Archives de catégorie : Social engineering

Arnaque, Cybersécurité, escroquerie, Mise à jour, Particuliers, Social engineering, spam

Football : Euro 2016 et sécurité informatique

Euro 2016 – Les événements sportifs mondiaux ont toujours constitué un terrain de chasse idéal pour les cybercriminels. L’Euro 2016, qui débute le 10 juin prochain, ne devrait pas déroger à la règle.

Euro 2016 – Voici quelques éléments clés à retenir, amateur de football, de l’Euros 2016 ou non. Se méfier du spam et autre fausses « bonnes affaires » (places pour assister aux matchs à des prix défiant toute concurrence, par exemple). Ces mails peuvent contenir une pièce jointe infectée contenant un malware accédant au PC et interceptant les données bancaires des internautes lorsqu’ils font des achats en ligne. Ils peuvent également contenir un ransomware, qui verrouille et chiffre les données contenues dans le PC et invite les victimes à verser une rançon pour les récupérer.

Détecter les tentatives de phishing (vente de tickets à prix cassés voire gratuits, offres attractives de goodies en lien avec l’évènement,…) en vérifiant l’URL des pages auxquelles le mail propose de se connecter et en ne communiquant aucune information confidentielle (logins/mots de passe, identifiants bancaires, etc.) sans avoir préalablement vérifié l’identité de l’expéditeur.

Être prudent vis à vis du Wi-Fi public pour éviter tout risque de fuite de données, par exemple en désactivant l’option de connexion automatique aux réseaux Wi-Fi. Les données stockées sur les smartphones circulent en effet librement sur le routeur ou le point d’accès sans fil (et vice-versa), et sont ainsi facilement accessibles.

Redoubler de vigilance vis-à-vis des mails invitant à télécharger un fichier permettant d’accéder à la retransmission des matchs en temps réel. Il s’agit en réalité de logiciels malveillants qui, une fois exécutés, permettent d’accéder aux données personnelles stockées dans le PC (mots de passe, numéro de CB, etc.) ou utilisent ce dernier pour lancer des procédures automatiques comme l’envoi de mails massifs. (TrendMicro)

Base de données, Cybersécurité, Entreprise, ID, Identité numérique, Particuliers, Social engineering, Vie privée

25 bases de données piratées diffusées sur la toile

25 bases de données piratées diffusées sur Internet par un pirate. De la promo vente sur le dos de millions d’internautes. Des Français concernés.

Le 18 mai dernier, un pirate informatique a décidé de diffuser sur Internet 25 bases de données piratées. Les cibles de ce malveillant numérique courent de 2014 à 2016. J’ai pu constater de nombreuses informations de Français enregistrées dans les bases de données volées aux sites 000webhost, Vodaphone, SnapChat, BlackHatWorld pour ne citer qu’eux.

La plus récente des BDD concerne le site LinuxMint, piraté en 2016. Le pirate a diffusé les contenus non pas par beauté du geste, il n’y en a aucun dans tous les cas, mais par intérêt économique. D’abord il diffuse son compte Bitcoin, histoire de s’attirer les donateurs, mais aussi les clients qui pourraient lui commander d’autres données, via les informations qu’il garde en secret, dans son ordinateur. Il met aussi en pâture des bases de données qu’il n’a plus besoin. Des millions de datas ponctionnées, vidées, revendues dans le black market, depuis des semaines.

Bitcoin, Chiffrement, cryptage, Cybersécurité, ransomware, Social engineering

Ransomwares : règles pour ne pas finir chiffré

Le ransomware est un logiciel malveillant qui infecte les équipements connectés, les réseaux et les centres de données. Ces derniers ne peuvent plus être utilisés tant qu’une rançon n’a pas été payée pour débloquer les systèmes infectés. Des attaques qui se sont démultipliées ces derniers mois.

Le ransomware existe depuis au moins 1989, à l’époque où le cheval de troie “PC Cyborg” cryptait des dossiers sur un disque dur et forçait les utilisateurs à payer 189 $ pour les récupérer. Depuis, les attaques de type ransomware sont devenues beaucoup plus sophistiquées, ciblées, et bien sûr lucratives. Même si ce protéger est dès plus simple (réflexion, éducation, anticipation), les attaques ont démontré que les internautes n’étaient toujours pas prêts face à un courriel mystérieux.

L’impact et la toxicité d’un ransomware sont difficiles à évaluer, car de nombreuses sociétés choisissent tout simplement de payer pour récupérer leurs données, une démarche qui n’est pas toujours la plus pertinente. Un rapport portant sur la campagne liée au ransomware Cryptowall v3, datant d’octobre 2015 et réalisé par la Cyber Threat Alliance, estimait que le coût engendré par cette seule attaque d’envergure ressortait à 325 millions de dollars.

Un ransomware utilise des modi operandi différents. Un crypto ransomware peut contaminer un système d’exploitation au point d’empêcher l’équipement de démarrer. D’autres ransomware vont crypter un lecteur ou un ensemble de fichiers et de dossiers. Certaines variantes, particulièrement malveillantes, disposent d’un minuteur qui déclenche la suppression des fichiers jusqu’au paiement de la rançon. Quelle que soit la variante, les ransomware exigent le règlement d’une rançon afin de débloquer ou libérer les systèmes informatiques, fichiers ou données verrouillés ou chiffrés.

Comment est-on infecté ?

Un ransomware peut être inoculé de différentes manières, mais, le plus souvent, il prend la forme d’un fichier infecté joint à un email. Par exemple, aujourd’hui, vous avez peut-être reçu un email prétendument envoyé par votre banque. Il comporte le bon logo, des liens URL vers votre véritable banque et votre nom. Le message vous indique qu’une activité suspecte a été détectée sur votre compte bancaire, et que vous devez installer le fichier joint à l’email afin de vérifier vos codes d’accès à votre compte en ligne. Ces vérifications semblent légitimes, mais il s’agit, en réalité, d’une attaque par phishing.

Vous le savez : aucune banque ne se permettrait d’envoyer un fichier à installer, surtout s’il s’agit de vérifier vos identifiants d’accès bancaire. En réalité, le document joint est vérolé par un ransomware dont l’objectif est de s’installer sur votre système d’exploitation si vous cliquez dessus.

Les documents joints aux emails ne constituent néanmoins pas les seuls leviers de contamination. Le téléchargement “drive-by” en est un autre : l’utilisateur visite un site web infecté et télécharge furtivement un logiciel malveillant qui s’installe à l’insu de l’utilisateur. Le ransomware se propage également via les réseaux sociaux ou les applications web de messagerie instantanée. Enfin, récemment, ce sont des serveurs web vulnérables qui ont été exploités pour servir de point d’entrée vers le réseau d’une entreprise.

Comment ne pas se faire piéger ?

Voici dix conseils pour protéger vos données et celles de votre entreprise des ravages d’un ransomware.

1.       Mettre en place une stratégie de sauvegarde et de restauration. Sauvegardez vos données régulièrement et stockez-les offline, sur un équipement autre que celui que vous utilisez.

2.       Utilisez des outils professionnels de sécurité email et web, capables d’analyser les documents joints aux emails, les sites web visités, les fichiers infectés par des logiciels malveillants, et qui peuvent bloquer des publicités potentiellement dangereuses, ainsi que l’accès à des sites et réseaux sociaux qui ne présentent aucun intérêt dans le cadre du travail. Ces outils doivent intégrer les fonctionnalités d’une sandbox de manière à ce qu’un fichier, nouvellement identifié ou non reconnu, puisse être exécuté et analysé dans un environnement sécurisé et cloisonné.

3.       Faites en sorte que vos systèmes d’exploitation, équipements et logiciels soient patchés et à jour.

4.       Assurez-vous que vos équipements, antivirus réseau, systèmes de prévention d’intrusion et outils antimalware bénéficient des mises à jour les plus récentes.

5.       Si possible, utilisez une liste d’applications qui empêchera les applications non conformes d’être téléchargées ou exécutées.

6.       Segmentez votre réseau en zones de sécurité, pour empêcher une infection présente dans une zone de se propager à d’autres.

Établissez et appliquez des autorisations et privilèges d’accès, de manière à ce qu’un nombre restreint d’utilisateurs présente le potentiel de contaminer les applications métiers, les données ou les services critiques.

8.       Établissez et mettez en vigueur une politique de sécurité qui va encadrer le BYOD (Bring your Own Device), afin d’inspecter et de désactiver les dispositifs non conformes à vos exigences de sécurité (absence d’anti-malware, signatures antivirales périmées, systèmes d’exploitation non patchés, etc.).

9.       Déployez des outils d’analyse post-incident pour analyser, suite à une attaque, l’origine de la menace, le délai de présence (et donc de nocuité) du logiciel malveillant au sein de votre environnement, la suppression réelle de la menace de chaque équipement et garantir que cette mésaventure ne peut se reproduire.

10.   ESSENTIEL: ne comptez PAS sur vos collaborateurs pour assurer la sécurité de votre entreprise. Même s’il est important de les sensibiliser davantage à la sécurité aux travers de formations (afin qu’ils apprennent à ne pas télécharger de fichiers, cliquer sur des pièces jointes à des emails suspects ou sur des liens internet non sollicités). L’être humain reste le maillon faible de votre chaîne de sécurité, et vous devez en tenir compte.

En effet, pour nombre de vos collaborateurs, cliquer sur des documents joints et faire des recherches sur Internet font partie de leur travail. Il est difficile d’être toujours méfiant. D’autre part, les attaques de type phishing sont devenues très convaincantes. Une attaque par phishing ciblée se sert de données disponibles en ligne et de profils sur les réseaux sociaux pour personnaliser son approche. Notons également qu’il est humain de cliquer naturellement sur une facture inattendue à régler, ou sur un message d’alerte provenant de votre banque. Enfin il ressort de nombreuses études que les utilisateurs ont le sentiment qu’assurer la sécurité est le travail de quelqu’un d’autre, mais certainement pas le leur.

Que faire si vous êtes contaminé ?

Si vous disposez d’une sauvegarde récente de vos données : vous pouvez effacer le contenu de votre équipement et procéder à la restauration.

1. Signalez le délit

Une recherche rapide en ligne vous mènera vers le site où signaler les cybercrimes dans votre pays ou région. En Europe, vous pouvez localiser le site de signalement des cybercrimes de votre pays à cette adresse.

2. Payer une rançon ne constitue pas une garantie

Payer une rançon ne garantit pas la restitution des fichiers. Les escrocs, en revanche, perçoivent les fonds et, dans certains cas, disposent des informations bancaires de leur victime. De plus, décrypter des fichiers ne signifie pas que le phénomène de contagion lié au logiciel malveillant a été éradiqué.

3. Faites appel à des experts

De nombreux systèmes d’exploitation, logiciels et solutions de sécurité sont fournis pas des acteurs qui comptent dans leurs équipes des experts capables de vous prodiguer des conseils sur la manière de réagir en cas d’infection. Des sociétés de services peuvent également vous proposer de réaliser des expertises post-incident et accélérer la reprise suite à un tel sinistre.

4. Prévoyez un plan B

Que faire si vos systèmes informatiques ou réseaux sont indisponibles ? Disposez-vous d’un plan de secours ? Pouvez-vous assurer le bon déroulement des opérations, même en mode restreint, pendant le processus de restauration ? Connaissez-vous le coût horaire subi par votre entreprise en cas d’indisponibilité système ? Ce coût est-il intégré à votre budget informatique ? Autant d’informations qui doivent être prises en compte dans votre politique de sécurité.

Bref, la cybercriminalité est une entreprise à but lucratif générant des milliards de revenus. Avec le même objectif que la plupart des entreprises, les cybercriminels sont très motivés quand il s’agit de trouver des moyens de s’enrichir. Mais contrairement aux entreprises, la fin justifie les moyens. Les cybercriminels misent sur des subterfuges, l’extorsion de fonds, des attaques, des menaces et des techniques d’ingénierie sociale pour accéder à vos données critiques et vos ressources.

Le ransomware n’est guère nouveau mais son récent essor, sa sophistication et sa rapidité de frappe soulignent une tendance orientée à la hausse et une volonté d’identifier de nouveaux moyens d’escroquer les particuliers et les entreprises qui sont en ligne.

Maintenant, plus que jamais, la sécurité n’est pas juste un élément à rajouter à votre métier. Elle est devenue indispensable pour mener vos opérations. Faites en sorte d’établir des partenariats avec des experts en sécurité qui comprennent que la sécurité ne se résume pas à activer un boîtier dans un centre de données. Il s’agit, au contraire, d’un ensemble de technologies intégrées et collaboratives, associé à une politique de sécurité efficace et à une approche par étapes qui prend en compte les phases de préparation, de protection, de détection, de réaction et d’apprentissage.

Les solutions de sécurité doivent pouvoir partager leurs informations de veille sur les menaces et neutraliser rapidement toute menace à l’échelle de votre environnement multisite. Elles doivent être intégrées au cœur de votre réseau et vous protéger de manière transparente et sur le long terme, à mesure que votre réseau évolue et se développe. Ces solutions doivent savoir s’adapter rapidement lorsque de nouvelles menaces apparaissent et, bien sûr, ne pas ralentir vos activités métiers au quotidien. (Guillaume Lovet, expert en cybercriminalité chez Fortinet)

Biométrie, Cybersécurité, Entreprise, Facebook, Mise à jour, Social engineering

Facebook is watching you : système biométrique efficace

Depuis 2010, Facebook propose à ses utilisateurs un système de reconnaissance faciale qui permet de gagner du temps dans le « taguage » des personnes qui sont sur les photos. Sous couvert d’une nouvelle fonctionnalité, c’est un véritable dispositif biométrique qui a été mis en œuvre car il permet d’identification d’un individu à partir d’une simple photographie de son visage.

En Californie, trois utilisateurs ont reproché au réseau social n°1 d’avoir « secrètement et sans leur consentement » collecté des « données biométriques dérivées de leur visage ». Ces plaintes ont été jugées recevables par le juge James Donato qui « accepte comme vraies les allégations des plaignants » et juge « plausible » leur demande.

Au sein de l’Union européenne, le danger a rapidement été perçu s’agissant du système de reconnaissance faciale de Facebook qui l’a suspendu en 2012. Mais aux Etats-Unis, bien moins vigilants, cette fonctionnalité a perduré et il apparait bienvenu que la Justice y réagisse enfin. Facebook a constitué des profils qui répertorient les caractéristiques du visage de ses utilisateurs, leur cercle d’amis, leurs goûts, leurs sorties, etc. Avec plus de 3 milliards d’internautes dans le monde, cela revient à ce qu’environ 28% de la population ait un double virtuel rien que sur Facebook.

Facebook is watching you : Reconnaissance faciale, intelligence artificielle et atteinte aux libertés
Eu égard à leur grand potentiel discriminatoire, les données biométriques sont strictement encadrées par la loi du 6 janvier 1978 puisque d’après son article 25, une autorisation préalable de la Commission nationale de l’informatique et des libertés est indispensable pour  mettre en œuvre des « traitements automatisés comportant des données biométriques nécessaires au contrôle de l’identité des personnes ». Cela regroupe l’ensemble des techniques informatiques qui permettent d’identifier un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales.

Les conditions générales d’utilisation de Facebook ne sont pas donc pas conformes à la législation française sur les données personnelles, notamment s’agissant de la condition de consentement préalable, spécifique et informé au traitement des multiples données à caractère personnel collectées. Mais le géant de l’internet ne répond qu’à l’autorégulation. Par opposition à la règlementation étatique, la régulation n’entend prendre en compte que la norme sociale, c’est-à-dire l’état des comportements à un moment donné. Si la norme sociale évolue, alors les pratiques de Facebook s’adapteront.

Vers une remise en cause mondialisée des abus de Facebook ?
L’affaire pendante devant les Tribunaux met en lumière le manque de réactivité des américains face aux agissements de Facebook. C’est seulement au bout de 5 années que la Justice s’empare de la question des données biométriques à l’initiative de simples utilisateurs, alors même qu’une action de groupe à l’américaine d’envergure aurait pu être engagée pour mettre sur le devant de la scène les abus de Facebook.

Néanmoins, « mieux vaut tard que jamais » et l’avenir d’une décision répressive  ouvre la porte vers de nouveaux horizons pour l’ensemble des utilisateurs. En effet, Facebook prend comme modèle pour toutes ses conditions générales d’utilisation à travers le monde la version américaine de « licencing ». Plus Facebook se verra obligé dans son pays natal à évoluer pour respecter les libertés individuelles des personnes inscrites, plus on s’éloignera du système tentaculaire imaginé par Mark Zuckerberg qui n’est pas sans rappeler celui imaginé par Georges Orwell dans son roman 1984.

Par Antoine CHERON, avocat associé, est docteur en droit de la propriété intellectuelle, avocat au barreau de PARIS et au barreau de BRUXELLES et chargé d’enseignement en Master de droit à l’Université de Assas (Paris II). Il est le fondateur du cabinet d’avocats ACBM.

Chiffrement, cryptage, Cybersécurité, Social engineering

Générer un mot de passe indéchiffrable, possible ?

A l’occasion de la Journée du Mot de Passe, les meilleurs conseils aux utilisateurs pour éviter que leurs codes secrets ne soient découverts.

Le 5 mai était la Journée Mondiale du Mot de Passe. Une idée marketing lancée par des éditeurs de solution de sécurité informatique. Pour marquer cette date d’une pierre blanche, plusieurs éditeurs ont analysé les habitudes des utilisateurs. Avast Software par exemple propose des recommandations pour créer et protéger des mots de passe indéchiffrables.

Créer des mots de passe fiables et les modifier fréquemment
Une actualité ponctuée d’histoires comme celles de la faille d’Ashley Madison, le site de rencontres extra-conjugales, démontre que les gens n’utilisent pas correctement leurs mots de passe. Les utilisateurs ne créent pas de codes assez fiables et il est certain qu’ils ne les changent pas régulièrement – même face au risque de voir leurs données sensibles et leurs potentielles frasques exposées, ou leur mariage brisé. Les utilisateurs créent des mots de passe facilement déchiffrables souvent par manque d’information ou par paresse, en témoigne la liste des codes les plus souvent utilisés compilée par les chercheurs. Dans le top 10 :

1.       123456
2.       123456789
3.       password
4.       101
5.       12345678
6.       12345
7.       Password1
8.       qwerty
9.       1234
10.      111111

Cette liste comprend les mots de passe les plus simples, tels que 123456, password, et qwerty. D’autres se retrouvent plus bas dans la liste comme iloveyou (#19) ou trustno1 (#57) – une ironie pour un code figurant dans la liste des mots de passe les plus populaires. « Certains pensent qu’une liste de mots de passe seuls qui fuite en ligne n’est pas un problème – cependant, environ 50 % de ces mots de passe étaient associés à une adresse mail, déclare le chercheur d’Avast Michal Salat. Nous savons que les gens utilisent les mêmes combinaisons de mails et de mots de passe pour différents comptes. C’est pourquoi si un hacker connait le mot de passe de votre profil Ashley Madison, il connaitra également celui de votre Facebook, Amazon, eBay, etc. »

Comment créer des mots de passe fiables ?

Il n’y a pas de meilleure occasion que le 5 mai pour commencer à changer ses habitudes et protéger ses codes. Voici quelques conseils pour garder un mot de passe fiable et sécurisé. Je vais être honnete avec vous, si vous ne prenez pas 5 minutes pour réfléchir à votre sécurité et à la bonne gestion de vos précieux, passez votre chemin !

Domus tutissimum cuique refugium atque receptaculum sit

·         Créer des mots de passe longs et complexes. Il suffit de reprendre une phrase d’un livre que vous aimez. N’oubliez pas d’y placer quelques chiffres, majuscules et signes de ponctuations.
·         Utiliser un mot de passe différent pour chaque compte. Lors de les conférences, je fais sortir les clés des participants. Une clé pour chaque porte (voiture, boite aux lettres, maison, bureau…). En informatique, il faut la même régle pour ses mots de passe.
·         Ne pas partager ses mots de passe. C’est peut-être une proposition idiote au premier abord, mais combien de fois, lors d’ateliers que je propose dans les écoles, j’entends le public m’expliquer avoir partager avec son ami, son voisin… sa clé wifi !
·         Changer ses mots de passe régulièrement. Pour mon cas, il change tous les 35 jours. Je ne suis pas à l’abris du vol d’une base de données dans les boutiques, sites… que j’utilise.
·         Utiliser un gestionnaire de mot de passe pour mémoriser ses mots de passe ? Je suis totalement contre. Il en existe beaucoup. Mais faire confiance à un outil dont on ne maîtrise ni le code, ni la sécurité, me parait dangereux. Beaucoup d’utilisateurs y trouvent un confort. L’ensemble de vos mots de passe sont regroupés dans une solution informatique qui chiffre les données. Un seul mot de passe est requis pour utiliser n’importe quel compte sauvegardé. Bref, vaut mieux ne pas perdre ce précieux cerbére !
·         Verrouiller son matériel avec un mot de passe. Les systèmes existent. utilisez les. Je croise bien trop d’ordinateur s’ouvrant d’une simple pression sur la touche « Entrée ».
·         Activer la double-authentification ou l’authentification forte. Indispensable aide. Téléphone portable, sites Internet, Facebook, Twitter… La double authentification renforce l’accès à vos espaces. En cas de perte, vol, piratage de votre précieux. Sans la double authentification, impossible d’accèder à vos données.

De son côté TeamViewer rappele aussi qu’il est déconseillé de fournir des informations personnelles identifiables : Utiliser plusieurs mots de passe forts peut impliquer quelques difficultés de mémorisation. Aussi, afin de s’en souvenir plus facilement, beaucoup d’utilisateurs emploient en guise de mot de passe des noms et des dates qui ont une signification personnelle. Les cyber-délinquants peuvent cependant exploiter des informations accessibles publiquement et des comptes de réseaux sociaux pour trouver ces informations et s’en servir pour deviner les mots de passe.

Cybersécurité, Social engineering

Social Engineering : les cybercriminels profitent de la nature humaine

Les cybercriminels profitent de la nature humaine, révèle l’édition 2016 du rapport Data Breach Investigations Report de Verizon.

L’édition 2016 du rapport Data Breach Investigations Report de Verizon montre que les cybercriminels recourent à des schémas d’attaques familiers et exploitant les failles de la nature humaine, notamment à travers des méthodes de phishing et de ransomware.

Plusieurs tendances remarquées les années précédentes se stabilisent et restent valables, parmi lesquelles :

  • On retrouve des motivations financières ou d’espionnage dans 89% de toutes les attaques
  • Dans la plupart des cas, ce sont des vulnérabilités connues et non corrigées qui sont exploitées, alors que des correctifs existent et sont disponibles depuis des mois voire des années. Les 10 vulnérabilités connues les plus fréquentes se retrouvent dans 85% des cas de compromissions réussies.
  • 63% des compromissions de données avérées sont imputables à l’utilisation de mots de passe volés, faciles à deviner ou de mots de passe par défaut qui n’ont pas été modifiés
  • 95% des cas de compromissions et 86% des incidents de sécurité ont été perpétrés en suivant l’un ou l’autre des neuf scénarios recensés comme les plus fréquents
  • Les attaques par ransomware augmentent de 16% par rapport à 2015
  • Il est navrant de constater que des mesures de défense pourtant basiques font toujours défaut dans de nombreuses entreprises

« Les entreprises, forces de sécurité et organisations gouvernementales font preuve d’une volonté forte de devancer les cybercriminels, et le Data Breach Investigations Report revêt pour cela une importance croissante », commente Chris Formant, président de Verizon Enterprise Solutions. « Les contributions et collaborations rassemblées au sein du DBIR, apportées par des organisations du monde entier, sont plus que jamais nécessaires pour bien appréhender l’état des menaces. Et la compréhension est la première étape de l’action. »

Les pratiques de phishing de plus en plus préoccupantes

Les pratiques de phishing, qui font qu’un utilisateur reçoit un e-mail qui lui apparaît légitime de la part d’une source frauduleuse, se sont nettement intensifiées par rapport à l’an dernier. Ce qui est alarmant, c’est que les messages de phishing ont été ouverts dans 30% des cas, contre 23% dans le rapport 2015, et que dans 13% de ces cas le destinataire a aussi ouvert la pièce jointe ou cliqué sur le lien délétère, provoquant l’activation du malware et ouvrant ainsi les portes aux cybercriminels.

Ces dernières années, le phishing était le scénario d’attaque privilégié du cyber espionnage. Il s’est maintenant généralisé, au point d’entrer dans la composition de 7 des 9 scénarios d’incidents les plus fréquents recensés dans l’édition 2016 du rapport. Cette technique d’une grande efficacité présente de nombreux avantages, dont un délai de compromission très court et la possibilité de cibler des individus et des entreprises spécifiques.

A la liste des erreurs humaines s’ajoutent celles commises par les entreprises elles-mêmes. Ces erreurs, labellisées dans la catégorie « Erreurs diverses », constituent le scénario n°1 des incidents de sécurité dans le rapport de cette année. Dans 26% des cas, ces erreurs impliquent l’envoi d’informations sensibles à la mauvaise personne. Mais on trouve aussi d’autres types d’erreurs de la même catégorie : pratiques inappropriées de destruction des informations internes, mauvaise configuration des systèmes IT, et perte ou vol d’actifs de la société, comme les PC portables et smartphones.

La nature humaine : la base d’une attaque informatique

« On peut dire qu’un sujet central est commun aux constatations de ce rapport : l’élément humain », déclare Bryan Sartin, directeur exécutif de l’équipe Verizon RISK à DataSecurityBreach.fr. « Malgré les avancées de la recherche en sécurité informatique et la disponibilité d’outils et de solutions de cyber détection, nous continuons de déplorer les mêmes erreurs depuis plus de dix ans. Alors que faire ? »

Les chercheurs spécialistes de la sécurité de Verizon soulignent aussi la grande rapidité avec laquelle les cybercriminels perpétuent leurs attaques. Dans 93% des cas, il faut à peine quelques minutes à des hackers pour compromettre des systèmes, et dans 28% des cas ils parviennent à exfiltrer des données en quelques minutes seulement.

Comme pour l’édition 2015 du rapport DBIR, les compromissions de terminaux mobiles et d’objets de l’Internet des objets (IoT) ne sont pas très représentées.  Mais le rapport signale qu’il existe bien des tentatives visant à démontrer la faisabilité de ces compromissions (proof of concept), et que ce n’est qu’une question de temps avant qu’une compromission à grande échelle se produise qui impacte les mobiles et terminaux IoT, ce qui signifie que les entreprises ne doivent pas relâcher leur vigilance en termes de protection des smartphones et des objets de l’IoT.

Il est important de noter également que les attaques d’applications Web sont devenues le vecteur n°1 des cas de compromissions de données, et que 95% des compromissions d’applis Web avaient des motivations financières.

Progression de l’attaque en trois volets

L’édition 2016 du rapport alerte sur le risque d’être victime d’un nouveau type d’attaque en trois volets qui se répète avec une grande régularité. De nombreuses entreprises ont fait les frais de telles attaques :

  • La nature humaine – Envoi d’un e-mail de phishing avec un lien pointant vers un site web malveillant ou une pièce jointe infectée
  • Un malware est téléchargé sur le PC de la victime et il ouvre la voie à d’autres malwares utilisés pour rechercher des informations secrètes et confidentielles à usurper (cyber espionnage) ou pour chiffrer des fichiers en vue de demander une rançon. Très souvent, le malware vole les identifiants d’accès à diverses applications au moyen d’enregistreurs de frappe.
  • Les droits d’accès dérobés servent à s’infiltrer davantage et perpétrer de nouvelles attaques : se connecter à des sites web de tiers, de banque en ligne ou de e-commerce, par exemple.

« L’objectif est de comprendre le mode opératoire des cybercriminels », déclare Bryan Sartin à datasecuritybreach.fr. « C’est en maîtrisant les scénarios des attaques que nous pourrons mieux les détecter, les prévenir et y répondre. » Téléchargez le rapport.

Cybersécurité, escroquerie, Facebook, ID, Identité numérique, Mise à jour, Particuliers, Pinterest, Social engineering, Téléphonie, Twitter, Vie privée

Cybersécurité & Génération Z : entre confiance et insouciance

Entre confiance et insouciance – Une enquête menée par l’APSSIS auprès d’un panel d’adolescents montre comment la génération Z, omni connectée par nature, envisage la notion de confidentialité, en particulier s’agissant de ses données personnelles de santé. Entre confiance et insouciance, les adolescents redessinent certainement les contours de la confidentialité et seront peut-être les futurs clients connectés et dociles des mutuelles et assureurs 3.0.

L’APSISS, l’Association pour la Promotion de la Sécurité des Systèmes d’Information de Santé, publie les résultats d’une enquête réalisée auprès d’adolescents sur leur relation avec la protection des données, en particulier les données liées à leur santé.

Menée sur un panel de 204 jeunes scolarisés en classe de seconde, l’enquête a permis de dégager plusieurs enseignements qui viennent bouleverser notre vision de la notion de confidentialité.

Relation à Internet : entre confiance et insouciance
Plus de la moitié des adolescents interrogés déclarent faire confiance à Internet. Et, ils sont nombreux à utiliser leur propre identité pour s’y afficher et à y livrer des informations personnelles. Pourtant, « découvrir des photographies de la maison familiale sur des réseaux sociaux n’amuse pas les parents », confie Damien Bancal, spécialiste du cybercrime et contributeur de l’enquête APSSIS. « La majorité des parents ne savent pas que leurs enfants n’ont pas un, mais des espaces Facebook. (…) Le record, pour une jeune Lilloise de 12 ans : 14 comptes différents. »

Et si 32 % des jeunes interrogés déclarent avoir déjà été confrontés à des problèmes sur Internet (vol de données, harcèlement, confidentialité), ils restent néanmoins attirés par les plateformes de partage, comme le montre la croissance de l’usage des réseaux tels que Snapchat, Pinterest, Instagram…. 88 % d’entre eux, savent en outre que toutes les données qu’ils publient sont conservées sur Internet, et ils sont 62% à penser que cela ne pose aucun problème.

« Il est d’ailleurs intéressant de leur demander s’ils savent où sont stockées leurs données sauvegardées par leur montre connectée », s’amuse Damien Bancal. « Les adolescents (…) pensaient que ces informations n’étaient stockées qu’à leur poignet ».

Les données de santé moins sensibles que les données bancaires !
Selon les adolescents interrogés, les données bancaires et de santé ne font pas l’objet du même enjeu de protection. En effet, 77,5% estiment que leurs données de santé sont moins importantes que leurs données bancaires. « Est-ce parce qu’ils sont habitués à partager de nombreuses informations personnelles via leurs applications, sans trop se soucier des risques, et certains qu’elles sont protégées, qu’ils n’envisagent pas la même nécessité de protection pour leurs informations médicales ou de bien être ? », s’interroge Vincent Trély, Président de l’APSSIS.

Par ailleurs, 79% des adolescents du panel se disent plutôt d’accord avec le principe de partager leurs données de santé, avec leur mutuelle ou leur assureur au travers des applications et objets connectés qui les collecteront et ce, dans la perspective d’obtenir des tarifs adaptés à leur cas particulier.

entre confiance et insouciance : La notion de confidentialité remise en question
Il y a ceux qui font confiance au médecin (45 répondants) et à l’Etat (27 répondants) pour se charger du problème de confidentialité des données, et les autres, à la fois inquiets (76 répondants) et qui ignorent comment fonctionnent Internet et les applications collectant leurs données (84 répondants). Ce qui se cache derrière les applications qu’ils utilisent, notamment en termes de gestion de la vie privée, cela ne les intéresse pas (57 répondants). « Globalement, ils semblent peu curieux d’en savoir plus », note Vincent Trély. « Une fois l’inquiétude passée, c’est le service rendu par l’application qui prévaut ».

« Les conclusions de cette étude doivent nourrir notre réflexion et apporter quelques paramètres issus du réel à la conception traditionnelle que nous avons de la confidentialité. Le deal sera simple : la mise à disposition des données est par principe acquise, en fonction du bénéfice qu’apportera l’application collectrice. Nous serons tracés, géo localisés et nos données intimes seront agrégées par des plates-formes privées, mais nous serons d’accord. Car le retour sur investissement nous sera favorable. Il est également certain que la nouvelle génération prendra conscience de la valeur de ses données personnelles et décidera de les monnayer… Après tout, si la matière, ce sont les données, il serait bien légitime de rémunérer leur production » analyse Vincent Trély, Président de l’APSSIS. Pour recevoir l’étude complète : secretaire@apssis.com

Base de données, Bitcoin, Chiffrement, cryptage, Cybersécurité, Entreprise, Justice, ransomware, Sauvegarde, Social engineering

Fraude au président : 2 millions de dollars volés, il attaque ses associés

Fraude au président : 2 millions de dollars volés à un ancien employé de Lehman Brothers, une banque d’investissement multinationale.

Ce qui est bien avec le public dit « en col blanc » est qu’il n’écoute pas. On pourrait penser, à la suite des centaines de piratages médiatiques qu’une banque d’affaire, et donc ses employés, sont au fait de la sécurité informatique. Je les vois ses « stages » coutant des milliers d’euros de sensibilisation. Sensibilisations effectuées, dans la plupart des cas, par des gens qui ne connaissent du terrain numérique, que les heures de bureau qu’ils lui allouent.

Bref, normalement, un phishing et une fraude au président, cela ne doit plus exister chez nos banquiers. Le cas de Robert Millard, ancien codirigeant de la banque d’investissement multinationale Lehman Brothers a de quoi faire sourire. L’homme de « pouvoir » et « d’argent » a fait un virement de 1.938.000 dollars pour un achat d’appartement qu’il était en train d’orchestrer. Une jolie studette à 20 millions de dollars, à New York. Sauf que le virement a été effectué à destination d’un arnaqueur. L’escroc a piraté l’agence immobilière de Millard, son compte mail AOL et l’avocat en charge de son immobilier. Personne n’avait remarqué que le nom de l’avocat avait été mal orthographié.

Bilan, le « banquier » volé attaque en justice ce qu’il considère comme les coupables, ses anciens associés, afin de récupérer 200.000 dollars qu’il n’a pu retrouver.

Les agences immobilières sont aussi de belles cibles pour les pirates informatiques. Si vous êtes en train d’acquérir un bien, méfiez-vous de cette demande de changement d’adresse pour le virement bancaire. Je vous expliquais, en mars, comment les professionnels du FoVI, la fraude aux virements bancaires, visaient aussi les locataires de maison et d’appartements en faisant détourner les loyers.

Pendant ce temps…

… nous pourrions penser que les internautes sont maintenant habitués à ne plus cliquer sur n’importe quoi. Qu’ils ont entendu parler des ransomwares. Bref, ils se sont informés sur ces logiciels malveillants de rançonnage, ils sont donc sécurisés. A première vue… non ! Le département de la police de Newark, dans le New-Jersey s’est retrouvé fort dépourvu quand la bise numérique fut venue. Un ransomware activé et les machines des policiers prisent en otage. « Le service de police a indiqué  qu’il n’y avait aucune preuve d’une quelconque violation de données et que l’attaque n’a pas perturbé la prestation des services d’urgence aux citoyens« . Aucunes informations sur les informations chiffrées et à savoir si les données prises en otage ont été retrouvées.

Entreprise, Fuite de données, Mise à jour, Patch, Social engineering, Téléphonie

43 heures de communications pirates pour la Ville de Solignac

La commune de Solignac se fait pirater son standard téléphonique. Aucun employé ne s’était rendu compte du problème. L’opérateur va réagir après avoir découvert 43 heures de communications pirates durant le week-end de Pâques.

Que dire ? Les petites et moyennes communes ne prennent pas leur sécurité informatique au sérieux. Le silence est d’or, l’excuse du droit de réserve a bon dos… Le dos de l’argent et des données des contribuables s’envolant à coups de piratages, fuites de données, ransomwares, phreaking…

C’est d’ailleurs du phreaking, piratage dans la téléphonie, qui vient de toucher une commune de la région de Limoges. La Direction Générale de la mairie de Solignac a été alertée par l’opérateur Orange d’un étrange comportement de sa ligne téléphonique. Le pirate est un malin, 43 heures d’appels téléphoniques illicites sur le dos des finances de la ville, entre le samedi après-midi et la nuit du lundi au mardi du week-end de Pâques.

Les phreakers sont particulièrement bien organisés. Je peux en croiser, dans certains blackmarkets,  proposant ce type de service. Durant ces trois jours, 283 appels à destination de l’Azerbaïdjan, le Pakistan, le Liberia, la Somalie,  les Iles Falkland, les Maldives et Haïti. Bref, plusieurs dizaines de milliers d’euros envolés.

Du piratage de standard téléphonique qui n’est pourtant pas une nouveauté. Malheureusement, je croise trop de chefs de service aux égos surdimensionnés, aux titres ronflants et à l’incapacité de gérer l’informatique, la sécurité, ou simplement la communication sur ce type de méfait. Je ne parle même pas des budgets qui se réduisent comme peau de chagrin et des employés territoriaux devenus responsables informatiques par l’effet du Saint-Esprit (comprenez le piston). Je ne généralise pas, mais mes constatations me font dire que cela ne s’arrange pas. En novembre 2015, 43 000 € de détournement téléphonique au Conseil Départemental des Deux-Sévres ; 15 000 à la commune de Pessac, 15 000 pour la commune de Licques… et ici, je ne parle que des cas connus.

Communications pirates : ce que dit la loi

Pour les pirates, la loi est claire : piratage, escroquerie, … entre 5 et 7 ans de prison et jusqu’à 350000 euros d’amende. Pour l’entreprise impactée, il est dorénavant possible de se retourner contre le prestataire de service, l’entreprise qui a pris en charge l’installation du standard. Une jurisprudence condamne les intégrateurs dans la mesure où ces derniers n’ont pas informé et formé leurs clients.

Argent, Base de données, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Particuliers, Piratage, Sauvegarde, Social engineering

Porn Account : 270000 amateurs de pornos piratés

Un internaute a tenté de revendre les données de 270 000 amateurs de sites pornographiques dans le blackmarket. Le business du Porn Account pour les nuls !

Vous avez peut-être entendu à la radio et lu dans la presse généraliste ce piratage de données ayant visé 270 000 amateurs de sites pornographiques. Un piratage qui a débuté via l’attaque par injection SQL de plusieurs sites pour adultes appartenant au groupe Paper Street Media.

Le pirate a expliqué avoir contacté l’entreprise pour « discuter ». Soyons clair, il a tenté de leur soutirer de l’argent en proposant la faille qui lui a permis d’extraire les informations des clients (IP, mail, mots de passe…).

Paper Street Media n’a pas répondu dans le sens de l’internaute. Bilan, l’adolescent a mis en vente, dans le blackmarket, la base de données volée pour 360 euros. Pourquoi revendre les données dans le BM ? Tout simplement pour que les professionnels du porn account puissent sauter sur l’occasion.

Dans cette même boutique qui aurait servi au pirate à revendre cette base de données [je n’ai pas retrouvé le vendeur], d’autres « commerçants » proposent des accès « piratés » aux sites interdit au – de 18 ans de Paper Street Media pour 9 $. Je vous laisse faire l’addition. Nous sommes très très loin des 360 euros réclamés ! « Je peux me faire entre 300 et 500 dollars par semaine » m’indique un de ces vendeurs de Porn Account croisé dans une boutique spécialisée.

Un pirate russe revend des milliers de comptes du site Naughty America.

A noter que j’ai pu consulter [ci-dessus] un document diffusé par un autre pirate informatique. Ce dernier, il est russe, a mis la main sur 150 000 comptes clients du site pornographique Naughty America. Un injection SQL, une backdoor (shell) dans le serveur et les comptes clients ont fini dans les mains du pirate.

Pendant ce temps…

… le groupe hôtelier Trump est de nouveau piraté. Des logiciels d’espionnage ont été retrouvés dans les ordinateurs des hôtels Trump situés à New York, Toronto et Honolulu. Même type d’attaque vécue en juillet 2015. Cela donne une idée de la gestion de la sécurité informatique de ce groupe. Les pirates visaient les identités et les données bancaires.

En ce qui concerne les numéros de CB, pas besoin d’être intelligent pour comprendre l’intérêt. Achats de produits dématérialisés qui seront revendus moitié prix [blanchir l’argent détourné]… En ce qui concerne les informations dédiées aux identités : fraude bancaire [ouverture de compte], usurpation d’identité, …