Pour faire face à la concurrence d’iTunes et PlayStore, qui proposent des centaines de milliers d’applications, Microsoft a décidé de proposer du qualitatif dans sa propre boutique d’APP (400.000 logiciels) en contrôlant toutes les applications proposées à utilisateurs d’un Windows Phone/Tablette.
Parmi les obligations mises en place par le géant américain, imposer une explication claire et précise des actions du logiciel proposé dans le store de Microsoft. Les catégories utilisées devront être celles dédiées et l’icône ne devra plus reprendre une marque ou un logo d’une entreprise connue (Twitter, Facebook, …). La société de Redmond a déjà banni 1.500 applis. A noter que seule Microsoft propose une application Facebook pour ses téléphones, autant dire que les petits malins se sont empressés de viser le portail communautaire.
Voici venir le virus dans l’avion, du moins aux portes de ce dernier. L’agence Belga indique qu’un logiciel malveillant a contaminé plusieurs ordinateurs du réseau informatique de l’aéroport de Charleroi. Heureusement, on voit mal le gouvernement Belge dire le contraire, le trafic aérien n’a pas été perturbé par cette intrusion. Les machines ont été utilisées comme zombies pour lancer d’autres attaques. Heureusement que les pirates n’analysent pas tant que ça les machines malmenées. Bref, pas rassurant ! Les ordinateurs en question n’étaient pas mis à jour.
Une étude montre que 470 millions de sites Web ont une durée de vie inférieure à 24 heures, et que 22 % de ces sites sont utilisés pour faciliter des attaques.
Blue Coat Systems, Inc., leader sur le marché de la Business Assurance Technology, révèle que 71 % des noms de serveurs sur Internet ont une durée de vie inférieure à 24 heures. Bien que la majorité de ces merveilles éphémères « One-Day Wonders » soit essentielles au partage et à la diffusion de contenu sur Internet, leur quantité phénoménale sert également de couverture aux activités malveillantes, y compris à des communications vers des systèmes infectés. Le nouveau rapport « Merveilles éphémères : comment du code malveillant se dissimule derrière des sites Internet temporaires » détaille la nature et les activités de ces adresses apparaissant et disparaissant rapidement du Web, permettant ainsi de mieux comprendre les problématiques de sécurité qu’ils représentent pour les entreprises.
Parmi les plus grands générateurs de « merveilles éphémères » figurent des organisations ayant une forte présence sur Internet, comme Google, Amazon et Yahoo, ainsi que des sociétés d’optimisation Web aidant à accélérer la diffusion de contenu. Blue Coat a également découvert que l’un des dix créateurs de ces sites web éphémères le plus prolifiques se trouve être le site de pornographie le plus fréquenté sur Internet.
Enfin, 22 % des 50 domaines utilisant le plus fréquemment des sites temporaires hébergent du code malveillant. Ces domaines utilisent ce type de sites afin de faciliter leurs attaques et de gérer des botnets (réseaux de machines zombies), en s’appuyant sur le statut « nouveau et inconnu » du site pour échapper aux radars des solutions de sécurité. Ainsi, ces sites éphémères peuvent être utilisés pour créer des architectures dynamiques de commande et de contrôle évolutives, difficiles à tracer et simples à mettre en place. Ils peuvent également servir à créer un sous-domaine unique pour chaque e-mail de spam afin d’éviter d’être détecté par les filtres anti-spam et les filtres Web.
« Bien que la plupart de ces sites éphémères soient inoffensifs et indispensables à des activités légitimes sur Internet, leur quantité faramineuse crée un environnement parfait pour des activités malveillantes, » explique à DataSecurityBreach.fr Tim van der Horst, chercheur en chef spécialisé dans les menaces chez Blue Coat Systems. « La création et la suppression rapides de nouveaux sites inconnus déstabilise beaucoup de systèmes de sécurité actuels. Il est essentiel de comprendre ce que sont ces sites et comment ils sont utilisés afin de mieux assurer la sécurité des systèmes d’information.»
Les cybercriminels apprécient particulièrement les sites éphémères car : ils créent un état de perplexité : en effet, les domaines dynamiques sont plus difficiles à bloquer pour les solutions de sécurité que les domaines statiques. Ils submergent les solutions de sécurité : en générant un volume de domaines important, les cybercriminels augmentent leurs chances d’en voir un pourcentage conséquent passer au travers des systèmes de sécurité. Ils passent sous les radars : en associant les sites éphémères au chiffrement et à l’exécution de code malveillant entrant, et/ou au vol de données sortantes sécurisées à l’aide du protocole SSL, les cybercriminels peuvent rendre leurs attaques invisibles des solutions de sécurité des organisations, incapables d’empêcher, de détecter et de réagir face à ces menaces.
Sans cesse confrontées aux cyber-attaques, les organisations peuvent tirer des enseignements importants des résultats de cette étude afin d’être mieux informé et de renforcer leur sécurité : les systèmes de sécurité doivent être informés en temps réel de la part de systèmes automatisés capables d’identifier et d’attribuer des niveaux de risques à ces sites éphémères ; les systèmes de défense statiques ou non réactifs ne suffisent pas à protéger les utilisateurs et les données d’une entreprise ; les systèmes de sécurité s’appuyant sur des politiques de sécurité doivent pouvoir agir à partir d’informations en temps réel afin de bloquer les attaques menées à l’aide de codes malveillants.
Les chercheurs de Blue Coat ont analysé plus de 660 millions noms de serveurs uniques ayant fait l’objet de requêtes de la part de 75 millions d’utilisateurs dans le monde sur une période de 90 jours. Ils ont découvert que 71 % de ces serveurs, soit 470 millions, étaient en réalité des « merveilles éphémères », des sites n’existant que pour un jour.
À chaque fois que des transactions ou accès au réseau sécurisés sont requis, la personne demandant l’accès doit d’abord prouver son identité. L’une des méthodes d’identification de l’utilisateur est l’emploi de certificats numériques qui sont semblables à des cartes d’identité numériques. Cette procédure fait l’objet d’un examen dans un nouveau livre blanc publié par les spécialistes de la sécurité informatique de SecurEnvoy, intitulé « Les Risques de l’authentification à l’aide des certificats numériques». Vous pouvez le télécharger gratuitement sur le site Web de la société [Lien ci-dessous, ndlr DataSecurityBreach.fr].
Un certificat numérique est en réalité une clé privée stockée sur une carte à puce ou un dispositif mobile, que l’utilisateur porte toujours sur lui. Toutefois, dans ce cas le problème des identités distribuées représente un désavantage important. Étant donné que pour chaque dispositif (final) qu’un utilisateur veut utiliser pour son travail, qu’il s’agisse d’un PC, d’un smartphone ou d’une tablette, un certificat séparé est requis. Ceci entraîne un travail d’installation pénible, ainsi qu’une véritable « jungle de certificats » en fonction du nombre de périphériques impliqués.
En outre, les certificats demeurent sur les appareils finaux et peuvent tomber aux mains de criminels s’ils sont perdus ou vendus, ce qui pose un problème pour les données sensibles. Une alternative plus simple, mais doublement sécurisée est l’authentification forte sans jeton, qui est également décrite dans le livre blanc [En Anglais].
Les gros titres du dernier Verizon Data Breach Investigation Report semblent sous-entendre que la lutte contre la cybercriminalité pourrait être perdue.
Verizon a précisé, après avoir analysé les données de plus de 100 000 incidents de sécurité sur 10 ans, que 92 % des attaques peuvent être réparties en 9 types de menaces* – ce qui signifie que les entreprises font toujours face aux mêmes risques et aux mêmes attaques, depuis tout ce temps, et à plusieurs reprises. Pour certains, les « méchants sont en train de gagner » et les entreprises doivent en prendre conscience et savoir qu’aucune d’entre elles n’est à l’abri d’une attaque.
Effectivement, aucune entreprise ne sera surprise par ces résultats et en particulier les infrastructures critiques, qui ont pleinement conscience d’être sous la menace quotidienne d’une attaque. Mais cela ne signifie pas que l’industrie est en train de perdre pied face aux cybercriminels. La prise de conscience de la menace signifie que la plupart des équipes de sécurité adoptent une approche plus réaliste de leur sécurité.
De nombreux RSSI, et leurs équipes reconnaissent qu’ils sont sous la menace régulière d’une attaque et, qui plus est, savent malheureusement que le plus souvent la sécurité est compromise par une personne dans l’entreprise qui a fait ce qu’elle n’aurait pas dû faire, comme cliquer sur un lien dans un email. Les menaces les plus courantes auxquelles les RSSI sont confrontés au quotidien ne font plus les gros titres des journaux mais ces anciennes techniques demeurent et représentent de sérieux enjeux pour les équipes de sécurité, et non des moindres.
Le RSSI d’une banque majeure a par exemple, récemment confié, être encore confronté à des ordinateurs de son réseau infectés par Conficker – alors qu’il s’agit d’une menace vieille de plusieurs années. Il a également précisé que son plus grand risque pour la sécurité sont les employés eux-mêmes, qui font des choses alors qu’ils savent qu’ils ne devraient pas les faire, et compromettent ainsi leur PC et par conséquence le réseau.
* Les attaques de malwares, la perte ou le vol d’appareils, les attaques DDoS, les arnaques à la carte bancaire, les attaques d’applications web, le cyber-espionnage, les intrusions, le vol interne et les erreurs humaines, telles que l’envoi d’emails avec des données sensibles à la mauvaise personne.
Il est donc impératif que les RSSI et leurs équipes soient en mesure d’identifier et de traiter une menace rapidement et de voir quelle est son interaction dans leurs réseaux par les machines compromises.
Aujourd’hui, les RSSI reconnaissent qu’il est impossible d’assurer une cybersécurité à 100%, c’est-à-dire que le risque d’attaque et de compromission doit être accepté par l’entreprise. Par contre, lorsqu’on les interroge sur la suite à donner en cas d’attaque en cours : est-ce qu’ils doivent bloquer immédiatement l’attaque au risque d’être repéré par le hacker, ou est-ce qu’ils doivent laisser l’attaque se poursuivre pour apprendre comment les hackers s’y prennent et quel est leur objectif ? La réponse varie : les fonctions orientées « métier » veulent bloquer l’attaque afin que l’entreprise puisse poursuivre son activité, les fonctions orientées « sécurité », préfèrent surveiller l’attaque et en tirer des leçons afin de mettre en œuvre des défenses solides.
Le rapport Verizon indique également que cela prend encore plus de temps d’identifier les compromissions dans une entreprise – souvent des semaines ou des mois – alors que pénétrer une entreprise ne prend que quelques minutes ou quelques heures.
Cependant, il n’y a vraiment aucune excuse qui justifie l’augmentation de la cybercriminalité car à ce jour, les entreprises peuvent utiliser une protection contre les malwares avancés qui peut identifier, contenir et remédier aux malwares identifiés en quelques clics de souris. Plus nous utiliserons ces solutions, plus nous pouvons espérer voir une diminution des violations de sécurité dans le rapport 2015.
Bien qu’une sécurité à 100 % n’existe pas, si vous abordez le problème de la cybermenace avec une approche globale – avant, pendant et après une attaque – vous serez dans une meilleure position pour identifier et faire face à la menace rapidement puis limiter les dommages causés dans la mesure du possible.
Ignorer le risque n’est tout simplement pas une option envisageable. Mettre la tête dans le sable et refuser de reconnaître le défi conduira les entreprises au désastre. Mieux vaut se préparer à l’inévitable et être sûr quand cela arrive – vous le savez alors le plus tôt possible et vous pouvez prendre les mesures appropriées pour minimiser l’impact.
Ainsi, plutôt que de déclarer que la lutte contre la cybercriminalité est perdue – il existe une prise de conscience croissante des risques et un sentiment croissant de réalisme quant à la nature du paysage de la menace cyber. Il y a aussi aujourd’hui, de meilleurs outils disponibles pour identifier et faire face aux menaces. L’industrie de la cybersécurité est dans la meilleure position possible pour vaincre les cybercriminels. Il incombe cependant aux entreprises d’acquérir les meilleures pratiques cyber et de déployer des outils de protection contre les malwares avancés. (Cyrille Badeau, Directeur Europe du Sud Cyber Security Group de Cisco Systems.)
Les sociétés de service en particulier détiennent de grandes quantités de données clients qui nécessitent un niveau élevé de protection. Lors du tri des informations pour le traitement des paiements, les sociétés doivent également satisfaire aux exigences de conformité PCI DSS (normes de sécurité des données des cartes de paiement).
Ces exigences stipulent, entre autre, que la connexion au système interne d’une société ne peut pas être simplement protégée par un mot de passe. Dans cette situation, l’authentification forte sans jeton de SecurEnvoy offre la solution idéale. Les employés reçoivent un code numérique par SMS sur leur téléphone mobile, qu’ils peuvent saisir en plus de leur mot de passe.
Lors du traitement des paiements, les sociétés sont soumises à plusieurs règlements de conformité. Par exemple, les règlements PCI DSS stipulent la nécessité d’un accès hautement sécurisé aux réseaux contenant des informations sensibles à propos des paiements par carte de crédit. Les employés accédant à distance à ces réseaux sont particulièrement affectés par ces exigences spécifiques : conformément à PCI DSS, se connecter en utilisant uniquement un mot de passe n’est pas autorisée.
Sécurité supplémentaire au moment de la connexion
Les sociétés doivent répondre à cette exigence et établir une sécurité supplémentaire pour la connexion au réseau. L’authentification forte est idéale pour cette situation. De nombreuses sociétés ne sont pas satisfaites de devoir acquérir des cartes à puce coûteuses ou d’autres jetons pour l’authentification du personnel. Mais il existe une alternative moins onéreuse et sécurisée : l’authentification forte sans jeton telle que SecurAccess.Avec cette solution, les téléphones mobiles sont utilisés à la place des jetons physiques traditionnels. Lorsqu’un utilisateur souhaite se connecter au réseau, un code numérique à six chiffres est envoyé par SMS ou e-mail. Des applications à jeton virtuel sont également proposées pour toutes les plateformes mobiles principales sans frais supplémentaires. Le mot de passe est saisi avec les identifiants de connexion personnels de l’utilisateur, afin d’assurer une identification sans ambigüité. Le numéro d’identification n’est valide qu’une fois et expire immédiatement après avoir été saisi. Pour la connexion au réseau suivante, SecurAccess envoie une nouvelle combinaison de chiffres à l’utilisateur.
« SecurAccess utilise les téléphones mobiles en tant que jetons pour plusieurs bonnes raisons, » explique Steve Watts, directeur des ventes et du marketing à SecurEnvoy. « Tout d’abord, presque tout le monde possède un téléphone mobile ou un smartphone et deuxièmement, tout le monde porte son téléphone sur soi. Les jetons physiques sont souvent perdus ou les employés les oublient accidentellement chez eux. Ceci entraîne non seulement des coûts de remplacement, mais cela ralentit le travail car pendant une certaine période de temps, les employés ne peuvent pas s’authentifier et ne peuvent donc pas accéder au réseau. Par conséquent, pour les sociétés de service, la transmission d’un numéro d’identification par SMS est le moyen le plus efficace et le moins coûteux d’assurer la conformité PCI DSS».
Voici une nouveauté intéressante dans le petit monde des codes malveillants. L’éditeur d’antivirus G Data vient de mettre la main sur Icoscript, un code pirate qui passe par webmail pour lancer ses actions malfaisantes.
Ce nouvel espion utilise n’importe quel webmail (Yahoo!, gMail, …) pour recevoir des commandes de son serveur de contrôle (C&C). Pourquoi une telle idée ? G Data explique que les accès aux services de webmail sont rarement bloqués dans les entreprises, le cheval de Troie peut recevoir et exécuter des commandes sans être remarqué. CQFD !
L’analyse détaillée de Icoscript a été publiée dans le Magazine Virus Bulletin, on y découvre que lLe code étant modulaire, il peut aussi à tout moment changer de moyen de communication et passer, par exemple, par LinkedIn, Facebook tout autre réseau social dans un futur proche !
Depuis quelques semaines, des utilisateurs de NAS de la marque Synology, des boitiers de stockages, ont été visés par un logiciel malveillant qui chiffre le contenu des disques durs du produit de la société américaine.
Baptisé Synolocker, le code malveillant est injecté de différente manière, dont une technique toute simple, retrouver l’ip du boitier et de s’y connecter pour bloquer la lecture des contenus.
Une technique qui vise de vieux NAS, du moins dont les mises à jour n’ont pas été effectuées. Le pirate réclame entre 250 et 300 euros, en bitcoin (0.6 bitcoin). L’entreprise a mis à jour son firmware pour contrer plusieurs failles qui ont pu être exploitées par le malveillant. Une technique, pour bloquer l’attaque, du moins la freiner, fermer le NAS. Cela provoquera un arrêt du chiffrement en cours.
Preuve, aussi, qu’une sauvegarde parallèle et hors connexion est loin d’être négligeable.
Message d’alerte du NAS
Dear user, The IP address [211.228.238.239] experienced 5 failed attempts when attempting to log into DSM running on SYN1 within 5 minutes, and was blocked at Thu Jul 31 22:41:50 2014.
65 % des consommateurs adultes se déclarent peu enclins à poursuivre leurs relations commerciales avec des entreprises ayant subi une faille touchant aux données financières.
Selon une nouvelle étude de SafeNet, Inc., un des leaders mondiaux de la protection des données, les failles de données ont un impact significatif sur les relations commerciales qu’une marque peut entretenir avec ses clients. Il ressort en effet de cette étude réalisée auprès de plus de 4 500 consommateurs adultes dans cinq des plus grandes économies du monde (États-Unis, Royaume-Uni, Allemagne, Japon et Australie) que près des deux tiers (65 %) des personnes interrogées envisagent de ne plus jamais – ou très peu – entretenir de relations commerciales avec une enseigne ayant subi une faille de données doublée d’un vol de données financières (numéros de cartes bancaires, numéros de comptes bancaires et autres informations de connexion).
En parallèle, SafeNet annonce également aujourd’hui les résultats de l’étude Breach Level Index (BLI) du deuxième trimestre qui précise que 237 failles ont été recensées d’avril à juin 2014, impactant plus de 175 millions d’enregistrements à travers le monde. Les résultats de cette étude soulignent donc l’impact que les failles de données peuvent avoir sur la fidélité des clients et le business des entreprises. Les failles de données impliquant des informations personnelles identifiables sont considérées comme légèrement moins nocives pour les entreprises que les failles impliquant des données financières : seulement un peu plus de la moitié des personnes interrogées (57 %) indiquant ne plus jamais – ou très peu – entretenir de relations commerciales avec une entreprise ayant subi une faille de données de cette nature.
« Les failles de données ne sont pas seulement des failles de sécurité. Ce sont également des violations de la confiance entre les entreprises et leurs clients, qui peuvent écorner l’image de marque, entraîner un manque à gagner, des poursuites juridiques et des amendes potentiellement menaçantes pour la viabilité des entreprises. Pour les sociétés qui ne sont pas capables de gérer leur vulnérabilité en matière de sécurité, le problème ne fera qu’empirer : en effet, à mesure que les réglementations concernant la déclaration des failles de données deviendront plus strictes à travers le monde, les failles gagneront en visibilité auprès du grand public. C’est pourquoi les entreprises doivent tout faire pour protéger les données de leurs clients », a déclaré Tsion Gonen, directeur de la stratégie de SafeNet.
Dans les cinq pays concernés par l’enquête de fidélisation client, la répartition des personnes qui envisagent de ne plus jamais – ou très peu – entretenir des relations commerciales avec une enseigne ayant subi une faille de données, est la suivante :
États-Unis : 54 % Royaume-Uni : 68 % Allemagne : 53 % Japon : 82 % Australie : 72 %
Seulement la moitié des consommateurs estiment que les entreprises prennent la sécurité des données au sérieux. Selon les résultats de cette enquête, seulement la moitié des adultes interrogés estiment que les entreprises prennent la protection et la sécurité des données suffisamment au sérieux. Ce sentiment est susceptible d’avoir été influencé par le volume élevé de failles de données enregistré en 2014. Au cours du seul deuxième trimestre, les failles de données ont frappé de nombreuses entreprises renommées dont AOL, Dominos, eBay, Office et Spotify. Plus de 175 millions de dossiers clients renfermant des informations personnelles et financières ont été impactés à travers le monde.
« Face à l’augmentation de la fréquence et de l’ampleur des failles de données, il ne fait aucun doute que toutes les entreprises sont exposées à plus ou moins longue échéance. Les cybercriminels visent les cibles les plus faciles, et dans de nombreux cas, les données personnelles ne sont pas chiffrées. Les conséquences sont limpides : il est temps que les entreprises pensent à protéger davantage leurs données au moyen d’une solution de chiffrement forte et d’authentification multi-facteurs. Seules les entreprises ayant adopté une approche basée sur les « failles sécurisées » et ayant chiffré la totalité des données seront en mesure de conserver leurs clients en cas de faille de données», a conclu Tsion Gonen.
Une nouvelle vulnérabité, considérée comme critique, touche le jouet de Facebook, Instagram.
La faille permet à un internaute malveillant de mettre la main sur les informations des utilisateurs, dont le cookies de connexion. L’attaque peut se faire via les applications (sauf mobile, ndlr) du portail communautaire. Des logiciels qui n’utilisent pas les connexions chiffrées. Bref, via un hotspot wifi, une connexion d’entreprise (coucou admin, ndlr), les données transitent en clair. Un « homme du milieu », n’a plus qu’à se servir.
Mazin Ahmed, qui a découvert le probléme a contacté facebook qui lui a confirmé connaitre le probléme depuis 2012. Facebook travaille à réfléchir quand la version HTTPS sera mise en place pour Instagram. A noter qu’en France Facebook et Instagram sont donc dans l’illégalité la plus totale et pourrait être poursuivit. La loi Française impose aux entreprises de sécuriser au mieux les données que les utilisateurs peuvent lui laisser.
Data Security Breach rappelle à Facebook et Instagram que la communication d’informations à des personnes non-autorisées est punie de 5 ans d’emprisonnement et de 300 000 € d’amende. Que la divulgation d’informations commise par imprudence ou négligence est punie de 3 ans d’emprisonnement et de 100 000 € d’amende. Article 226-22 du code pénal. A cela, DataSecurityBreach.fr rajoute que le non-respect de l’obligation de sécurité est sanctionné de 5 ans d’emprisonnement et de 300 000 € d’amende. Article 226-17 du code pénal. Seule la version mobile d’Instagram chiffre les informations.
Le Satelitte commercial Galileo vient de conclure ses premiers tests de diffusion en mode chiffré.
La démonstration a permis de diffuser des signaux à la fois chiffrés et non chiffrés. Au cours d’une période d’essai de 10 jours, les récepteurs situés à Tres Cantos (Espagne) et Poing (Allemagne) ont pu emettre et recvoir des informations protégées. Les essais ont confirmé le chiffrement, contenant l’authentification et l’assurance de données non altérées. Les signaux chiffrés ont été diffusés sur les « signaux » E6-B et E6-C des satelittes Galileo. Une démonstration pour ce concurrent du service américain (GPS, …). Une fois opérationnel, deux autres signaux cryptés sur la bande E6 seront proposés. Il reste encore pas mal de travail avant une mise en action définitive des services de Galileo qui devraient débuter en 2016.
Clash of Clans, Bubble Witch, Boom Beach… des applications vidéo ludiques qui font un carton sur les smartphones et autres tablettes. Des jeux qui, mais ce n’est pas obligé, proposent de payer pour passer des niveaux, gagner de l’énergie, des bonus, … Bref, des jeux qui rapportent des centaines de milliers d’euros aux éditeurs. Les joueurs peuvent dépenser beaucoup, du moins pour les plus impatients. Des pirates ont trouvé le moyen de piéger ses joueurs impétueux en leur proposant de tricher, du moins les « gamerz » le pensent. Plusieurs sites, installés en Iran, tentent d’inciter les joueurs à télécharger des applications ayant pour mission de gagner plus, en jouant moins. « Clash-of-Clans Hack illimit gemmes » ; « BubbleWitch2 illimit bonus » ; … promettent les pirates. Derrière ces faux logiciels, de vrais pièges qui n’ont qu’une seule finalité, infiltrer les appareils des propriétaires. A noter que DataSecuityBreach.fr a repéré aussi des applis, toujours sur des sites Iraniens, proposant de télécharger des « followers-Instagram ».
Quelques semaines après la chaîne de livraison de pizza Domino’s Pizza, ou encore de plusieurs journaux, c’est aujourd’hui la Banque Centrale Européenne d’annoncer avoir été victime d’un vol de données personnelles de certains de ses clients.
Un piratage qui s’est suivi, comme en Belgique, d’un chantage exercé par les cybercriminels responsables de l’intrusion et du vol des données. « De plus en plus de cybercriminels volent des données non cryptées dans le but de les revendre sur le marché noir ou de les utiliser dans des actions de cyber-chantage, explique Jason Hart, vice-président Solutions Cloud de SafeNet.Toutes les données stockées sous forme de texte brut peuvent être lues sans la moindre difficulté, et sont par conséquent à la merci des cybercriminels. Face à de telles menaces, il est indispensable que les entreprises pensent à chiffrer toutes les données de leurs clients – et ce, qu’elles soient stockées ou en transit dans leur réseau. » Dans le cas de la Banque Centrale, l’atatque peut être considérée comme « modérée ».
Dans ce cas précis, la gravité a été minimisée par le fait que les mots de passe et les informations financières étaient chiffrées. Néanmoins, le fait que des pirates aient pu mettre la main sur des adresses électroniques et des numéros de téléphone peut à court terme avoir des répercussions significatives sur le niveau de confiance des clients.
Dans son nouveau rapport intitulé 419 Evolution (Version évoluée de la fraude 419), l’équipe d’analyse des menaces chez Palo Alto Networks — aussi appelée « Unité 42 » — explique que les responsables d’escroqueries opérant depuis le Nigeria utilisent désormais les outils souvent déployés par des groupements criminels et des spécialistes de l’espionnage au mode opératoire plus complexe pour subtiliser les données métier essentielles des entreprises.
Loin d’être une nouveauté, voilà plusieurs années que Data Security Breach vous explique que certains de ces escrocs utilisent skype, TeamViewer and co pour agir. Ces délinquants avaient à leur actif des arnaques peu subtiles visant à recueillir par hameçonnage les données bancaires ou les renseignements personnels des particuliers. Ces dernières années, ils ont acquis de nouvelles compétences leur permettant d’exploiter des méthodes plus perfectionnées dirigées contre les entreprises.
Palo Alto Networks a donc découvert que les pirates amateurs des arnaques nigérians exploitent des outils d’administration à distance accessibles par l’intermédiaire de forums clandestins (y compris certains logiciels commerciaux comme NetWire) qui permettent d’obtenir un contrôle total sur les systèmes infectés. Bref, ils utilisent des chevaux de Troie.
« Les activités malveillantes Silver Spaniel sont menées depuis le Nigeria et emploient toutes des tactiques, des techniques et des modes opératoires similaires. Ces pirates ne possèdent pas des connaissances techniques pointues, mais représentent une menace croissante pour les entreprises alors même que ces dernières ne constituaient pas jusqu’alors leurs cibles principales », précise Ryan Olson, directeur de la recherche au sein de l’Unité 42 chez Palo Alto Networks. À titre de protection contre l’outil d’administration à distance NetWire, Palo Alto Networks propose un logiciel gratuit capable de décrypter les commandes, de contrôler le trafic et de révéler les données volées par les pirates Silver Spaniel. Le rapport (accessible après inscription)
Un consortium composé d’éditeur d’antivirus, d’agences de répression, dot la police Française, et de plusieurs entreprises du secteur bancaire a choisi de renforcer la lutte contre les cyber-attaques utilisant le trojan Shylock en s’attaquant directement aux serveurs et domaines utilisés par les criminels. L’éditeur de solution de sécurité informatique Kaspersky Lab a fourni son service d’intelligence informatique pour traquer les menaces et les logiciels malveillants.
Les 8 et 9 juillet 2014, les agences de répression ont pris des mesures pour désorganiser le système dont dépend Shylock pour fonctionner efficacement. Elles ont agi notamment pour saisir des serveurs qui forment le système de commande et de contrôle du trojan, et prendre le contrôle des domaines qu’utilise Shylock pour la communication entre les ordinateurs infectés.
L’opération, coordonnée par l’Agence nationale contre le crime (NCA) du Royaume-Uni, a rassemblé des partenaires des agences de répression et des secteurs privés, y compris Europol, le FBI, BAE Systems Applied Intelligence, Dell SecureWorks et l’agence de renseignement et de sécurité du Royaume-Uni (GCHQ), afin de combattre ensemble la menace.
Des enquêtes ont été lancées depuis le Centre européen de lutte contre la cybercriminalité (EC3) d’Europol à La Haye. Des enquêteurs du Royaume-Uni (NCA), des États-Unis (FBI), d’Italie, des Pays-Bas et de Turquie ont uni leurs forces pour coordonner l’opération dans leurs pays, de concert avec des homologues en Allemagne, en France et en Pologne. La coordination assurée par Europol a joué un rôle essentiel pour stopper les serveurs constituant le cœur des botnets, des logiciels malveillants et de l’architecture Shylock. Le CERT de l’UE a participé à l’action et diffusé des informations sur les domaines malveillants à ses confrères.
Lors de cette opération, des parties jusque-là inconnues de l’architecture de Shylock ont été découvertes, ce qui a permis de lancer immédiatement des actions de suivi et de les coordonner depuis le centre opérationnel de La Haye.
Shylock – nommé ainsi parce que son code contient des extraits du Marchand de Venise de Shakespeare – a infecté au moins 30 000 ordinateurs dans le monde exécutant Microsoft Windows. Des renseignements suggèrent que Shylock vise le Royaume-Uni plus que tout autre pays ; cependant, les États-Unis, l’Italie et la Turquie sont également dans le collimateur du code malveillant. On estime que les développeurs suspects sont basés dans d’autres pays.
Les victimes sont généralement infectées en cliquant sur des liens malveillants, puis amenées à leur insu à télécharger et exécuter le logiciel malveillant. Shylock cherche ensuite à accéder à des fonds détenus sur des comptes commerciaux ou de particuliers, et à les transférer aux contrôleurs criminels. Une opération qui a pu aider les cyber-investigateurs de première ligne, coordonnés par l’agence NCA du Royaume-Uni, et en présence sur place du FBI et de collègues d’Italie, de Turquie et des Pays-Bas, tout en établissant des liens virtuels vers des cyber-unités en Allemagne, en France et en Pologne.
« La NCA prend les devants en s’attaquant à une cyber-menace ciblant les entreprises et les particuliers dans le monde entier. Le but est de porter un coup violant à l’infrastructure de Shylock, et elle démontre comment nous utilisons des partenariats entre les divers secteurs, et outre les barrières nationales pour réduire la cybercriminalité » explique Andy Archibald, Deputy Director of the NCA’s National Cyber Crime Unit au Royaume-Uni.
Les campagnes de fraude bancaire ne sont plus des cas isolés. Nous avons assisté à une hausse considérable de ces types d’opérations malveillantes. Rien qu’en 2013, le nombre de cyber-attaques basées sur des logiciels malveillants conçus pour dérober des données financières a augmenté de 27,6 % pour atteindre les 28,4 millions.
Une meilleure coopération avec les employés, de nouveaux outils et de nouveaux processus d’obtention de services informatiques pour contrer le phénomène du Shadow IT.
Dans beaucoup d’entreprises, les administrateurs informatiques font de plus en plus face à une nouvelle source de contraintes : le Shadow IT. Beaucoup de départements et d’employés se procurent et utilisent des applications sans que le département informatique ne soit mis au courant ou n’ait donné son accord. Une enquête [1] réalisée par PricewaterhouseCoopers (PwC) indique que 15 à 30% des dépenses informatiques des entreprises sondées se font hors budget officiel.
Le BYOD légitime la prolifération
Pour tous les administrateurs informatiques, cette prolifération rapide de l’utilisation de telles applications est devenue un réel problème qui s’est développé dans l’ombre. Ce phénomène a été appelé le ‘Shadow IT’, un terme qui décrit l’utilisation de ‘services et produits informatiques n’ayant pas d’approbation’ ou comme l’a expliqué Christopher Rentrop, professeur d’informatique à l’Université de Constance au département des sciences appliquées : « Le Shadow IT, c’est l’ensemble des applications acquises sans que le département informatique ne soit impliqué et pour lesquelles l’ITSM (la gestion des services informatiques) ne gère pas l’utilisation. » Ce phénomène ne date pas d’hier : le BYOD n’a fait qu’encourager sa diffusion et, dans une certaine mesure, le légitimer dans beaucoup d’entreprises. Mais le réel problème ne vient pas des appareils personnels des employés puisqu’ils peuvent être identifiés par des outils de gestion réseau. Il provient de la difficulté à surveiller les plateformes des réseaux sociaux et les applications Cloud. Par exemple, les collaborateurs utilisent Facebook ou Dropbox pour envoyer ou publier des documents sans se faire remarquer.
Ces logiciels et services non-approuvés et impossibles à surveiller, gérer et supprimer engendrent une consommation de la bande passante, un ralentissement des réseaux, posent des problèmes de conformité, ajoutent de la charge de travail aux départements informatiques et leur infligent un plus gros coût financier. La moitié des administrateurs informatiques interrogés pour l’enquête PwC pensent que la gestion du Shadow IT représente 50% de leur budget et luttent pour plus de transparence. Une enquête effectuée par des spécialistes réseaux d’Ipswitch auprès de 400 administrateurs informatiques révèle que 12% d’entre eux souhaiteraient en premier lieu pouvoir éclaircir cette zone d’ombre que demeure le Shadow IT. Ils pensent que leur travail au quotidien serait bien plus simple si les utilisateurs signalaient les applications installées sur leur ordinateur professionnel.
L’une des raisons principales du développement du Shadow IT est que les processus d’obtention de services informatiques sont obsolètes dans la plupart des entreprises. Ce sont ces lourds processus mis en place et utilisés depuis plus de 25 ans qui créaient cette zone d’ombre. Ils doivent être repensés et restructurés. Les entreprises doivent se focaliser sur les besoins de leur personnel et tenir compte des procédures et obtentions nécessaires pour rendre les employés plus efficaces, plus productifs et en fin de compte, plus satisfaits.
Être à l’écoute du personnel
Les risques ne peuvent être contrôlés que si la ‘consumérisation’ de l’informatique est considérée comme une opportunité. Globalement, les employés ne souhaitent pas délibérément contourner les procédures informatiques. Ils ont généralement un problème spécifique et important pour lequel ils ont besoin d’une solution rapidement. Bien sûr, il est bien plus facile pour le personnel d’une entreprise d’utiliser des solutions Cloud bon marché online plutôt que d’engager de long processus d’obtention auprès des services informatiques qui pourraient au final ne servir à rien ou ne pas résoudre le cœur de leur problème. Au quotidien, ces personnes sont habituées à pouvoir utiliser les applications normales ou Cloud qu’elles souhaitent et qui leur facilitent la vie. Pourquoi ne feraient-elles pas pareil sur leur lieu de travail ? C’est ce qui explique les phénomènes tels que la grande popularité de Dropbox dans les entreprises. Puisqu’il n’est pas possible d’envoyer des emails avec des pièces jointes trop lourdes, les employés règlent rapidement le problème en créant des liens Dropbox.
Il est temps que les départements informatiques essaient de coopérer. Cinq étapes peuvent atténuer les impacts du Shadow IT et encourager la coopération avec les employés :
· Une solution de gestion réseau est nécessaire pour identifier les applications non-autorisées avant qu’elles ne posent problème. Un système de surveillance du trafic réseau pourrait être une solution.
· L’utilisation de la bande passante du réseau doit être transparente. L’administrateur informatique doit savoir quels sont les utilisateurs, les appareils et les applications qui obligent à repousser les limites des capacités du réseau.
· Un système de surveillance qui identifie immédiatement les appareils posant problème est également nécessaire. Quel utilisateur a accès à quel appareil et via quel appareil ?
· Les problèmes qui causent un ralentissement ou une panne du réseau doivent être identifiés et résolus plus rapidement.
· Pour prévenir l’utilisation de systèmes Cloud qui ne peuvent pas être surveillés et qui exposent les données à des risques, les départements informatiques doivent mettre en place des outils d’échange de données simples et efficaces.
Les départements informatiques devraient se concentrer sur la mise en place d’outils et de solutions permettant une bonne gestion des résultats. En d’autres termes, le problème n’est pas d’éradiquer le Shadow IT mais d’en tirer avantage au maximum. Essayer d’éliminer le Shadow IT ou nier son existence ne serait que fermer les yeux devant une réalité.
Afin de créer la transparence nécessaire, il est important de coopérer avec les employés. Les outils de surveillance peuvent aider à sauvegarder les performances du réseau, à surveiller la disponibilité des applications et à prévenir un usage abusif. Cependant, il est surtout essentiel de soumettre les processus d’obtention de services informatiques établis à un examen approfondi rigoureux et de les rendre plus simples et plus rapides. (Par Yannick Hello, Responsable S-EMEA chez Ipswitch, Inc.)
L’expert en sécurité Avira a annoncé aujourd’hui l’ouverture d’un nouveau laboratoire de Recherche et Développement sur la sécurité numérique à son siège américain de Burlingame.
Le nouveau R&D Digital Security Lab concevra et mettra au point les produits de sécurité de nouvelle génération de la société, et s’intéressera plus particulièrement aux questions de sécurité relatives au marché mobile à l’horizon 2-5 ans.
L’un des grands enjeux pour l’avenir de la sécurité sera la protection de l’utilisateur, quelle que soit la façon dont il choisira de se connecter à Internet. Nous continuerons d’assister au développement d’un paysage multi-support et multiplateforme vers « l’Internet du tout » qui est déjà en train de s’installer.
« Avira vit une époque palpitante, car nous sommes chargés d’imaginer ce que le monde du logiciel sera pour les consommateurs dans deux à cinq ans, et quelles seront les menaces pour la sécurité en ligne», a déclaré Leon Crutchley, directeur du R&D Digital Security Lab d’Avira. « Notre équipe mettra au point les concepts des logiciels de sécurité du futur, présentera les prototypes à l’équipe de direction pour qu’elle les évalue, puis travaillera en collaboration avec nos équipes de produit pour transformer les prototypes les mieux adaptés en produits de consommation et les lancer sur le marché.»
Le R&D Digital Security Lab d’Avira travaille actuellement sur des questions telles que l’identification et l’authentification des personnes, les communications et transactions en ligne, et la définition de la confidentialité en ligne. La fonction Identity Safeguard mise au point pour les applications mobiles iOS et Android destinées aux consommateurs, annoncée en avril, est le premier exemple du travail réalisé par le laboratoire.
Des chercheurs de chez Securir, qui avaient déjà mis la main sur plusieurs autres failles visant des applications WordPress, viennent de tirer la sonnette d’alarme à l’intention des administrateurs de sites web sous WordPress, et plus précisément aux utilisateurs du plugin WPTouch.
Cette application permet aux sites web de proposer une version pour mobile. La faille permet à n’importe quel internaute inscrit et enregistré sur le WordPress faillible d’injecter une backdoor, un shell, qui permet ensuite de manipuler le site et le serveur (selon les autorisations, NDLR) au bon vouloir du pirate. Sur les 73 millions de sites web sous WordPress dans le monde, 5,7 millions utilisent WPtouch. Autant dire un sacré vivier pour les pirates. Securir indique qu’une mise à jour du Plugin est plus que conseillé.
Le premier semestre 2014 a connu plus de 100 attaques supérieures à 100 Gbit/s, c’est le chiffre étonnant qui ressort du dernier rapport de la société Arbort Network.
Deux fois plus d’attaques dépassant 20 Gbit/s ont été enregistrées durant les six premiers mois de 2014 que dans l’ensemble de l’année 2013. Les attaques par réflexion NTP représentent près de 50 % de celles de plus de 100 Gbit/s. Arbor Networks Inc., société de fourniture de solutions de sécurité et de gestion de réseaux d’entreprises et d’opérateurs, a publié dans ses statistiques mondiales relatives aux attaques DDoS un retour sur expérience qui laisse présager des mois encore plus difficile. Son étude est issue de son observatoire des menaces ATLAS. ATLAS s’appuie sur une collaboration avec près de 300 opérateurs qui partagent des données anonymes de trafic avec Arbor Networks afin d’offrir une vue globale complète du trafic et des menaces.
ATLAS collecte des statistiques représentant 90 Tbit/s de trafic Internet et fournit les données de Digital Attack Map, un site créé en coopération avec Google Ideas dans le but de cartographier les attaques au niveau mondial.
Principales observations d’ATLAS au premier semestre 2014
Le premier semestre 2014 a connu un nombre record d’attaques DDoS volumétriques, avec plus de 100 d’entre elles supérieures à 100 Gbit/s.
En juin 2014, le nombre d’attaques dépassant 20 Gbit/s était deux fois supérieur à celui relevé sur l’ensemble de l’année 2013.
L’attaque de plus grande ampleur enregistrée au 2ème trimestre 2014 a été mesurée à 154,69 Gbit/s, soit une baisse de 101 % par rapport au 1er trimestre. Il s’agissait d’une attaque par réflexion NTP dirigée contre une cible en Espagne.
Si les attaques par réflexion NTP demeurent importantes, leur taille et leur étendue sont en recul par rapport au 1er trimestre 2014. Les volumes moyens de trafic NTP sont en baisse au niveau mondial, mais sans revenir aux niveaux de novembre 2013 (avant le début de la prolifération des attaques NTP).
Au 2ème trimestre 2014, les attaques de très grande envergure ont été moins nombreuses, avec une taille moyenne inférieure de 47 % comparée au 1er trimestre. « Dans le sillage de la tempête d’attaques par réflexion NTP observée au 1er trimestre, les attaques DDoS volumétriques ont continué d’être un problème durant une bonne partie du 2ème trimestre, avec un chiffre sans précédent d’une centaine d’attaques dépassant 100 Gbit/s depuis le début de l’année. Par ailleurs, nous avons déjà enregistré au moins deux fois plus d’attaques supérieures à 20 Gbit/s que le total relevé sur l’ensemble de l’an passé », commente Darren Anstee, responsable de l’équipe d’architectes en solutions d’Arbor Networks. « La fréquence des attaques de très grande ampleur demeure préoccupante et les entreprises doivent donc adopter une solution de protection intégrée sur plusieurs niveaux. Même celles disposant d’une capacité élevée d’accès à Internet peuvent désormais la voir saturée assez facilement par les attaques qui font rage sur le réseau. »
De plus en plus d’entreprises utilisent des services cloud de stockage tel que Dropbox, Onedrive, Google Disk,… sans vraiment se rendre compte du risque pour la sécurité de leurs données.
Alors que les services de stockage de fichiers dans le cloud ont depuis longtemps les faveurs des internautes, leur confort indéniable s’accompagne toutefois d’un certain nombre de risques. C’est ainsi que de nombreux utilisateurs conservent dans le cloud des copies numérisées de leur passeport et d’autres documents, bien que parfois des vulnérabilités dans le service compromettent la sécurité de leurs données personnelles. Cependant, l’utilisation de technologies cloud à des fins autres que celles pour lesquelles elles ont été conçues peut être encore plus dangereuse. Par exemple, il est facile de trouver des instructions permettant aux possesseurs d’ordinateurs désireux de mettre à profit ces services de piloter et de surveiller à distance leurs machines, de commander les téléchargements de type Torrent, etc. En appliquant ces recommandations, les utilisateurs créent involontairement différentes failles de sécurité facilement exploitables par des cybercriminels, en particulier dans le cadre d’attaques ciblées.
Scenario d’attaque
Des cybercriminels prennent le contrôle de l’ordinateur portable d’un employé via un logiciel client Dropbox installé sur celui-ci, notamment en dehors du bureau. Si des documents infectés sont placés dans des dossiers cloud, Dropbox les recopiera automatiquement sur tous les équipements connectés au réseau de l’’entreprise et utilisant le même service. Dropbox n’est pas le seul dans ce cas : – toutes les applications répandues de stockage dans le cloud – Onedrive (anciennement Skydrive), Google Disk, Yandex Disk, etc. – offrent des fonctions de synchronisation automatique. Des attaques à prendre au sérieux ? Les experts de Kaspersky Lab, éditeur de solution de sécurité informatique, ont cherché à savoir si les cybercriminels se servent effectivement de ces outils pour diffuser des malwares.
Programmes malveillants via le Cloud
Après avoir collecté des données auprès d’utilisateurs volontaires, les analystes ont déterminé qu’environ 30 % des programmes malveillants présents dans des dossiers cloud sur des ordinateurs domestiques y ont été importés par des mécanismes de synchronisation. Pour les utilisateurs au sein d’une entreprise, ce chiffre atteint 50 %. Il faut noter une certaine différence entre les utilisateurs en entreprise et à domicile : les premiers se caractérisent davantage par la présence de fichiers infectés Microsoft Office dans leurs dossiers cloud tandis que, chez les seconds, ces documents bureautiques cohabitent souvent avec des applications Android malveillantes. « Une soigneuse analyse des statistiques montre que le risque d’infection d’un réseau d’entreprise par le stockage dans le cloud est aujourd’hui relativement faible : un utilisateur sur 1000 risque de voir son ordinateur infecté sur une période d’un an. Cependant, il ne faut pas oublier que, dans certains cas, un seul ordinateur contaminé peut aboutir à une attaque touchant l’ensemble du réseau et causant des dommages considérables. La configuration du pare-feu de façon à bloquer l’accès à ces services est une procédure fastidieuse, qui nécessite des mises à jour constantes de ses paramètres », commente Kirill Kruglov, chercheur senior chez Kaspersky Lab.
En pareil cas, il est habituellement recommandé aux administrateurs système d’installer, sur chaque poste de travail du réseau, une suite logicielle de sécurité aux fonctionnalités complètes : protection antivirus heuristique et comportementale, contrôle d’accès (HIPS), contrôle du système d’exploitation (System Watcher ou Hypervisor), protection contre l’exploitation des vulnérabilités, etc. Kaspersky Lab conseille de tirer parti de la technologie innovante Application Control intégrée à sa solution d’entreprise, qui peut bloquer l’exécution de tout logiciel non explicitement autorisé par l’administrateur système. Application Control protège le réseau de l’entreprise contre les attaques ciblées via Dropbox, sans perturber le travail normal des utilisateurs.
On ne peut que conseiller aussi le chiffrement des informations que les employés souhaitent laisser sur le cloud, évitant ainsi une lecture non autorisée.
C’est la période de l’année où les gens commencent à réserver leurs vacances d’été, à partir au soleil… et pour les employeurs, il est indispensable de s’assurer que leurs politiques de BYOD sont suffisamment rigoureuses pour protéger leur entreprise contre tout vol potentiel de données, alors que leurs équipes seront au soleil pendant une quinzaine de jours.
L’équilibre entre le travail et la vie sociale est devenu plus flou avec des salariés qui ont désormais accès à Internet, aux réseaux sociaux et aux emails à partir de leurs Smartphones ou de leurs tablettes, à l’intérieur ou à l’extérieur de l’entreprise, à tout moment et depuis n’importe où. En conséquence, les problématiques liées au BYOD ont augmenté. Alors que les entreprises apprécient les avantages de la technologie mobile en termes de productivité et de compétitivité, elles ne sont pas toujours suffisamment concentrées sur les risques que cela entraine en terme de cyber attaques.
Il n’y a aucun doute sur le fait que l’adoption des périphériques mobiles en milieu professionnel constitue un défi qui est autant une question de politique et de contrôle, qu’une question de technologie en elle-même.
De leur côté, les fabricants font la promotion des tablettes comme étant le must-have pour chaque membre de la famille. Qu’est-ce que cela signifie pour les entreprises ? Cela signifie un afflux de nouveaux appareils à venir sur le réseau, car il est fort probable que ces bijoux dernier cri ne resteront pas à la maison…
Pour les équipes en charge de la sécurité informatique, il s’agit d’un véritable casse-tête et la tendance du BYOD complique véritablement leur tâche. De plus, comme la transition des ordinateurs de bureau vers les ordinateurs portables, les tablettes et les Smartphones continue de s’accélérer, il n’est pas surprenant que les hackers choisissent les périphériques mobiles pour cible.
Le problème avec les outils mobiles personnels, c’est qu’ils permettent d’accéder à des ressources de l’entreprise, en dehors du contrôle du service informatique de l’entreprise. Cela signifie qu’il peut être difficile de connaître les informations basiques, telles que le nombre et le type d’outils utilisés, les systèmes d’exploitation et les applications en cours d’exécution.
La prolifération des périphériques mobiles et leur utilisation croissante au travail a entrainé une croissance rapide des malwares mobiles, augmentant de manière significative, le risque pour les utilisateurs et leurs employés. Et compte tenu du manque de visibilité sur ces outils personnels, de nombreuses équipes de sécurité informatique n’ont pas la capacité d’identifier les menaces potentielles.
Cependant, malgré les embuches, les avantages du BYOD sont bien trop significatifs pour être ignorés. Ainsi, afin de reprendre le contrôle sur ce monde mobile, les professionnels de la sécurité informatique doivent être capable de tout voir dans leur environnement, afin de pouvoir définir le niveau de risque et le sécuriser en fonction du contexte, spécifique à chaque entreprise. Pour la plupart d’entre elles, la meilleure solution est de mettre en place des politiques BYOD qui définissent clairement l’utilisation des outils mobiles personnels de façon appropriée et ensuite de disposer d’un système de vérification et de contrôle pour appliquer et maintenir ces politiques de sécurité.
Pour conclure, la sécurité des périphériques mobiles se dessine en 3 phases :
– Avant l’attaque – il s’agit d’établir un contrôle sur la façon dont les appareils mobiles sont utilisés, à quelles données ils peuvent accéder et quelles sont celles qu’ils peuvent stocker
– Pendant l’attaque – la visibilité et l’adaptabilité sont essentielles pour que les professionnels de la sécurité puissent espérer identifier les menaces et les appareils à risque pour surveiller leurs activités sur le réseau de l’entreprise.
– Après l’attaque – lorsque l’inévitable se produit et que le réseau est compromis par une menace, il faut être en mesure d’examiner rétrospectivement comment cette menace est entrée dans le réseau ; quels systèmes ont été en interaction avec la menace et quels fichiers et applications ont été exécutés afin de s’assurer que le réseau puisse être nettoyé le plus rapidement possible. (Par Cyrille Badeau, Directeur Europe du Sud, Sourcefire, now part of Cisco)
La cellule Tracfin du ministère des finances français a remis au Ministre Michel Sapin, le 11 juillet, un rapport de son groupe de travail sur l’encadrement des monnaies virtuelles, dont le Bitcoin.
La croissance, évoquée dès 2012, des flux financiers en monnaie électronique dans les signalements par Tracfin s’intensifie. Le rapport de Tracfin analyse les risques d’utilisations illicites ou frauduleuses liés au développement des monnaies virtuelles dont l’exemple le plus célèbre est le bitcoin. Trois caractéristiques sources de risques classé par ce rapport sont l’intervention d’acteurs non régulés ; le manque de transparence et l’extraterritorialité.
Parmi les solutions proposées par ce rapport, limiter l’anonymat en imposant une prise d’identité lors de l’ouverture par un professionnel d’un compte en monnaies virtuelles pour un tiers, et une vérification d’identité pour les retraits et dépôts aux « distributeurs » de bitcoin. Autant dire que l’idée risque de faire sourire les utilisateurs les plus aguerris sur le sujet. Autres idées de régulation, demander aux plateformes qui échangent des monnaies virtuelles contre des devises officielles de tracer leurs clients en leur imposant de vérifier, pour chaque transaction, l’identité de l’auteur et du bénéficiaire, ainsi que l’origine des fonds. « La lutte contre la fraude, contre la criminalité et contre le terrorisme sont autant de priorités du Gouvernement.souligne le Ministre Sapin. Or, en permettant des transactions anonymes et instantanées d’un bout à l’autre monde, sans aucune traçabilité, le s monnaies virtuelles sont vouées à devenir des outils qui intéressent les fraudeurs et malfaiteurs de tous bords. Dès lors, ne pas nous pencher dès à présent sur le sujet serait irresponsable« .
A noter que la France souhaite le non-assujettissement des monnaies virtuelles à la TVA.
Le piratage d’objets connectés, voilà une petite finesse du high tech qui commence à être particulièrement récurrente.
Après la possibilité d’intercepter les connexions des frigos connectés, des télévision, de certains thermomètres, voici que les ampoules wifi, peuvent passer par la case « piratage ». C’est le journal Hacker News qui revient sur cette possibilité découverte par des chercheurs britanniques de la société Context. Les failles de sécurité ont trouvées dans les ampoules LIFX Smart light bulbs. De grosses ampoules qui peuvent être contrôlées par un smartphone ou une tablette sous iOS et Android.
Le problème se situe dans le manque de chiffrement des informations transmises en l’ampoule et le wifi. Normalement, l’ampoule exploite son propre réseau (protocole 6LoWPAN). Sauf que les hackers de chez Context ont trouvé le moyen de déchiffrer les données et de les réutiliser. Bilan, Alex Chapman de chez Context nous confirme qu’un pirate pourrait se servir de cette passerelle lumineuse, sur une distance approximative (et sans mur) de 30 mètres. Depuis, la société a corrigé les ampoules mises sur le marché. Autant dire que si vous achetez ce genre de produit, assurez-vous qu’elles ont été fabriquées après le 4 juillet 2014.
Avant, la sécurité du produit, et de votre connexion, ne sera pas garantie à moins que vous pensiez à mettre à jour le firmware de votre ampoule. LIFX est une jeune start-up qui a mené une campagne de collecte de fonds en 2012, via Kickstarter. L’entreprise demandait 100.000 dollars, elle va en recueillir 13 fois plus (1,3 millions de dollars).
Dashlane, éditeur d’outils de gestion de mots de passe et des portefeuilles numériques, a dévoilé à DataSecurityBreach.fr les résultats de la seconde édition de son baromètre sur la protection des données des consommateurs sur Internet.
Cette seconde édition a passé au crible plus de 130 des sites américains, anglais et français (44) les plus populaires du web à la suite de la faille Heartbleed. Ce baromètre met en évidence que 86% des sites français analysés utilisent des politiques de sécurité de mots de passe en dessous de la moyenne acceptable. Beaucoup n’ont pas mis en œuvre ne serait-ce que les règles de base, laissant les données personnelles des consommateurs sur Internet dangereusement vulnérables.
Cette analyse se fonde sur 22 critères identifiés comme critiques pour la sécurité des mots de passe sur Internet. Chaque critère permet d’attribuer un nombre de points positif ou négatif, ce qui donne un score final possible en -100 et +100 pour chaque site web étudié. Un score de +50 points correspond à la mise en œuvre minimale des bonnes pratiques vis-à-vis des mots de passe suggérées par Dashlane. Cette étude fait suite au premier baromètre publié par Dashlane sur le même sujet au premier trimestre 2014.
Apple, le seul site à voir la note maximum
Le site d’Apple avait obtenu la meilleure note dans le premier baromètre, et il est de nouveau le seul site web à se voir décerner la note maximale, à savoir +100. Live.com (Microsoft) termine second, tandis que UPS, Yahoo et Paypal occupent respectivement les troisième, quatrième et cinquième positions. Les autres sites réussissant ce test sont par exemple La Poste, leboncoin.fr, eBay et Skype. Gmail et la Fnac sont ex aequo à la dixième place.
Les mauvais élèves
Dans les sites français, ce sont Showroomprivé, Meetic Affinity et Spartoo qui reçoivent les plus mauvais scores. En remontant dans le classement des mauvais élèves, on trouve les 3 Suisses, Alloresto, Viadeo, easyJet.com, Cdiscount et Amazon. Dashlane a examiné six catégories de sites web : sites de rencontre, e-commerce, sécurité, productivité, outils sociaux et voyages. Le baromètre montre que ce sont les sites de rencontre qui obtiennent la plus mauvaise moyenne avec -45. Suivent les sites de sécurité (-23 de moyenne), de e-commerce (-21) et de voyages (-16).
Toujours des pratiques dangereuses malgré Heartbleed
Même si la plupart des sites ont demandé à leurs utilisateurs de changer leur mot de passe suite à la découverte de la faille Heartbleed, ils n’ont pas corrigé leurs faiblesses dans leur politique de sécurité. Dashlane a comparé les scores de sécurité obtenus dans le baromètre avec la robustesse réelle des mots de passe utilisés sur ces sites.
Un résultat net se dessine, montrant la corrélation entre la complexité des mots de passe utilisés et la note de sécurité obtenue. En d’autres termes, plus le site impose un mot de passe complexe, meilleure est la sécurité réelle des mots de passe des utilisateurs. Il va sans dire que plus le mot de passe est simple, plus les données personnelles et bancaires des consommateurs sont exposées. Les mots de passe représentent la première ligne de défense des données personnelles des consommateurs sur Internet. Le fait que certains sites ne demandent pas de mots de passe sécurisés veut donc dire qu’ils sont conscients d’exposer leurs utilisateurs aux attaques et aux logiciels malveillants.
Autre enseignement de ce baromètre que DataSecurityBreach.fr a pu lire, 51% (55% pour les sites français) des sites les plus importants ne verrouillent pas les comptes des utilisateurs après 10 tentatives de connexion incorrectes. L’une des méthodes favorites des pirates est d’essayer au hasard les mots de passe les plus répandus. Le pirate a seulement besoin d’une liste d’adresse emails et de mots de passe populaires (les deux sont faciles à trouver sur Internet). Ils n’ont plus qu’à utiliser un programme pour tenter de se connecter à un site en essayant des millions de combinaisons associant une adresse email à un mot de passe. C’est ce que l’on appelle une attaque « par force brute ».
En bloquant un compte utilisateur après un certain nombre de tentatives de connexion erronées, les sites web peuvent simplement bloquer ce type d’attaque et de ce fait mieux protéger les données personnelles des consommateurs. Les sites suivants ne sont que quelques-uns des sites les plus connus qui ne bloquent pas les comptes utilisateurs après 10 tentatives d’accès infructueuses : Amazon, Gmail, Evernote, eBay et Nike.
Des solutions simples
Les sites web devraient adopter au minimum les mesures suivantes en matière d’exigence sur les mots de passe :
Mot de passe de 8 caractères minimum
Mot de passe comprenant des chiffres et des lettres, avec des minuscules et des majuscules
Email de confirmation pour tout changement de mot de passe
Ne pas accepter les 10 mots de passe les plus vulnérables
Bloquer le compte utilisateur après 10 tentatives incorrectes de connexion
Emmanuel Schalit, CEO de Dashlane, commente ces pratiques : « Les entreprises et les sites web n’ont aucune excuse pour leur faible politique en matière de mot de passe. La mise en œuvre de politiques de sécurité pour les mots de passe ne coûte pas cher et est facilement réalisable grâce aux technologies open source existantes. Notre étude montre une nette corrélation entre les exigences des sites en matière de mots de passe et le niveau de sécurité des mots de passe des utilisateurs. Les sites qui exigent des mots de passe complexes ont des utilisateurs qui ont des mots de passe mieux sécurisés. Les mots de passe sont la première ligne de défense pour les données personnelles et confidentielles des consommateurs sur Internet, et des exigences faibles en matière de mots de passe les exposent encore plus. »
Microsoft a publié ce 8 juillet six bulletins pour des vulnérabilités qui affectent toutes les versions d’Internet Explorer, de Windows ainsi que des composants pour serveur. Deux vulnérabilités sont considérées comme « critiques » car elles autorisent l’exécution de codes à distance (RCE), tandis que trois sont signalées comme « importantes » dans la mesure où elles autorisent une élévation de privilèges internes sur Windows.
Le patch le plus critique est le bulletin 1. Il concerne toutes les versions d’Internet Explorer (IE) depuis la version 6 du navigateur, désormais uniquement prise en charge sur Windows Server 2003 depuis l’arrêt du support de XP, jusqu’à la toute dernière version IE 11 sur Windows 8.1 et R. Ce patch doit être une priorité pour vous car la plupart des attaques s’appuient d’une manière ou d’une autre sur votre navigateur Web. Les derniers chiffres publiés dans le rapport Microsoft SIR v16 démontrent clairement que les attaques Web, notamment via Java et Adobe Flash, sont les plus courantes.
Le bulletin 2 est une mise à jour critique pour Windows. Toutes les versions de Vista, Windows 7, 8 et RT pour poste de travail sont concernées. Concernant l’aspect serveur, toutes les versions sauf la plus ancienne, Windows Server 2003, sont affectées. La mise à jour imposera de réinitialiser le système, un paramètre à inclure dans votre planning, plus particulièrement côté serveur.
Les bulletins 3, 4 et 5 traitent de vulnérabilités liées à des élévations de privilèges dans Windows. Toutes les versions de Windows sont concernées. Il s’agit de vulnérabilités locales qui ne permettent pas d’exécuter du code à distance via le réseau, mais qui imposent à l’attaquant d’être déjà présent sur la machine ciblée en tant qu’utilisateur normal ou standard. Les exploits pour ces types de vulnérabilités font partie de la boîte à outils de tout pirate qui a obtenu un compte sur la machine ciblée, après avoir subtilisé des certificats. Dans tous les cas de figure, l’attaquant souhaitera pouvoir contrôler la machine en permanence et, pour ce faire, il devra devenir administrateur de cette dernière afin d’y installer son code de contrôle malveillant. C’est à ce moment que ces vulnérabilités entrent en jeu. Nous estimons donc que résoudre ces dernières est une priorité absolue pour contrarier ou ralentir les attaquants installés sur la machine ciblée.
Enfin, le bulletin 6 traite une vulnérabilité par déni de service (DoS) dans le Service Bus de Windows. Le Service Bus est un tout nouveau composant de Windows utilisé dans l’environnement Windows Azure pour développer des applications hétérogènes. Selon nos estimations, rares sont les entreprises qui ont installé ce composant. Sur Azure, Microsoft se charge de déployer le correctif à votre place.
Courant juillet, Oracle publiera sa mise à jour des patchs critiques (CPU). Elle devrait être diffusée le 15 juillet et fournir des correctifs pour des centaines de vulnérabilités. La pertinence de ces patchs pour votre entreprise dépend de votre inventaire logiciel, mais, dans tous les cas, la mise à jour de Java sera incontournable pour la plupart des entreprises.
Même chose pour ADOBE. Il est d’ailleurs conseillé de se rendre sur le site afin de mettre à jour rapidement l’outil Flash Player. Une mise à jour d’Adobe Flash indispensable. Passez rapidement vers la version 14.0.0.145 qui tourne sur les systèmes Windows, Mac et Linux. Voyez le site ADOBE pour connaitre votre version de flash installée. (avec Wolfgang Kandek, CTO Qualys)
Vous avez un iPhone, un iPad ? Vous utilisez le service webmail de Google gMail ? Vous allez être heureux d’apprendre que le géant américain n’a toujours pas corrigé la faille qui permet d’intercepter les données qui transitent entre votre précieux et gMail.
L’alerte avait été lancée en février dernier par la société Lacoon Mobile Security. A l’époque, l’entreprise expliquait déjà que Google n’avait pas sécurisé les transmissions entre l’internaute et gMail. Bilan, il était possible de lire et modifier les communications normalement chiffrées. Etonnament, la faille a été corrigée sur Android, mais l’américain a « oublié » de faire de même pour les produits d’Apple. Bref, un pirate se mettant entre vous et la connexion, via une connexion wifi « gratuite » par exemple, n’aura aucun mal à intercepter et utiliser votre compte gMail. En attendant un correction, il est fortement déconseillé d’utiliser les applications gMail via une machine commercialisée par la grosse pomme.
La police canadienne vient de mettre la main sur un présumé piraté informatique Chinois. Ce dernier est accusé par les services secrets américains d’avoir visité, sans autorisation, les systèmes informatiques de Boeing.
Ce pirate informatique aurait réussi à mettre la main et la souris sur des dossiers traitant du Boeing C-17 et des Lockheed Martin F-22 et F-35. Bref, si cela est vrai, nous pouvons constater cinq choses. Les « IP made in China » que l’on nous affiche dans les logs sont en grande partie des leurres; que les pirates Chinois sont plus efficace hors de chez eux; que les géants de l’industrie ont des trous partout; qu’ils n’ont pas l’air d’être choqué quand, toujours dans les logs, des centaines de gigas octets de dossiers s’envolent dans la nature; que le chiffrement n’a pas l’air d’être important.
Le présumé pirate, Su Bin, vit au Canada. Il était le patron d’une société spécialisée dans l’aéronautique. Avec deux complices, basés en Chine, ils auraient collecté des informations sur les nouveautés de Boeig (C17, F22 et F35). L’Oncle Sam affirme que les informations ont été transmises au gouvernement Chinois et que le Y20, clone du C17, serait la résultance de ce piratage… durait depuis 2009. Bref, « Y-a-t-il un pilote dans l’avion ?« . Une seconde annonce de piratage chinois au moment ou le secrétaire d’Etat américain John Kerry et le secrétaire au Trésor Jacob Lew visent le gouvernement Chinois pour parler business.
Pendant ce temps…
Qendrim Dobruna, un Albanais de 27 ans qui évoluait sur la toile sous les pseudonymes de « cl0sEd » et « cL0z », arrêté en Allemagne en 2012 et extradé aux USA vient de plaider coupable de fraude bancaire. C’est devant le tribunal de New York, vendredi, que l’homme a affiché son envie de ne pas finir en prison durant les 100 prochaines années. Il est accusé d’avoir participé au vol de 14 millions de dollars, en 2011, via des centaines de distributeurs de billets basés dans 18 pays et quelques 15.000 retraits frauduleux. En février 2011, ce brave garçon avait eu le courage d’attaquer le système de paiement en ligne mis en place pour la Croix rouge américaine. Il connaitra son sort le 24 octobre prochain. Il risque 1 million de dollars, la confiscation de ses biens. Il découvrira aussi si les 30 prochaines années il les passera dans une prison fédérale. Le Secret Service américain a travaillé en étroite collaboration avec le ministère de la Justice et INTERPOL pour mettre la main sur le pirate et ses amis.
Que vous soyez une personne importante ou non, aux yeux d’un pirate informatique vous n’êtes rien d’autre qu’un cloud vivant dans lequel il pourra en soutirer argents et données sensibles.
La rédaction de Data Security Breach vous propose quelques trucs et astuces à utiliser lors de vos déplacements afin de sécuriser votre informatique, votre smartphone, bref, votre vie 2.0. Attention, nos conseils ne vous sécurisons pas à 100%, la sécurité totale n’existe pas. Par contre, nos conseils freineront un maximum le pirate, le curieux, bref ce malveillant. Pas de paranoïa, juste de la prudence et une hygiène numérique à respecter. Nous avons rencontré, lors de nos voyages, de vrais professionnels de la recherche d’information via des cibles touristiques ou en « séminaires ». N’oubliez jamais que le « curieux » doit être rapide pour agir. Plus il passera du temps sur sa cible, plus il sera fragilisé dans son action, visible, donc détectable.
Dans votre hôtel/camping/…
– Ranger votre machine dans le coffre de votre chambre (si coffre il y a).
– Retirer la batterie. Ranger la prise électrique ailleurs, dans la chambre. Dans votre valise, fermée à clé par exemple. Comme nous vous le montrons, il existe des prises qui permettent d’être scindée en trois parties. De quoi retarder le pirate. Il ne pourra pas alimenter l’ordinateur.
– Chiffrer les informations sensibles ou le disque dur de votre ordinateur. Qu’on le veuille ou non, BitLocker sur Windows 8 pro est efficace. N’hésitez pas à rajouter une seconde, voire une troisième couche avec Zed! ou TrueCrypt. Zed! a reçu la qualification ANSSI niveau standard (08/2010) et Certification Critères Communs EAL3+ (07/2010). Pour TrueCrypt : qualification niveau élémentaire (08/2009) et Certification CSPN (12/2008).
– Utiliser un câble antivol.
– N’hésitez pas à mettre un bout de scotch qui bloque les deux parties de votre portable. Si quelqu’un tente de l’ouvrir, vous le verrez. Un autocollant original et difficile à trouver dans le commerce fera parfaitement l’affaire.
– Chez DataSecurityBreach.fr, nous prenons en photo les vis des disques durs de nos portables. Si ces dernières ont bougés, ont été déplacées, vous pourrez vous en rendre compte.
– Une goute de cire, sur les vis est aussi très utile pour y appercevoir une potentielle manipulation. Il existe des cires de couleurs, évitez le rouge.
– Un antivirus mis à jour obligatoire.
– Utiliser un VPN pour vos connexions. VyprVPN est, à notre sens, très efficace tout comme VyPRVPN [Nous les utilisons, plus d’autres, NDR] Nous l’utilisons. Rapide, propose des centaines de connexions protégées dans le monde, avec un firewall NAT intégré loin d’être négligeable.
– Nous employons aussi une mini caméra de 5 cm qui s’enclenche dès lors qu’un mouvement dans la zone surveillée est détecté.
Autre point, sauvegardez vos documents administratifs sur un cloud sécurisé n’est pas négligeable en cas de perte de vos papiers, moyens de paiement. Sauvegardez y aussi les numéros de téléphones d’urgences (Ambassade, amis, familles, …). Bien évidement, chiffrez les données. Utilisez, par exemple, l’excellent Zed! Free par exemple. Une connexion à votre cloud sécuriser à n’utiliser qu’en cas d’urgence. N’allez pas me taper le mot de passe, sur un poste informatique « libre ». Pensez, si vous vous sentez capable de l’utiliser, emporter avec vous une cd/clé USB bootable avec un Linux intégré (Knoppix USB ou Tails par exemples).
Il en va de même pour votre téléphone portable. Ne le quittez jamais des yeux. L’installation d’un code malveillant étant devenu très simple. Pensez à employer un filtre évitant les regards « au dessus de l’épaule » ou sur les côtés. Des filtres qui permettent d’éviter les regards un peu trop curieux. Dernier détail en date, et de taille, pensez à charger vos appareils électroniques au maximum, surtout si vous partez sur le sol de l’Oncle Sam. Dorénavant, votre téléphone, votre ordniateur, votre tablette pourront être allumés devant un agent de sécurité, histoire de s’assurer que ce dernier ne cache pas une bombe. En cas de « non » allumage, le matos finira à la poubelle. Pensez à détruire les papiers que vous souhaiteriez jeter à la poubelle. Des petits bouts de papiers dans les toilettes sont plus efficace qu’une boulette dans la corbeille de votre chambre. Coupez le wifi et le Bluetooth. Ne sauvegardez/mémorisez aucun mot de passe dans votre appareil (il en va de même pour votre ordinateur et tablette).
Loin d’être négligeable, une pochette de sécurité, de type Stop RFID, permettant de sécuriser votre carte bancaire, passeport, … d’une tentative de connexion NFC non autorisée. Un bookmark de sites indispensables comme http://www.diplomatie.gouv.fr/fr/conseils-aux-voyageurs_909/ et Data Security Breach 😉 peut être envisagé.
L’utilisation des ordinateurs et des connexions proposés par les hôtels, campings, … sont à utiliser avec modération et intelligence. N’utilisez JAMAIS ces outils « libres » à des fins privées. JAMAIS vos mots de passe ; Accéder à vos courriels est fortement déconseillé sans passer par un système de VPN, INDISPENSABLE. Vous n’êtes cependant pas à l’abris d’un logiciel d’interception de vos frappes clavier (Keylogger). Pour finir, Comme nous le révélions dans notre article « Diner de cons dans les ordinateurs des Hôtels » nous croisons beaucoup trop de données qui n’ont rien à y faire ! Attention, dernier détail important, comme le rappel l’ANSSI, prenez connaissance de la législation locale. Des informations sur les contrôles aux frontières et sur l’importation ou l’utilisation de la cryptographie sont disponibles sur le site de l’Agence Nationale de la Sécurité des Systèmes d’Information.
Bref, contraignant, mais sécurisant. Si aucune de ces solutions proposées par Data Security Breach ne vous conviennent, posez-vous une dernière question : Avez-vous vraiment besoin d’un ordinateur pendant vos vacances ?
Un pirate informatique Moldave, qui avait piraté une banque américaine de Floride, vient d’être condamné par la justice Suisse.
L’homme âgé de 38 ans vient d’écoper d’une amende de 1,5 millions de francs Suisses, de quelques mois de prison et se retrouve avec une expulsion vers les Etats-Unis qui risquent de lui coûter encore plus cher. A noter que la justice a pu saisir 12 millions de francs (plus de 9 ,8 millions d’euros) que le pirate possédait sur six comptes bancaires qu’il possédait.
Avec 6 passeports en poche, le voleur numérique aurait, via ses actes de piratages et ses complices, transféraient quelques 200 millions de francs Suisse (+164 millions €). Il avait réussi à pirater des comptes bancaires de la Warrington Bank en piégeant une caissière, via un mail malveillant. Il lui avait dérobé ses identifiants de connexion qui avaient permis par la suite à opérer des dizaines de paiements frauduleux. (Le Matin)
Silent Circle, société spécialisée dans les communications privées, révolutionne la sécurité des appareils mobiles pour protéger les données confidentielles des particuliers et des entreprises.
Elle a annoncé aujourd’hui le développement du service Out-Circle Calling (OCC), son offre hybride d’appels cryptés qui permet aux abonnés Silent Circle de recevoir et d’effectuer des appels privés cryptés vers des personnes qui ne sont pas abonnées et ce, dans 79 pays au total par l’intermédiaire du service Silent Phone de la société. Le lancement du service mondial Out-Circle Calling bouleverse profondément les modèles traditionnels de communications mobiles sur lesquels se reposent les opérateurs de services sans fil ; modèles qui imposent des frais d’itinérance très élevés aux abonnés, particuliers comme professionnels. En revanche, le service Out-Circle Calling permet aux usagers Silent Phone de bénéficier d’une option VoIP de qualité exceptionnelle pour effectuer des appels vers des mobiles standard et des lignes relevant d’un réseau téléphonique public commuté (RTPC) partout dans le monde. Dans le même temps, ils bénéficient de l’offre combinée de Silent Circle (confidentialité, service et valeur ajoutée) en matière de communications mobiles cryptées à l’échelle mondiale et ce, dès qu’ils localisent un réseau Wi-Fi ou de téléphonie mobile.
Les abonnés qui choisissent d’adhérer à un forfait d’appels internationaux cryptés de Silent Circle recevront des numéros Silent Phone uniques à 10 chiffres. Ils pourront ainsi effectuer des appels en dehors du réseau d’abonnés Circle vers et depuis un nombre de régions beaucoup plus important – quatre à cinq fois plus important que ses principaux concurrents non positionnés sur le marché des communications sécurisées, Skype et Viber par exemple. Les forfaits d’appels cryptés Out-Circle (https://www.silentcircle.com/pricing) commencent à partir de 12,95 dollars (USD) pour 100 minutes. Cela inclut des appels illimités entre abonnés Silent Phone, un service Silent Text illimité (SMS cryptés) partout dans le monde, la possibilité de recevoir des appels sur son numéro Silent Phone de la part de n’importe quelle personne dans le monde, ainsi que 100 minutes d’appels vers des non abonnés présents dans les régions couvertes. Des forfaits offrant plus de minutes sont disponibles aux tarifs suivants : 19,95 $ pour 250 minutes ; 24,95 $ pour 500 minutes ; 39,95 $ pour 1 000 minutes. Les appels peuvent être passés depuis n’importe quel endroit dans le monde selon les tarifs internationaux standard de l’appelant.
« Les forfaits d’appels internationaux cryptés Out-Circle de Silent Circle représentent une avancée majeure dans cet effort qui vise à proposer des communications privées et cryptées partout dans le monde. Les services Silent Phone et Silent Text proposent déjà des avantages inégalés. Mais grâce à notre développement actuel, nous offrons à nos abonnés des avantages beaucoup plus notables en matière de flexibilité et de coûts », a déclaré Mike Janke, PDG de Silent Circle. « La réalité est que l’offre Out-Circle Calling propose un service de communications privées à bas coût qui se positionne en solution alternative aux forfaits mobiles classiques. Tout le monde peut l’utiliser, que ce soit votre voisin ou bien les cadres qui se déplacent fréquemment pour le compte de leur entreprise multinationale. Grâce à une présence géographique plus importante, des communications d’excellente qualité et des fonctionnalités intégrées inégalées en matière de protection de la vie privée, le service Silent Phone permet de renforcer davantage la position de chef de file de Silent Circle dans le domaine des communications sécurisées des particuliers et des entreprises que ce soit à l’échelle d’une ville ou du monde entier. »
Silent Circle change la façon dont le monde communique et ce, dans un contexte de menaces accrues à l’encontre des données confidentielles. Ces menaces criminelles, commerciales, sur Internet ou bien bénéficiant de l’aval des États concernent les individus partout dans le monde. Les abonnés Silent Circle utilisent Silent Phone pour effectuer des appels (vocaux et vidéo) privés d’excellente qualité sur des appareils iOS et Android. Ils utilisent Out-Circle Calling pour appeler des numéros classiques ; les communications sont alors cryptées entre l’appareil de l’utilisateur Silent Phone et le réseau privé de Silent Circle. Le service Silent Phone pour PC de Silent Circle propose des fonctions supplémentaires (visioconférences privées) aux utilisateurs de PC et ordinateurs portables Windows. Le service Silent Text permet aux abonnés d’échanger des SMS privés, notamment des pièces jointes volumineuses (jusqu’à 100 MB), le tout doté d’une fonction de suppression qui permet d’effacer automatiquement, en toute sécurité et à une heure prédéfinie les messages envoyés et leurs pièces jointes sur les appareils du destinataire et de l’expéditeur.
Les applis uniques de Silent Circle en matière de communications privées sont également disponibles sur Blackphone, le premier smartphone du monde à laisser le contrôle et la protection de la vie privée directement entre les mains des usagers. Les appareils Blackphone ont été mis au point par SGP Technologies, coentreprise basée en Suisse qui a été établie entre Silent Circle et Geeksphone, développeur espagnol de téléphones portables. Les appareils ont commencé à être livrés aux clients en juin. Ils comprennent PrivatOS, système d’exploitation doté d’une sécurité accrue et reposant sur Android™, ainsi qu’un éventail complet d’applications capables de protéger la vie privée des usagers, y compris Silent Phone et Silent Text.
Actualités cybersécurité, protections des données pour PME/PMI/TPE
