Archives de catégorie : Cybersécurité

Actualités liées à la CyberSecurité.

Argent, backdoor, Cyber-attaque, Fuite de données, Paiement en ligne, Virus

Neverquest, un trojan qui pourrait bien gâcher les fêtes de Noël

L’éditeur de solutions de sécurité informatique Kaspersky Lab vient d’identifier un programme malicieux « capable d’attaquer n’importe quelle banque dans le monde », selon ses créateurs. D’après les experts Kaspersky Lab, plusieurs milliers de tentatives d’infection ont déjà été enregistrées et 28 sites bancaires sont pour le moment concernés, y compris en Allemagne, en Italie et en Turquie. C’est au mois de juillet de cette année que les chercheurs ont découvert l’existence de ce cheval de Troie bancaire après avoir vu une annonce pour la vente d’un nouveau cheval de Troie sur un forum clandestin. Le vendeur le présentait comme un bot privé capable d’attaquer près de 100 banques américaines via l’insertion d’un code dans les pages de leur site pendant le chargement dans différents navigateurs.

Baptisé Neverquest, ce trojan prend en charge pratiquement toutes les techniques connues et utilisées pour passer outre les systèmes de sécurité des banques en ligne : injection Web, accès système à distance, social engineering, etc. Au regard de sa capacité à se dupliquer, une augmentation rapide des attaques Neverquest est à prévoir, avec donc de nombreux préjudices financiers.

Serge Golovanov, expert chez Kaspersky Lab, signale que « ce programme malveillant est relativement récent et les individus malintentionnés ne l’utilisent pas encore à pleine capacité. Les individus malintentionnés peuvent obtenir le nom d’utilisateur et le mot de passe saisis par l’utilisateur et modifier le contenu de la page Internet. Toutes les données que l’utilisateur saisit sur cette page modifiée sont également transmises aux individus malintentionnés.« 

L’argent volé est transféré sur un compte contrôlé par les individus malintentionnés ou, pour brouiller les pistes, sur le compte d’autres victimes. Vu les capacités de Neverquest en terme de diffusion automatique, le nombre d’utilisateurs attaqués pourrait augmenter sensiblement en un bref laps de temps.

Chiffrement, Cyber-attaque, Cybersécurité, DDoS, Fuite de données, Leak, Téléphonie

Encore des prédictions sécurité pour 2014

Alors que la fin d’année approche, Symantec publie ses prévisions annuelles pour 2014 en matière de sécurité informatique. Voici les grandes tendances qui attendent les utilisateurs, particuliers comme entreprises, et ce qu’elles impliquent.

1.      Les utilisateurs et les entreprises vont enfin prendre des mesures concrètes pour garantir la confidentialité de leurs données
En 2013, les problèmes de confidentialité ont fait les gros titres, amenant les individus et les entreprises à prendre conscience de la quantité d’informations personnelles qui sont partagées et recueillies chaque jour par un nombre incroyable de personnes, allant du médecin au réseau social. Il est donc fort probable que la protection des données confidentielles devienne une fonctionnalité à part entière des produits existants et à venir. Par la suite, au-delà de 2014, la question sera de savoir si oui ou non une fonctionnalité assure une réelle protection de la vie privée. Il y a fort à parier que Tor, application qui garantit l’anonymat en ligne, saura très vite séduire l’ensemble des internautes. L’adoption de pseudonymes ou de faux noms sur les réseaux sociaux sera plébiscitée par les utilisateurs qui souhaitent protéger leur vie privée. Qui mènera la danse ? Les adolescents. Ils tiennent à protéger leur vie privée, et pas seulement vis-à-vis de leurs parents. Dans ce contexte, de plus en plus d’internautes se tournent vers de nouveaux réseaux sociaux de niche pour communiquer avec leurs amis dans l’ombre. Une tendance qui en amène une autre…

Protéger ses informations confidentielles et son identité s’applique non seulement pour les particuliers mais également pour les entreprises et administrations. En 2014, les organisations au sens large continueront leur démarche de protection de ce qui compte pour elles : leurs données critiques. Avec la profusion d’offres et de technologies existantes, elles devront déterminer celles qui seront le plus ou le mieux adaptées à leur cas de figure. Le cas échéant, leur implémentation pourrait s’avérer contre-productive et ne protéger que partiellement ou inutilement leurs données, voire les chiffrer mais les rendre indéchiffrables pour le détenteur des données. Autre tendance forte : la nécessaire protection de l’identité de ces entreprises : la compromission d’identités et le hacking de moyens de communication publics ont déjà été notés en 2013 et se répèteront probablement l’an prochain, avec des conséquences potentiellement graves pour leur réputation et les prises de décisions économiques basées sur l’information.

2.      Les escrocs, collectionneurs de données, s’intéresseront au moindre réseau social, aussi obscur soit-il – en parallèle des cyber-pirates, l’émergence de cyber-corsaires
Il est tentant de croire qu’en changeant d’environnement, les problèmes s’envolent. Cela ne se passe pas comme cela dans la vie réelle, et encore moins sur les réseaux sociaux. Dès lors qu’un nouveau réseau social séduit les utilisateurs ; inévitablement, il attire les escrocs et les cyber-attaquants. Les utilisateurs qui pensent se retrouver entre amis sur le nouveau site risquent d’être très désagréablement surpris. Sur le web comme dans la vie réelle, si une opportunité paraît trop belle pour être vraie, c’est qu’il s’agit très certainement d’une escroquerie. Les utilisateurs doivent impérativement appliquer les meilleures pratiques de sécurité, où qu’ils se trouvent sur Internet, et quel que soit leur mode de connexion. Puisque l’on parle de connexion…

Le cyber-crime ne s’arrête pas aux individus, une nouvelle classe de cyber-mercenaires apparait ; le groupe « Hidden Lynx » analysé à l’automne dernier étant un premier exemple de groupe constitué. Ce cas particulier est potentiellement la partie émergée de l’iceberg, et pourrait révéler le développement de véritable cyber-corsaires : de plus en plus d’entreprises et d’agences auto-appelées « d’intelligence » ou de « cyber-sécurité » voient le jour, proposant des offres intégrant surveillance, interception, et destruction de cyber-attaques, voire également des contre-cyber-attaques. Celles-ci flirtent avec les limites de la légalité et tirent profit des difficultés à mettre en place un cadre législatif mondial. Leurs offres ciblent les entreprises et les états, avec comme bénéfices la possibilité de ne pas agir directement et donc de ne pas être potentiellement exposé publiquement.

3.      L’Internet des objets devient celui des vulnérabilités – La protection des infrastructures critiques plus que jamais d’actualité
2014 sera probablement l’année de l’Internet des objets. Les millions d’appareils connectés à Internet, généralement avec un système d’exploitation embarqué, vont attirer les attaquants comme un aimant. Les spécialistes de la sécurité ont déjà prouvé qu’il était possible d’attaquer les télévisions intelligentes, les équipements médicaux et les caméras de sécurité. Des attaques sur les moniteurs de bébé ont également été découvertes et, en Israël, un grand tunnel a dû être fermé à la circulation parce que des pirates étaient apparemment entrés sur le réseau informatique via le système de caméras de sécurité. De nombreux éditeurs de logiciels ont trouvé une solution pour avertir leurs clients et leur fournir des correctifs de vulnérabilité. Parfois, les sociétés qui créent de nouveaux appareils pour se connecter à Internet ne se rendent même pas compte qu’elles vont rapidement avoir un problème de sécurité. Ces systèmes ne sont pas seulement vulnérables face aux attaques, ils ne prévoient aucun moyen pour avertir les utilisateurs et les entreprises lorsqu’une attaque est détectée. Pire encore, il n’existe aucune méthode simple d’utilisation pour corriger ces nouvelles vulnérabilités. Les utilisateurs doivent donc s’attendre à l’arrivée de menaces inédites à ce jour.

L’Internet des objets s’insère de plus en plus dans notre quotidien, via les terminaux eux-mêmes, mais également à travers nos déplacements ou les services que nous consommons. Cet « Internet des vulnérabilités » concerne ainsi les récents développements technologiques promus et mis en place dans le secteur de l’énergie notamment, avec par exemple les compteurs intelligents. Ces vulnérabilités pourraient générer des retards dans leurs développements, ainsi que dans celui des « smart cities » et ainsi mettre en péril les données confidentielles d’administrations, d’entreprises et bien sûr de citoyens. En 2014, la protection des infrastructures critiques ne s’arrête ainsi plus aux centrales nucléaires, mais doit être désormais étendue à l’ensemble des infrastructures qui permettent un fonctionnement normal d’un pays et d’une économie.

Enfin, ce type de menaces doit être pris très au sérieux et aussi tôt que possible dans la chaine de production des objets connectés. C’est dès leur conception et tout au long de leur assemblage que la sécurité doit intervenir afin d’éviter des conséquences graves lors de leur connexion au réseau et de leur utilisation.

4.      Les applications mobiles profiteront de l’insouciance des utilisateurs – les opérateurs télécoms et Internet, eux, ne doivent pas sous-estimer les possibles attaques contre leurs infrastructures.
Les utilisateurs font (généralement) confiance à la personne avec laquelle ils dorment. Il ne faut donc pas s’étonner si, 48 % des utilisateurs dormant avec leur smartphone se laissent berner par un (faux) sentiment de sécurité. En 2013, une application mobile censée rapporter des « J’aime » supplémentaires sur Instagram a fait son apparition. Il suffisait pour cela de communiquer son identifiant et son mot de passe à une personne située quelque part en Russie. Plus de 100 000 personnes n’ont rien trouvé à redire à cette proposition. Il est naturel de penser que, grâce aux terminaux mobiles et aux remarquables applications installées dessus, la vie des utilisateurs deviendra meilleure. Dès qu’il s’agit de l’appareil que nous avons dans la poche, le sac ou sur la table de nuit, l’utilisateur perd tout esprit critique. En 2014, les personnes malintentionnées vont profiter de cette aubaine, sans parler des applications malveillantes. En 2014, les applications mobiles elles-mêmes vont être à l’origine de canulars, arnaques et escroqueries en tous genres.

En 2014 également, les téléphones mobiles serviront encore à … passer des appels! Avec le développement de la VoIP et la dépendance accrue des particuliers, entreprises et états aux réseaux de communication, la protection des infrastructures de télécommunications sera nécessairement d’actualité, afin d’éviter des attaques telles que les TDoS (ou Telephony Denial of Service) ou autres tentatives d’interception ou de modification de conversations.

BYOD, Chiffrement, Cloud, cryptage, Entreprise, Fuite de données

Sécuriser ses données personnelles dans le Cloud

2 commentaires

L’application développée par Prim’X permet de sécuriser, en le chiffrant, n’importe quel document que l’on souhaite garder confidentiel. Nous recevons aujourd’hui de plus en plus de documents administratifs personnels par email : factures (eau, énergie, téléphone etc.), relevés bancaires, etc. comportant des informations confidentielles que nous souhaitons garder secrètes.

Certains s’interrogent même sur le meilleur moyen de protéger leurs papiers administratifs en cas de sinistres. Il peut en effet s’avérer judicieux de préserver sous format électronique des copies de factures d’électroménager, de meubles ou bijoux, de ses différents contrats, etc. Le type même de documents à fournir à son assureur après un incendie ou un cambriolage par exemple. Les différents sites de Cloud bien connus (Dropbox, Google Drive, etc.) offrent gracieusement quelques Giga de stockage pour nos données personnelles. Mais, les récentes affaires d’espionnage, nous freinent dans cette démarche. La peur nous fait hésiter à déposer dans ces drives nos fichiers les plus confidentiels, mais qui pourtant pourraient être indispensables dans les situations les moins heureuses pour espérer être indemnisé.

Grâce à Zed! il est possible de protéger dans l’équivalent d’une valise diplomatique électronique tous ses documents scannés et de les stocker dans le Cloud pour y avoir accès en quelques clics et avec un seul mot de passe. L’application Zed! permet en effet de chiffrer les documents en les plaçant dans la valise diplomatique d’un simple copier/coller. Seul le propriétaire de la valise Zed! a accès au contenu et peut lire les fichiers. Zed! est gratuit en version limitée. La version complète est disponible à 35€. L’application est compatible avec n’importe quel service de Cloud (DropBox, Google Drive, SkyDrive, etc.) et les différents documents protégés peuvent être également ouverts depuis un Smartphone. Le fonctionnement est très simple.

Désormais en application Smartphone pour lire les archives .zed ou les emails chiffrés depuis son mobile. Version gratuite, disponible dès maintenant sur l’Apple Store et pour la fin 2013 sur Google Play Store. Toutes les versions de Zed! sont compatibles entre elles.

Cloud, Cyber-attaque, Cybersécurité, Fuite de données

Cybercriminalité : Quelles tendances pour 2014 ?

Un commentaire

L’année 2013 touche à sa fin, et les chercheurs de FireEye sont déjà tournés vers 2014 et ses tendances en termes de menaces. L’exploitation des vulnérabilités « Zero Day » ciblera moins Java mais davantage les navigateurs web ; les attaques de type «  Watering-hole » devraient supplanter les attaques de spear-phishing ; enfin, avec l’apparition de nouvelles catégories de malwares mobiles, le paysage de la sécurité va se complexifier et étendre ses frontières.

Voici les principales tendances identifiées par les chercheurs de FireEye.
Selon Darien Kindlund : Les auteurs de menaces sophistiquées vont continuer à se cacher derrière « les outils logiciels “criminels” traditionnels” afin de compliquer l’identification et l’attribution de leurs attaques, pour les responsables sécurité.

Selon Amanda Steward : Davantage d’attaques vont utiliser des signatures de codes volées ou valides. Celles-ci  permettent aux malwares d’usurper les caractéristiques d’exécutables légitimes pour contourner les défensestraditionnelles (antivirus notamment).

Selon Yogi Chandiramani et Tim Stahl : Les logiciels malveillants mobiles vont accroitre la complexité du paysage des menaces. Nous verrons ainsi des menaces combinées entre le bureau et l’accès mobile pour obtenir l’authentificationd’un mobile (à l’image des numéros de SMS de confirmation). Parce que les cybercriminels vont là où sont les clics, on peut s’attendre à voir se développer les attaques visant ces terminaux.

Selon Yichong Chen : L’exploitation des vulnérabilités « Zero Day » de Java, devrait être moins fréquentes. Malgré leur relative facilité d’exploitation, nous n’avons pas observé de nouvelles vulnérabilités depuis Février 2013. Cela pourrait s’expliquer par les pop-ups d’avertissement de sécurité de la version 1.7 ou encore par l’attention accrue des chercheurs en cybercriminalité sur ce point. Il est également possible qu’une trop faibleproportion d’internautes utilise des versions vulnérables de Java, et que leur exploitation ne soit pas suffisamment rentable.

Selon Dan Caselden : L’exploitation des vulnérabilités des navigateurs web devraient être plus fréquentes. Les pirates sont de plus en plus à l’aise pour contourner l’ASLR (Address Space Layout Randomisation) des navigateurs. Et contrairement à Java et aux vulnérabilités classiques, celles impliquant les navigateurs continuent de croitre sur le même rythme.

Selon Thoufique Haq : Les auteurs de malwares vont adopter des techniques furtives pour manipuler et contrôler (command-and-control (CnC)) les communications. Ils utiliseront les canaux des protocoles légitimes et  abuseront les services Internet légitimes pour relayer leur trafic et échapper à la détection. Ce changement reflète l’escalade logique des pirates qui sont de plus en plus gênés par les défenses réseau ; Les attaques de type « Watering-hole » et le ciblage des médias sociauxvont progressivement remplacerles emailsde phishing. Ils offrent en effet,un espace neutreoù les cibles baissent leur garde. Lefacteur de confiancen’est pas unobstacle insurmontable, et cela ne demande qu’un minimum d’effortpourattirerla cible dansun piège.

Selon Bryce Boland : De plus en plus de malwares vont alimenter la chaîne d’approvisionnement. Attendez-vous àdavantage de codesmalveillantsdanslesmises à jour des BIOS (Système de gestion élémentaire des « entrées/sorties ») mais également du firmware.

Selon Alex Lanstein : De nouvelles techniques de « corruption mémoire[1] » vont émerger suite à l’implémentation de la fonctionnalité du « click to play » d’Adobe Flash(nécessitant une interaction de l’utilisateur pour exécuter un contenu Flash potentiellementmalveillant). En effet, ces derniers mois nous avons vu Flash être utilisé pour exécuter des codes malveillants dans la phase d’infection. Mais depuis qu’Adobe a intégré la fonctionnalité «click-to-play » aux documents Microsoft Word, cette approche ne fonctionne plus. Les dernières exploitations zéro-day de documents « docx » et « tiff », par exemple, n’utilisaient pas Flash pour cette raison ; Les pirates vont trouver d’autres moyens pour déjouer les systèmes d’analyse automatisés (sandbox), comme le déclenchement des redémarrages, les clics de souris, la fermeture des applications, etc. Un exemple: le déclenchement du malware à un moment précis, à l’image de ce qui a été observé récemment au Japon et en Corée. Les pirates se concentrent désormais à contourner les systèmes de sandbox, on peut parier que cette approche donnera à leurs malwares beaucoup plus de puissance.

Selon Jason Steer : Les logiciels criminels auront davantage vocation à détruire les systèmes d’exploitation. Dernièrement, les autorités européennes sont parvenus a arrêter les cyber-gangs. Une nouvelle fonctionnalité de Zeus qui efface le système d’exploitation, aide les cybercriminels à nettoyer toutes les preuves d’un attaque et ainsi éviter l’arrestation.

Selon Darien Kindlund et Bryce Boland : De plus en plus de « quartiers numériques » vont alimenter lescampagnesd’attaquesciblées. En d’autres termes, « SunshopDQ »n’est que le début. Plusles auteursdes menacevontindustrialiserle développement de leur attaques et leur diffusion, plus les économies d’échelle seront importantes.

Selon Greg Day : La collaboration croissante entreles victimes d’attaquesà travers le monde, va permettre d’identifier et arrêter les gangs decybercriminels, grâce au croisement des indicesd’attaques distinctesavec ceux des campagnes communes ; Le Cybercrimese personnalise. Pour les hackers,les donnéespersonnelles ont plus de valeur que les données génériques. Ils devraient logiquement réorienter leur attention surdes donnéesà forte valeur.

Selon Rudolph Araujo : Le temps de détection de malwares de pointe. Selon la société à laquelle on se fie (Verizon DBIR, Ponemon etc.), le temps de détection peut osciller entre 80 et 100 jours et de 120 à 150 pour la suppression totale des malwares. Généralement, le temps de détection peut augmenter mais le temps de traitement va encore plus s’allonger à force que les attaquants deviennent de plus en plus sophistiqués avec leur capacité à s’immiscer dans le système des entreprises pour une plus longue durée.

Cybersécurité, Emploi, Mise à jour, Patch

QUOTIUM et l’ESIEA annoncent un partenariat dans le développement sécurisé

L’éditeur de logiciel QUOTIUM (Euronext QTE) a révolutionné la façon dont les applications sont sécurisées. Pionnière de la technologie IAST « Interactive Application Security Testing », sa solution de sécurité SEEKER, permet d’analyser le code applicatif pendant l’exécution d’une attaque malveillante et les conséquences de celle-ci sur les flux de données utilisateur. La technologie de Seeker est unique car elle permet d’avoir une vision réelle de l’état de sécurité d’une application et de ses risques métiers. Pour chaque faille de sécurité détectée, Seeker propose un correctif à appliquer sur les lignes de codes vulnérables accompagné d’une explication technique détaillée incluant la vidéo de l’attaque sur l’application testée.

Créée il y a 55 ans, l’ESIEA est une grande école d’ingénieurs en sciences et technologies du numérique qui délivre un diplôme habilité par la Commission des Titres d’Ingénieur (CTI) et propose deux Mastères Spécialisés en sécurité informatique (Bac +6) sur ses campus de Paris et Laval.

Parmi ses cursus, l’ESIEA propose un Mastère International « Network and Information Security (N&IS) » qui profite directement du résultat des travaux de l’un des 4 laboratoires de l’école. Ce laboratoire de cryptologie et virologies opérationnelles (CVO²) effectue des recherches fondamentales sous tutelle du Ministère français de la Défense dans les domaines des cyber-attaques, de la sécurité des systèmes et de l’information et des architectures de sécurité réseau.

Dans ce contexte, afin de former les étudiants aux problématiques de développement sécurisé, l’ESIEA s’est rapprochée de la société QUOTIUM pour initier un partenariat stratégique autour de leur technologie phare, le logiciel SEEKER spécialisé dans l’analyse de vulnérabilités des applications web. Concrètement, les étudiants du mastère spécialisé N&IS de l’ESIEA exploiteront une plateforme SEEKER réseau dédiée, dans le cadre de la formation au développement sécurisé et aux techniques d’audit. Il est envisagé à terme d’organiser une certification de nos étudiants vis-à-vis de la technologie SEEKER. Cette plateforme sera aussi utilisée dans le cadre des travaux de R&D du laboratoire de cryptologie et de virologie opérationnelles de l’ESIEA, avec une première utilisation dans le cadre du projet DAVFI.

Le choix de QUOTIUM par l’ESIEA s’explique notamment par la qualité technique de la solution SEEKER et sa facilité d’intégration dans les processus de développement.

Justice, Particuliers, Vie privée

Lutte contre la prostitution : la censure privée d’Internet encouragée

Un commentaire

Mercredi 27 novembre, l’Assemblée Nationale s’est prononcée sur la proposition de loi [1] dite contre le « système prostitutionnel ». Comme La Quadrature du Net les y invitait [2], les députés se sont opposés à l’extension de la censure administrative d’Internet. Néanmoins, ils ont entériné les nouvelles obligations qui, mises à la charge des hébergeurs, renforceront les formes de censure privée qui portent d’ores et déjà atteinte à la protection de la liberté d’expression sur Internet. ***

L’article 1er de la proposition de loi débattue aujourd’hui prévoyait de conférer à une autorité administrative le pouvoir de prononcer des mesures de censure du Net, sans l’intervention préalable de l’autorité judiciaire. Reprenant à la lettre les dispositions qu’avait introduites la LOPPSI en 2011 afin de combattre la diffusion de contenus à caractère pédopornographique, la proposition de loi visait à les étendre aux sites contrevenant aux dispositions pénales qui répriment le proxénétisme et la traite des êtres humains. Un tel ajout se révélait en l’espèce particulièrement inefficace et toujours aussi dangereux pour les libertés individuelles (voir la note [3] envoyée aux députés à ce sujet). La Quadrature du Net se réjouit donc que l’Assemblée nationale ait rejeté un telle extension, suite notamment au dépôt d’un amendement [4] de suppression par le gouvernement.

Néanmoins, ce même article 1er prévoit aussi de modifier l’obligation [5] imposée par la loi pour la confiance dans l’économie numérique (LCEN) aux hébergeurs de mettre en place un dispositif permettant à toute personne de signaler certaines catégories de contenus considérés comme particulièrement graves (apologie de crimes contre l’humanité, négationisme, pédopornographie), auxquels viendraient alors s’ajouter ceux considérés comme participant au « système prostitutionnel » [6]. Or, les hébergeurs sont par ailleurs pénalement responsables des contenus qu’ils hébergent dès lors qu’ils ont connaissance de ces derniers. Ainsi, tout dispositif de signalement ne peut que les inciter à retirer les contenus signalés, et ce afin d’éviter tout risque juridique. Une forme de censure privée, hors de tout cadre judiciaire et de toute garantie contre des atteintes injustifiées aux libertés fondamentales des citoyens.

Des amendements [7] présentés par les députés Serge Coronado (EELV) et Lionel Tardy (UMP) visaient à supprimer cette disposition pour limiter le risque de censure de contenus parfaitement licites qui auraient été signalés à tort. En lieu et place, une solution cohérente consisterait à encourager les citoyens à entrer directement en contact avec les services de police pour signaler les contenus leur paraissant constitutifs d’infraction via la plate-forme des pouvoirs publics prévue à cet effet (internet-signalement.gouv.fr). Ils n’ont malheureusement pas été entendus, ni par leurs collègues, ni par le gouvernement.

« Des deux formes de censure contenues dans cette proposition de loi, les députés ont choisi de rejeter celle qui violait de la manière la plus flagrante la liberté d’expression sur Internet. Mais en condamnant la censure administrative tout en s’obstinant à encourager la censure privée des contenus en ligne, les députés font preuve d’une absence de cohérence. Alors que d’autres projets de loi en cours d’examen au Parlement renforcent également la régulation extra-judiciaire du Net [8], le gouvernement et le législateur doivent mettre fin à cette fuite en avant répressive en instaurant un moratoire contre toute nouvelle disposition susceptible de porter atteinte aux droits fondamentaux sur le réseau. À l’image de l’initiative du Marco Civil [9] actuellement en discussion au Brésil, les pouvoirs publics doivent engager un large dialogue avec la société civile afin d’apporter des garanties législatives fortes en faveur des libertés publiques et des droits fondamentaux sur Internet » conclut Félix Tréguer, co-fondateur de l’association La Quadrature du Net.

* Références *
1. http://www.assemblee-nationale.fr/14/dossiers/systeme_prostitutionnel_renforcement_lutte.asp
2. https://www.laquadrature.net/fr/lutte-contre-le-proxenetisme-linacceptable-retour-de-la-censure-administrative-du-net
3. https://www.laquadrature.net/files/PPL%20prostitution%20-%20LQDN%20-%20suppression%20art1.pdf
4. http://www.assemblee-nationale.fr/14/amendements/1558/AN/56.asp
5. Article 6.I.7 alinéa 6 de la loi pour la confiance dans l’économie numérique adoptée en 2004 :
« Compte tenu de l’intérêt général attaché à la répression de l’apologie des crimes contre l’humanité, de l’incitation à la haine raciale ainsi que de la pornographie enfantine, les personnes mentionnées ci-dessus doivent concourir à la lutte contre la diffusion des infractions visées aux cinquième et huitième alinéas de l’article 24 de la loi du 29 juillet 1881 sur la liberté de la presse et à l’article 227-23 du code pénal. »
6. Article 1er de la proposition de loi renforçant la lutte contre le système prostitutionnel :
« L’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique est ainsi modifié :
1° Le 7 du I est ainsi modifié :
a) Au troisième alinéa, après le mot : « articles », sont insérées les références : « 225-4-1, 225-5, 225-6, » ;
[…] »
7. Amendement n°4 présenté par M. Tardy (député UMP de la 2ème circonscription de Haute-Savoie) et amendement n°57 présenté par M. Coronado (député EELV de la 2ème circonscription des Français établis hors de France)
8. Des dispositions en partie similaires à celles contenues dans cette proposition de loi sont également présentes dans le projet de loi sur l’égalité entre les sexes (extension des obligations de signalements incitant à la censure privée) et dans le projet de loi relatif à la consommation (donnant à la DGCCRF le pouvoir de demander au juge le blocage d’un site), tous deux également en cours d’examen à l’Assemblée.
9. https://www.laquadrature.net/fr/internet-a-besoin-dune-marco-civil-sans-compromis-au-bresil

Cybersécurité, Espionnae, Fuite de données, Vie privée

IP-tracking: Le Parlement traque la Commission européenne

Un commentaire

Les eurodéputés demandent que l’IP-tracking soit reconnu comme une pratique commerciale déloyale. La Commission des affaires juridiques du Parlement européen a adopté aujourd’hui un rapport sur l’application de la directive 2005/29/CE sur les pratiques commerciales déloyales. Dans ce rapport, voté à l’unanimité, les parlementaires demandent aux États membres et à la Commission européenne une protection adéquate des consommateurs face à l’IP-tracking [1].

Françoise Castex se félicite que l’ensemble des groupes politiques aient soutenu son amendement visant à reconnaître l’IP-tracking comme une pratique commerciale déloyale. « C’est la preuve que le ras-le-bol est général face à ces pratiques inadmissibles qui touchent des millions de consommateurs européens! » déclare l’eurodéputée socialiste.

« Le Parlement souhaite mettre un terme à l’inaction de la Commission et des États membres« , estime Françoise Castex, qui avait saisi l’exécutif européen un janvier puis en juillet dernier [2]. « Nous demandons à la Commission européenne de se pencher sur ce phénomène bien connu des consommateurs et de proposer enfin un texte qui interdise ces pratiques commerciales sur le net. »

« À défaut, nous demanderons à la Commission européenne une révision de la directive 2005/29« , conclut la Vice-présidente de la Commission des Affaires juridiques du Parlement européen.

[1] Méthode utilisée par un opérateur et qui consiste, lorsqu’un usager effectue une recherche de billets, à enregistrer cette recherche et l’associer à l’adresse IP du terminal utilisé. Si l’usager n’achète pas immédiatement, et se décide un peu plus tard, l’opérateur ayant gardé en mémoire l’intérêt manifesté par l’usager pour ce trajet, propose alors un prix un peu supérieur, ceci afin de susciter l’achat immédiatement en laissant penser à l’internaute que le nombre de places diminue et que le prix augmente.

[1] Françoise Castex avait saisi la Commission européenne le 29 janvier 2013 par une question avec demande de réponse écrite (http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+WQ+P-2013-000873+0+DOC+XML+V0//FR&language=fr) et interpellé le Commissaire à la protection des consommateurs lors de sa prise de fonctions le 2 juillet: http://www.francoisecastex.org/2013/07/ip-tracking-francoise-castex-saisit-le-nouveau-commissaire-croate.html

[1] Méthode utilisée par un opérateur et qui consiste, lorsqu’un usager effectue une recherche de billets, à enregistrer cette recherche et l’associer à l’adresse IP du terminal utilisé. Si l’usager n’achète pas immédiatement, et se décide un peu plus tard, l’opérateur ayant gardé en mémoire l’intérêt manifesté par l’usager pour ce trajet, propose alors un prix un peu supérieur, ceci afin de susciter l’achat immédiatement en laissant penser à l’internaute que le nombre de places diminue et que le prix augmente.

[2] Françoise Castex avait saisi la Commission européenne le 29 janvier 2013 par une question avec demande de réponse écrite (http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+WQ+P-2013-000873+0+DOC+XML+V0//FR&language=fr) et interpellé le Commissaire à la protection des consommateurs lors de sa prise de fonctions le 2 juillet: http://www.francoisecastex.org/2013/07/ip-tracking-francoise-castex-saisit-le-nouveau-commissaire-croate.html

Cyber-attaque, Cybersécurité

Sécurité des Informations et nouvelle Loi de Programmation Militaire

Il y a quelques jours, lors d’un événement sur la sécurité Internet, un important opérateur télécom français, SFR pour le nommer, distribuait aux visiteurs de son stand un gadget publicitaire, des goodies comme on dit, un petit cadenas à code avec un mini logo, celui des douanes américaines. L’explication étant que ce cadenas est ouvrable par les autorités américaines qui possèdent la clé physique (les voyageurs à destination des USA reconnaîtront l’avantage de ce gadget : ne plus se faire casser les valises voyageant en soute lors des contrôles d’aéroport).

Ce petit gadget symbolise bien un aspect de ce que nous vivons actuellement dans la protection des informations, les vulnérabilités multiples auxquelles sont soumises nos informations personnelles mais surtout les données confidentielles de nos entreprises. Cela concerne le stockage des informations dans des datacenters couverts par le Patriot Act (datacenters sur le territoire américain mais aussi ailleurs dans le monde, du moment où ils sont exploités par du personnel de nationalité américaine) obligeant les entreprises à répondre aux requêtes des autorités US. Cela touche également les flux Internet (mails, applications métiers, web, etc.) transitant très souvent en clair, non-cryptés par des fibres optiques appartenant à des grands ISP internationaux (Level 3, Verizon, BT, notamment) potentiellement accessibles eux aux écoutes data (à travers notamment les fameuses sondes de DPI – Deep Packet Inspection, capables d’extraire à la volée puis de traduire, analyser, reconstituer, stocker des flux de trafic).

Il est bien sûr plus prudent pour une entreprise française ou européenne, à l’instar du petit gadget, d‘héberger ses données et applications en France et en Europe plutôt que dans un data-farm US, mais ce n’est pas tout, loin s’en faut. A l’heure où les entreprises doivent ouvrir leurs systèmes d’information à leurs clients et partenaires, à l’heure où l’Internet en mobilité est une obligation d’existence (voire de survie, La Redoute vient malheureusement de le démontrer…), la sécurité des informations et donc du patrimoine de l’entreprise, est crucial.

Nous sommes au coeur d’un paradoxe : d’un côté l’entreprise doit s’ouvrir « Internetement » parlant pour profiter de cette extraordinaire dimension, aspirée à vitesse grand V par les utilisateurs (générations Y, Z,…) et d’un autre côté, l’entreprise doit se protéger pour ne pas se faire totalement dépouiller et veiller à ce que ses clients ne le soient pas aussi. Ce que le grand public, non informaticien, à titre privé ou au sein des entreprises ne mesure pas totalement le haut degré de complexité des back-offices informatiques-télécoms ; accéder à son compte bancaire en ligne depuis son smartphone alors que l’on est dans le métro à Paris, paraît super normal mais est aussi super complexe ! Et complexité rime avec vulnérabilité !

La sécurité Internet ne se limite donc pas à l’hébergement des données et peut se comparer à une fleur dont chaque pétale comporte ses propres vulnérabilités, solutions et actions à mener : l’hébergement des données, le transport des informations, l’accès légitime aux données (en tant que simple utilisateur ou utilisateur privilégié comme les informaticiens), le monitoring des bases de données, la collecte et l’exploitation des logs pour prévenir et analyser les attaques, etc. Bien sûr des lois et procédures sont nécessaires pour lutter contre le terrorisme et le prévenir. Mais la sécurité des informations c’est aussi – et de plus en plus – une affaire de business, d’intelligence économique, d’espionnage ciblé et donc, de protection des données commerciales, métiers, financières, etc.

Ces enjeux tellement structurants pour les entreprises sont-ils compris par les Directions Générales à la hauteur des risques réels ? Pas par toutes et pas toujours.

Il est donc normal qu’enfin l’Etat Français, au travers notamment de l’ANSSI qui monte en puissance, propose une législation plus contraignante pour les entreprises  afin de les pousser à protéger leur patrimoine informationnel et à s’engager, à l’instar de ce qui existe déjà pour certains métiers tels que les données médicales ou les données de paiement par carte, à protéger les données de leurs clients, peu importe leur métier : e-commerçant, prestataire de services, banquier, etc. C’est entre autres l’objet de la LPM (proposition de Loi sur la Programmation Militaire) actuellement en discussion au Parlement. Elle couvre différents aspects, dont notamment la prise en compte et l’application par les entreprises, sous peine d’amendes, de la sécurité des informations.

Dans le projet de loi, le législateur a bien mesuré ce que nous constatons sur le terrain, auprès des grandes entreprises et administrations, comme l’indique M. Francis Delon, secrétaire général de la défense et de la sécurité nationale « la volonté du gouvernement est de ne pas rester passif face à des attaques informatiques qui portent aujourd’hui atteinte à notre compétitivité et qui demain pourraient mettre gravement en cause notre sécurité ou perturber gravement la vie des Français ». La proposition de loi vise clairement « à augmenter le niveau de sécurité des systèmes d’information des opérateurs d’importance vitale (OIV) », estimés à 200 opérateurs (EDF, les opérateurs télécoms, de distribution d’eau, les banques, La Poste, …).

Ce qui est sûr, c’est que grâce à la future loi combinée avec une maturité croissante des enjeux de la protection des données, la sécurité deviendra très vite un sujet grave de préoccupation pour les directions générales et pas seulement pour les DSI des entreprises, OIV ou pas. Par Théodore-Michel Vrangos, président et cofondateur d’I-TRACING.

Android, Cybersécurité, Fuite de données, ios, Téléphonie

Les smartwatchs interdites d’examens

Une université Belge fait interdire le port des montres pendant les examens pour faire face aux possibilités de tricherie avec une smart watch. Il n’aura pas fallu bien longtemps aux tricheurs pour trouver un intéret certain aux montres connectées, les fameuses smartwatchs. Samsung (Galaxy Gear), Sony, le Chinois ZTE, et prochainement Apple, proposent ces petits bijoux de technologies. L’université Belge de l’Arteveldehogeschool, située à Gand, vient de faire interdire le port de la montre lors d’un examen. Les « smartwatchs » permettent de se connecter sur Internet, et donc d’apporter des réponses aux tricheurs (qui ont les moyens de se payer ce type de montre intélligente).

Sur la Samsung, pas possible de lire les courriels, sur Sony, oui. La Galaxy Gear permet cependant de filmer son voisin d’examen. En juin dernier, un étudiant vietnamien de la Ho Chi Minh City University a d’ailleurs été coincé en train de tricher avec son chronographe numérique. Data Security Breach a pu se procurer le document internet de l’école, expliquant les montres à surveiller. Bref, d’ici peu, les concours et examens se passeront à poil !

Cyber-attaque, Cybersécurité, Facebook, Fuite de données, Linkedin, Social engineering, Twitter

Les réseaux sociaux, « faille insidieuse » des cyberattaques ?

Les cyberattaques sont plus sophistiquées que jamais et les techniques de hacking ne cessent d’évoluer, de se renouveler. Aujourd’hui, force est de constater que la menace ne provient plus exclusivement de l’extérieur. Au sein d’une organisation, les utilisateurs sont à la fois victimes et potentiels « cybercriminels » notamment dans le cadre de leur usage des réseaux sociaux.

Les bonnes pratiques de l’usage des réseaux sociaux au bureau
Afin de réduire les risques d’attaques et de renforcer la sécurisation des données, les entreprises doivent former les employés aux bonnes pratiques de l’usage des réseaux sociaux au bureau ; de nombreux utilisateurs ont un comportement à risque par manque de sensibilisation et/ou parce qu’ils ne mesurent pas les dangers qu’ils font prendre aux organisations. Pourtant, les menaces les plus importantes proviennent surtout des sites professionnels tels que LinkedIn ou Viadeo, qui sont des sources intarissables d’informations à très forte valeur ajoutée sur les entreprises pour les hackers.

Ceux-ci ont accès en « libre-service » à un très grand nombre d’informations sur l’activité de l’entreprise qui leur permettent de récupérer des données sensibles. Les réseaux sociaux professionnels sont, en effet, le point d’entrée à des informations sur les employés, leur rôle dans l’entreprise, leurs fonctions quotidiennes, voire les nombreuses informations sur les outils de sécurité utilisés et les problématiques auxquelles ils ont été exposés. Les hackers utilisent actuellement l’ensemble des vecteurs à leur disposition : ils peuvent également pirater des informations professionnelles via un terminal personnel lorsque l’employé utilise ses propres outils (BYOD) ou travaille de chez lui à partir de son ordinateur personnel. Aujourd’hui, les brèches de sécurité sont progressives et permettent aux pirates de s’introduire dans les systèmes informatiques de la manière la plus discrète possible pour collecter le maximum d’informations et accéder petit à petit aux données les plus critiques.

Le Community Manager, danger insoupçonné
Le Community Manager a un rôle clé dans une entreprise puisqu’il gère son image et sa présence sur les réseaux sociaux. Il ne s’agit pas tant de ses privilèges (qui sont finalement peu élevés) que de son impact sur l’image et la communication officielle de l’entreprise sur les médias sociaux. Le détournement de ce type de compte est aujourd’hui une cible privilégiée de groupes cherchant à nuire à l’image d’une société ou à profiter de sa notoriété pour passer des messages non sollicités ou diffuser des informations confidentielles. Par ailleurs, lorsqu’un salarié quitte l’entreprise, il doit rendre ses clés, son badge mais les employeurs ne pensent pas nécessairement à changer ses mots de passe. Or, un Community Manager ou autre employé mécontent qui quitte l’entreprise emportant avec lui identifiants et mots de passe pourrait également lui nuire sans difficultés – tout salarié d’une entreprise est susceptible de conserver ses données de connexion après son départ de la société.

Prenons l’exemple récent de l’affaire PRISM, il ressortirait que l’ancien analyste de la NSA, Edward Snowden, aurait accédé à des informations extrêmement confidentielles grâce aux identifiants de connexion de plusieurs de ses collègues, qu’il aurait convaincu de lui fournir en prétextant un travail qu’il devait faire, en tant qu’administrateur du système informatique. Ce type de comportements peut avoir des conséquences catastrophiques sur l’économie d’une entreprise et engendrer des dommages collatéraux durables (perte de clients, impact sur le cours des actions en bourse pour les sociétés cotées, retrait d’investisseurs/business angels…).

De l’importance d’appliquer et transmettre les bonnes pratiques
Les cyberattaques sont une réalité pour tous et les entreprises comme les employés doivent prendre conscience que chaque individu est une porte d’accès aux données sensibles d’une société. Pour ce faire, les organisations peuvent appliquer plusieurs règles simples et peu coûteuses afin de renforcer la sécurisation des informations :

[dsb] Sensibiliser les utilisateurs au fait que le risque existe et  qu’ils doivent adopter un comportement de méfiance vis-à-vis d’informations en provenance de l’extérieur, mais également de l’intérieur – le fait de partager un simple mot de passe avec un collègue, peut aussi être considéré comme un comportement à risque.

[dsb] Identifier la source et le parcours des hackers afin de paralyser l’attaque et le retrait de données sensibles.

[dsb] Mettre en place des solutions de détection pour alerter les personnes responsables de l’entreprise qu’un compte sensible est en cours d’utilisation (peut-être frauduleuse) afin de favoriser une intervention rapide.

[dsb] Identifier et sécuriser les comptes à privilèges au sein des entreprises, premières cibles des attaquants puisque souvent méconnus et négligés.

En conclusion, pour parer au maximum à ces « failles humaines », employés et entreprises doivent redoubler de vigilance pour un usage plus réglementé des réseaux sociaux professionnels et privés. Commentaire d’Olivier Prompt, Regional Sales Engineer, Northern Europe & Africa chez Cyber-Ark Software pour Data Security Breach.