Archives de catégorie : Chiffrement

BYOD, Chiffrement, cryptage, Cybersécurité, Entreprise, ID, Identité numérique, IOT, Particuliers, Vie privée

Internet des objets : les risques de la maison connectée

En examinant un échantillon aléatoire des plus récents produits issus de l’Internet des objets (IoT), les chercheurs de Kaspersky Lab ont découvert de sérieuses menaces pour la maison connectée. En effet, de nombreux objets connectés présentent des vulnérabilités importantes, à l’instar de cafetières divulguant les mots de passe Wi-Fi de leurs propriétaires (comme nous vous le révélions il y a 3 semaines, NDR), de baby phones facilement piratables ou encore de systèmes de sécurité domestique commandé par smartphone et pouvant être leurrés au moyen d’aimants.

En 2014, lorsque David Jacoby, expert en sécurité chez Kaspersky Lab, avait décidé de tester le niveau de vulnérabilité des équipements connectés de sa maison en cas de cyberattaque, il avait alors découvert que la quasi-totalité d’entre eux étaient vulnérables. A la suite de ce constat, en 2015, une équipe d’experts antimalware a réitéré l’expérience, à une légère différence près : alors que Jacoby avait concentré ses recherches principalement sur les serveurs, routeurs et téléviseurs connectés au réseau, cette nouvelle étude s’est intéressée aux divers équipements connectés disponibles sur le marché de la domotique.

Domotique : quels dangers les objets connectés représentent-ils ?
Pour mener l’expérience, l’équipe a testé une clé USB de streaming vidéo, une caméra IP, une cafetière et un système de sécurité domestique, les trois derniers étant commandés par smartphone. Des expériences réalisées dans plusieurs salons et hackfests que l’éditeur d’antivirus a repris à son compte pour cette étude.

Grâce à une connexion au réseau du propriétaire, le piratage de la caméra du baby phone a permis de se connecter à l’appareil, d’en visionner les images et d’activer le circuit audio. Notons également que d’autres caméras du même fabricant ont également servi à pirater les mots de passe du propriétaire. L’expérience a également démontré qu’il était également possible pour un pirate se trouvant sur le même réseau de récupérer le mot de passe maître de la caméra et de modifier son firmware à des fins malveillantes.

En ce qui concerne les cafetières pilotées par une application mobile, il n’est même pas nécessaire que le pirate se trouve sur le même réseau que sa victime. La cafetière examinée au cours de l’expérience a envoyé des informations suffisamment peu cryptées pour qu’un pirate découvre le mot de passe donnant accès à l’ensemble du réseau Wi-Fi de son propriétaire.

Enfin, lorsque les chercheurs de Kaspersky Lab ont étudié le système de sécurité domestique commandé par smartphone, ils ont pu constater que son logiciel ne présentait que quelques problèmes mineurs et était assez sécurisé pour résister à une cyberattaque.

Une vulnérabilité a cependant été découverte dans l’un des capteurs utilisé par le système : le fonctionnement du capteur de contact, destiné à déclencher l’alarme en cas de l’ouverture d’une porte ou d’une fenêtre, repose sur la détection d’un champ magnétique créé par un aimant monté sur le châssis. Concrètement, l’ouverture fait disparaître le champ magnétique, amenant le capteur à envoyer des messages d’alarme au système. Toutefois, si le champ magnétique est maintenu, l’alarme ne se déclenche pas.

Pendant l’expérience menée sur le système de sécurité domestique, les experts de Kaspersky Lab sont parvenus, au moyen d’un simple aimant, à remplacer le champ magnétique de l’aimant fixé sur la fenêtre, ce qui leur a permis d’ouvrir et de refermer celle-ci sans déclencher l’alarme. Le problème dans cette vulnérabilité est qu’elle est impossible à corriger par une mise à jour logicielle : elle tient à la conception même du système. Mais le plus préoccupant réside dans le fait que ces équipements sont couramment employés par de nombreux systèmes de sécurité sur le marché.

« Heureusement notre expérience montre que les fabricants prennent en compte la cyber sécurité lors du développement de leurs équipements pour l’Internet des objets. Néanmoins, tout objet connecté commandé par une application mobile est quasi certain de présenter au moins un problème de sécurité. Des criminels peuvent ainsi exploiter plusieurs de ces problèmes simultanément, raison pour laquelle il est essentiel pour les fabricants de les résoudre tous, y compris ceux qui ne paraissent pas critiques. Ces vulnérabilités doivent être corrigées avant même la commercialisation du produit car il est parfois bien plus difficile d’y remédier une fois que des milliers d’utilisateurs en ont fait l’acquisition », souligne à DataSecurityBreach.fr Victor Alyushin, chercheur en sécurité chez Kaspersky Lab.

Afin d’aider les utilisateurs à protéger leur cadre de vie et leurs proches contre les risques liés aux vulnérabilités des équipements IoT au sein de la maison connectée, voici quelques conseils élémentaires :

1. Avant d’acheter un équipement IoT quel qu’il soit, recherchez sur Internet s’il présente des vulnérabilités connues. L’Internet des objets est un sujet brûlant et de nombreux chercheurs se spécialisent dans la recherche de problèmes de sécurité de tous types de produits, qu’il s’agisse de baby phone ou d’armes à feu connectées. Il y a de fortes chances que l’objet que vous vous apprêtez à acheter ait déjà été examiné par des experts en sécurité et il est possible de savoir si les problèmes éventuellement détectés ont été corrigés.

2. Il n’est pas toujours judicieux d’acheter les produits le plus récents qui sont disponibles sur le marché. Outre les défauts habituels des nouveaux produits, ils risquent de receler des failles de sécurité qui n’ont pas encore été découvertes par les chercheurs. Le mieux est donc de privilégier des produits qui ont déjà eu plusieurs mises à jour de leur logiciel.

3. Si votre domicile renferme de nombreux objets de valeur, il est sans doute préférable d’opter pour un système d’alarme professionnel, en remplacement ou en complément de votre système existant commandé par smartphone, ou bien de configurer ce dernier afin d’éviter que toute vulnérabilité potentielle n’ait une incidence sur son fonctionnement. S’il s’agit d’un appareil appelé à collecter des informations sur votre vie personnelle et celle de vos proches, à l’instar d’un baby phone, mieux vaut peut-être vous tourner vers le modèle radio le plus simple du marché, uniquement capable de transmettre un signal audio, sans connexion Internet. Si cela n’est pas possible, alors reportez-vous à notre conseil n°1.

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Paiement en ligne, Patch, Propriété Industrielle

10 règles à respecter pour sécuriser l’informatique de votre PME

Si le numérique a envahi l’essentiel des espaces professionnels, la sécurité n’est pas suffisamment prise en compte par les PME.

Avec l’explosion des usages, de nouveaux risques sont apparus : indisponibilité de l’informatique, vol et destruction des données, espionnage industriel (fichiers clients, contrats, projets en cours…), escroqueries financières, sabotage de sites d’e-commerce…Des données sensibles sont dérobées lors d’intrusions informatiques ou subtilisées avec le vol d’un smartphone, d’une tablette ou d’un ordinateur portable.

Les conséquences peuvent être lourdes, de l’atteinte à l’image jusqu’à la faillite, en passant par des pertes de clientèle. La complexité des menaces, le coût élevé, le manque de temps et de personnel dédié sont les arguments les plus souvent invoqués pour justifier le manque d’intérêt pour renforcer la sécurité informatique dans les PME.

Pourtant, ces risques peuvent être considérablement réduits par un ensemble de bonnes pratiques, peu onéreuses et faciles à implémenter. « Mieux prévenir que guérir »… La sensibilisation des collaborateurs de l’entreprise aux bonnes pratiques informatiques est essentielle et circonscrit largement les dangers. Parmi les règles à respecter pour sécuriser l’informatique des PME, nous en avons retenu 10 :

Imposer des règles pour les mots de passe
Outil d’authentification permettant d’accéder à ses données ou à ses équipements numériques, il constitue une mesure de sécurité évidente. Plus un mot de passe est long et se compose de caractères différents, plus il sera difficile à cracker, notamment par des outils automatisés. Certaines bonnes pratiques augmentent de manière exponentielle son efficacité :Définissez les règles de choix et de longueur des mots de passe, rappelez régulièrement aux collaborateurs de ne pas conserver les mots de passe dans des fichiers présents dans le système informatique, modifiez ou renouvelez les moyens d’authentification proposés par défaut sur les équipements ou par les services divers, changez les mots de passe régulièrement.

Créer une séparation entre usages professionnels et personnels
Il est courant aujourd’hui d’utiliser des outils « pro » à des fins privés et vice-versa. Ces pratiques de plus en plus répandues dans les PME posent de vrais problèmes en matière de sécurité des données. Ceci augmente considérablement les risques de d’intrusion ou de vol. Dans ce contexte : Ne faites pas suivre vos messages électroniques professionnels sur des services de messagerie utilisés à des fins personnelles, n’hébergez pas de données professionnelles sur les équipements personnels ou sur les services de stockage en ligne personnels, et vice-versa.

Analyser régulièrement ses infrastructures
Avant d’enregistrer le contenu d’un support USB sur un ordinateur, prenez le temps de l’analyser avec un anti-virus … On ne sait jamais ! Ce geste simple et basique est souvent négligé et permet de protéger votre ordinateur des programmes malveillants pouvant endommager vos logiciels et mener à la perte partielle ou totale de données.

Mettre en place des sauvegardes automatiques régulières
Ne misez pas sur la discipline de chacun pour gérer ses sauvegardes ni sur un système manuel pour les sauvegardes du système d’information. L’automatisation et le monitoring sont seuls vrais garants de la sécurité.

Utiliser des solutions de sécurité
Durcissez la configuration des ordinateurs et utilisez des solutions de sécurité éprouvées (pare-feu, antivirus, etc.). Ces moyens de sécurité sont indispensables pour protéger vos outils informatiques de divers programmes malveillants. Ils bloquent le contenu et les accès dont la source ne peut être vérifiée et protègent vos données des intrusions.

Protéger les données lors des déplacements
L’utilisation des équipements nomades (smartphone, ordinateur portable, tablette) facilite les déplacements professionnels, le transport et l’échange des données. En revanche, en cas de perte ou de vol de l’appareil, l’activité de l’entreprise peut être sérieusement mise en péril. Pendant vos déplacements, n’emportez que les données nécessaires à la mission en mode déconnecté. Le reste vous attend au bureau et vous pouvez y accéder à distance en toute sécurité !

Monitorer son système
Faites surveiller votre système, notamment en utilisant les journaux d’évènements, pour réagir aux actions suspectes (connexions hors des horaires habituels, transferts massif de données…). Déterminer les droits d’utilisation en créant des comptes « administrateur » et « utilisateur » et protéger l’accès aux modifications importantes du système informatique. De même, le système d’information doit avoir des droits d’accès bien définis en fonction du profil de chaque utilisateur.

Télécharger les logiciels officiels
Téléchargez vos logiciels sur les sites officiels des éditeurs. Avant l’installation désactivez les cases proposant d’installer des logiciels complémentaires et l’ouverture automatique des documents téléchargés. Une fois téléchargés, avant toute chose, effectuez une analyse antivirus. Chaque système d’exploitation, application ou logiciel contient des vulnérabilités. Découvertes, elles sont corrigées dans les mises à jour de sécurité qu’il est nécessaire d’installer. De nombreux utilisateurs n’effectuent pas ces mises à jour : les failles sont ensuite exploitées par des personnes malveillantes. La solution la plus simple est de mettre en place des mises à jour régulières et automatiques. Vous gagnerez en productivité par la délégation de ces tâches chronophages. Vous pouvez aussi faire appel à un service professionnel qui gèrera l’ensemble de vos mises à jour de façon automatique et sécurisée.

Rédiger une charte informatique
Rédigez une charte informatique pour déterminer les droits et les obligations d’utilisation du système informatique pour cadrer le comportement des utilisateurs et prévenir les abus.

Désigner un référent
Choisissez un référent pour l’informatique dans votre PME qui est sensible aux enjeux de la sécurité. La cybersécurité peut aller encore plus loin. Face à la complexité des menaces, chaque entreprise a intérêt à se doter d’une politique de sécurisation de ses systèmes d’information. Déployée par un professionnel, une politique de cybersécurité peut même devenir un facteur de productivité, de compétitivité et de croissance pour les PME. En attendant, éteignez votre ordinateur pendant les périodes d’inactivité prolongée (nuit, weekend, vacances,…), cela aussi réduit les risques ! (par Pedro Sousa, pdg de Plenium)

Argent, Biométrie, Chiffrement, cryptage, Cybersécurité, Entreprise, Particuliers, Sécurité, Smartphone

L’iris comme mot de passe pour retirer de l’argent

Le groupe bancaire américain CitiGroup teste des distributeurs de billets proposant le contrôle du client par l’iris.

La société bancaire Citigroup vient de lancer un test géant d’un système de biométrie équipant ses distributeurs de billets. Mission, plus de mot de passe à taper, mais montrer ses yeux, et plus précisément son iris pour être identifié. Une technologie proposée par Diebold.

Comme l’indique le Wall Street Journal, une sécurité plus fiable que l’empreinte digitale. Deux machines sont testées à New-York. Il faut posséder un téléphone portable et l’application de Citigroup. Une fois votre iris validé par votre téléphone, un QR code apparaît à l’écran de l’appareil qu’il faut ensuite présenter au distributeur de billets. Une technologie qui semble lourde pour quelques billets, mais qui ne réclame plus de cartes bancaires, de code à taper, … Elle a été baptisée Irving.

La seconde technologie, Janus, rajoute une communication d’information par courriel et/ou SMS. Pour rappel, Diebold propose aussi des urnes informatiques pour les élections… qui ont été montrées du doigt, en 2008, suite à des problèmes de sécurité.

https://www.youtube.com/watch?v=awIM_M00tSA

Chiffrement, cryptage, Cybersécurité, Logiciels, NFC, RFID

Montre connectée, outil involontaire pour pirates

Pirater une montre connectée Fitbit en 10 secondes permet ensuite de transformer la tocante en complice involontaire d’actes malveillants.

Des ingénieurs de Fortinet ont annoncé, il y a quelques jours, avoir trouvé le moyen de pertuerber et pirater les objets connectés de la marque Fitbit. Un piratage possible en 10 secondes. Les montres sont ensuite transformées en diffuseurs de malveillances. La chercheuse Axelle Apvrille a expliqué que trop d’objets connectés sont totalement exsangue de sécurité. Une lapalissade tant l’alerte est lancée depuis des mois. Il faut cependant que les « connectés » soient totalement ouverts par leurs utilisateurs. Et dans ce cas aussi, les fabricants devraient avoir l’obligation d’information concrètement leurs clients sur les danger d’une trop grande ouverture sur le monde connecté. Surtout que pour le cas de la Fitbit, il suffit d’être dans la zone Bluetooth d’un bracelet et lui injecter le code malveillant en proposant un téléchargement « amical ». Fitbit, alerté en mars 2015, n’avait toujours pas corrigé 8 mois plus tard. Dangereux ou simple effet d’annonce d’une société qui cherche la communication facile ? A vous de voir ! L’Etat américain d’Alaska vient d’équiper 5.000 élèves des écoles primaires avec ce genre de matériel.

backdoor, Chiffrement, cryptage, Cybersécurité, Mise à jour

Vulnérabilité de la porte de garage: le code radio de milliers de télécommandes a été piraté

Des moyens parfois simples permettent aux cambrioleurs de gagner un accès inaperçu aux garages et aux immeubles d’habitation. La Police préconise une vérification des télécommandes et un remplacement des appareils peu sûrs le plus rapidement possible.

Avec les jours qui commencent à raccourcir, le nombre de cambriolages augmente rapidement. De plus en plus souvent, les cambrioleurs profitent d’une faille de sécurité jusque-là sous-estimée. Le signal d’ouverture de nombreuses télécommandes de portes de garage peut être intercepté dans un rayon de 100 mètres de l’émetteur [lire]. Quiconque connaît l’astuce peut très facilement utiliser une télécommande clonée pour ouvrir la porte du garage et entrer dans la maison. Cette méthode fonctionne surtout sur des systèmes plus anciens, équipé d’un code dit KeeLoq Rolling. Certes, le cryptage de ces émetteurs change certes à chaque fois, pas de manière arbitraire, mais bien prévisible. Selon la police, cette méthode a été décryptée il y a déjà plusieurs années. Différents codes de fabricant sont maintenant proposés par les pirates sur des sites Internet pertinents.

Par conséquent, la police préconise aux propriétaires de vérifier si leur télécommande est concernée par ce problème. Le cas échéant, le système devra être remplacé. Des alternatives sûres existent pour cela. Chamberlain, le leader mondial des automatismes de portail, a développé déjà en 2000 sa propre technologie de commande et de cryptage. Depuis 2013, toutes les unités sont équipées de systèmes de cryptage brevetés qui vont bien au-delà du niveau des modèles habituels commercialisés. Une adaptation ultérieure d’anciens systèmes de commande vers un modèle à haute fréquence n’est pas possible en règle générale. En cas de doute, il faut procéder à un remplacement du moteur y compris le récepteur et la télécommande. Des moteurs de porte de garage à haute sécurité sont disponibles pour moins de 200 euros. Au vu d’un éventuel scénario de dommages, cet investissement est tout à fait raisonnable. En outre, grâce au moteur bloquant l’ouverture, les portes de garage motorisées contribuent généralement à une protection optimale contre les cambriolages.

En juin 2015, DataSecurityBreach.fr vous expliquait comment un jouet Mattel, légèrement modifié, permettait de pirater et ouvrir des portes de garages !

Base de données, Bitcoin, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Justice, Leak, Piratage

Piratage : 4 millions de clients du FAI TalkTalk dans la nature

Une faille de type injection SQL a permis à un pirate informatique de mettre la main sur 4 millions de clients du Fournisseur d’Accès à Internet TalkTalk. Il réclamait plus de 100 000 euros pour son silence.

Le Fournisseur d’Accès à Internet (FAI) britannique TalkTalk a confirmé qu’un pirate informatique était passé dans ses entrailles numériques. Une injection SQL aurait donné accès  à des données clients. Quatre millions de fiches clients ont été, dans le meilleur des cas lus, dans le pire copiés. Il est possible que les renseignements personnels, y compris les coordonnées bancaires, ont été dérobés. Les serveurs de l’entreprise ont été fermés durant plus de 24 heures, le temps que les autorités compétentes face les constatations d’usages, ainsi que des copies afin de remonter aux traces laissées (ou pas) par l’intrus.

Le FAI a admis que « malheureusement » il y avait une «chance» que certaines données clients, les noms des abonnés, les adresses, dates de naissance, numéros de téléphone, adresses e-mail, informations de compte bancaire et numéros de cartes de crédit ont pu être consultés par des pirates. Le pirate a réclamé 80 000 livres sterlings, soit plus de 110 000 euros contre son silence.

BYOD, Chiffrement, Cloud, cryptage, cryptolocker, Cyber-attaque, Cybersécurité, Entreprise, Piratage

Ransomware pour des produits VMware

L’attaque informatique à l’encontre de deux produits VMware revient sur le devant de la scène numérique. Un pirate réclame 1200€ pour rendre les fichiers chiffrés par son ransomware.

Deux outils signés VMware, vCenter et ESXi, sont attaqués depuis quelques semaines par un ransomware qui, à la différence sur PC ou smartphone Android, ne chiffre pas les informations rencontrées. Les données sont effacées après avoir été copiées par le malveillant. « Je veux juste vous dire que votre serveur a été piraté. Votre protection était complètement horrible, indique l’intrus, Si vous voulez obtenir la sauvegarde de vos machines virtuelles, vous devez nous envoyer un montant de 5 BTC« .

Le pirate réclame 1.200 euros pour permettre aux victimes de récupérer leurs biens pris en otage. 5 bitcoins par VM touchés ! Une attaque qui vise d’anciennes versions de Esxi (5.0 à 5.5) et vCenter Server (5.0 à 6.0). Mise à jour obligatoire.

Le pirate, derriére cette malveillance, semble être russe, c’est du moins ce qu’indique son pseudo Russian guardians. Ce dernier termine son message par un avertissement « Nous allons vendre les machines virtuelles à d’autres personnes si nous ne recevons pas les Bitcoins réclamés« . Les otages ont deux semaines pour payer. Les premières attaques sont apparues en juin 2015. Elles viennent de retrouver un certains regain en cette fin octobre. (BlogMotion)

Chiffrement, cryptage, Cybersécurité, santé

Sécurité informatique & Santé

La 4ème édition du Congrès National SSI Santé se tiendra au Mans, du 4 au 6 avril 2016.

Rendez-vous incontournable de la sécurité des systèmes d’information de santé, le Congrès National de la Sécurité des SI de Santé est une occasion unique de faire le point sur les enjeux de sécurité numérique tant au niveau du partage des données médicales (DMP, e-santé, m-santé, big data…) que de la protection des systèmes d’information de santé au sein des établissements.

L’APSISS, l’Association pour la Sécurité des Systèmes d’Information de Santé, annonce la quatrième édition du Congrès National de la Sécurité des SI de Santé (CNSSIS), du 4 au 6 avril 2016 au Mans. Réunissant l’écosystème SSI Santé, Directeurs généraux, institutionnels, DSI, RSSI, médecins, experts, constructeurs et éditeurs, le CNSSIS 2016 accueillera de nombreuses conférences et tables rondes autour des enjeux de la sécurité numérique au sein de la filière santé.

« Les problématiques de sécurité numérique en santé sont de plus en plus prégnantes. Avec l’ouverture de l’hôpital vers la médecine de ville, le renouveau du DMP ou encore les innovations rapides en matière de e-santé et m-santé, il devient essentiel de maîtriser la protection des données médicales, des applications et des systèmes tout au long du parcours du patient désormais connecté et acteur de sa santé », souligne à DataSecurityBreach.fr Vincent Trely, Président de l’APSSIS. « Le CNSSIS est le rendez-vous annuel stratégique pour les différents acteurs de la sécurité numérique en santé. Ils viennent y confronter leur vision, partager leurs bonnes pratiques et envisager ensemble les bases nouvelles de la sécurité numérique de demain ».

20 conférences et tables-rondes pour partager, débattre et faire avancer la sécurité des SSI Santé, parmi lesquelles :

Vision prospective de la santé à l’ère du big data et de ses premières applications par le Professeur Guy Vallancien, auteur du très remarqué « La Médecine sans médecin ? ». Il évoquera la médecine « prochaine génération », où cohabiteront patients, médecins et soignants, objets communicants, applications et intelligence artificielle.

L’échange institutionnel réunira tous les acteurs, avec les interventions de Philippe Loudenot, FSSI pour les ministères chargés des Affaires sociales et de Jean-François Parguet, Directeur du Pôle Technique et Sécurité de l’ASIP Santé.

Témoignages : Qui sont les Référents SSI nommés dans le cadre du programme Hôpital Numérique ? Comment travaillent-ils ? Et comment les instances nationales et régionales peuvent-elles apporter leur meilleur support ? Les GCS D-SISIF, e-Santé Pays de Loire et Alsace e-santé partageront une synthèse des actions de terrain, avec des reculs variant de 12 à 36 mois.

« Upgrade juridique », conduit en duo par Maître Omar Yahia et Maître Pierre Desmarais. Il sera question des responsabilités du RSSI, des GHT et de l’hébergement des données de santé.

Les partenaires de l’édition 2016 interviendront également sur le thème de la gestion des risques numériques et de la sécurité. Parmi les 10 partenaires du CNSSIS 2016 : Hewlett-Packard, Advens, Enovacom, l’ASINHPA (L’Association des Structures d’Informatique Hospitalière Publiques Autonomes), l’assureur américain Beazley…

La soirée de gala APSSIS-ASINHPA-DSIH du lundi et la soirée spéciale sur le circuit des 24 heures du Mans constitueront des temps forts de l’événement où se retrouveront tous les participants et acteurs du Congrès.

BYOD, Chiffrement, cryptage, Cybersécurité, Entreprise, Sauvegarde

Votre photocopieur cache-t-il un pirate ?

L’intrusion informatique ne se fait pas que par un site Internet, via un serveur. Les pirates peuvent aussi s’inviter dans votre entreprise via la gestion de la climatisation, comme pour Target, ou encore via votre photocopieur connecté.

Les nombreux points de contact électroniques qui jalonnent le cycle de vie d’un document multiplient également les risques de sécurité. Chaque fois qu’un document est copié, scanné, imprimé, faxé ou envoyé par e-mail, il peut être soit accidentellement exposé ou intentionnellement compromis, entraînant des coûts organisationnels et des sanctions pécuniaires conséquents. L’un des appareils les plus vulnérables face à la fuite des données est le copieur numérique ou « périphérique multifonction », qui intègre parfois un disque dur ainsi qu’un micro logiciel et communique avec les autres systèmes du réseau. Bien qu’ils facilitent la vie tant professionnelle que personnelle, ces équipements de bureau constituent également un risque de divulgation des données.

Nuance vient de proposer 9 points de vulnérabilité pouvant viser votre réseau. Les pirates informatiques peuvent infiltrer votre organisation via vos copieurs et autreses imprimantes multifonctions que vous utilisez tous les jours. Ils dotés de disques durs, de systèmes d’exploitation et de plusieurs moyens de communiquer à l’intérieur et à l’extérieur de votre entreprise (wifi, réseau câblé, téléphone…). Des équipements qui doivent être intégrés au plan de sécurité.

Voilà quelques pratiques qui rendent votre infrastructure vulnérable :
N’importe qui peut récupérer des documents dans les bacs de vos imprimantes et multifonctions
N’importe qui peut consulter des impressions contenant des informations sensibles sur vos clients ou vos employés
L’utilisation de vos multifonctions de réseau se fait sans identification ni authentification
Vos multifonctions de réseau permettent l’envoi de documents vers n’importe quelle destination
N’importe qui peut récupérer des documents dans les bacs de réception de vos télécopieurs
N’importe qui peut faxer des documents, sans contrôle ni suivi
Vos visiteurs peuvent utiliser vos multifonctions sans aucune restriction
Les opérations réalisées sur vos multifonctions ne font l’objet d’aucun enregistrement ni audit
Les documents numérisés sur vos multifonctions ne sont pas chiffrés

Si une ou plusieurs de ces pratiques sont en vigueur dans votre société, DataSecurityBreach.fr vous conseil d’agir au plus vite.

Argent, Base de données, Chiffrement, Contrefaçon, cryptage, Cybersécurité, Entreprise, ID, Identité numérique, Particuliers, Social engineering

Le réveil de la force : des données appartenant à des joueurs d’Electronic Arts dans la nature

Piratage ? Fuite de données ? Phishing ? Plusieurs centaines de données appartenant à des joueurs de produits édités par Electronic Arts diffusés sur la toile.

Pour le moment, impossible de savoir d’ou proviennent les données diffusés sur Pastebin. Dans les fichiers mis en ligne, des informations appartenant à des joueurs de produits vidéo ludique proposé par l’éditeur Electronic Arts. Tout est possible : piratage d’ordinateurs de joueurs ; phishing ; Fuite de données internes. Avec le « buzz » autour du jeu star Wars Battlefront, les pirates ont les dents acérées et les griffes sorties. EA est une cible, comme les autres éditeurs de jeux vidéo. D’abord par une population de pirates, professionnels de la contrefaçon, visant les serveurs et espérant ainsi mettre la main sur des nouveautés, avant leur sortie (le cas le plus parlant fût celui de Sony Picture et des films stockés sur un serveur, 6 mois avant leur sortie en salle, NDR). Le vol de comptes de joueurs et autres données, pouvant être bancaires, attirent la force obscure de certains internautes. EA a Confirmé un problème interne et a proposé aux « clients » impactés de modifier leur mot de passe. Avoir accès à un compte permet aussi de jouer au jeu téléchargé, voir de revendre le compte,  afin d’en tirer des euros sonnants et trébuchants.