Archives de catégorie : Cybersécurité

Actualités liées à la CyberSecurité.

Chiffrement, cryptage, Entreprise, Fuite de données

Fuite de données concernant une quarantaine de Centres Hospitaliers Français.

6 commentaires

Une fuite Internet peut rapidement intervenir si on n’y prend pas garde. Un fichier mal maîtrisé, sauvegardé n’importe comment, et c’est rapidement la catastrophe. Google, ainsi que d’autres moteurs de recherche, ne font pas la différence entre le document Excel en libre accès reprenant les recettes de Tata Jeannette, et le fichier regroupant plusieurs dizaines de Centres Hospitaliers Français, avec logins et mots de passe, permettant d’accéder à un espace informatique sensible, celui des patients reçus par les Urgences. Google les voit, donc pour lui, ils sont « libres » d’être référencés, sauvegardés en cache.

Voilà la mésaventure qui vient de toucher une société Française spécialisée dans la création de solutions informatiques de gestion des dossiers patients dédiée aux urgences. Un lecteur, Kyle, nous a alerté de cette fuite complétement folle. Lors d’une cherche d’informations qu’elle ne fût pas son étonnement de se retrouver nez-à-nez face à un fichier Excel intitulé InfosEtContacts.xls.

Si les premières lignes ne m’ont pas paru des plus perturbantes, les suivantes auraient eu de quoi faire tomber en syncope le premier SAMU/SMUR qui passait par là. Dans ce fichier, une liste de Centres Hospitaliers (Régionaux/Universitaires/…) : Saône, Brive, Besançon, Belfort, Beauvais, Amiens, R/Yon, La Rochelle, Gueret, Gentilly, St Ame, Blanc Mesnil, Forbach, Epinal, Dole, Senlis, Rennes, Provins, Guadeloupe, Neuilly, Nancy, Lille, Montpellier, Metz ou encore Lunéville.

Ce fichier relatait, avant d’être effacé du web (et de la cache Google, Ndr), les accès à distance (avec login et mot de passe en clairs) ; la prise de contrôle des serveurs (ip, vnc, accès, …), ouverture de session (avec ip et identifiants de connexion). Dans certains cas, l’accès à des bases de données avec ip, login et mot de passe. Bref, des centaines d’informations qui auraient pu faire de gros dégâts dans les mains d’internautes malveillants. Heureusement, du moins nous l’espérons, aucun pirate n’est passé par là.

Dès la découverte de la « chose », nous avons alerté le CERT A, l’ANSSI et la CNIL via le protocole d’alerte de ZATAZ.COM. Comme à son habitude, le Centre d’Expertise gouvernemental de Réponse et de Traitement des Attaques informatiques a répondu à notre alerte au quart de tour. Nous avons attendu que la fuite soit colmatée afin de vous relater ce gros, très gros problème.

Comment une telle fuite peut-elle être possible ?

Un dossier, sur le site internet officiel de cette entreprise, non protégé par un login et mot de passe. Un simple htaccess aurait suffi à réclamer les précieux identifiants de connexion. Un contrôle d’accès très simple à mettre en place pourtant. Cela aurait empêché Google, et la planète web entière, d’accéder aux informations.

Autre possibilité de sécurisation, qui nous semble la plus efficace chez DataSecuritybreach.fr : ne pas sauvegarder ce genre de données sur un espace connecté à Internet, et encore moins quand ce dernier est … le site web lui-même.C’est un peu comme si la Banque de France déposait des lingots d’or sur une table, dans la rue, à l’entrée de son bâtiment. Pas évident que les petits blocs jaunes restent sur place bien longtemps.

Pour finir, il est fortement conseillé, c’est la CNIL qui l’écrit, de chiffrer ce genre de contenu et de le sauvegarder dans un espace non disponible/accessible d’un simple clic de souris.

Chiffrement, cryptage, Cybersécurité, Espionnae, Fuite de données

Odin, le tchat sécurisé

6 commentaires

Christophe Jochum a 24 ans. Cet informaticien Suisse vient de terminer une application web qui lui aura pris 5 mois de son temps. Baptisé Odin Secure Networking, l’outil a pour mission de protéger les internautes d’une cyber surveillance. « En vue des soucis actuels concernant l’écoute d’internet publique, indique à DataSecurityBreach.fr Christophe Jochum, j’ai développé une plateforme de discussion privée, cryptée, sans logs et ne retenant aucune informations sur les utilisateurs ou leurs messages« .

Voilà une idée intéressante, surtout qu’il devient de plus en plus difficile de garder une information confidentielle suite au politiques de confidentialité des entreprises telles que Google, Facebook, Microsoft etc… Pour rester dans la confidentialité et ne pas laisser de traces des échanges sur internet, il faut une bonne dose de connaissances informatiques (réseau Freenet, Tor, I2P), acquerir un service VPN (A noter l’excellent Vypr VPN). Autant dire que cela n’est pas obligatoirement simple.

Odin offre donc la possibilité de sécuriser un échange d’informations via un tchat. Odin permet à n’importe quel néophyte en informatique de dialoguer uniquement avec son interlocuteur, sans craindre la lecture d’une tierce personne ni une retenue d’informations. Grâce à plusieurs sécurités (de multiples encryptions à différentes étapes de la transmission du message et la suppression quasi instantanée des transactions encryptées), Odin s’annonce comme le seul service à ce jour permettant un total anonymat et une confidentialité absolue sur le web, et ce, tout en se situant sur le clear web. Odin est un projet en pleine évolution, plusieurs mises à jours sont en attente de publication.

Cybersécurité, Mise à jour, Patch

WordPress 3.7 se met à jour… seul

2 commentaires

Voilà une idée qu’un grand nombre d’utilisateurs de WordPress attendait le pied ferme. Dorénavant, vous n’aurez plus à lever le petit doigt pour appliquer une mise à jour de maintenance ou de sécurité de votre WordPress. La plupart des sites sont maintenant capables d’appliquer ces mises à jour automatiquement, sans que vous n’ayez à cliquer sur le moindre bouton. Vous noterez cependant que certaines configurations ne permettent pas cette automatisation, mais elles sont rares. Si c’est votre cas, pas de panique, la mise à jour pourra toujours se faire d’un simple clic de souris.

Le processus de mise à jour a été rendu encore plus sûr et sécurisé, avec des douzaines de nouvelles vérifications et de mesures de sauvegarde. Il vous faudra toujours cliquer sur le bouton « Mettre à jour maintenant » une fois que WordPress 3.8 sera sorti, mais l’idée va permettre de protéger un maximum les sites et les administrateurs un peu trop laxiste.

A noter qu’un outil permettant de tester votre mot de passe est aussi proposé, histoire de vous assurer que votre précieux ne finira pas cracké en quelques secondes.

Chiffrement, cryptage, Cybersécurité, Fuite de données, Vie privée

Peersm : échanges de fichiers de manière anonyme

Un commentaire

Pour contrer l’espionnage mis en place par la NSA et son outil Prism, un chercheur Français lance Peersm : des échanges de fichiers de manière anonyme. Aymeric Vitte est un chercheur en informatique, ancien élève ingénieur à Telecom Paris, ce natif d’Aix en Provence, a travaillé pour Alcatel. Spécialiste du GSM, il a géré un grand nombre de projets en Amérique du Sud. Il a mis en place, par exemple, le premier réseau GSM au Brésil et travaillé sur des projets « Satellite » comme GlobalStar. Aujourd’hui il développe des solutions informatiques pour les entreprises et les professions libérales.

En parallèle, l’homme contribue régulièrement à W3C/WHATWG/TC39 et il est membre du groupe de travail WebCrypto W3C. Parmi ses projets personnels, Peersm, une idée dingue mais terriblement prometteuse : permettre l’échange de fichier sans aucune possibilité de traçage. Un anti Prism qui devrait voir arriver sa première application dans les semaines à venir.

Les points communs de tous ces projets est que la technologie est à l’intérieur du navigateur. Vous n’avez pas besoin d’installer quoi que ce soit. Tout est basé sur une mise en œuvre javascript du protocole Tor. Bref, des échanges de fichiers de manière anonyme et bases de données distribuées dans les navigateurs, sans rien installer puisque l’application anonymisante est une appli js. Interview !

DataSecurityBreach.fr – Parlez nous de votre projet. Pourquoi Peersm ?

Aymeric Vitte – Peersm versus Prism en inversant le r, d’où le nom, difficile de trouver un nom de domaine avec ‘peer’ ou ‘peers’ dedans, j’ai finalement trouvé Peersm, le contraire de Prism.

DataSecurityBreach.fr – Pourquoi cette idée ?

Aymeric Vitte – Pour échanger des fichiers sans passer par des tiers et en contournant d’éventuelles oreilles indiscrètes, avec tout dans le navigateur, pour ne pas avoir à installer quoique ce soit et éviter des applis pseudo anonymisantes ou sécurisantes genre VPN ou autres, j’explique sur le site pourquoi on peut avoir confiance. Il y a beaucoup de cas d’utilisation, bons ou mauvais, le jugement étant laissé à l’appréciation de chacun (sachant qu’on ne tient pas du tout aux utilisations criminelles, pédo et autres, d’où le fait que ce soit modestement payant si ça peut aider à éviter ces dérives), cas d’utilisation vécu: au cours d’une réunion de famille où j’ai passé deux heures à expliquer à tout le monde les fondements d’iAnonym (souviens toi : tracking, collusion, vie privée, anonymité, etc ), le soir même un proche met toutes les photos sur un site pour qu’on les télécharge… no comment… c’est exactement ce qu’il faut éviter de faire et que j’ai passé l’après midi à expliquer

DataSecurityBreach.fr –  Comment fonctionne-t-elle ?

Aymeric Vitte – L’innovation encore une fois est de tout avoir dans les navigateurs et de partager les données entre peers dans les navigateurs. 1,5 Milliards de navigateurs dans le monde, imaginez ce que l’on peut faire…. L’idée n’est pas notre exclusivité pour la base de données distribuée, je donne des exemples d’autres projets sur le site. L’OP js Tor dans le navigateur qui se connecte à Tor via les WebSockets est lui notre exclusivité.

DataSecurityBreach.fr – Qu’est ce qui garantie la sécurité des échanges ?

Aymeric Vitte – Personne ne sait qui parle à qui et ce qui est échangé, on peut aussi crypter ses données si vraiment on n’a pas confiance en ce que fait l’ORDB. Ca ressemble un peu à MEGA sur ces aspects.

DataSecurityBreach.fr – Evolution du projet ?

Aymeric Vitte – Une version bétâ bientôt avec de vrais utilisateurs/testeurs, on verra ensuite selon les avis/résultats (crowdfunding again ?). Pour l’instant je ne sais pas dire précisément combien un ORDB peut gérer d’utilisateurs.

DataSecurityBreach.fr – En cette période ou l’on voit la NSA partout, la sécurisation des échanges, une vraie problématique ?

Aymeric Vitte – Oui d’autant plus que l’on ne peut pas faire confiance à https/SSL/TLS.

DataSecurityBreach.fr – Vous avez expliqué comment utiliser WebRTC. Mais justement, pourquoi WebRTC ?

Aymeric Vitte – Parce que c’est ce dont tout le monde parle pour des échanges peer to peer directement dans les navigateurs et il y a plusieurs projets concernant les échanges de fichiers avec WebRTC, sur le site je tente de définir une architecture WebRTC qui pourrait fonctionner avec les concepts de Peersm, le schéma montre que ce n’est pas possible, WebRTC peut être sécurisé si les peers se connaissent et peuvent partager ou générer un secret, sachant que l’on sait toujours quand même qu’un peer se connecte (serveurs ICE STUN/TURN) ce qui est gênant. Maintenant l’avantage est une utilisation réellement peer to peer sans un serveur qui relaie les messages, comme les torrents, mais on en connait le prix : impossible de protéger sa vie privée et son anonymité.

http://www.peersm.com

Chiffrement, cryptage, Cybersécurité, Emploi, Fuite de données, Vie privée

Fuite de données : dîner de cons dans les ordinateurs des Hôtels

22 commentaires

Durant mes différents déplacements à l’étranger, j’aime me promener dans les espaces informatiques mis à disposition par les hôtels. De beaux ordinateurs des hôtels connectés à Internet, gratuitement. Si l’idée est intéressante, elle permet de rester connecter avec la famille, ses emails, la dangerosité de l’occasion offerte est à rappeler. Depuis le mois de juin, j’ai eu la chance de me promener par « monts et par vaux » pour zataz.com, zatazweb.tv, datasecuritybreach.fr ou mes employeurs, de l’Espagne au Maroc en passant par la Tunisie, l’Angleterre, la Belgique ou encore l’Île Maurice et le Québec. Dans les hôtels qui ont pu m’accueillir, des connexions web (payantes et/ou gratuites) et des machines mises à disposition. PC ou Mac, bref, des liens de connexion avec son monde familial… ou professionnel. Aussi paranoïaque que je puisse éviter de l’être, il ne me viendrait pas à l’idée de me connecter à ces machines pour le travail. A première vue, beaucoup de « vacanciers » ou « d’employés » n’ont pas mes craintes.

Il est mignon Monsieur Pignon…

Du 1er juin 2013 au 24 octobre 2013 j’ai pu étudier 107 ordinateurs en accès libres. 37 Mac et 70 PC. J’ai pu mettre la main sur 25.811 documents que je considère comme sensibles. Sensibles car ils auraient pu permettre à un pirate informatique, je ne parle même pas de l’ambiance « Les services secrets étrangers nous surveillent », d’identifier et usurper une identité, une fonction, des projets professionnels.

Ci-dessous, quelques documents que j’ai pu croiser. Il s’agit, ici, de captures d’écrans effectuées avec mon appareil photo. L’ensemble des fichiers ont été effacés après mes découvertes et les directions des hôtels alertées, histoire de coller quelques affiches, ici et là, sur les mesures que les clients devraient prendre lors de leurs pérégrinations informatiques.

En déplacement, sortez armés lors de l’utilisation des ordinateurs des Hôtels

Je peux comprendre, je suis le premier concerné, qu’en déplacement, le besoin de rester connecter se fait rapidement sentir. Un petit coucou à la famille restée à la maison, aux courriels du patron ou quelques mises à jour sur son site web et autres blogs. Seulement, il n’est pas toujours évident de se promener avec son ordinateur portable sous le bras. Si c’est le cas, voyez nos méthodes de sécurisation physiques et numériques de votre – Précieux -. Prudence, aussi, aux connexions wifi offertes dans les hôtels. Dans la foulée de mes voyages, se promènent toujours avec moi, mes Pirates Box @zataz. Pourtant baptisées PirateBox, donc de quoi inquiéter ceux qui ne connaissent pas cette merveilleuse petite amie numérique, j’ai pu découvrir pas moins de 54.291 fichiers privés (80% de photos, ndlr) téléchargés par des inconnus. Je vous passe la possibilité malveillante d’une PirateBox Man-in-the-middle s’annonçant comme un « Hotel-Free-Wifi » ou « Starbux-Wifi-Free« . Il ne reste plus qu’à collecter les données sensibles transitant entre le « touriste » et le site qu’il visite. Pour éviter de se voir gober comme un gros Ananas, la sécurisation de vos connexions est une obligation. Un service VPN est indispensable en déplacement.

Nous utilisons pour ZATAZ, DataSecurityBreach ou pour mes autres employeurs l’excellent VyprVPN, ainsi que de nombreux systèmes d’anonymisation et chiffrement de données. Présent sur les 5 continents, plus de 200.000 IP et un pare-feu NAT loin d’être négligeable. Les pirates et les bots malveillants cherchent sur Internet les appareils non protégés qu’ils peuvent utiliser pour le vol d’identité et les messages indésirables. Ils accèdent à votre système par les connexions Internet qui sont ouvertes sur vos applications. En utilisant ces connexions, ils peuvent installer des malwares et voler vos informations personnelles. Le pare-feu NAT empêche leur recherche d’atteindre votre appareil ou ordinateur quand vous vous connectez avec VyprVPN. Autre service, celui-ci est Français, ActiVPN.

Ordinateurs des Hôtels

Autres solutions, chiffrer vos informations communiquées. OpenPGP, GPG, … sont d’excellents outils qui en cas d’oubli de fichiers dans une machine étrangère (chose impensable, mais bon, ndlr datasecuritybreach.fr) évitera qu’un inconnu puisse y accéder. Nous finirons avec l’outil de la société française Gith Security Systems. Elle tente d’offrir une réponse en proposant «Gith», la première plateforme gratuite de communications sécurisées sur Internet, destinée au grand public, PME et professions libérales. Pour simplifier le processus, Gith se présente sous la forme d’une application à installer, disponible sous Windows, Mac OS, Linux et prochainement iPhone/Android. Gith permet d’échanger des Emails, partager des documents («Cloud sécurisé») et faire du chat avec les autres utilisateurs. Une sécurité bien présente, mais totalement invisible. Toutes les données sont chiffrées de bout en bout, avec les meilleurs algorithmes actuels (RSA 2048, AES 256). Même en cas de vol de votre ordinateur ou infection par un virus, vos données sont inaccessibles : elles sont stockées chiffrées sur votre machine. La sauvegarde de votre clef secrète de chiffrement sous forme de QRCode vous permet facilement d’importer votre compte sur un autre ordinateur ou votre smartphone ! Nous utilisons cette solution. Elle mérite clairement d’être découverte et exploitée. A noter que Gith a été sélectionné pour l’opération 101 projets de Xavier Niel, Marc Simoncini et Jacques-Antoine Granjon. Le 18 novembre, présentation de Gith, en 1 minute, et tenter de décrocher 25k € de financement.

Bref, mes solutions de protection de vos données, en déplacement, ne sont pas infaillibles, mais devraient vous rappeler que le libre accès n’est pas la meilleure idée pour vos données privées. Et les ordinateurs des Hôtels font parti de ces fuites potentielles.

Fuites de données : la réputation des entreprises en danger via les ordinateurs des Hôtels

La grande majorité des entreprises qui doivent faire face à un problème de sécurité sont contraintes de révéler publiquement cette information, comme le révèle l’étude Global Corporate IT Security Risks 2013 menée par Kaspersky Lab auprès de 2 895 organisations à travers le monde. Les résultats sont sans appel. 44% des entreprises ayant été victime d’une fuite de données sont dans l’obligation d’informer leurs clients de l’incident, 34% informent leurs partenaires, 33% informent leurs fournisseurs, 27% remontent les fais à un organisme de contrôle ou de régulation, 15% doivent en informer les médias. A l’échelle mondiale, les grandes entreprises seraient les plus touchées. La législation change en faveur des internautes comme nous la nouvelle directive européenne votée le 12 août dernier.

Cyber-attaque, Cybersécurité, DDoS

Recrudescence des attaques de DNS

Un commentaire

Recrudescence des attaques de DNS : de la nécessité de repenser ses stratégies de sécurité par Rodolphe Moreno, Directeur Général France d’Infoblox pour DataSecurityBreach.fr.

Le DNS est un canal de communication à la fois fiable et furtif, ce qui en fait un vecteur idéal pour les programmeurs mal intentionnés. L’infrastructure DNS conditionne l’accès au Web : il est impossible d’accéder à un domaine Internet quand le serveur DNS qui l’administre est en panne. Commençant à entrevoir les opportunités potentielles de ces failles, les pirates se sont mis à concevoir des programmes malveillants qui exploitent les DNS pour communiquer avec des bot masters afin d’accomplir diverses activités frauduleuses. Une nouvelle génération de botnets et de menaces persistantes avancées (Advanced Persistent Threats, APT) est ainsi née, qui utilise les DNS pour infecter des machines et les contrôler, lancer des attaques réseau sophistiquées ou couvrir des activités criminelles.

Quantité de réseaux sont chaque jour piratés via les DNS, cibles faciles pour les cybercriminels car accessibles et très peu sécurisés. Ils figurent parmi les rares services quasi systématiquement autorisés à traverser les pare-feux, la plupart du temps par des proxies DNS locaux désignés. Par ailleurs, la moindre intensité du trafic DNS, au regard du trafic Web ou des e-mails, explique aussi qu’il est moins rigoureusement filtré.

Il est essentiel, désormais, que les entreprises intègrent la protection des systèmes de noms de domaine dans leur stratégie de sécurité.

Nous avons donc voulu consacrer cet article aux principaux vecteurs de menace des DNS et aux solutions dont disposent les décideurs IT pour renforcer la sécurité des réseaux de leur entreprise et de leurs fournisseurs de services.

On distingue généralement deux types d’attaques :

· celles qui visent à provoquer une interruption de services DNS, telles que les attaques par déni de service / déni de service distribué (Denial of Service, DOS / Distributed Denial of Service, DDOS), empoisonnement de cache, manipulation de réponses ou encore interception (Man-inthe- Middle, MITM) ;

· et celles qui exploitent indirectement les DNS, comme les attaques par botnets, détournement de noms de domaine, APT ou détournement de DNS (tunneling). Les principaux vecteurs utilisés par les cybercriminels : Empoisonnement de cache : l’attaquant envoie de fausses réponses DNS à un résolveur DNS, lequel les stocke dans le cache DNS pendant la durée de vie prédéfinie. L’ordinateur considère que le serveur DNS empoisonné est légitime et incite alors l’utilisateur à télécharger, sans le savoir, des contenus malveillants.

Exploitation d’anomalies dans le protocole DNS : l’attaquant envoie des requêtes ou réponses DNS mal formées au serveur DNS visé afin d’exploiter les anomalies d’implémentation du protocole du logiciel du serveur. Cette technique permet de déclencher des dénis de service, d’empoisonner le cache ou de compromettre les serveurs ciblés.

Redirection de DNS (MITM) : le protocole DNS sur UDP étant sans état, il est vulnérable aux attaques MITM, de type DNS Changer, DNS Replay ou redirection illégitime, principalement utilisées à des fins de hacktivisme, de phishing, de défacement de sites Web ou de vol de données.

Détournement de DNS (DNS Tunneling) : l’attaquant exploite le DNS tel un canal caché pour contourner les mécanismes de sécurité classiques. Les données sortantes et entrantes communiquées sont respectivement encapsulées dans des requêtes et réponses DNS. Le programme malveillant installé sur un hôte peut alors contacter son opérateur (le serveur de commande et de contrôle) et transférer les données dérobées ou exécuter des commandes sur l’hôte sans être détecté.

Détournement de noms de domaine : l’attaquant dirige l’utilisateur vers un domaine piraté imitant un domaine légitime, généralement celui d’une institution financière ou d’une agence de voyage, afin de recueillir frauduleusement des données sensibles, comme des identifiants et codes d’accès, des numéros de sécurité sociale, des codes PIN ou les numéros de cartes de paiement.

DOS / DDOS : ces attaques ont gagné en ampleur, en rapidité et en sophistication en 2012. Il en existe principalement deux variantes : · celles qui ciblent directement les serveurs d’infrastructure DNS, elles incluent également les attaques récursives, par falsification d’adresse source et par saturation de serveurs DNS, déclenchées par les botnets ; · celles qui utilisent un serveur DNS pour lancer des attaques de type DDOS par amplification ou par réflexion. L’attaquant transmet de fausses requêtes au serveur DNS pour qu’il envoie massivement des réponses DNS non sollicitées à la machine visée. Il peut également envoyer de petites requêtes DNS à plusieurs serveurs DNS pour lancer discrètement une attaque DDOS massive par amplification.

Fast Flux : le fast flux consiste à modifier rapidement et fréquemment l’adresse IP d’un hôte en raccourcissant la durée de vie des enregistrements DNS. Le domain fluxing consiste quant à lui à attribuer plusieurs noms de domaine complets (Fully Qualified Domain Names, FQDN) à une même adresse IP, celle du serveur de commande et de contrôle (C&C).

Menaces persistantes avancées (Advanced Persistent Threats, APT) : ces attaques consistent à accéder à un réseau sans y être autorisé et sans être détecté pendant de longues périodes. Comme leur nom l’indique, les APT sont des programmes malveillants avancés, persistants par nature, entièrement dédiés à un objectif spécifique. Parmi ceux-ci figurent Conficker A/B/C, Torpig, Kraken ou encore TDSS/TLD4, plus récent, qui exploitent des DNS pour communiquer avec des serveurs C&C distants afin de collecter des codes malveillants et instructions pour mener à bien leurs attaques.

Vous l’aurez compris : les vecteurs d’attaques de DNS sont si nombreux et variés qu’une seule technologie ne saurait les contrer tous. La protection complète de l’infrastructure et des services DNS suppose donc une stratégie de sécurité fondée sur plusieurs mécanismes de défense : des pare-feu DNS (systèmes qui analysent le trafic en quête de menaces, détectent les anomalies et protègent le réseau en temps réel contre les domaines malveillants) ; la mise en œuvre de DNSSEC (signature numérique des enregistrements DNS) ; des systèmes de protection contre les DOS/DDOS, des systèmes de prévention des fuites de données et d’autres protocoles, des systèmes dédiés de détection des APT (mécanismes heuristiques et autres techniques d’analyse comportementale permettant de déceler les programmes APT qui utilisent le DNS pour communiquer avec des serveurs C&C).

Les serveurs DNS apparaissent donc comme des cibles de choix pour les cybercriminels et programmeurs mal intentionnés, qui y voient un moyen simple de contourner les mécanismes de défense traditionnels pour satisfaire leurs ambitions de guerre virtuelle, d’espionnage industriel, de hacktivisme, de soutien ou de contestation politique, de vol de données, de distribution de spams ou encore d’attaques DDOS coordonnées. Les pare-feux de nouvelle génération n’offrent pas une sécurité suffisante. Seule une stratégie de défense multidimensionnelle permettra aux entreprises de se prémunir contre ces programmes malveillants et les techniques modernes qui contournent les dispositifs de sécurité grâce au DNS.

Chiffrement, cryptage, Cybersécurité, Espionnae, Fuite de données

Les écoutes de la NSA : rien de nouveau sous les drapeaux

Un commentaire

La NSA a toujours été à l’écoute de ses alliés et des pays non alliés dans le cadre de la lutte anti-terroriste. Rappelons que lors de la découverte du programme Echelon en 2000, la classe politique française et européenne avait été choquée par cette découverte. Voyons messieurs les politiciens ! Echelon surveillait tout et tout le monde bien avant les années 2000, entre autres : les communications téléphoniques, les fax et les communications électroniques, celles qui transitent par ondes radio, voies hertziennes, satellites, câbles, fibres optiques, sans oublier, bien sûr, les réseaux informatiques.

Et les services français ne sont pas en reste. A la même époque, ils avaient développé leur propre système d’écoute, basé également sur Echelon, mais ne disposaient pas des mêmes moyens pour avoir une panoplie d’outils aussi large. Les entreprises comme Airbus, Thomson-CSF, Siemens, Wanadoo, Alcatel-Lucent et autres, ont toujours subi ce genre d’espionnage industriel. A l’heure où la France lance rapports sur rapports, livres blancs sur la défense et la sécurité nationale (2008 et 2013), tous abordant les questions concernant notre capacité de cyber défense, notre allié a affiné son programme d’écoute Prism et s’adapte aux nouveaux outils technologiques disponibles dans le monde. Il a ainsi créé un ensemble d’outils lui permettant d’effectuer des recherches de masse avec son moteur XKeyscore, alimenté par les différents programmes développés par la NSA (FairView, Evilolive, Prism), associés à sa capacité de surveillance des câbles sous-marins grâce à Upstream.

La NSA possède cette capacité phénoménale d’enregistrer l’ensemble du trafic mondial sur ses propres data center, lui donnant la possibilité de stocker ainsi cinq zettaoctets de données dans un seul de ses centres basé dans l’Utah. Pour comparaison, cela qui équivaut à la capacité de stockage de 250 milliards de DVD. Aujourd’hui, la question n’est plus de savoir ce qui est écouté, mais de mettre en évidence l’ensemble des techniques utilisées dans le cadre de l’espionnage ; les implications réelles des constructeurs et éditeurs de solution IT, et des opérateurs de télécommunications ; l’implication des sociétés de services de type Skype, Google, Facebook, Microsoft, etc. Avec l’avènement du Cloud Computing et du Big Data, des questions doivent être posées sérieusement.

Après les révélations d’espionnage, le Parlement demande la suspension temporaire de l’accord SWIFT. Après les tergiversations du Parti Populaire Européen qui a demandé un report du vote sans l’obtenir, les eurodéputés ont finalement adopté à une courte majorité (280 pour, 254 contre) une résolution demandant la suspension de l’accord SWIFT avec les États-Unis. En vertu de l’accord UE/États-Unis sur le Programme américain de pistage des financements terroristes (TFTP), approuvé en juillet 2010 par le Parlement européen, les autorités américaines peuvent avoir accès aux données bancaires européennes stockées sur le réseau de la société SWIFT (Society for Worldwide Interbank Financial Telecommunication), aux seules fins de lutte contre le terrorisme et dans le respect de certaines exigences de protection de la vie privée des citoyens.

Les médias brésiliens ont révélé le 8 septembre dernier que la NSA est capable d’entrer dans le système SWIFT depuis 2006, malgré les cryptages et les pare-feu. À l’occasion du débat du 9 octobre dernier en plénière, la Commission avait indiqué ne pas souhaiter, à ce stade, demander la suspension de l’accord SWIFT, car elle estimait qu’elle ne disposait d’aucune preuve selon laquelle les États-Unis auraient frauduleusement accédé à ce système.

Pour Françoise Castex, c’est inacceptable: « Il existe, selon nous, des indications claires selon lesquelles la NSA pourrait récupérer des informations relatives à nos entreprises et à nos concitoyens sur le serveur SWIFT et les détourner. Nous appelons les 28 à suspendre cet accord, le temps de faire toute la lumière sur cette affaire. Nous demandons, en outre, à EUROPOL d’ouvrir une enquête sur l’accès non autorisé aux données financières de paiement. »

Pour l’eurodéputée socialiste: « A partir du moment où votre partenaire vous espionne, la confiance est rompue. » Avant d’ajouter: « Depuis avril, je demande la suspension des accords PNR et SWIFT avec les USA. L’Europe devrait aller plus loin en gelant les négociations sur l’accord de libre-échange avec les États-Unis! ». De conclure: « Le respect des droits fondamentaux des citoyens européens doit être une condition préalable à tout accord! ». (Par Jean-François Beuze, Président de Sifaris et Madame La Député Françoise Castex pour DataSecurityBreach.fr)

Cyber-attaque, DDoS, Espionnae, Vie privée, VPN

Google veut protéger les ONG et les droits de l’Homme des DDoS

Un commentaire

La filiale « idées » de Google, la Google Ideas, vient d’annoncer qu’une de ses nouvelles initiatives seraient à destination des ONG et autres associations de défense des Droits de l’Homme. Le géant américain annonce vouloir ainsi protéger des attaques DDoS, les sites web des défenseurs des Droits de l’Homme. L’annonce a été faite lors du « Conflict in a connected world« . Le projet, baptisé Shields, va profiter du Page Speed Service (PSS). Le PSS permet d’accélérer l’accès aux pages web. Un moyen technique qui va être utilisé, aussi, pour contrer les dénis de service distribués (DDoS) qui peuvent bloquer sites web et communication (emails, …) des serveurs visés par un afflux pirate de données. Plusieurs sites web ont été invités, ils sont basés en Iran, Syrie, Birmanie (Myanmar) et au Kenya. Arbor Network, proposera d’ici peu une carte baptisée « Digital Attack Map » qui montrera les attaques visant les sites protégés. Bilan, les DDoS seront interceptés par Google. Les DDoS et les informations transitant par PSS. A noter que d’ici quelques semaines, Google va proposer uProxy, une application pour Chrome et Firefox. Mission, créer un système de sécurisation des données.

Pendant ce temps, en Europe

Le Parlement européen a annoncé, lundi soir, un renforcement de la protection des données personnelles sur internet. La commission des libertés publiques a approuvé les propositions de sanctions et la directive destinées à renforcer la protection des données personnelles (sur Internet, dans les entreprises, …) au sein des états membres. La prochaine loi doit donner un plus grand contrôle sur leurs données personnelles. Les entreprises, mais aussi les géants du web, comme Google, auront obligation d’obtenir notre consentement préalable pour l’utilisation de nos données. Nous pourrons, mais en France cela est déjà normalement possible via la Loi Informatique et des Libertés, de demander aux entreprises de supprimer nos données. Des amendes sont annoncées. Elles pourront atteindre jusqu’à 5% du chiffre d’affaires. Le texte doit être approuvé lors d’une prochaine session du Parlement.

Après trois ans de travail parlementaire les eurodéputés de la Commission LIBE ont adopté à une forte majorité le règlement (49 +, 2- et 1 abst pour le règlement) et la directive (29+, 20, – 3 abst) sur les données personnelles et ont octroyé aux deux rapporteurs du Parlement européen, Jan-Philippe Albrecht (Verts, All), et Dimitrios Droutsas (S&D, GR) un large mandat de négociation avec le Conseil et la Commission européenne. Les socialistes Sylvie Guillaume et Françoise Castex présentes lors du vote se félicitent de ce résultat.   « Nous aurions pu souhaiter un encadrement plus strict sur l’encadrement des données pseudonymes mais ce résultat est dans l’ensemble un bon résultat qui était encore impensable il y a quelques mois », note Françoise Castex. « En Février la droite européenne majoritaire au Parlement était favorable à un allégement de la proposition de la commission européenne, allant même jusqu’à déposer des amendements proposés par les géants du Net américain. Nous ne pouvons que nous féliciter qu’ils aient fini par voter pour ce texte qui va vers une meilleure protection des consommateurs: le consentement explicite, l’encadrement des transferts de données vers un État tiers ou la possibilité de déréférencement sont des avancées réelles pour la protection de la vie privée des citoyens européens. »

Pour Sylvie Guillaume : « La protection des données est un droit fondamental pour les citoyens européens et les dernières révélations sur les écoutes de la NSA en France nous rappellent plus que tout que nous avons besoin de nous doter de règles claires. Malgré un lobbying intense, le compromis obtenu va véritablement dans le sens de règles renforcées au service des consommateurs, tout en n’accablant pas les PME de charges bureaucratiques excessives. Ainsi, grâce au vote de ce soir, un consentement explicite devra être donné librement avant tout traitement des données personnelles et toute personne pourra retirer son consentement dès qu’elle le souhaitera. Loin des contrats de confidentialité plus longs encore que le texte d’Hamlet (cf. ITunes), chacun pourra, au moyen de pictogrammes, connaître précisément et de façon claire à quelles fins ses données sont traitées, si elles sont transférées à des tiers…Enfin, des compagnies comme Google, Facebook et Skype ne pourront plus être autorisées à transférer des données à des pays tiers sans un accord européen légal sur des transferts de données. Soit autant de mesures qui doivent sonner comme un message fort à l’adresse du Conseil européen avec lequel les négociations vont s’ouvrir ».

Les députées européennes concluent: « L’affaire PRISM, et les plaintes de plus en plus nombreuses des consommateurs sur ce sujet montrent que la question de la protection des données personnelles est devenue un sujet très sensible. Après trois ans de travail parlementaire il serait bon de ne plus trop trainer et d’obtenir un texte fort avant la fin du mandat ! ».

Cybersécurité, escroquerie, Phishing, spam

Les hackers partent aussi en vacances en août

Un commentaire

Selon le « RSA Fraud Report », la France n’est plus dans le trio de tête des pays les plus attaqués par les campagnes de phishing. Dans l’édition de septembre de son Fraud Report, RSA, la division sécurité d’EMC, constate que les attaques utilisant des techniques de phishing ont diminué de 25% au mois d’août 2013 comparé au mois de juillet, passant de 45232 à 33861. De plus, la France – présente en quatrième position du classement des pays les plus attaqués en juillet – n’est plus dans la compétition au mois d’août, cédant sa place à l’Inde qui a enregistré une augmentation des attaques de 2 points. Le phishing ou hameçonnage est l’une des techniques les plus utilisées par les fraudeurs afin d’obtenir des renseignements personnels et usurper ainsi l’identité de l’internaute. Particulièrement adaptés pour obtenir des renseignements bancaires, ces trojans sont déployés pour présenter aux utilisateurs un site web généré par un programme malveillant qui les incite à rentrer leurs informations personnelles.

Cybersécurité, Espionnae, Fuite de données, Vie privée

Backdoor D-Link

Accéder, sans mot de passe, dans un routeur D Link, facile grâce à une backdoor. Craig, du blog Dev TTys 0, vient d’analyser le routeur DIR-100 REVA de D-Link. Son petit jeu, un reverse engineering, lui a donné l’occasion de découvrir qu’en quelques lignes de code, il était possible d’accéder aux commandes de la machine, en outre passant login et mot de passe.

Bilan, il semble qu’une porte cachée dans le firware permet à celui qui connait le truc de s’inviter dans le – précieux -. « On peut raisonnablement conclure que de nombreux dispositifs D-Link sont susceptibles d’être affectés par cette backdoor » souligne le chercheur. En bref, si votre navigateur est configuré avec comme User-Agent « xmlset_roodkcableoj28840ybtide », vous obtiendrez automatiquement un accès administrateur sur le panneau de contrôle web du routeur, sans la moindre demande d’autorisation.

Les machines concernées par cet étrange firware sont : DIR-100 ; DI-524 ; DI-524UP ; DI-604S ; DI-604UP ; DI-604 + et TM-G5240. « En outre, plusieurs routeurs Planex semblent également utiliser le même firware » termine Craig. Il s’agit de BRL-04UR et BRL-04CW. Une raison de plus pour commencer à adopter openwrt/ddwrt/tomato etc. D-Link n’a pas encore donnée ses explications sur ce sujet.