Archives de catégorie : Cybersécurité

Actualités liées à la CyberSecurité.

Près de neuf français sur dix plébisciteraient la biométrie comme moyen de lutte contre la criminalité

Une étude de Steria, que datasecuritybreach.fr a pu consulter, menée auprès de 1 000 français (sur un total de 3 650 personnes interrogées en Europe), révèle que près de 9 français sur 10 (89 %) se disent favorables à l’utilisation de la biométrie pour identifier les criminels. La majorité est pour l’utilisation de la biométrie dans les cartes d’identité et les passeports (81 %), de même que pour contrôler les accès aux zones réglementées (77 %). En revanche, seuls 52 % acceptent que des solutions biométriques viennent remplacer les numéros PIN des cartes bancaires.

La plupart des français (89 %) se disent favorables à l’utilisation des technologies biométriques pour l’identification des criminels. Pourtant seuls 52 % accepteraient de voir la biométrie entrer dans leur vie quotidienne et remplacer les codes PIN des cartes bancaires par exemple. Une majorité de français (70 %) estime en effet que l’usage de la biométrie se limite à la protection contre l’usurpation d’identité, alors que de nombreux domaines de développement sont aujourd’hui envisagés : contrôles automatiques, simplification des procédures administratives, traçabilité des données, lutte contre la fraude ou encore réduction du crime.

Au niveau européen, les français sont plus favorables à l’adoption des technologies biométriques pour l’identification des criminels, que les britanniques (80 %), et les allemands (77 %). Près des trois-quarts (69 %) des sondés en Europe sont pour l’utilisation de la biométrie dans les cartes d’identité et les passeports, ainsi que pour contrôler l’accès aux zones réglementées.

Un marché à fort potentiel Selon de récentes estimations, le marché mondial de la biométrie représentera 8,5 milliards d’euros d’ici 2015. Cela traduit une formidable évolution des usages de la biométrie. Pour Florent Skrabacz, responsable des activités de Sécurité de Steria « les nouvelles applications de la biométrie, notamment pour la mobilité et les applications en ligne, sont une arme indispensable pour lutter contre les nouvelles fraudes à l’identité numérique ».

Ces propos sont renforcés par Ole Marius Steinkjer, expert des technologies biométriques chez Steria qui explique à DataSecurityBreach.fr : « Les applications de la technologie biométrique ne cessent de se diversifier : demandes d’asile, fluidité du trafic transfrontalier, authentification des criminels, contrôle d’accès aux sites militaires, aux dossiers médias, aux comptes bancaires, etc. Pourtant, en raison de préoccupations vis-à-vis de la protection de la vie privée, les citoyens hésitent toujours à adopter cette technologie au quotidien ».

Pour avoir déployé des solutions biométriques lors de projets dans 27 pays, notamment au Royaume-Uni, en Suisse, en France, en Allemagne, en Belgique et en Norvège, Steria jouit d’une grande expérience de la question. Cette année, Steria a notamment été sélectionné par la Police danoise pour un programme biométrique d’identification d’empreintes digitales et a annoncé, aux côtés de la Commission européenne, le déploiement de la seconde génération du système d’information Schengen (SIS II), qui prévoit de rationaliser les procédures de contrôle aux frontières de toute la zone et de faciliter la communication entre les Etats membres grâce aux données biométriques.

Connection VPN, entre 2 clés USB, en 60 secondes

Dans la nouvelle émission de ZATAZWeb.tv, numéro estival, il est proposé plusieurs sujets qui devraient vous intéresser. En plus de découvrir un jouet chinois qui permet de hacker certaines cartes RFID, l’émission ZATAZ Web TV revient aussi sur les livres à emmener avec soit à la plage, dont le dernier du moment des Editions ENI, Malware.

Particulièrement intéressant, les clés USB iTwin. L’émission a testé la version professionnelle de ces clés USB qui permettent de créer un accès VPN, entre deux portables.  iTwin est composé de deux parties. La première clé est insérée dans l’ordinateur de bureau, et le second – à la maison, par exemple. La connexion, en quelques secondes, est automatiquement établie sous la forme d’une connexion VPN sécurisée entre les deux machines.

A noter que l’émission profite des beaux jours pour lancer le grand jeu de l’été. A gagner : deux Playstation 4 de Sony ; des tee-shirts Nuit du hack et ZATAZ.COM et des livres. Lancement de notre grand jeu de l’été, lundi 22 juillet. Les premiers indices se trouvent déjà dans l’émission.

CryptoCat mal sécurisé durant 1 an

L’outil de chiffrement de conversation en temps réel, CryptoCat, fonctionne sous Firefox. Une application que nous vous présentions, il y a peu, sur DataSecurtyBreach.fr. Depuis quelques jours, l’outil est « enfin » sécurisé de manière efficace. Il faut dire aussi que depuis le 17 octobre 2011, l’outil d’anonymisation des conversations avaient des problèmes dans ses clés de chiffrement.

L’information vient de Steve Thomas. Le codeur a découvert comment Cryptocat sécurisait mal les conversations, laissant des potentialités d’interceptions non négligeables. Jusqu’au 15 juin dernier, ou les sécurités et clés de chiffrement ont été renforcées de manière efficace, il était possible, avec plus ou moins de moyen, de cracker les conversations. « Le bug aura duré 347 jours, a pu lire dataSecuritybreach.fr de la main de Steve Thomas. Cela a rendu les clés privées ECC ridiculement petites. Le système de clé publique de Cryptocat est maintenant sécurisé… après avoir été mauvais depuis quasiment le début. » L’auteur de l’analyse suggère tout de même de ne pas utiliser Cryptocat « On ne sait pas combien de temps le système de chiffrement va résister« . Dommage que Steve Thomas n’ait pas apporté son savoir pour aider ce projet open source et gratuit.

VPN Persona non grata pour Visa et MasterCard

Le fondateur d’iPredator, un service de VPN qui permet de sécuriser et anonymiser ses connexions sur la toile, Data Security Breach vous vantait dernièrement l’intérêt des VPN, vient d’annoncer sur son blog que Visa et MasterCard interdisait toutes utilisation d’iPredator. Peter Sunde, propriétaire d’iPredator, et cofondateur de Pirate Bay, explique que les internautes qui souhaitent payer via ses deux solutions de paiement ne peuvent plus le faire. La société PaySon, qui se charge des transactions bancaires lui aurait indiqué que Visa et MasterCard interdisaient dorénavant les paiements pour des services VPN et autres systèmes d’anonymisation.

Le site Torrent freak, qui diffuse le courriel reçu par Payson, montre que les deux sociétés de paiement se sont aussi attaqués aux revenus des sociétés Anonine, Mullvad, VPNTunnel et Privatvpn. Bref, les deux entreprises américaines refont le coup de Wikileaks en bloquant les possibilités d’achats par leur biais. Un moyen pour le FBI et les services de renseignements américains de contrer, encore un peu plus, les fraudes et le black market ; ou est-ce une nouvelle méthode des majors de combattre les contrefacteurs de films, logiciels, albums de musique en les empêchant d’exploiter des moyens de rendre anonymes leurs actions.

C’est malheureusement mal connaitre ce milieu qui peut utiliser d’autres moyens de paiement comme PaySafeCard, des services téléphoniques surtaxés ou encore BitCoin.

Watch dogs : Ubi Soft attaqué par de vrais pirates

Des pirates informatiques ont mis la main, voilà quelques semaines, sur une faille de type injection SQL qui leur aurait permis de consulter la base de données de comptes d’utilisateurs de l’éditeur de jeu. Ubisoft recommande à ses utilisateurs de changer leur mot de passe par sécurité.

Le créateur de « Assassin’s » ou encore du très attendu Watch dogs affirme que la sécurité d’un de ses sites internet (Uplay) avait été compromise. Un audit a permis de démonter que des données de la base de données avaient été consultées. Data Security Breach ne sait pas si les informations (noms d’utilisateurs, adresses courriel et mots de passe [MD5]) ont été copiées et diffusées par le pirate.

Voici le courriel envoyé par UBI Soft. « Cher Membre, Nous avons récemment découvert que la sécurité d’un de nos sites Internet avait été compromise, permettant d’accéder à certains de nos systèmes en ligne sans autorisation. Nous avons immédiatement pris les mesures nécessaires pour supprimer cet accès, enquêter sur cet incident et restaurer la sécurité des systèmes touchés. Pendant cette procédure, nous avons appris que des données avaient été illégalement consultées depuis notre base de données de comptes. Ces données incluent des noms d’utilisateurs, des adresses e-mail ainsi que des mots de passe cryptés. Sachez qu’aucune information de paiement n’est stockée chez Ubisoft : vos informations bancaires ne sont donc pas concernées par cette intrusion. En conséquence, nous vous recommandons de changer le mot de passe de votre compte : datasecuritybreach.fr. Par mesure de précaution, nous vous recommandons aussi de changer vos mots de passe sur les autres sites Internet ou services où vous utilisez un mot de passe identique ou proche. Veuillez accepter nos sincères excuses pour cet incident. Soyez assurés que votre sécurité reste notre priorité. »

HackNowledgeContest Lille

Vous avez pu suivre, en direct, le HackNowLedge Contest Lille. Conférences et concours de Hacking Ethique au sein d’Euratechnologie. En voici les meilleurs moments.

C’est au cœur de la métropole Lilloise, à Euratechnologie, futur berceau de la recherche IBM (700 emplois annoncés), que le HackNowLedge Europe/Africa a déposé ses machines pour son édition Française. Après la Côte d’Ivoire, le Maroc, la Belgique, et avant la Tunisie, l’Espagne, l’Algérie, le Congo et la grande finale, en décembre en France, le HNE fait étape dans la capitale Flamande. Conférences, cours (Forensic, …) et concours d’Ethical Hacking. Suivez, en temps réel avec ZATAZ.COM, DataSecurityBreach.fr et sur Twitter, jusqu’à 22 heures, ce grand rendez-vous mis en place par l’association ACISSI.

12 Heures – Une centaine de concurrents face à 72 épreuves.

15 Heures – Belle ambiance. Les conférences et les cours attirent du monde

16 Heures – Il reste 6 heures de compétition. Pour le moment, les meilleurs ont 4510 points.

18 Heures – D’excellentes conférences, dont celle de Juan Ricardo, étudiant mexicain à la CDAISI.

Le chercheur est revenu sur le réseau GSM et  la confiance au BTS de votre opérateur téléphonique ?

21 Heures – H – 1 avant la fin du concours.

22 Heures – Fin du concours. Les vainqueurs, la team Tontons Fappeurs (Impressionnante d’efficacité).

Pour que les e-soldes d’été riment avec e-sécurité

Pour que les e-soldes d’été riment avec e-sécurité Pour que les bonnes affaires le restent, 6 conseils de Data Security Breach pour succomber à la tentation des bonnes affaires estivales sans tomber dans les pièges qui peuvent être tendus sur internet. 26 juin, c’est officiellement le coup d’envoi des soldes d’été. C’est l’occasion de se faire plaisir en réalisant des économies d’autant que le mauvais temps de ces dernières semaines présage d’un important stock à écouler. Malgré la crise, 80% des français ont l’intention de faire les soldes cette année selon l’étude Ifop pour Spartoo avec un panier moyen prévu de 201 euros.

De plus en plus de français font leur achat sur des sites d’e-commerce. Cependant, même si ces sites sont mieux protégés qu’auparavant, le risque de se faire arnaquer sur Internet persiste. Alors que 52% des victimes de fraude déclarent que la fraude subie « a été effectué dans un commerce en ligne », 27% des acheteurs continuent d’utiliser leur carte de crédit avec désinvolture pour effectuer des achats en ligne selon une étude Harris Interactive pour Kaspersky Lab. Les montants volés constatés sont en moyenne de 250 euros mais si 20% de ces débits sont supérieurs à 1 000 euros.

Voici une liste de 6 conseils prodigués par Kaspersky Lab pour ne pas tomber dans les mailles du filet des cybercriminels pendant cette période d’achats :

1.     Etre vigilant face aux offres trop alléchantes – Les internautes ont pour habitude de recevoir des promotions de différentes marques soit via e-mail ou sur les réseaux sociaux tels que Facebook et Twitter. Cependant, certains cybercriminels abusent de cette méthode de distribution en envoyant de faux e-mails déguisés en messages légitimes de marques (phishing). Après avoir cliqué sur le lien, l’utilisateur est alors redirigé vers un site malveillant au lieu de celui du distributeur. Les pirates pourront récupérer toutes les informations bancaires stockées sur l’ordinateur; 1/3 des internautes conservent ce type d’information sur leur ordinateur domestique.

2.     Vérifier l’authenticité et la sécurité du site – Si une bonne affaire se profile, il suffit de se rendre sur le site officiel de la marque pour confirmer qu’il s’agit bien d’une offre légitime et que le site n’est pas un faux. Le témoignage de clients, la présence de conditions générales et la réactivité du service client constituent d’autres indices prouvant la véracité du site. Le paiement en ligne doit également être sécurisé car même si 44% des acheteurs sur Internet ne sont pas particulièrement inquiets lorsqu’ils utilisent leurs cartes de crédit en ligne1, il est important de vérifier l’existence du cadenas et de la mention https dans la barre d’adresse.

3.     Privilégier les réseaux 3G/4G au Wi-Fi – Les smartphones et les tablettes peuvent aider à suivre les bonnes affaires même au sein des centres commerciaux physiques. Cependant, les cybercriminels savent que les consommateurs ont tendance à se rendre sur des sites dotés d’identifiants ou d’informations bancaires pendant ces événements particuliers. Ils peuvent facilement surveiller les informations envoyées sur les réseaux Wi-Fi publics, telles que le numéro de compte ou de carte bancaire.

4.    Favoriser des moyens de paiements fiables – Il est important de privilégier les moyens de paiement qui permettent un recours comme les systèmes de paiement sécurisés par carte bancaire et d’éviter au maximum les services de transfert d’argent, notamment à l’étranger.

5.     Eviter de renseigner les sites avec trop de données personnelles – Certains sites d’e-commerce sont très intrusifs et demandent de fournir beaucoup de données personnelles. Il faut donc éviter de laisser trop d’informations sur soi.

6.     Choisir un mot de passe sécurisé – Un bon mot de passe est la condition indispensable pour une protection optimale de ses données. Le mot de passe idéal doit combiner plusieurs combinaisons de caractères mais ne doit pas être réutilisé à l’infini. Plusieurs mots de passe sont nécessaires pour éviter de se faire pirater ses comptes.

Les responsables informatiques aveugles face aux failles de sécurité des réseaux d’entreprise ?

Dimension Data, le fournisseur mondial de services et de solutions informatiques, a déclaré à Data Security Breach que le nombre de périphériques vulnérables sur les réseaux informatiques d’entreprise a chuté entre 2011 et 2012, passant de 75 % à 67 %. Même s’il s’agit du chiffre le plus bas en deux ans, cette tendance met en évidence l’approche laxiste en matière de sécurité actuellement adoptée par les gestionnaires de réseau.

Telle est l’une des conclusions tirées dans le Baromètre des réseaux 2013 publié aujourd’hui par Dimension Data. Depuis son lancement en 2009, le Baromètre des réseaux informe de l’état des réseaux à l’échelle mondiale, en compilant des données en provenance des entreprises et les résultats des audits Technology Lifecycle Management (TLM) réalisés par Dimension Data dans le monde au cours de l’année écoulée. Ce rapport analyse la capacité opérationnelle des réseaux en évaluant la présence de failles de sécurité, le statut en fin de vie et le respect des bonnes pratiques de configuration des périphériques réseau. Aujourd’hui, Dimension Data affiche au compteur plus de 1 200 audits réalisés ces cinq dernières années, grâce à la solution Technology Lifecycle Management (TLM), auprès d’entreprises de toutes tailles et opérant dans tous les secteurs d’activités.

Comme l’explique à datasecuritybreach.fr Raoul Tecala, directeur du développement commercial de l’activité Intégration réseau chez Dimension Data : « Certaines failles de sécurité présentes depuis des années n’ont toujours pas été corrigées — et ce, malgré la proactivité dont font preuve certains fournisseurs comme Cisco Systems avec l’envoi d’alertes en cas de correctifs et les constantes mises à niveaux de leurs logiciels et systèmes. (…) « L’élimination de toutes les failles de sécurité peut constituer un défi de taille dans le cas d’environnements complexes d’envergure. Il convient toutefois de mettre en balance les perturbations subies et les efforts nécessaires, d’une part, avec les répercussions potentielles et les mesures qui s’avèrent indispensables. Bien que les réseaux semblent actuellement moins en proie aux failles de sécurité, la proportion importante de périphériques vulnérables se maintiendra jusqu’à l’application d’un correctif logiciel ou à la mise à niveau vers une nouvelle version plus sécurisée du code. »

Data security breach conseille aux entreprises de concentrer leurs efforts sur les failles de sécurité qui représentent le plus grand danger. « Plus le périphérique est proche d’Internet, plus le risque est important. Par conséquent, les entreprises doivent se montrer vigilantes et nous leur recommandons de mettre en place un système visant à évaluer, à hiérarchiser et à corriger en permanence les failles de sécurité des réseaux. termine Raoul Tecala, Même si les réseaux informatiques paraissent aujourd’hui moins vulnérables, bon nombre des failles de sécurité restantes sont difficiles à supprimer complètement et on en identifie de nouvelles chaque année. Il serait donc malvenu de se reposer sur ses lauriers ».

HackNowLedge Contest édition France

Samedi 29 juin, le HackNowLedge Contest Europe Afrique dépose ses conférences et concours de hacking éthique à Lille. Le programme ! La capitale du Nord, Lille, et Euratechologie, accueillent, ce samedi 29 juin, le HackNowLedge Contest Europe Afrique.

Après le Maroc, la Belgique, la Côte d’Ivoire et avant l’Algérie, la Tunisie, l’Espagne et le Congo, ce grand rendez-vous dédié au Hacking Ethique vient déposer ses conférences, cours et concours de hacking éthique dans l’hexagone.

Cette édition française va permettre de suivre des cours de hacking & forensic ; de participer à un Challenge de HACKING ouvert à tous ; de croiser la séance d’accréditation CACERT et de participer aux conférences sur la sécurité informatique. A noter que votre serviteur ouvrira le bal, avec la présentation des petits secrets du Protocole d’Alerte de ZATAZ.COM.

L’ensemble du programme est ci-dessous. Imprimer votre badge d’accès ICI.

Linkedin piraté dans la nuit de jeudi ?

Jeudi, de 02h20 à 06h16, le réseau social Linkedin n’était plus dans son état normal. Durant quatre heure, les internautes qui rentraient leur login et mot de passe pour s’identifier se retrouvaient à fournir leur précieux sésame à un site qui n’avait rien à voir avec Linkedin. Le réseau social professionnel indique ne pas avoir subit de piratage mais un « problème » technique qui aurait été occasionné par son prestataire de service.

Un vrai faux site ? A première vue, un DNS capricieux et les internautes se sont retrouvés à fournir leurs identifiants à un inconnu. Ca montre aussi le niveau des utilisateurs. C’est un peu si vous fournissiez les données de votre carte bancaire dans une boite en carton posée à côté du distributeur de billets. Ca n’a pas le gout d’un distributeur, ca n’a pas la couleur d’un distributeur… mais c’est pas grave ! L’hébergeur a reconnu une erreur technique.

L’histoire ne dit pas ce qu’a bien pu récupérer le site Internet mis à la place de Linkedin durant ces 4 heures de « bug ».