A compter du 25 août 2013, le règlement européen n° 611/2013 met en place une procédure d’information en cas de piratage de données d’un opérateur de services de télécommunications ou d’un fournisseur de services internet permettant à un tiers d’accéder à des données à caractère personnel (nom, adresse ou coordonnées bancaires par exemple).
Cette procédure comprend 3 obligations à la charge du professionnel :
La notification des faits auprès de la Commission nationale informatique et libertés (CNIL) dans un délai de 24 heures après leur constatation (avec un document normalisé et identique pour tous les membres de l’Union européenne),
La fourniture d’une description des données concernées et des mesures déjà prises ou qui seront prises,
Une évaluation de la nécessité d’informer ou non les abonnés, en fonction du type de données ayant fait l’objet d’une violation.
Une liste indicative de mesures techniques de protection à mettre en œuvre (techniques de cryptage par exemple) sera publiée ultérieurement par la Commission européenne. Pour en savoir plus, DataSecurityBreach.fr vous invite à vous lire le Règlement n° 611/2013 de la Commission européenne du 24 juin 2013 du journal officiel de l’Union européenne.
Nous ne donnerons pas le nom de l’outil, histoire de ne pas voir débouler les zozos du web et éviter des attaques DDoS contre des sites web qui ne demandent rien. Un internaute, qui semble être franco/belge, vient d’annoncer sur un forum dédié au piratage, la commercialisation d’un Bot, que DataSecurityBreach.fr a baptisé Le Chat Fou, capable de lancer des attaques électroniques sous la forme de Déni Distribué de Service (DDoS) : UDP, TCP, HTTP et Slowloris.
« Basé sur une source d’un simple HTTP botnet, Axxx Cxx est un projet personnel que j’ai débuté il y a 5 mois,à pu lire DataSecurityBreach.fr. Ce bot a été fait pour soutenir un grand nombre d’autres bots. » L’objet est commercialisé. Le codeur d’A.C. commercialise son outil « Le prix est de 40 € pour le panel + serveur + mises à jour + support« . Il est réclamé 10 € pour une installation sur un hébergement personnel et 1€ pour modifier les DNS.
Une option assez étonnante est proposée par A.C. Il est possible d’accéder à l’espace d’administration depuis son iPhone et de lancer des attaques. Ce bot est diffusé dans sa version 1.2. Bref, un outil qui risque de permettre aux pousses bouton de dire : T’es mort, t’as vu !
Il est logique que la NSA utilise les ambassades américaines basées à l’étranger en tant qu’outil collecteur pour le système d’analyse d’information X-Keyscore, moissonneuse batteuse révélée par le nouveau russe (pour un an, ndlr datasecuritybreach.fr) Snowden. Les ambassades ont toujours été utilisées pour l’espionnage local, pour la « veille » militaire, politique, économique, sociale. Son option cyber était inévitable.
Les ambassades ont de multiples réseaux de communications. Il est intéressant de « suivre » certains « employés » sur LinkedIn et autres médias sociaux. De nombreux militaires et anciens espions cherchant désormais une plus grande rémunération, sont en « awares » pour toutes propositions sonnantes et trébuchantes. Une recherche rapide par Cryptome sur LinkedIn a de quoi faire sourire : AGILEVIEW, AGILITY, AIRGAP/COZEN, AIGHANDLER, ANCHORY/MAUI, ARCANAPUP, ARTEMIS, ASSOCIATION, AUTOSOURCE, BEAMER, BELLVIEW, BLACKPEARL, CADENCE/GAMUT, CHALKFUN, CINEPLEX, CLOUD, COASTLINE, COMMONVIEW, CONTRAOCTAVE, CONVERGENCE, COURIERSKILL, CREEK, CREST, CROSSBONES, CPE, CULTWEAVE, CYBERTRANS, DISHFIRE, DOUBLEARROW, DRAGONFLY, WEALTHYCLUSTER (EWC), ETHEREAL (logiciel open source network d’analyse, ndlr datasecuritybreach.fr), FASCIA, FASTSCOPE, FOREMAN, GAMUT/UTT, GISTQUEUE, GJALLER, GLAVE, GLOBALREACH, GOLDMINER, GOLDPOINT, GOSSAMER, GROWLER, HERCULES (CIA database, ndlr datasecuritybreach.fr) HIGHTIDE/SKYWRITER, HOMEBASE, INFOSHARE, JOLLYROGER, KINGFISH, LIQUIDFIRE, MAINWAY, MARINA, MASTERLINK, MASTERSHAKE, MAUI/ANCHORY, MESSIAH, METTLESOME, NEWHORIZONS, NIGHTSURF, NORMALRUN/CHEWSTICK/FALLENORACLE, NUCLEON, OCTAVE, PATHMASTER/MAILORDER, PINWALE, PANOPTICON, PRESENTER, PROTON, RAVENWING, RENOIR, ROADBED, SCORPIOFORE/CPE, SHARKFINN, SKOPE, SKYWRITER, SNAPE, SPOTBEAM, STINGRAY; SURREY, TAPERLAY, TAROTCARD, TEMPTRESS, TRACFIN, TRAILMAPPER, TREASUREMAP, TRICKLER, TUNINGFORK/SEEKER, TURMOIL, TUSKATTIRE, TWISTEDPATH, UIS/PINWALE, UTT, WEALTHYCLUSTER, WIRESHARK (logiciel open source network d’analyse, ndlr datasecuritybreach.fr) WITCHHUNT, XKEYSCORE, YELLOWSTONE/SPLITGLASS.
Selon un document que Cryptome a diffusé, 150 sites et plus de 700 serveurs seraient employés pour X-Keyscore. Etonnant, un serveur est basé à Moscou, un autre à Pékin. Les ambassades sont donc montrés du doigt. Etonnamment, la station NSA à Hawaï, où Edward Snowden a travaillé, n’apparaît pas sur la carte. 25 points sont affichés le long de la côte Antarctique. La France est affichée, pas la Belgique, ni la Suisse ou encore le Luxembourg. A noter que des offres d’emplois affichent très clairement les ambitions de XKeyscore… avant la « pseudo » révélation de Snowden.
Sur Saic.com par exemple, le 03 juillet, la recherche d’ingénieurs systèmes familier de « VMware ESXi 3.5, 4.1 et 5.0.« , sachant manipuler « des logiciels avec des langages de script Java, C et Bourne shell » et pythonner dans la joie et la bonne humeur. L’heureux gagnant, qui travaillera à Columbia, dans le Maryland, fournira un soutien technique pour les systèmes qui englobent les systèmes SKIDROWE. Mais qui est donc ce mystérieux Skidrowe qui va obliger notre demandeur d’emploi de passer sous l’égide du « Top Secret » et du « SCI with Polygraph » ?
Pendant ce temps, la NSA, qui a fait parler son boss lors du Black hat de Las Vegas (hué, comme l’explique zataz.com), affiche dans la foulée son commentaire au sujet de XKEYSCORE. « Dire que la NSA collecte arbitrairement des informations est fausse. Les activités de la NSA sont ciblées et spécifiquement déployées contre – et seulement contre – des cibles de renseignement étrangers légitimes en réponse aux exigences de nos dirigeants qui ont besoin d’information pour protéger notre nation et ses intérêts. La publication de ces informations classifiées sur les systèmes de collecte de la NSA ne fait que mettre en péril les sources et les méthodes« . La NSA, qui n’a jamais autant « causé » depuis ces dernières semaines explique ne pas pouvoir en dire beaucoup plus sur X-Keyscore. « Accédez à XKEYSCORE, explique la NSA, ainsi qu’à tous les outils d’analyse de la NSA, est limité aux seuls employés légitimes. Ces personnes doivent suivre une formation appropriée avant de se voir accorder un tel accès – la formation est renouvelée régulièrement. Cette formation couvre non seulement la mécanique de l’outil mais aussi des obligations éthiques et juridiques de chaque analyste. En outre, il existe plusieurs échelons de vérifications afin d’éviter les abus délibérés« . D’après la NSA, depuis 2008, plus de 300 terroristes ont été capturés à l’aide de renseignements provenant de XKEYSCORE. en attendant, la NSA annonce remplacer beaucoup de ses analystes par des machines. Ca évite les fuite !? Pendant ce temps, dans l’Utah, le Data Center de la NSA sort du sol. Du moins le Bing Map de Microsoft est plus prolixe en image que Google map sur le sujet !
Les « Amis du petits dejeuners », comme les nomme ZATAZ.COM, de la région de Nice se sont mis au houmous, moutabal, böreks et autres dolmas. La division économique et financière de la police judiciaire niçoise a arrêté dans un hôtel, fin juillet, deux Arméniens soupçonnés d’avoir mis en place des skimmeurs dans des distributeurs automatiques de billets de Nice, Aix-les-Bains, Marseille, Lyon. C’est d’ailleurs des policiers lyonnais qui avaient traqué et logé les deux présumés voleurs.
Les skimmeurs ? Des systèmes permettant d’intercepter les données de votre carte bancaire insérée dans un distributeur de billet officiel. Du « matos » qui pullule. Les deux pirates appréhendés, comme d’habitude, font parti d’une bande très organisée avec les « placeurs », les collecteurs et les revendeurs. Déférés au parquet, les deux amateurs du skimming ont été mis en examen pour escroqueries en bande organisée. (Nice matin)
Fahmi Ben Khlifa, jeune chercheur tunisien en sécurité informatique, a alerté la rédaction de datasecuritybreach.fr au sujet de plusieurs failles découvertes sur les sites Internet de trois banques étrangères. Les vulnérabilités, des XSS (Cross-site scripting) qui pourraient permettre à un pirate informatique de mettre en place des pages phishing directement à partir des urls officiels des banques visées, de lancer l’installation d’un code malveillant dans l’ordinateur d’un visiteur, …
Il faut, cependant, que le pirate construise une adresse web malveillante qu’il doit diffuser à ses cibles par courriel, Twitter, Facebook, … Les trois banques concernées ont été alertées : Central bank of Azerbaïdjan, Central bank of Belize et la banque centrale de la république dominicaine.
Vous avez un travail qui demande discrétion. Bref, vous n’avez pas envie d’indiquer l’adresse de vos bureaux. Vous êtes « volage » et vous n’avez pas vraiment envie d’indiquer à votre époux/épouse les lieux de vos rencontres extra conjugales. Si vous avez un iPhone et que vous avez l’intention de mettre à jour votre « précieux » vers l’iOS 7 lisez ce qui va suivre.
Une des options du nouvel opus d’iOS mérite d’être désactivée. Apple propose d’affiner votre localisation GPS à partir de votre téléphone. Une option activée par défaut. Ce qui veut dire que le géant de l’informatique indique et sauvegarde vos lieux préférés. Autant dire que regrouper vos informations, avec celles d’autres internautes, aura de quoi donner de l’eau au moulin « PRISMique » des géants du marketing, ou bien pire que les vendeurs de rêves.
Apple indique que cette option permet « une meilleure approximation de la localisation géographique(…) Apple veut retenir les coordonnées afin d’améliorer les cartes et autres produits et services d’Apple basés sur la localisation« . Bref, la grosse pomme veut tout savoir sur vous !
Vous pourrez désactiver l’option, explique Protecus, en allant dans les « Paramètres », option Confidentialité > Location > Système > Emplacements fréquentés.
Vous partez en vacances ? Une enquête reçue à la rédaction de DataSecurityBreach.fr, menée par F-Secure, met le doigt sur les moments de vos vies digitales qui nécessitent une attention particulière lors de vos déplacements.
Lorsque l’on voyage, il est pratique d’utiliser les réseaux Wifi public des aéroports ou encore des restaurants. Pourtant, 52% des sondés sont inquiets de la sécurité et la confidentialité de ces réseaux, et avec raison. Sean Sullivan, Security Advisor chez F-Secure Labs, affirme qu’il ne faut pas oublier que ces réseaux Wifi portent bien leurs noms : ils sont publics. Vous partagez ces réseaux avec des inconnus, et il y a toujours le risque qu’ils puissent utiliser un logiciel pour regarder ce que vous faites en ligne.
Selon Sean Sullivan, « Il est naturel de penser qu’il y a de la confidentialité parce que nous utilisons un appareil personnel… mais en réalité ce n’est pas du tout le cas ». Il conseille de ne pas faire ce que l’on souhaite laisser à l’abri des regards indiscrets, comme des connections à des comptes protégés par des mots de passe. Il ajoute : « J’utilise les réseaux de Wifi public pour des choses dont je parlerais avec un ami dans le métro. Les opérations bancaires, je les fais chez moi ».
Le même raisonnement vaut pour l’utilisation des ordinateurs publics dans les bibliothèques ou les cybercafés. Sean Sullivan conseille une utilisation réfléchie et limitée (par exemple, lire les actualités), parce que des logiciels espions pourraient être installés sur l’ordinateur… et voler vos mots de passe.
Si vous devez utiliser des réseaux publics pour communiquer avec vos proches, M. Sullivan recommande la création d’une adresse mail que vous n’utiliseriez que lorsque vous êtes en vacances, et qui n’a rien à voir avec votre adresse mail habituelle. « De cette façon, si quelqu’un pirate votre adresse mail de vacances, il ne pourra que voir des mails de votre mère ou de la gardienne de votre chat, mais ils n’auront pas accès aux données sensibles qui seraient en mémoire dans votre compte de messagerie principal », dit-il.
Une opération bancaire à faire ? Les précautions à prendre lorsque vous êtes loin de chez vous. 85% des gens disent qu’ils se connectent à leur banque via leurs ordinateurs, et 24% à partir de leurs smartphones. Comment procéder si vous deviez absolument faire une transaction lorsque vous êtes en vacances ? Il est probablement préférable d’utiliser votre forfait data mobile avec l’application mobile de votre banque, même si cela signifie faire du roaming. Cela peut coûter un peu cher, mais c’est toujours moins onéreux que de se faire vider votre compte. Les banques utilisent des connections HTTPS. Sont-elles pour autant sécurisées quand vous y accédez via les réseaux Wifi publics ? 39% des gens utilisent très peu de mots de passe différents pour leurs différents comptes. Et si vous utilisez le même mot de passe sur un site non sécurisé et sur un site sécurisé (comme celui de votre banque), cela signifie qu’un « fouineur » pourrait facilement accéder à votre compte bancaire. Les « fouineurs » utilisent parfois des méthodes plus rudimentaires : jeter discrètement un coup d’œil par-dessus votre épaule quand vous entrez votre mot de passe peut leur suffire pour vous le dérober !
Gardez votre contenu en toute sécurité lorsque vous êtes sur la route des vacances 67% des sondés accordent plus de valeur aux contenus d’un appareil plutôt qu’à l’appareil lui-même, d’un point de vue matériel. Cela illustre l’importance des sauvegardes avant le départ en vacances. Par exemple, en utilisant un service de synchronisation de contenu comme Content Anywhere de F-Secure. Fourni par les opérateurs, il permet aux utilisateurs d’avoir accès aux contenus de l’appareil automatiquement synchronisés sur leur cloud personnel. Grâce à ces services, nous ne somme plus obligés de voyager avec des périphériques de stockage encombrants (comme des disques durs), et il est facile de partager nos photos de vacances, en toute confidentialité et en toute sécurité. Les données que vous mettez dans le « Content Cloud » de F-Secure sont entièrement chiffrées pendant le transfert et le stockage.
La localisation d’un appareil perdu ou volé Perdre ou se faire voler un téléphone portable peut gâcher les vacances. DataSecurityBreach.fr a pu lire qu’avec 61% des personnes qui ont une double utilisation pro/perso de leurs appareils, il y a de bonnes raisons d’être prudent. Un téléphone perdu pourrait avoir un impact non seulement sur vos propres données, mais aussi sur celles de votre entreprise. L’application gratuite Anti-Theft de F-Secure pour smartphones et tablettes vous permet de verrouiller à distance et de localiser votre appareil, et si nécessaire, en effacer toutes les données. Autre recommandation : assurez-vous que le mot de passe de votre téléphone portable verrouillant votre écran se mette en place après un court laps de temps, comme une minute.
D’autres conseils si vous utilisez les Wifi public:
· Ne laissez pas votre appareil se connecter automatiquement à des réseaux publics.
· Effacez les points d’accès Wifi que vous avez utilisé lorsque vous rentrez chez vous.
· Ne soyez pas connecté aux applications dont vous n’avez pas besoin lorsque vous vous déplacez.
· Vérifiez auprès de l’établissement que le réseau Wifi auquel vous vous connectez est vraiment le leur, et non pas celui qu’un « fouineur » aurait mis en place pour vous tromper.
· Soyez conscient de votre environnement et de toute personne qui pourrait être en train de jeter un regard par – dessus votre épaule.
· Utilisez un mot de passe différent pour chaque compte.
· Pour les ordinateurs portables, désactiver le partage de fichiers, activez le pare-feu et configurer le de sorte qu’il bloque les connexions entrantes.
· Si possible, utilisez un réseau privé virtuel (Virtual Private Network en anglais, abrégé en VPN) qui sécurise votre connexion même sur le Wifi public.
· Utilisez un routeur de voyage avec une carte SIM prépayée pour créer votre propre réseau Wifi.
· A minima, vérifiez la présence du cadenas et du « https » dans la barre d’adresse pour n’importe quel site contenant vos informations personnelles. S’ils ne sont pas là, il est préférable d’éviter le site.
· En règle générale : considérez que tout ce que vous faites sur un réseau Wifi public est comme une conversation publique.
Un outil pirate Chinois, datasecuritybreach.fr a appris qu’il était vendu dans le black market, permet d’automatiser une attaque à l’encontre du Framework Web Apache Struts. Les chercheurs de l’éditeur de solutions de sécurité informatique Trend Micro confirme que cet outil était capable de compromettre le Framework Web Apache Struts en exploitant une faille qui vient d’être bouchée par l’Apache Software Foundation. L’outil pirate contient un Web Shell, un outil qui permet au pirate de se promener dans la machine piégée via cette porte cachée. Une sorte de Shell99 bien connu chez les pirates. Une version java de la bestiole (JspWebShell) permet d’utiliser les technologies JavaServer Pages (JSP) pour les faciliter les actions du pirate.
Un « couteau Suisse » gênant. Même si un rustine existe, peu de mises à jour semblent avoir été effectuées par les utilisateurs de l’outil de développement d’applications web Java. Il faut dire aussi qu’en pleine périodes de vacances, ça n’aide pas. Comme le précise Trend Micro, l’outil pirate exploite les récentes failles CVE-2013-2251 et CVE-2013-1966, ainsi que de vieilles dames, toujours actives, datant de 2010 et 2011 : CVE-2011-3923, et CVE-2010-1870.
Bref, la mise à jour vers la version 2.3.15.1 d’Apache Struts est plus que conseillée : http://struts.apache.org/download.cgi#struts23151. DataSecurityBreach.fr a pu constater sur le blog du groupe de hackers chinois que les premières infos sur la faille ont commencé à pointer le bout de leurs bits en mai 2013. Le 19 Juillet sortait l’exploit. Le 20 juillet, l’outil K-eight, signé par B.L.Brother, était diffusé. Soit trois jours après la diffusion du patch de sécurité d’Apache.
Flavio Garcia, maître de conférences en informatique à l’université de Birmingham, a découvert comment passer outre le système numérique permettant de faire démarrer les Porsches, Audis, Bentleys et autres Lamborghini. La faille se trouve dans l’algorithme qui permet la vérification de la clé de contact.
Le chercheur devait présenter sa trouvaille lors d’une conférence dédiée à la sécurité informatique, à Washington (Symposium Usenix Security – 14/15 août, ndlr). Une injonction de la justice britannique à interdit à l’universitaire de présenter son travail. Volkswagen, propriétaire des quatre marques de luxe citées, s’attaque aux travaux de Garcia et deux autres experts néerlandais en cryptographie de l’Université Raboud, Baris Ege et Roel Verdult.
La vulnérabilité se situerait dans le RFID de la puce Megamos Crypto, une « bestiole » qui n’a pas évolué depuis plus de 20 ans. Un algorithme trop léger et la clé devient aussi bavarde qu’une mouette.
La justice explique sa décision par le fait que cette publication pourrait permettre de cracker la sécurité des clés et voler les voitures. Le calcule mathématique complexe, qui a permis aux chercheurs de trouver la faille, est sur le web depuis… 2009. Les scientifiques ont utilisé une technique appelée « chip slicing » qui consiste à analyser une puce sous un microscope et lancer un processus d’analyse qui coûte plus de 50,000 euros. Dommage que le juge n’a pas imposé dans la foulée à VW de mettre de l’ordre dans ses bits.
Une vulnérabilité découverte dans un API d’HTML5 permet de connaitre l’historique de navigation d’un internaute. Cette possibilité a été annoncée dans un document diffusé par le Context Information Security sous le titre de « Pixel Perfect Timing Attacks with HTML5« . Le problème se situe dans l’API requestAnimationFrame.
Cet API consulte l’historique de votre navigateur pour différencier un site web que vous avez visité et celui qui vous aller visiter. Seulement, il a été découvert qu’il était aussi possible, pour un site malveillant, de mettre la main sur l’historique de navigation de chaque visiteur. Si vous couplez requestAnimationFrame à une interception d’ip et quelques informations privées, vous voilà avec la vie privée numérique de l’internaute bien mal en point. Côté conseil, utilisez le monde « Navigation privée » de votre navigateur.
Facebook, Twitter, Google, Linkedin, Bong, Amazon, Mozilla, Reddit, souffrent de cette potentialité malveillante. Cette technique s’est avérées très efficaces, permettant à un site malveillant de contrôler des milliers d’URL par seconde pour voir si un utilisateur a visité les principaux portails du web. En 2010, David Baron a publié une proposition pour prévenir de telles attaques, en limitant les styles (css) qui peuvent être appliquées aux liens visités et veiller à ce que l’API JavaScript appelle que les styles des éléments à visiter. Les correctifs avaient été mis en œuvre dans tous les principaux navigateurs. Sauf que la faille découverte permet aussi de lire, à distance, les pixels et, avec un peu de malice, permettre à un pirate de lire ce qui s’affiche dans le navigateur. Le White paper de CIS.
Petites entreprises, grandes menaces : restez informés, restez protégés
