Archives de catégorie : Cybersécurité

Actualités liées à la CyberSecurité.

Cyber-attaque, Cybersécurité, Fuite de données, Leak, Paiement en ligne

Plus de 2 millions de données clients volées à ADOBE

Un commentaire

ADOBE, le géant du logiciel de création sur Internet ne voit que pas le Cloud. Au prix que coûtent ses outils numériques, nous aurions pu penser que la sécurisation des données que nous pouvons lui laisser étaient aussi carrée que le protocole mis en place pour s’assurer que les utilisateur de Photoshop, Premiere, … ne soient pas des vilains copieurs.

La société américaine vient de confirmer, par le biais de Brad Arkin (responsable sécurité) qu’un pirate informatique avait mis la main sur pas moins de 2.9 millions de comptes utilisateurs. Dans le fichier intercepté via une faille iSQL : les noms, les informations de facturation, les données des carte de crédit, CVV et compagnie. Les mots de passe des clients ont été réinitialisés.

« L’équipe Adobe en charge de la sécurité a récemment découvert sur notre réseau des attaques sophistiquées portant sur l’accès illégal aux informations de nos clients, ainsi qu’au code source d’Adobe ColdFusion, un serveur d’applications destiné aux développeurs et, potentiellement, d’autres produits Adobe. Nous pensons que ces attaques pourraient être liées. En collaboration avec nos partenaires et les services de police, nos équipes internes mettent tout en œuvre pour résoudre cet incident. »

Là ou cela devient du grand n’importe quoi. Le pirate aurait réussi à mettre la main sur des codes sources d’outils comme Adobe Acrobat, ColdFusion, et ColdFusion Builder. Les pirates ont eu accès aux identifiants et mots de passe Adobe des clients. Les pirates ont pu accéder aux informations bancaires cryptées de 2,9 millions de clients Adobe, et notamment aux noms des clients, à leurs numéros de carte bancaire cryptés et dates d’expiration, ainsi qu’à d’autres données relatives à leurs commandes. « Pour le moment, nous pensons qu’aucun numéro de carte bancaire extrait de nos systèmes n’a été décrypté« . a pu lire datasecuritybreach.fr. Adobe enquête également sur l’accès illégal au code source de ColdFusion et sur le risque d’un accès non autorisé au code source d’autres produits Adobe. « Nous n’avons pas connaissance de menaces accrues pesant sur les utilisateurs de ColdFusion suite à cet incident« .

Toute la procédure pour les clients est en ligne afin de réinitialiser en trois points son mot de passe.

Cybersécurité, Justice, loi

Des mesures renforcées pour la lutte contre la cybercriminalité

2 commentaires

Une nouvelle directive européenne (n° 2013-40/UE du 12 août 2013) relative aux attaques contre les systèmes d’information est entrée en vigueur le 3 septembre 2013. Elle remplace et renforce une décision-cadre du Conseil de l’Union (2005/222/JAI) du 24 février 2005, qui avait déjà pour principal objectif de renforcer la coopération entre les autorités judiciaires des Etats membres grâce à un rapprochement de la législation pénale sanctionnant la cybercriminalité. Donatienne Blin, avocat au département Informatique & réseaux de Courtois Lebel, explique quelles vont être ces nouvelles règles. Les attaques contre les systèmes d’information constituent une menace croissante au sein de l’Union et plus généralement à l’échelle mondiale. Les progrès technologiques permettent aux hackers de construire des méthodes de plus en plus sophistiquées, susceptibles de provoquer des dommages économiques considérables : interruption de l’activité de l’entreprise, perte ou altération de données confidentielles ou personnelles…

L’existence de lacunes et de disparités dans les différentes législations des Etats membres en matière d’attaques contre les systèmes d’information risque d’entraver la lutte contre la cybercriminalité et de ralentir la coopération policière et judiciaire européenne. La directive 2013-40/UE renforce donc les mesures mises en place par la décision-cadre de 2005, avec pour objectif de lutter plus efficacement contre les attaques informatiques au niveau européen. En synthèse, la directive fixe les règles minimales concernant la définition des infractions pénales et les sanctions pénales applicables et améliore la coopération entre les autorités compétentes des Etats membres.

Les infractions pénales mieux définies S’agissant de la mise en place de « règles minimales », on citera :

I – L’adoption de définitions communes s’agissant des éléments constitutifs des infractions pénales suivantes (Art. 3 à 6) :

– accès illégal à un système d’information  – atteinte illégale à l’intégrité d’un système

– atteinte illégale à l’intégrité des données  – interception illégale de ces données ;

II – l’incrimination de la production, de la vente et de l’obtention des outils (programmes) ou dispositifs (code d’accès) conçus pour commettre l’une de ces infractions précitées  (Art.7) ;

III – l’incrimination du fait « d’inciter à commettre » lesdites infractions, d’y participer ou de s’en rendre complice (Art. 8) ;

DSB – le principe de « sanctions effectives, proportionnées et dissuasives » à mettre en place par les Etats membres : des peines d’emprisonnement minimum sont imposées par la directive (Art.9) ;

V – la présence de circonstances aggravantes en cas d’attaque de grande ampleur commise par des organisations criminelles (notamment dans le cas des réseaux dit « zombie »), en cas de préjudice grave, lorsque les attaques sont menées contre une « infrastructure critique » d’un état membre, ou encore en cas d’usurpation d’identité numérique (Art.9) ;

VI – la mise en cause de la responsabilité et la sanction des personnes morales, lorsque les infractions sont commises pour leur compte par toute personne qui exerce un pouvoir de direction (Art.10) ; VII – la responsabilité et la sanction des personnes morales, lorsque « l’absence de surveillance et de contrôle » aura rendu possible l’une des infractions précitées commise pour son compte par ses salariés (Art.10 et 11).

La directive insiste en effet sur le fait qu’il est nécessaire de « garantir des niveaux de protection appropriés contre les menaces et les vulnérabilités pouvant être raisonnablement identifiées » : la responsabilité de la personne morale devra donc être engagée dès lors que celle-ci n’a pas, « de toute évidence », assuré un niveau de protection suffisant contre les cyberattaques commises pour son compte (Considérant 26).

Des dispositions contraignantes pour les entreprises Les dispositions des articles 10 et 11 sont donc particulièrement contraignantes à l’égard des entreprises, à qui il revient d’apporter la preuve de leurs diligences en matière de surveillance et de protection contre les cyberattaques commises par leurs propres salariés.

Pour s’exonérer de leur responsabilité, celles-ci devront donc démontrer cumulativement :

A –  que la vulnérabilité ou la menace ne pouvait pas être raisonnablement identifiée ou anticipée (soit au regard de l’état de l’art, soit au regard des moyens déployés par l’auteur de l’attaque pour dissimuler ses actes au sein de l’entreprise) ;

B – avoir mis en œuvre en interne des mesures préventives, à la fois juridiques (dispositions spécifiques dans la charte informatique par exemple) et techniques (logiciel de surveillance et de contrôle) de protection contre les cyberattaques susceptibles d’être commises par leurs employés.

La coopération entre Etats membres est renforcée S’agissant de la coopération entre Etats membres, la directive prévoit :

A – la mise en place de réseaux de coopération et de partenariat pour permettre l’échange d’informations, destinées à prévenir et à combattre la cybercriminalité ;

B – que les Etats membres doivent désormais disposer « d’un point de contact national opérationnel », et recourir, au niveau européen, au « réseau existant de points de contact opérationnels » (art. 13) ;

C – que ces réseaux devront être disponibles 24h/24 et 7j/7 ; de plus, des procédures pour répondre aux demandes urgentes sous huit heures devront être mises en place par les Etats membres (Art.13).

La France devra transposer les dispositions imposées par cette directive au plus tard le 4 septembre 2015.  Par le Cabinet d’avocats d’affaires français Courtois Lebel pour DataSecurityBreach.fr.

Logiciels, Mise à jour, Patch

Pensez à vos mises à jour

Mardi 17 septembre, une nouvelle vulnérabilité zero-day affectant toutes les versions d’Internet Explorer a été annoncée par Microsoft. Cette vulnérabilité peut corrompre la mémoire de manière à permettre aux attaquants d’exécuter des codes arbitraires. L’attaque fonctionne en attirant des utilisateurs vers des sites conçus pour l’occasion et qui abrite cette vulnérabilité dirigée contre Internet Explorer. Jusqu’à présent, cette vulnérabilité a été utilisée dans un nombre limité d’attaques ciblées. Microsoft a pris connaissance de cette vulnérabilité et a posté une alerte sur le sujet. L’éditeur n’a pas encore distribué de patch, mais a fourni une solution  temporaire – cf. “Fix It” – qui devrait servir jusqu’à ce qu’une mise à jour en matière de sécurité soit disponible. (Symantec)

BYOD, Chiffrement, cryptage, Entreprise, Fuite de données, Propriété Industrielle, Sauvegarde

L’assurance contre les cyber-risques d’Allianz ne peut être qu’un « filet de sécurité » pour les entreprises

Le spécialiste de l’assurance Allianz Global Corporate & Specialty (AGCS) vient d’annoncer une nouvelle gamme de produits destinée à protéger les entreprises contre les problèmes qui peuvent découler d’une cyber-attaque grave ou d’une violation de données. Cette annonce fait suite à de récentes études qui indiquent que les cyber-attaques sont susceptibles de faire perdre plusieurs millions d’euros aux entreprises, dans un contexte où elles sont visées par des cyber-attaques de plus en plus sophistiquées.

Nigel Pearson, responsable de la  cybernétique chez Allianz, déclare à ce sujet que les entreprises ne réalisent pas l’ampleur du risque actuel alors que « de nombreux cybercriminels sont déjà en mesure de pirater les systèmes de petites et moyennes structures, et qu’ils peuvent ainsi trouver un moyen d’accéder aux systèmes des grandes entreprises avec lesquelles ces PME sont partenaires ».

Jean-Pierre Carlin, directeur commercial Europe du Sud chez LogRhythm, a fait les commentaires suivants : « La cybercriminalité et l’espionnage industriel sont devenus tellement banals que les récents incidents n’ont pas réussi à susciter l’intérêt requis des entreprises au moment où ils ont été rapportés. Le fait que la cybercriminalité ait coûté plus de 2,5 milliard d’euros en 2012 aurait dû servir de détonateur et envoyer un message fort et clair aux organisations. Malheureusement, vu les nombreuses attaques médiatisées auxquelles nous avons pu assister jusqu’ici cette année, le chemin est encore long et certains iront même jusqu’à dire que nous sommes déjà en train de perdre la bataille.« 

Ce qui est intéressant ici, cependant, c’est que les assureurs commencent à reconnaître à la fois la nouvelle source de revenus, et les nouvelles opportunités commerciales offertes par cette nouvelle catégorie de risque. Comme les attaques des cybercriminels deviennent plus sophistiqués, et que nous nous rendons compte du caractère inéluctabilité de la crise, il semble logique que les entreprises souhaitent bénéficier du plus haut niveau de protection.

Il est également judicieux pour les assureurs de commencer à reconnaître ce risque lié à l’ère du temps – comme ils l’avaient fait avec le détournement des avions et à la cendre volcanique. Pour les entreprises, les conséquences d’une faille grave pourraient être comparées aux dommages d’un incendie ou d’un cambriolage important – si ce n’est pire… Il ne serait donc pas surprenant de voir d’autres assureurs suivre l’exemple d’Allianz très prochainement.

« Cependant, cette nouvelle prise en compte du risque par l’assurance doit être considérée comme un filet de sécurité, et ne pas donner un prétexte aux entreprises pour entretenir un faux sentiment de sécurité. Il est impératif que les bonnes pratiques en matière de sécurité soient maintenues afin de préserver l’étanchéité des réseaux de l’entreprise. La protection des renseignements personnels devrait être primordiale, par exemple, plutôt que de simplement couvrir les frais d’une violation. Le contrôle de la protection devrait être la norme dans toutes les organisations car il offre une vue étendue de toutes les activités du réseau de façon à ce que si quelque chose de suspect est identifié, il peut être arrêté avant que le mal ne soit fait. Cette protection devrait être élargie aux fournisseurs tiers, comme les petites entreprises qui desservent les grandes, et qui sont de plus en plus perçues comme maillon faible par les pirates qui veulent contourner la sécurité des grandes multinationales« .

Justice, Propriété Industrielle, Vie privée

Les robots de la police privée du copyright attaquent « Robocopyright »

Un commentaire

Avec une mordante ironie, la vidéo « Robocopyright ACTA » [1] que La Quadrature du Net avait publiée en 2010 sur Youtube [2] pour dénoncer les excès de la répression conduite au nom du droit d’auteur a été retirée cette semaine [3] par la plateforme… pour violation du droit d’auteur ! Elle constituait pourtant incontestablement une parodie protégée par une exception au droit d’auteur en France et par le fair use (usage équitable) aux États-Unis. Cette atteinte caractérisée à la liberté d’expression ne fait qu’illustrer une fois de plus les risques de censure dont sont porteurs les systèmes d’application automatisée du droit d’auteur. Ce sont pourtant ces modèles qui sont montrés en exemple aujourd’hui en France, notamment à travers le concept « d’auto-régulation des plateformes », que l’on retrouve aussi bien dans le rapport Lescure, à la Hadopi ou au CSA. ***

La vidéo « Robocopyright ACTA » avait été réalisée par l’équipe de La Quadrature [4] à partir du détournement d’une scène du film RoboCop, dont les droits appartiennent à la société de production MGM. Ce sont ces contenus que le système automatique de filtrage Content ID [5], mis en place par Google sur Youtube, a repérés et retirés, peut-être à la demande des ayants droit.

Content ID fonctionne sur une base contractuelle par le biais d’accords de redistribution des revenus publicitaires entre Google et les ayants droit. Il se substitue aux mécanismes prévus par la loi, aussi bien en Amérique qu’en France, concernant la responsabilité des hébergeurs. En laissant aux titulaires de droit la possibilité de décider arbitrairement du retrait de leurs contenus, Content ID occasionne très fréquemment des dommages collatéraux, en provoquant le retrait de mashups, de remix ou de parodies reconnues par ailleurs par la loi.

Ce système aboutit à la mise en place d’une police privée du droit d’auteur, s’exerçant en dehors du contrôle de la justice et dérivant graduellement vers un système de censure aveugle. Une possibilité de contre-notification a bien été prévue [6] par le biais d’un appel, mais, outre la lourdeur de cette procédure pour les simples citoyens, l’impartialité de ce dispositif est douteuse, puisque certains ayants droit comme Universal [7] ont obtenu des privilèges leur permettant d’obtenir les retraits comme ils le souhaitent.

Il est très inquiétant de voir que ces systèmes automatiques de filtrage sont pris pour exemple par les pouvoirs publics français, comme des dispositifs dont l’application pourrait être généralisée pour « réguler » Internet au nom du droit d’auteur. Mireille Imbert Quaretta, présidente de la Commission de protection des droits de la Hadopi, s’est ainsi vue confier par le Ministère de la Culture une mission de lutte contre la contrefaçon commerciale [8]. Elle entend pousser les plateformes à « s’autoréguler » en mettant en place des dispositifs de filtrage, sous peine de voir leur responsabilité engagée. On retrouve la même idée dans les recommandations du rapport Lescure [9], qui vante les mérites de Content ID et envisage favorablement sa généralisation.

Face à ces dérives, qui pourraient amener un ACTA ou un SOPA contractuel en France [10], La Quadrature réaffirme que le retrait d’un contenu sur Internet ne devrait intervenir qu’après le contrôle d’un juge impartial dans le cadre d’une procédure contradictoire au sein d’un tribunal. Il n’appartient pas à des acteurs privés de définir à leur guise l’étendue de la liberté d’expression. Le mashup, le remix et la parodie doivent être consacrés comme des droits dans la loi, mais les abus de la censure ou de la sanction automatisée ne sont en rien limités à ces cas.

« Le retrait arbitraire de cette vidéo illustre le fait que l’application du droit d’auteur ne devrait jamais être confiée à des machines ou à des humains machinisés. C’est hélas une tendance lourde de la guerre au partage, inscrite dès l’origine dans le fonctionnement de la Hadopi. Le projet de confier au CSA la possibilité d’infliger automatiquement des amendes par voie d’ordonnances pénales participe de la même logique », déclare Philippe Aigrain, co-fondateur de La Quadrature du Net.

« Cette vidéo était l’un des symboles de la lutte contre l’accord ACTA et elle avait été vue par des centaines de milliers d’internautes. Le détournement parodique de contenus est devenu un mode d’expression à part entière sur Internet. Ce sont des pans entiers de notre culture qui sont menacés par cette application disproportionnée, injuste et dangereuse du droit d’auteur », déclare Jérémie Zimmermann, porte-parole de la Quadrature du Net.

* Références *

1. http://mediakit.laquadrature.net/view.php?full=1&id=555

2. https://www.youtube.com/watch?v=4-NmUklcbDc

3. https://www.laquadrature.net/fr/numerama-la-quadrature-du-net-censuree-par-le-robocop-youtube

4. Et l’aide précieuse de Magali « StarMag »

5. https://www.youtube.com/t/contentid

6. https://www.youtube.com/yt/copyright/fr/counter-notification.html

7. http://www.numerama.com/magazine/25601-universal-a-les-pleins-pouvoirs-de-censure-sur-youtube.html

8. http://www.pcinpact.com/news/80696-aurelie-filippetti-confie-mission-antipiratage-a-copresidente-dhadopi.htm

9. https://www.laquadrature.net/fr/rapport-lescure-le-catalogue-repressif-de-lindustrie

10. https://www.laquadrature.net/fr/hadopi-et-intermediaires-du-net-non-a-un-acta-a-la-francaise

Chiffrement, cryptage, Entreprise, Espionnae

Les services secrets britanniques lancent un casse tête pour recruter

Un commentaire

Un processus de recrutement a été lancé par les grandes oreilles britanniques, le GHCQ. Le service d’écoute de Grande-Bretagne met au défi les candidats qui postulent à un poste chez 007. Mission du futur « espion », savoir cracker une série de codes énigmatiques mis en ligne sur un site officiel mis en ligne pour l’occasion, le « Can You Find It? ». Ce casse-tête se compose de 29 blocs de cinq lettres. Il faut déchiffrer la chose en cinq réponses. Les réponses conduisent alors le demandeur d’emploi dans une chasse au trésor locale.

L’année dernière, une campagne similaire avait été lancée. 170 bonnes réponses pour 3,2 millions de visiteurs. A noter que les espions de sa gracieuse majesté propose aussi des lots : des Raspberry PI et des Nexus Google 7 ! Bref, étonnant écho après les révélations d’espionnage de la Belgique par le GHCQ.

En février 2012, l’ANSSI, l’entité française dédiée à la sécurité des infrastructure informatique du pays lancé le même type de concours. L’Agence nationale de la sécurité des systèmes d’information avait caché un message dans l’un de ses logos. Une série de chiffres et de lettres, ainsi que le « AUTH:DE9C9C55:PCA » qui se situaient entre la map monde et le titre gravé dans le cercle bleu.

BYOD, Chiffrement, cryptage, Cybersécurité, Fuite de données

Les meilleures pratiques de sécurité pour les PME

Un commentaire

La cybercriminalité augmente dans des proportions alarmantes. Les petites et moyennes entreprises sont devenues des cibles privilégiées pour les cybercriminels. Le Wall Street Journal a récemment déclaré que les petites entreprises se remettent rarement d’une cyberattaque, mais quelques étapes très simples vous permettent cependant de protéger votre entreprise. DataSecurityBreach.fr vous proposait, il y a quelques jours, des méthodes à mettre en place lors de vos voyages, avec votre ordinateur portable.

Quels sont les mots de passe que les cybercriminels tentent d’abord d’utiliser ? Comment sensibilisez-vous vos employés à la politique de sécurité ? Vos employés ont-ils conscience des risques liés aux réseaux sociaux ? Check Point répond notamment à ces questions pour vous aider à améliorer votre sécurité dès aujourd’hui. Cet article décrit les 10 meilleures pratiques de sécurité que les petites entreprises doivent prendre en compte pour protéger leur réseau.

1. Les mots de passe communs sont de mauvais mots de passe

                    Les mots de passe sont votre première ligne de défense en matière de sécurité. Les cybercriminels qui tentent de s’introduire dans votre réseau débutent leur attaque en essayant les mots de passe les plus courants. Une étude de SplashData a déterminé les 25 mots de passe les plus communément utilisés dans les pays anglophones. Vous n’en croirez pas vos yeux… Assurez-vous que vos utilisateurs utilisent des mots de passe longs (plus de 8 caractères) et complexes (comprenant des minuscules, des majuscules, des chiffres et des caractères non alphanumériques).

1 password

2 123456

3 12345678

4 abc123

5 qwerty

6 monkey

7 letmein

8 dragon

9 111111

10 baseball

11 iloveyou

12 trustno1

13 1234567

14 sunshine

15 master

16 123123

17 welcome

18 shadow

19 ashley

20 football

21 jesus

22 michael

23 ninja

24 mustang

25 password1

2. Verrouillez chaque entrée

Il suffit d’une seule porte ouverte pour permettre à un cybercriminel de pénétrer dans votre réseau. Tout comme vous protégez votre domicile en verrouillant la porte d’entrée, la porte du jardin et les fenêtres, pensez à protéger votre réseau de la même façon. Réfléchissez à toutes les manières dont quelqu’un pourrait s’introduire dans votre réseau, puis assurez-vous que seuls les utilisateurs autorisés peuvent le faire.

·       Utilisez des mots de passe renforcés sur les ordinateurs portables, les smartphones, les tablettes et les points d’accès Wifi. ·       Utilisez un pare-feu intégrant un système de prévention des menaces pour protéger l’accès à votre réseau (tel que l’Appliance Check Point 600)

·       Protégez vos postes (ordinateurs portables et ordinateurs de bureau) par des logiciels antivirus, antispam et antiphishing ·       Prémunissez-vous contre l’une des méthodes d’attaque les plus courantes en demandant aux employés de ne pas connecter de périphérique USB inconnu

3. Segmentez votre réseau

Une manière de protéger votre réseau consiste à le découper en zones et protéger chaque zone de manière appropriée. Une zone peut être réservée uniquement au travail important, tandis qu’une autre peut être réservée aux invités, dans laquelle les clients peuvent surfer sur Internet sans être en mesure d’accéder à la zone de travail. Segmentez votre réseau et imposez des exigences de sécurité plus strictes là où c’est nécessaire.

·       Les serveurs web destinés au public ne devraient pas être autorisés à accéder à votre réseau interne ·       Vous pouvez autoriser l’accès invité, mais ne permettez pas à des invités d’accéder à votre réseau interne ·       Découpez éventuellement votre réseau selon les différentes fonctions de l’entreprise (service clientèle, finance, reste des employés)

4. Définissez et appliquez une politique de sécurité, et sensibilisez vos utilisateurs

Définissez une politique de sécurité (de nombreuses petites entreprises n’en ont pas) et utilisez votre système de prévention des menaces à sa pleine capacité. Prenez le temps de déterminer les applications que vous souhaitez autoriser sur votre réseau et celles que vous n’autorisez pas. Formez vos employés à l’utilisation conforme du réseau de l’entreprise. Officialisez la politique de sécurité, puis appliquez-la où vous le pouvez. Notez tous les manquements à la politique et toute utilisation excessive de la bande passante.

·       Mettez en place une politique d’utilisation appropriée pour les applications et les sites web autorisés/non autorisés ·       N’autorisez pas l’utilisation d’applications à risque, telles que Bit Torrent et autres applications de partage de fichiers en P2P, qui sont une des méthodes courantes de diffusion de logiciels malveillants

·       Bloquez TOR et tout autre anonymiseur dont l’objectif est de masquer les comportements et contourner la sécurité

·       Pensez aux réseaux sociaux durant la définition de la politique

5. Prenez conscience des risques liés aux réseaux sociaux

Les réseaux sociaux sont une mine d’or pour les cybercriminels qui cherchent à obtenir des informations sur des individus pour améliorer les chances de succès de leurs attaques. Les attaques de phishing, de spearphish et d’ingénierie sociale, débutent toutes par la collecte de données personnelles sur des individus.

·       Sensibilisez vos employés en les invitant à faire preuve de prudence lorsqu’ils communiquent sur les réseaux sociaux, même lorsqu’il s’agit de leur compte personnel

·       Faites savoir à vos utilisateurs que les cybercriminels constituent des profils sur les salariés pour augmenter la réussite de leurs attaques de phishing et d’ingénierie sociale

·       Formez vos employés sur les paramètres de confidentialité des réseaux sociaux afin de protéger leurs données personnelles

·       Les utilisateurs devraient faire attention aux informations qu’ils partagent car les cybercriminels pourraient deviner les réponses de sécurité (telles que le prénom des enfants) pour réinitialiser des mots de passe et ainsi réussir à accéder à leur compte

6. Chiffrez tout

Une seule fuite de données peut être dévastatrice pour votre entreprise et sa réputation. Protégez vos données en chiffrant celles qui sont confidentielles, et facilitez ce processus pour vos employés.

Intégrez le chiffrement à votre politique de sécurité.

·       Installez des mécanismes de chiffrement avant le démarrage sur les ordinateurs portables de l’entreprise pour les protéger en cas de perte ou de vol

·       Achetez des disques durs et des clés USB avec chiffrement intégré

·       Renforcez le chiffrement de votre réseau Wifi (en utilisant notamment la norme WPA2 avec chiffrement AES)

·       Protégez vos données des écoutes clandestines en chiffrant les communications Wifi via VPN (réseau privé virtuel)

7. Maintenez votre réseau au top de ses performances

Votre réseau et l’ensemble des composantes qui y sont connectés, devraient fonctionner comme une machine bien huilée. Une maintenance régulière permet de garantir des performances optimales et d’éviter tout ralentissement.

·       Vérifiez que les systèmes d’exploitation des ordinateurs portables et des serveurs sont à jour (Windows Update est activé sur tous les systèmes)

·       Désinstallez tout logiciel qui n’est pas nécessaire à votre activité pour éviter d’avoir à le mettre à jour régulièrement (Java, par exemple)

·       Mettez à jour les navigateurs et les applications Flash, Adobe et autres, sur vos serveurs et ordinateurs portables

·       Activez les mises à jour automatiques le cas échéant pour Windows, Chrome, Firefox, Adobe

·       Utilisez un système de prévention des intrusions (IPS) tel que l’Appliance Check Point 600 pour stopper les attaques sur les ordinateurs portables qui ne sont pas à jour

8. Faites preuve de prudence envers le Cloud

Le stockage et les applications dans le Cloud sont à la mode, mais comme vous le rappelle souvent datasecuritybreach.fr, soyez prudent. Tout contenu déplacé vers le Cloud échappe à votre contrôle. Les cybercriminels profitent des faiblesses de sécurité de certains fournisseurs de service.

·       Lorsque vous utilisez le Cloud, vous devez considérer que les contenus que vous y envoyez ne sont plus privés

·       Chiffrez les contenus avant de les envoyer (y compris les sauvegardes système)

·       Vérifiez la sécurité de votre fournisseur de service

·       N’utilisez pas le même mot de passe partout, en particulier ceux que vous utilisez pour le Cloud

9. Ne laissez pas l’administration aux soins de tous

Les ordinateurs portables sont accessibles via des comptes utilisateur et des comptes administrateur. L’accès administrateur donne plus de liberté aux utilisateurs et de contrôle sur leur ordinateur portable, mais ce contrôle est transféré aux cybercriminels lorsque le compte administrateur est piraté.

·       Ne laissez pas les employés utiliser Windows avec des privilèges administrateur dans le cadre de leur activité quotidienne.

·       L’utilisation d’un compte avec des droits utilisateur réduit la capacité des logiciels malveillants à provoquer des dégâts, comme ils pourraient le faire avec des privilèges administrateur.

·       Prenez l’habitude de changer les mots de passe par défaut sur tous les appareils, y compris les ordinateurs portables, les serveurs, les routeurs, les passerelles et les imprimantes réseau.

10. Maîtrisez l’utilisation des appareils personnels

Commencez par définir une politique d’utilisation des appareils personnels (BYOD). De nombreuses entreprises évitent le sujet, alors que datasecuritybreach.fr vous l’indique très souvent, c’est une tendance qui continue de se développer

. Ne faites par l’erreur d’ignorer ce sujet ! Sensibilisez plutôt vos utilisateurs.

·       Autorisez uniquement l’accès invité (Internet seulement) aux appareils appartenant aux employés

·       Verrouillez les appareils appartenant aux utilisateurs par mot de passe

·       Accédez aux données confidentielles uniquement à travers un VPN chiffré. Datasecuritybreach.fr vous conseille l’excellent VYPRVPN.

·       N’autorisez pas le stockage de données confidentielles sur des périphériques personnels (données des clients et de cartes de paiement notamment)

·       Prévoyez un plan d’action en cas de perte ou de vol d’un appareil personnel

Arnaque, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Espionnae, Hacking, VPN

Des ordinateurs piégés lors d’un important tournoi de poker

4 commentaires

Que s’est-il passé lors lors de l’EPT de Barcelone. Au moins trois joueurs professionnels de poker, qui logeaient dans l’Hôtel ARTS ont vu leurs ordinateurs portables disparaitre, pu revenir dans la chambre de leurs propriétaires respectifs. Les victimes, Jens Kyllönen, Ignat Liviu et Aku Joentausta ont découvert qu’une personne avait tenté d’installer un logiciel espion dans leurs machines. DataSecurityBreach.fr vous rappelle que Kyllönen est l’un des plus importants joueurs de poker du web.

Ignat Liviu a expliqué sur le forum 2+2 sa mésaventure : « la même chose nous est arrivée à Ignat et moi, nos clés de chambre ne fonctionnait plus, nous descendons à la réception, lorsque nous sommes remontés nos ordinateurs avaient disparu. Le temps de retourner à la réception pour signaler le vol, remonter dans notre chambre, nos machines étaient miraculeusement réapparu. » Du côté de l’Hôtel, une enquête est en cours.

Que vous soyez joueur de poker ou non, dans un hôtel, un ordinateur portable n’a pas à trainer sur une table. Voici quelques trucs que DataSecurityBreach.fr utilise en déplacement :

– Ranger votre machine dans le coffre de votre chambre.

– Retirer la batterie. Ranger la prise électrique ailleurs, dans la chambre. Dans votre valise, fermée à clé par exemple. Comme nous vous le montrons, il existe des prises qui permettent d’être scindée en trois parties. De quoi retarder le pirate.

    

– Changer votre mot de passe de portable et mettez un mot de passe au bios de votre machine. Le mot de passe bios vous évitera la modification de lancement de votre machine, vers une clé USB ou CD boot casseur de mot de passe. [Voir comment cracker le mot de passe de n’importe quel Windows en 30 secondes].

– Chiffrer les informations sensibles ou le disque dur de votre ordinateur.

– Utiliser un câble antivol.

– N’hésitez pas à mettre un bout de scotch qui bloque les deux parties de votre portable. Si quelqu’un tente de l’ouvrir, vous le verrez. Un autocollant original et difficile à trouver dans le commerce fera parfaitement l’affaire.

– Nous prenons en photo les vis des disques durs de nos portables. Si ces dernières ont bougés, ont été déplacées, vous pourrez vous en rendre compte.

– Un antivirus mis à jour obligatoire.

– Utiliser un VPN pour vos connexions.

– Nous employons aussi une mini caméra de 5 cm qui s’enclenche dès lors qu’un mouvement dans la zone surveillée est détecté.

Si aucune de ces solutions proposées par zataz.com ne vous convient, gardez votre machine à vos côtés.

Ps : DataSecurityBreach.fr ne peut proposer l’url du forum américain 2+2 considéré comme interdit sur le territoire français par l’ARJEL. Ce forum propose des liens et des tournois de pokers vers des casinos illicites sur le territoire hexagonal.

Argent, Arnaque, Cybersécurité, pourriel, spam

Pas de trêve estivale pour les spammeurs

En août, 82 % du flux email sont des spams et 8 % des emails sont des publicités. La société VadeRetro, spécialisée dans la lutte contre les spams vient de nous envoyer ses statistiques pour le mois d’août. Autant dire qu’une fois de plus, l’ambiance « courriel » sur la toile pique les yeux. 82 % des emails sont des spams ; 8 % sont des emails publicitaires ; et, seulement, 10 % des emails sont légitimes. Des statistiques tirées du Vade Retro Cloud qui comprend 12 000 domaines, 200 000 boites aux lettres valides et 8 500 000 mails par jour. Autant dire que cela en fait de l’énergie, de la bande passante et de l’argent « cramés » par ces pourriels. Si aucun virus n’aura été détecté durant cette période, il faut rappeler que les virus sur le SMTP sont une partie dérisoire du flux mais représentent toujours une grande menace. Beaucoup de virus SMTP sont issus des botnets qui cherchent à agrandir leur parc de postes infectés. Une vague de virus SMTP est souvent suivie d’une vague de SPAM. www.vade-retro.fr/fr/

Cybersécurité, Patch

Patch party pour Microsoft

Le Patch Tuesday publié en ce mois de septembre septembre est chargé. Nous recevrons donc 14 nouveaux bulletins, ce qui porte à 80 le nombre de bulletins qui auront déjà été publiés jusqu’à septembre de cette année. Nous allons donc certainement dépasser les 100 bulletins publiés pour 2013 année contre 83 en 2012 et exactement 100 en 2011. Ceci reflète bien l’effervescence du marché de la sécurité informatique.

Parmi les 14 bulletins, les 8 premiers sont intitulés « Exécution de code à distance », le type de faille prisé par les pirates pour pénétrer votre réseau. Les bulletins #1 à #4 sont quant à eux intitulés « critiques » par Microsoft, ce qui signifie que les failles concernées peuvent uniquement être exploitées avec la participation de l’utilisateur. Le bulletin #1 est consacré à Sharepoint Server et devrait être la priorité absolue des administrateurs de serveurs, lesquels se seront auparavant empressés de tester et vérifier que le patch n’aura aucun impact sur une quelconque fonctionnalité critique pour l’activité de votre entreprise. Le bulletin #2 devrait être une priorité de l’équipe chargée de la sécurité du parc informatique. En effet, il concerne une faille dans Microsoft Office qui peut être déclenchée par la simple prévisualisation d’un email dans Outlook, c’est-à-dire sans même ouvrir le courrier électronique. Outlook pour Office 2007 et 2010 est concerné par cette faille.

Le bulletin #3 est une mise à jour critique pour Internet Explorer (IE) et concerne toutes les versions de IE6 à IE10, y compris sous Windows 8 et Windows RT. Le bulletin #4, qui est le dernier bulletin critique, est consacré à une faille sous Windows, mais qui ne concerne que les systèmes d’exploitation appartenant presque au passé, à savoir Windows XP et Windows Server 2003. Par conséquent, vous devriez dès à présent supprimer progressivement ces systèmes d’exploitation qui ne bénéficieront plus du support des patchs de sécurité à compter d’avril 2014, tout comme Office 2003 qui sera aussi privé de ce support dès avril prochain. Ces systèmes d’exploitation ainsi que la suite Office commenceront alors à cumuler les vulnérabilités non résolues et attireront donc des pirates qui pourront disposer d’outils faciles à utiliser et infaillibles pour exploiter des configurations sous XP/2003 ou exécutant Office 2003.

Parmi les bulletins restants, les #6, #7 et #8 sont des priorités car ils traitent de failles Office (Word, Excel et Access) qui peuvent être exploitées pour prendre le contrôle d’une machine ciblée. Toutes les versions Office 2003, 2007, 2010 et 2013 sont concernées et le bulletin #7 s’applique également à Excel sous Mac OS X Office 2011. En résumé, il s’agit donc d’un Patch Tuesday important, surtout pour les vulnérabilités bureautiques, au moins si vous n’exécutez pas Sharepoint Server.