Archives de catégorie : Social engineering

Chiffrement, cryptage, Cybersécurité, Social engineering

Générer un mot de passe indéchiffrable, possible ?

A l’occasion de la Journée du Mot de Passe, les meilleurs conseils aux utilisateurs pour éviter que leurs codes secrets ne soient découverts.

Le 5 mai était la Journée Mondiale du Mot de Passe. Une idée marketing lancée par des éditeurs de solution de sécurité informatique. Pour marquer cette date d’une pierre blanche, plusieurs éditeurs ont analysé les habitudes des utilisateurs. Avast Software par exemple propose des recommandations pour créer et protéger des mots de passe indéchiffrables.

Créer des mots de passe fiables et les modifier fréquemment
Une actualité ponctuée d’histoires comme celles de la faille d’Ashley Madison, le site de rencontres extra-conjugales, démontre que les gens n’utilisent pas correctement leurs mots de passe. Les utilisateurs ne créent pas de codes assez fiables et il est certain qu’ils ne les changent pas régulièrement – même face au risque de voir leurs données sensibles et leurs potentielles frasques exposées, ou leur mariage brisé. Les utilisateurs créent des mots de passe facilement déchiffrables souvent par manque d’information ou par paresse, en témoigne la liste des codes les plus souvent utilisés compilée par les chercheurs. Dans le top 10 :

1.       123456
2.       123456789
3.       password
4.       101
5.       12345678
6.       12345
7.       Password1
8.       qwerty
9.       1234
10.      111111

Cette liste comprend les mots de passe les plus simples, tels que 123456, password, et qwerty. D’autres se retrouvent plus bas dans la liste comme iloveyou (#19) ou trustno1 (#57) – une ironie pour un code figurant dans la liste des mots de passe les plus populaires. « Certains pensent qu’une liste de mots de passe seuls qui fuite en ligne n’est pas un problème – cependant, environ 50 % de ces mots de passe étaient associés à une adresse mail, déclare le chercheur d’Avast Michal Salat. Nous savons que les gens utilisent les mêmes combinaisons de mails et de mots de passe pour différents comptes. C’est pourquoi si un hacker connait le mot de passe de votre profil Ashley Madison, il connaitra également celui de votre Facebook, Amazon, eBay, etc. »

Comment créer des mots de passe fiables ?

Il n’y a pas de meilleure occasion que le 5 mai pour commencer à changer ses habitudes et protéger ses codes. Voici quelques conseils pour garder un mot de passe fiable et sécurisé. Je vais être honnete avec vous, si vous ne prenez pas 5 minutes pour réfléchir à votre sécurité et à la bonne gestion de vos précieux, passez votre chemin !

Domus tutissimum cuique refugium atque receptaculum sit

·         Créer des mots de passe longs et complexes. Il suffit de reprendre une phrase d’un livre que vous aimez. N’oubliez pas d’y placer quelques chiffres, majuscules et signes de ponctuations.
·         Utiliser un mot de passe différent pour chaque compte. Lors de les conférences, je fais sortir les clés des participants. Une clé pour chaque porte (voiture, boite aux lettres, maison, bureau…). En informatique, il faut la même régle pour ses mots de passe.
·         Ne pas partager ses mots de passe. C’est peut-être une proposition idiote au premier abord, mais combien de fois, lors d’ateliers que je propose dans les écoles, j’entends le public m’expliquer avoir partager avec son ami, son voisin… sa clé wifi !
·         Changer ses mots de passe régulièrement. Pour mon cas, il change tous les 35 jours. Je ne suis pas à l’abris du vol d’une base de données dans les boutiques, sites… que j’utilise.
·         Utiliser un gestionnaire de mot de passe pour mémoriser ses mots de passe ? Je suis totalement contre. Il en existe beaucoup. Mais faire confiance à un outil dont on ne maîtrise ni le code, ni la sécurité, me parait dangereux. Beaucoup d’utilisateurs y trouvent un confort. L’ensemble de vos mots de passe sont regroupés dans une solution informatique qui chiffre les données. Un seul mot de passe est requis pour utiliser n’importe quel compte sauvegardé. Bref, vaut mieux ne pas perdre ce précieux cerbére !
·         Verrouiller son matériel avec un mot de passe. Les systèmes existent. utilisez les. Je croise bien trop d’ordinateur s’ouvrant d’une simple pression sur la touche « Entrée ».
·         Activer la double-authentification ou l’authentification forte. Indispensable aide. Téléphone portable, sites Internet, Facebook, Twitter… La double authentification renforce l’accès à vos espaces. En cas de perte, vol, piratage de votre précieux. Sans la double authentification, impossible d’accèder à vos données.

De son côté TeamViewer rappele aussi qu’il est déconseillé de fournir des informations personnelles identifiables : Utiliser plusieurs mots de passe forts peut impliquer quelques difficultés de mémorisation. Aussi, afin de s’en souvenir plus facilement, beaucoup d’utilisateurs emploient en guise de mot de passe des noms et des dates qui ont une signification personnelle. Les cyber-délinquants peuvent cependant exploiter des informations accessibles publiquement et des comptes de réseaux sociaux pour trouver ces informations et s’en servir pour deviner les mots de passe.

Cybersécurité, Social engineering

Social Engineering : les cybercriminels profitent de la nature humaine

Les cybercriminels profitent de la nature humaine, révèle l’édition 2016 du rapport Data Breach Investigations Report de Verizon.

L’édition 2016 du rapport Data Breach Investigations Report de Verizon montre que les cybercriminels recourent à des schémas d’attaques familiers et exploitant les failles de la nature humaine, notamment à travers des méthodes de phishing et de ransomware.

Plusieurs tendances remarquées les années précédentes se stabilisent et restent valables, parmi lesquelles :

  • On retrouve des motivations financières ou d’espionnage dans 89% de toutes les attaques
  • Dans la plupart des cas, ce sont des vulnérabilités connues et non corrigées qui sont exploitées, alors que des correctifs existent et sont disponibles depuis des mois voire des années. Les 10 vulnérabilités connues les plus fréquentes se retrouvent dans 85% des cas de compromissions réussies.
  • 63% des compromissions de données avérées sont imputables à l’utilisation de mots de passe volés, faciles à deviner ou de mots de passe par défaut qui n’ont pas été modifiés
  • 95% des cas de compromissions et 86% des incidents de sécurité ont été perpétrés en suivant l’un ou l’autre des neuf scénarios recensés comme les plus fréquents
  • Les attaques par ransomware augmentent de 16% par rapport à 2015
  • Il est navrant de constater que des mesures de défense pourtant basiques font toujours défaut dans de nombreuses entreprises

« Les entreprises, forces de sécurité et organisations gouvernementales font preuve d’une volonté forte de devancer les cybercriminels, et le Data Breach Investigations Report revêt pour cela une importance croissante », commente Chris Formant, président de Verizon Enterprise Solutions. « Les contributions et collaborations rassemblées au sein du DBIR, apportées par des organisations du monde entier, sont plus que jamais nécessaires pour bien appréhender l’état des menaces. Et la compréhension est la première étape de l’action. »

Les pratiques de phishing de plus en plus préoccupantes

Les pratiques de phishing, qui font qu’un utilisateur reçoit un e-mail qui lui apparaît légitime de la part d’une source frauduleuse, se sont nettement intensifiées par rapport à l’an dernier. Ce qui est alarmant, c’est que les messages de phishing ont été ouverts dans 30% des cas, contre 23% dans le rapport 2015, et que dans 13% de ces cas le destinataire a aussi ouvert la pièce jointe ou cliqué sur le lien délétère, provoquant l’activation du malware et ouvrant ainsi les portes aux cybercriminels.

Ces dernières années, le phishing était le scénario d’attaque privilégié du cyber espionnage. Il s’est maintenant généralisé, au point d’entrer dans la composition de 7 des 9 scénarios d’incidents les plus fréquents recensés dans l’édition 2016 du rapport. Cette technique d’une grande efficacité présente de nombreux avantages, dont un délai de compromission très court et la possibilité de cibler des individus et des entreprises spécifiques.

A la liste des erreurs humaines s’ajoutent celles commises par les entreprises elles-mêmes. Ces erreurs, labellisées dans la catégorie « Erreurs diverses », constituent le scénario n°1 des incidents de sécurité dans le rapport de cette année. Dans 26% des cas, ces erreurs impliquent l’envoi d’informations sensibles à la mauvaise personne. Mais on trouve aussi d’autres types d’erreurs de la même catégorie : pratiques inappropriées de destruction des informations internes, mauvaise configuration des systèmes IT, et perte ou vol d’actifs de la société, comme les PC portables et smartphones.

La nature humaine : la base d’une attaque informatique

« On peut dire qu’un sujet central est commun aux constatations de ce rapport : l’élément humain », déclare Bryan Sartin, directeur exécutif de l’équipe Verizon RISK à DataSecurityBreach.fr. « Malgré les avancées de la recherche en sécurité informatique et la disponibilité d’outils et de solutions de cyber détection, nous continuons de déplorer les mêmes erreurs depuis plus de dix ans. Alors que faire ? »

Les chercheurs spécialistes de la sécurité de Verizon soulignent aussi la grande rapidité avec laquelle les cybercriminels perpétuent leurs attaques. Dans 93% des cas, il faut à peine quelques minutes à des hackers pour compromettre des systèmes, et dans 28% des cas ils parviennent à exfiltrer des données en quelques minutes seulement.

Comme pour l’édition 2015 du rapport DBIR, les compromissions de terminaux mobiles et d’objets de l’Internet des objets (IoT) ne sont pas très représentées.  Mais le rapport signale qu’il existe bien des tentatives visant à démontrer la faisabilité de ces compromissions (proof of concept), et que ce n’est qu’une question de temps avant qu’une compromission à grande échelle se produise qui impacte les mobiles et terminaux IoT, ce qui signifie que les entreprises ne doivent pas relâcher leur vigilance en termes de protection des smartphones et des objets de l’IoT.

Il est important de noter également que les attaques d’applications Web sont devenues le vecteur n°1 des cas de compromissions de données, et que 95% des compromissions d’applis Web avaient des motivations financières.

Progression de l’attaque en trois volets

L’édition 2016 du rapport alerte sur le risque d’être victime d’un nouveau type d’attaque en trois volets qui se répète avec une grande régularité. De nombreuses entreprises ont fait les frais de telles attaques :

  • La nature humaine – Envoi d’un e-mail de phishing avec un lien pointant vers un site web malveillant ou une pièce jointe infectée
  • Un malware est téléchargé sur le PC de la victime et il ouvre la voie à d’autres malwares utilisés pour rechercher des informations secrètes et confidentielles à usurper (cyber espionnage) ou pour chiffrer des fichiers en vue de demander une rançon. Très souvent, le malware vole les identifiants d’accès à diverses applications au moyen d’enregistreurs de frappe.
  • Les droits d’accès dérobés servent à s’infiltrer davantage et perpétrer de nouvelles attaques : se connecter à des sites web de tiers, de banque en ligne ou de e-commerce, par exemple.

« L’objectif est de comprendre le mode opératoire des cybercriminels », déclare Bryan Sartin à datasecuritybreach.fr. « C’est en maîtrisant les scénarios des attaques que nous pourrons mieux les détecter, les prévenir et y répondre. » Téléchargez le rapport.

Cybersécurité, escroquerie, Facebook, ID, Identité numérique, Mise à jour, Particuliers, Pinterest, Social engineering, Téléphonie, Twitter, Vie privée

Cybersécurité & Génération Z : entre confiance et insouciance

Entre confiance et insouciance – Une enquête menée par l’APSSIS auprès d’un panel d’adolescents montre comment la génération Z, omni connectée par nature, envisage la notion de confidentialité, en particulier s’agissant de ses données personnelles de santé. Entre confiance et insouciance, les adolescents redessinent certainement les contours de la confidentialité et seront peut-être les futurs clients connectés et dociles des mutuelles et assureurs 3.0.

L’APSISS, l’Association pour la Promotion de la Sécurité des Systèmes d’Information de Santé, publie les résultats d’une enquête réalisée auprès d’adolescents sur leur relation avec la protection des données, en particulier les données liées à leur santé.

Menée sur un panel de 204 jeunes scolarisés en classe de seconde, l’enquête a permis de dégager plusieurs enseignements qui viennent bouleverser notre vision de la notion de confidentialité.

Relation à Internet : entre confiance et insouciance
Plus de la moitié des adolescents interrogés déclarent faire confiance à Internet. Et, ils sont nombreux à utiliser leur propre identité pour s’y afficher et à y livrer des informations personnelles. Pourtant, « découvrir des photographies de la maison familiale sur des réseaux sociaux n’amuse pas les parents », confie Damien Bancal, spécialiste du cybercrime et contributeur de l’enquête APSSIS. « La majorité des parents ne savent pas que leurs enfants n’ont pas un, mais des espaces Facebook. (…) Le record, pour une jeune Lilloise de 12 ans : 14 comptes différents. »

Et si 32 % des jeunes interrogés déclarent avoir déjà été confrontés à des problèmes sur Internet (vol de données, harcèlement, confidentialité), ils restent néanmoins attirés par les plateformes de partage, comme le montre la croissance de l’usage des réseaux tels que Snapchat, Pinterest, Instagram…. 88 % d’entre eux, savent en outre que toutes les données qu’ils publient sont conservées sur Internet, et ils sont 62% à penser que cela ne pose aucun problème.

« Il est d’ailleurs intéressant de leur demander s’ils savent où sont stockées leurs données sauvegardées par leur montre connectée », s’amuse Damien Bancal. « Les adolescents (…) pensaient que ces informations n’étaient stockées qu’à leur poignet ».

Les données de santé moins sensibles que les données bancaires !
Selon les adolescents interrogés, les données bancaires et de santé ne font pas l’objet du même enjeu de protection. En effet, 77,5% estiment que leurs données de santé sont moins importantes que leurs données bancaires. « Est-ce parce qu’ils sont habitués à partager de nombreuses informations personnelles via leurs applications, sans trop se soucier des risques, et certains qu’elles sont protégées, qu’ils n’envisagent pas la même nécessité de protection pour leurs informations médicales ou de bien être ? », s’interroge Vincent Trély, Président de l’APSSIS.

Par ailleurs, 79% des adolescents du panel se disent plutôt d’accord avec le principe de partager leurs données de santé, avec leur mutuelle ou leur assureur au travers des applications et objets connectés qui les collecteront et ce, dans la perspective d’obtenir des tarifs adaptés à leur cas particulier.

entre confiance et insouciance : La notion de confidentialité remise en question
Il y a ceux qui font confiance au médecin (45 répondants) et à l’Etat (27 répondants) pour se charger du problème de confidentialité des données, et les autres, à la fois inquiets (76 répondants) et qui ignorent comment fonctionnent Internet et les applications collectant leurs données (84 répondants). Ce qui se cache derrière les applications qu’ils utilisent, notamment en termes de gestion de la vie privée, cela ne les intéresse pas (57 répondants). « Globalement, ils semblent peu curieux d’en savoir plus », note Vincent Trély. « Une fois l’inquiétude passée, c’est le service rendu par l’application qui prévaut ».

« Les conclusions de cette étude doivent nourrir notre réflexion et apporter quelques paramètres issus du réel à la conception traditionnelle que nous avons de la confidentialité. Le deal sera simple : la mise à disposition des données est par principe acquise, en fonction du bénéfice qu’apportera l’application collectrice. Nous serons tracés, géo localisés et nos données intimes seront agrégées par des plates-formes privées, mais nous serons d’accord. Car le retour sur investissement nous sera favorable. Il est également certain que la nouvelle génération prendra conscience de la valeur de ses données personnelles et décidera de les monnayer… Après tout, si la matière, ce sont les données, il serait bien légitime de rémunérer leur production » analyse Vincent Trély, Président de l’APSSIS. Pour recevoir l’étude complète : secretaire@apssis.com

Base de données, Bitcoin, Chiffrement, cryptage, Cybersécurité, Entreprise, Justice, ransomware, Sauvegarde, Social engineering

Fraude au président : 2 millions de dollars volés, il attaque ses associés

Fraude au président : 2 millions de dollars volés à un ancien employé de Lehman Brothers, une banque d’investissement multinationale.

Ce qui est bien avec le public dit « en col blanc » est qu’il n’écoute pas. On pourrait penser, à la suite des centaines de piratages médiatiques qu’une banque d’affaire, et donc ses employés, sont au fait de la sécurité informatique. Je les vois ses « stages » coutant des milliers d’euros de sensibilisation. Sensibilisations effectuées, dans la plupart des cas, par des gens qui ne connaissent du terrain numérique, que les heures de bureau qu’ils lui allouent.

Bref, normalement, un phishing et une fraude au président, cela ne doit plus exister chez nos banquiers. Le cas de Robert Millard, ancien codirigeant de la banque d’investissement multinationale Lehman Brothers a de quoi faire sourire. L’homme de « pouvoir » et « d’argent » a fait un virement de 1.938.000 dollars pour un achat d’appartement qu’il était en train d’orchestrer. Une jolie studette à 20 millions de dollars, à New York. Sauf que le virement a été effectué à destination d’un arnaqueur. L’escroc a piraté l’agence immobilière de Millard, son compte mail AOL et l’avocat en charge de son immobilier. Personne n’avait remarqué que le nom de l’avocat avait été mal orthographié.

Bilan, le « banquier » volé attaque en justice ce qu’il considère comme les coupables, ses anciens associés, afin de récupérer 200.000 dollars qu’il n’a pu retrouver.

Les agences immobilières sont aussi de belles cibles pour les pirates informatiques. Si vous êtes en train d’acquérir un bien, méfiez-vous de cette demande de changement d’adresse pour le virement bancaire. Je vous expliquais, en mars, comment les professionnels du FoVI, la fraude aux virements bancaires, visaient aussi les locataires de maison et d’appartements en faisant détourner les loyers.

Pendant ce temps…

… nous pourrions penser que les internautes sont maintenant habitués à ne plus cliquer sur n’importe quoi. Qu’ils ont entendu parler des ransomwares. Bref, ils se sont informés sur ces logiciels malveillants de rançonnage, ils sont donc sécurisés. A première vue… non ! Le département de la police de Newark, dans le New-Jersey s’est retrouvé fort dépourvu quand la bise numérique fut venue. Un ransomware activé et les machines des policiers prisent en otage. « Le service de police a indiqué  qu’il n’y avait aucune preuve d’une quelconque violation de données et que l’attaque n’a pas perturbé la prestation des services d’urgence aux citoyens« . Aucunes informations sur les informations chiffrées et à savoir si les données prises en otage ont été retrouvées.

Entreprise, Fuite de données, Mise à jour, Patch, Social engineering, Téléphonie

43 heures de communications pirates pour la Ville de Solignac

La commune de Solignac se fait pirater son standard téléphonique. Aucun employé ne s’était rendu compte du problème. L’opérateur va réagir après avoir découvert 43 heures de communications pirates durant le week-end de Pâques.

Que dire ? Les petites et moyennes communes ne prennent pas leur sécurité informatique au sérieux. Le silence est d’or, l’excuse du droit de réserve a bon dos… Le dos de l’argent et des données des contribuables s’envolant à coups de piratages, fuites de données, ransomwares, phreaking…

C’est d’ailleurs du phreaking, piratage dans la téléphonie, qui vient de toucher une commune de la région de Limoges. La Direction Générale de la mairie de Solignac a été alertée par l’opérateur Orange d’un étrange comportement de sa ligne téléphonique. Le pirate est un malin, 43 heures d’appels téléphoniques illicites sur le dos des finances de la ville, entre le samedi après-midi et la nuit du lundi au mardi du week-end de Pâques.

Les phreakers sont particulièrement bien organisés. Je peux en croiser, dans certains blackmarkets,  proposant ce type de service. Durant ces trois jours, 283 appels à destination de l’Azerbaïdjan, le Pakistan, le Liberia, la Somalie,  les Iles Falkland, les Maldives et Haïti. Bref, plusieurs dizaines de milliers d’euros envolés.

Du piratage de standard téléphonique qui n’est pourtant pas une nouveauté. Malheureusement, je croise trop de chefs de service aux égos surdimensionnés, aux titres ronflants et à l’incapacité de gérer l’informatique, la sécurité, ou simplement la communication sur ce type de méfait. Je ne parle même pas des budgets qui se réduisent comme peau de chagrin et des employés territoriaux devenus responsables informatiques par l’effet du Saint-Esprit (comprenez le piston). Je ne généralise pas, mais mes constatations me font dire que cela ne s’arrange pas. En novembre 2015, 43 000 € de détournement téléphonique au Conseil Départemental des Deux-Sévres ; 15 000 à la commune de Pessac, 15 000 pour la commune de Licques… et ici, je ne parle que des cas connus.

Communications pirates : ce que dit la loi

Pour les pirates, la loi est claire : piratage, escroquerie, … entre 5 et 7 ans de prison et jusqu’à 350000 euros d’amende. Pour l’entreprise impactée, il est dorénavant possible de se retourner contre le prestataire de service, l’entreprise qui a pris en charge l’installation du standard. Une jurisprudence condamne les intégrateurs dans la mesure où ces derniers n’ont pas informé et formé leurs clients.

Argent, Base de données, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Particuliers, Piratage, Sauvegarde, Social engineering

Porn Account : 270000 amateurs de pornos piratés

Un internaute a tenté de revendre les données de 270 000 amateurs de sites pornographiques dans le blackmarket. Le business du Porn Account pour les nuls !

Vous avez peut-être entendu à la radio et lu dans la presse généraliste ce piratage de données ayant visé 270 000 amateurs de sites pornographiques. Un piratage qui a débuté via l’attaque par injection SQL de plusieurs sites pour adultes appartenant au groupe Paper Street Media.

Le pirate a expliqué avoir contacté l’entreprise pour « discuter ». Soyons clair, il a tenté de leur soutirer de l’argent en proposant la faille qui lui a permis d’extraire les informations des clients (IP, mail, mots de passe…).

Paper Street Media n’a pas répondu dans le sens de l’internaute. Bilan, l’adolescent a mis en vente, dans le blackmarket, la base de données volée pour 360 euros. Pourquoi revendre les données dans le BM ? Tout simplement pour que les professionnels du porn account puissent sauter sur l’occasion.

Dans cette même boutique qui aurait servi au pirate à revendre cette base de données [je n’ai pas retrouvé le vendeur], d’autres « commerçants » proposent des accès « piratés » aux sites interdit au – de 18 ans de Paper Street Media pour 9 $. Je vous laisse faire l’addition. Nous sommes très très loin des 360 euros réclamés ! « Je peux me faire entre 300 et 500 dollars par semaine » m’indique un de ces vendeurs de Porn Account croisé dans une boutique spécialisée.

Un pirate russe revend des milliers de comptes du site Naughty America.

A noter que j’ai pu consulter [ci-dessus] un document diffusé par un autre pirate informatique. Ce dernier, il est russe, a mis la main sur 150 000 comptes clients du site pornographique Naughty America. Un injection SQL, une backdoor (shell) dans le serveur et les comptes clients ont fini dans les mains du pirate.

Pendant ce temps…

… le groupe hôtelier Trump est de nouveau piraté. Des logiciels d’espionnage ont été retrouvés dans les ordinateurs des hôtels Trump situés à New York, Toronto et Honolulu. Même type d’attaque vécue en juillet 2015. Cela donne une idée de la gestion de la sécurité informatique de ce groupe. Les pirates visaient les identités et les données bancaires.

En ce qui concerne les numéros de CB, pas besoin d’être intelligent pour comprendre l’intérêt. Achats de produits dématérialisés qui seront revendus moitié prix [blanchir l’argent détourné]… En ce qui concerne les informations dédiées aux identités : fraude bancaire [ouverture de compte], usurpation d’identité, …

backdoor, Base de données, cryptolocker, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Logiciels, Piratage, Social engineering, Virus

Une tentative de piratage oblige une entreprise de transport à fermer ses serveurs

L’autorité des transports publics australienne, qui gère trains, bus et ferries, a du fermer ses sites web et serveurs informatiques internes à la suite d’une tentative de piratage.

Une tentative de piratage a mis en panique totale l’autorité des transports publics australienne. Une tentative malveillante suffisamment sérieuse, à première vue, pour obliger la compagnie à fermer l’accès de l’intégralité de ses sites Internet et serveurs informatiques internes. Bilan, les clients ne pouvaient plus accéder aux informations liées aux bus, trains et bateaux. Les employés ne pouvaient plus utiliser leur compte mail. « Les lignes téléphoniques ne sont pas affectées » annonce la société sur son fil Twitter !

Base de données, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Justice, Leak, loi, Piratage, Sauvegarde, Social engineering

Une fausse société revendait des identifiants de connexion à des Chinois

Identifiants de connexion – Les identifiants et les mots de passe d’environ 18 millions d’utilisateurs d’Internet Japonais retrouvés dans un serveur mis en place par une fausse société. Elle revendait les connexions à des Chinois.

La Nicchu Shinsei Corp., basée dans le quartier de Toshima Ward de Tokyo semblait être une PME nippone comme toutes les autres. Sauf qu’elle fournissait à des Chinois des moyens de se connecter à Internet en usurpant les identités des clients originaire du pays du soleil levant.

La police locale a trouvé sur un serveur informatique de cette entreprise, pas moins de 18 millions de japonais piratés. Nicchu Shinsei Corp. fournissait un serveur de relais pour des accès illicites. 18 millions de données (ID, Mot de passe), ainsi que 1,78 millions de données Twitter, Rakuten… Le nombre de victimes dans cette affaire récente fait de ce piratage le plus grand cas de vol d’informations au Japon. Sur le serveur, un programme automatique tentait illégalement d’accéder aux espaces ainsi compromis.

Des pirates Chinois seraient derrière cette « installation ». Un piratage qui ressemble comme deux goutes d’eau à celui vécu, en 2014. Ici aussi, une autre société avait permis d’intercepter 5.928.290 millions de données personnelles. (Japan News)

Cloud, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, ID, Identité numérique, Leak, Mise à jour, Particuliers, Phishing, Piratage, Social engineering

Partage de fichiers et phishing

Le partage de fichiers devient le service le plus ciblé par le phishing. Près d’une URL malveillante sur cinq utilise un service de partage de fichiers.

Le phishing via les services de partage de fichiers a explosé au cours des trois derniers mois, classant ainsi les services Cloud de distribution de fichiers en tête de liste des secteurs les plus ciblés par des actions malveillantes, selon une étude de Bitdefender.

À l’échelle mondiale, le partage de fichiers est davantage utilisé pour propager les arnaques de phishing que les achats en ligne et les services de paiement, qui sont les couvertures traditionnellement favorisées par les hackers. Près d’une URL malveillante sur cinq utilise un service de partage de fichiers pour infecter les utilisateurs avec des malwares, comme le montrent ces dernières données Bitdefender.

Le manque d’innovation de cette technique est compensé par sa facilité d’utilisation et la popularité des services de partage de fichiers entre particuliers. L’an dernier, Dropbox a atteint la barre des 400 millions d’utilisateurs ayant stocké 35 milliards de fichiers Microsoft Office, tandis que Google Drive en hébergeait 190 millions en 2014.

Il est également important de noter que les services de partage de fichiers et de stockage dans le Cloud ne disposent pas des fonctions de sécurité pour filtrer les contenus illicites. Les pirates profitent de cette lacune pour dissimuler leurs fichiers infectés par des malwares, sans laisser de trace.

Par exemple, Dropbox n’examine pas les fichiers détenus dans les dossiers privés des utilisateurs. Cependant, ce service a réussi à mettre en place un système basé sur le hachage qui reconnaît le contenu protégé par des droits d’auteur. Cela permet de générer automatiquement une empreinte pour les fichiers stockés. Celle-ci est ensuite comparée avec une liste des empreintes de fichiers protégés par un copyright et les contenus sont bloqués uniquement si les utilisateurs essaient de les partager avec des contacts externes. Sans grande surprise, Dropbox se place au 4e rang des marques les plus usurpées, après PayPal, Apple et Google.

Une attaque typique suit globalement ce procédé : l’utilisateur reçoit un e-mail en apparence authentique, l’invitant à cliquer sur un lien intégré afin d’afficher un document en pièce jointe. Ce lien redirige l’utilisateur vers une page de phishing hébergée sur le nom de domaine du fournisseur. La page en question demande les informations d’identification de l’utilisateur, puis les capture pour envoyer ces données aux cybercriminels via un SSL. Si les certificats SSL s’assurent que les données sur un site Web sont présentées de manière sécurisée, ils ne garantissent pas que le site lui-même soit sécurisé. C’est pourquoi les pirates en profitent : ils achètent des certificats SSL bon marché et les utilisent sur des sites de phishing pour se faire passer pour des sites légitimes.

En général, les cybercriminels ne se limitent pas à vouloir dérober uniquement de simples identifiants de service de stockage en ligne ; les URL malveillantes peuvent, par exemple, pousser les utilisateurs à télécharger des crypto-ransomwares à leur insu. Dans ce cas, les conséquences sont beaucoup plus graves car les nouvelles générations de ransomwares peuvent prendre le contrôle des fichiers stockés par ces services d’hébergement en ligne. La plupart des sites de phishing sont hébergés aux États-Unis.

« Le phishing reste un vecteur d’attaque très efficace, responsable d’une part de plus en plus élevée d’incidents provoquant des fuites de données, touchant aussi bien les particuliers que les entreprises », déclare Bogdan Botezatu, Analyste Senior chez Bitdefender. Le phishing est une technique encore très efficace et dont la proportion connaît des niveaux sans précédent comme l’a récemment souligné l’IRS (Internal Revenue Service) aux États-Unis avec une augmentation de +400% d’e-mails et de messages faussement légitimes, envoyés en 2015.

Si un employé est victime d’un e-mail de phishing, il peut compromettre à son insu l’ensemble du réseau de l’entreprise, y compris les comptes bancaires, mots de passe du système informatique et identifiants professionnels. Le spear-phishing (phishing personnalisé visant un utilisateur) est efficace parce qu’il est crédible. C’est pourquoi il est conseillé aux utilisateurs d’éviter de trop partager leurs données personnelles sur les plates-formes publiques et de ne pas ouvrir de liens et de fichiers provenant de sources inconnues.

Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Paiement en ligne, ransomware, Social engineering

Quand le ver est dans la pomme : comment se protéger des ransomwares ?

Les utilisateurs Mac ne sont plus aussi sereins en ce qui concerne la sécurité de leurs données : la première attaque de ransomwares ciblant des terminaux Apple vient d’être répertoriée, confirmant la fin du mythe selon lequel les dispositifs de la célèbre enseigne à la pomme seraient épargnés par le fléau des cyber-attaques.

Bien qu’Apple ait pu identifier rapidement l’origine de l’infection et enrayer sa propagation, les entreprises prennent conscience de la multiplication des risques liés aux nombreux modèles de terminaux accédant à leur système d’information, créant par ce biais autant de nouvelles failles et potentielles vulnérabilités qui ne peuvent pas être ignorées.

Parmi les solutions proposées, la mise à jour des applications – et notamment celle incriminée dans le cadre de ce ransomware – est la première et la plus importante des étapes. Cette première ″cyber-extorsion″ à grande échelle témoigne de la sophistication et de l’accélération de la propagation de ransomware, affectant aussi bien les grandes que les petites entreprises. En général, le ransomware se propage par le biais d’emails d’hameçonnage contenant des pièces jointes corrompues, mais les téléchargements involontaires depuis des sites web ou des logiciels infectés peuvent également lui permettre de s’infiltrer dans le système, comme le prouve la récente attaque sur les périphériques Mac.

Les Mac étaient autrefois considérés comme étant immunisés contre les cyber-attaques, mais la croissance d’Apple au sein des entreprises a transformé les utilisateurs de Mac en une cible toute aussi intéressante que leurs homologues sur PC. La gestion des patchs reste l’un des moyens les plus efficaces de lutter contre les cyber-attaques, y compris dans le cadre de rançongiciels basés sur des programmes de chiffrement appelés ″cryptoransomware″. La mise à jour des correctifs permet en effet de réduire les vulnérabilités connues des logiciels et des réseaux, et ainsi de minimiser les zones d’intervention potentielles des cybercriminels.

Pour se protéger des ransomwares, au même titre que d’autres types de cyber-menaces, les entreprises doivent placer la gestion des patchs comme l’une des priorités de leur stratégie de sécurité, pour contrôler  à la fois les systèmes d’exploitation, Microsoft Office, les applications Adobe, les navigateurs web et les plug-ins de navigation. Grâce à des plateformes centralisées, incluant souvent des fonctionnalités d’automatisation, les entreprises sont aujourd’hui capables de répondre au défi de la multiplication des terminaux en leur sein et d’assurer ainsi la protection de leur système d’information – quels que soient les terminaux utilisés par leurs collaborateurs ou tiers. C’est uniquement à ce prix que les données peuvent être réellement protégées et que  la réputation de l’entreprise peut être préservée. (Par Benjamin DeRose, Directeur des Ventes SEMEA chez HEAT Software)