les clients de la banque israélienne Mizrahi. Les auteurs ont ainsi ajouté une sorte de surcouche à l’application légitime, proposant ensuite leur création de nouveau sur le Google Play store en la faisant passer pour celle de l’établissement bancaire.

Le mode de fonctionnement est simple : dès que la victime lance l’application, le programme malveillant charge le formulaire de connexion, à savoir une page html intégrée à l’application et créée pour dérober l’identifiant de la personne dès qu’elle le saisit. Il s’agit donc d’une tentative de hameçonnage (phishing) des données personnelles. Ce programme a toutefois une étrange particularité : il récupère uniquement l’identifiant de connexion de l’utilisateur. Ses auteurs ont inséré un commentaire dans le code qui commande de collecter uniquement cet élément, et pas le mot de passe.

Une fois l’identifiant récupéré et stocké, l’application envoie un message à l’utilisateur victime pour lui signaler l’échec de sa tentative de connexion. Il est invité à ce moment-là à réinstaller la « vraie » application légitime de la banque sur le Play Store.

Les programmes malveillants qui se font passer pour des applications de banque en ligne comptent parmi les plus dangereux, dans la mesure où ils s’intéressent à des données particulièrement sensibles. Ce type de programme est très présent dans l’Union européenne, dans les pays de la région Asie-Pacifique, et dans une moindre mesure aux Etats-Unis. Nous avons déjà repéré des programmes de banque en ligne créés en Corée qui, au lieu de se glisser dans le catalogue de Google Play, se font carrément passer pour l’application Google Play Store elle-même.

« PlayBanker » en est un exemple : il se fait passer pour Google Play et envoie des alertes aux utilisateurs victimes pour les pousser à télécharger des applications de banque en ligne pirates. Une autre variante, « BankUn », vérifie pour sa part au préalable la présence des huit plus grandes applications légitimes des banques en ligne coréennes, pour les remplacer ensuite par des versions pirates.

Il est hélas difficile pour un utilisateur de se prémunir d’une application de ce type parvenant à se faire référencer dans le Google Play store ; les moyens de protection classiques ne suffisent pas. Comme par exemple le fait de vérifier que le développeur de l’application est digne de confiance, ou de s’assurer que la case « Sources inconnues » (dans les paramètres système du téléphone) n’est pas cochée afin de bloquer l’installation furtive d’applications téléchargées à son insu.

Mieux vaut faire preuve de bon sens : la présence de deux versions apparemment identiques d’une même application peut signifier que l’une d’elles est illégitime. Pour être protégé à 100% contre ce type de menace, la meilleure solution consiste à installer sur le téléphone une solution de sécurité telle que Lookout, qui analyse systématiquement toutes les applications téléchargées.

Entreprise, Justice, Propriété Industrielle

L’Union européenne doit bloquer les sites « .vin » et « .wine », illégaux sur Internet

L’autorité américaine ICANN, qui gère au niveau mondial l’ensemble des noms de domaine sur Internet, vient de prendre la décision de ne pas suspendre sa décision d’accorder des délégations dans le secteur du vin. L’attribution de ces nouveaux domaines, tels que « wine » et « vin », ouvre la porte à des violations potentielles de la législation internationale sur la protection des appellations géographiques.
Eric Andrieu dénonce ainsi l’attitude proaméricaine de cet organisme. « Cette décision est absolument inacceptable : d’un côté les producteurs risquent d’être rackettés et, de l’autre, les consommateurs trompés. Des personnes pourront, sans être inquiétées, s’approprier des noms de domaine, comme « languedoc.wine », en mettant à la vente sur Internet des produits qui n’ont rien à voir avec cette région de production ».
Comme l’a exprimé le gouvernement français, l’eurodéputé considère que l’Union et ses Etats membres doivent renoncer à participer à la réforme de l’ICANN qui a montré les limites de son fonctionnement. Cette décision devra, par ailleurs, être prise en compte dans le cadre des négociations actuelles sur le Traité transatlantique entre les Etats-Unis et l’Union européenne.
La délégation socialiste et radicale française soutient l’ensemble des vignerons européens et du monde entier attachés à la défense de vins de qualité, dans leur campagne de boycott de vente de vins sur Internet. Demain, cette question se posera avec d’autres produits alimentaires, bénéficiant d’appellations de qualité et pouvant être mis en vente sur la toile. Ce n’est pas à l’ICANN, société de droit américain et qui sert les intérêts de quelques entreprises, de régenter la vente sur Internet de produits alimentaires de qualité. Aujourd’hui, il y a donc un besoin urgent d’action au niveau de l’Union européenne, une action forte et unie, capable de contribuer, par le droit international, à l’amélioration de la gouvernance mondiale en matière de gestion de l’Internet.
Cybersécurité, Fuite de données, Mise à jour, Patch

OPEN SSL : 49% des serveurs vulnérables et 14% exploitables

OpenSSL a publié un avis consultatif détaillant un certain nombre de difficultés sérieuses.

La vulnérabilité CVE-2014-0224 sera la plus problématique pour la plupart des déploiements car elle peut être exploitée par l’intermédiaire d’une attaque réseau active de type « Man the Middle ». Cette vulnérabilité permet à un attaquant actif sur un réseau d’injecter des messages ChangeCipherSpec (CCS) des deux côtés d’une connexion et de forcer les deux parties à se mettre d’accord sur les clés à utiliser avant que tous les éléments relatifs à la clé ne soient disponibles. Ce qui entraîne la négociation de clés faibles. (Pour en savoir plus sur le sujet, voir l’analyse technique pertinente d’Adam Langley).

Bien que pratiquement toutes les versions d’OpenSSL soient vulnérables, ce problème est exploitable seulement si les deux parties utilisent OpenSSL et (2) si le serveur utilise une version vulnérable d’OpenSSL de la branche 1.0.1. La bonne nouvelle est que la plupart des navigateurs ne s’appuient pas sur OpenSSL, ce qui signifie que la plupart des internautes ne seront pas affectés. Cependant, les navigateurs Android utilisent OpenSSL et sont donc vulnérables à cette attaque. De plus, de nombreux outils en mode ligne de commande et assimilés utilisent OpenSSL. En outre, les produits pour réseaux VPN seront une cible particulièrement intéressante s’ils reposent sur OpenSSL comme c’est le cas pour OpenVPN.

Qualys teste une vérification à distance pour CVE-2014-0224 via SSL Labs. Suite au test qui a permis d’identifier correctement les serveurs vulnérables, Qualys a lancé une analyse sur l’ensemble des données du tableau de bord SSL Pulse. Les résultats indiquent que près de 49% des serveurs sont vulnérables. Environ 14% (de l’ensemble des serveurs) peuvent être victimes d’un exploit parce qu’ils exécutent une version plus récente d’OpenSSL. Les autres systèmes ne sont probablement pas exploitables, mais leur mise à niveau s’impose car il existe probablement d’autres moyens d’exploiter cette vulnérabilité.

Si vous souhaitez tester vos serveurs, la toute dernière version de SSL Labs propose un test de vérification pour la vulnérabilité CVE-2014-0224.

Arnaque, Cybersécurité, escroquerie, Fuite de données, Phishing, pourriel, Social engineering, spam, Vie privée

1800 fonctionnaires piégés par un phishing

Un commentaire

S’il existe bien un secteur qui mériterait d’être un peu plus regardant sur sa sécurité informatique, c’est bien celui concernant les fonctionnaires. Ils gèrent les informations locales, régionales, nationales, donc des milliers, quand cela ne se chiffre pas en millions de données privées et sensibles. seulement, la sécurité informatique, faudrait-il encore qu’il en entende parler sous forme de formation, de réunion, et autrement que par des professionnels qui ne connaissent du terrain que les rapports chiffrés qu’ils lisent et recopient à longueur de journée.

Un exemple en date, chez nos cousins canadiens. Un sondage interne lancé par le ministère fédéral de la Justice annonce qu’environ 2000 membres du personnel ont cliqué sur un courriel piégé. De l’hameçonnage facile via un faux courriel traitant… de la sécurité des informations confidentielles du ministère. Un tiers des personnes ciblées a répondu à la missive, soit 1850 fonctionnaires sur 5000. Les prochains essais auront lieu en août et au mois d’octobre avec un degré de sophistication supérieure.

Selon le gouvernement canadien environ 10 % des 156 millions de filoutages diffusés chaque jour réussissent à contrer les logiciels et autres filtres antipourriels. Huit millions sont executés par le lecteur, 10% cliquent sur le lien. 80.000 se font piéger. (La presse)

Justice, Logiciels, Propriété Industrielle

27.000€ de dommages pour avoir perturbé Deezer

Un commentaire

Le site de diffusion de musique en mode streaming, Deezer, vient de faire condamner un internaute français à 15.000€ d’amende (avec sursis) et 27.000€ de dommages-intérêts.

Comme le stipule le site juridique Legalis, les juges ont estimé qu’il avait porté atteinte à une mesure technique efficace de protection et proposé sciemment à autrui des moyens conçus pour porter atteinte à une telle mesure, en violation des articles L. 335-3-1, I et II du CPI, qu’il avait développé et diffusé auprès du public un logiciel manifestement destiné à la mise à disposition du public non autorisé d’œuvres protégées, en violation de l’article L 335-2-1 du CPI. Bref, le jeune français avait créé le logiciel Tubemaster++ qui permettait, en profitant d’une faille de Deezer, pour copier les musiques proposés par le site web.

L’étudiant s’est retrouvé face à l’article L 331-5 du code de la propriété intellectuelle, introduit par la loi Hadopi du 12 juin 2009. Il a du créer un outil pour contourner la sécurité de Deezer et s’est retrouvé face aux « mesures techniques efficaces destinées à empêcher ou à limiter les utilisations non autorisées par les titulaires d’un droit d’auteur ou d’un droit voisin du droit d’auteur d’une œuvre, autre qu’un logiciel, d’une interprétation, d’un phonogramme, d’un vidéogramme ou d’un programme sont protégées dans les conditions prévues au présent titre. ».

ios, Justice, Sécurité, Smartphone, Téléphonie

Deux rançonneurs d’iPhone sous les verrous

Un commentaire

La section K, les renseignements russes, ont mis la main sur ce qui semble être les rançonneurs d’iPhone qui avaient defrayé la chronique, fin mai. Pour rappel, le rançongiciel pour iPhone bloquait les précieux smartphones d’Apple. Le logiciel malveillant bloquait les smartphones et réclamait de l’argent.

Le Ministère de l’Intérieur Russe vient d’indiquer que des suspects avaient été arrêtés dans cette affaire. Les suspects ont été arrêtés dans le sud de Moscou. Ils sont âgés de 23 et 16 ans. Le service presse du département K du Ministère de l’Intérieur russe indique que les deux hommes ont été incarcérés.

Lors de la perquisition, du matériel informatique, des cartes SIM et des téléphones utilisés dans des activités illégales ont été saisis. Ils risquent quelques années de prison.