Archives de catégorie : Fuite de données

Chiffrement, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données, Leak, Piratage, Propriété Industrielle, Sauvegarde

ErsatzPasswords : un système qui bloque les pirates ?

Des chercheurs annoncent avoir trouvé une méthode pour bloquer les pirates face à une base de données volées. Ils vont présenter Ersatz Passwords, un outil qui empêcherait de mettre la main sur les données sensibles des BDD dérobées.

Une équipe de chercheurs (Christopher N. Gutierrez, Mikhail J. Atallah et Eugene H. Spafford) a développé un système qui doit rendre beaucoup plus difficile la lecture des mots de passe trouvés dans une base de données piratée.

Pour Mohammed H. Almeshekah, un des doctorants de l’Université Purdue (USA), cette méthode fournira tellement de leurres dans la BDD volée que les pirates ne pourront rien faire des informations qu’ils auront pu intercepter (Doc PDF).

Le système rajoute de fausses informations. Sans le support physique, impossible de connaitre les bons mots de passe.

Bref, les injections SQL ont encore, malheureusement, de l’avenir, mais la lecture des contenus volés s’annoncent plus compliquée. ErsatzPasswords rajoute une nouvelle étape dans le hashage des mots de passe (MD5, …) contenus dans les BDD.

Avant qu’un mot de passe soit chiffré, le « précieux » est sécurisé via un matériel précis, comme une clé USB par exemple. Bilan, si un pirate met la main sur les mots de passe, il tentera de les retrouver via un outil en ligne comme Crack MD Online ou des logiciels dédiés, comme John the ripper.

Seulement, ErsatzPasswords aura modifié ces précieuses informations qui deviendront inutilisables sans la clé USB. Côté serveur, le système semble assez facile à installer. D’ailleurs le code est disponible sur GitHub. Il est gratuit et est publié sous une licence open-source. Ce système sera présenté, début juin à Los Angeles lors de l’Annual Computer Security Application Conference (ACSAC).

Argent, Banque, Cybersécurité, Entreprise, Fuite de données, Justice, Paiement en ligne, Particuliers, Phishing, Social engineering

Piratage de cartes de crédit prépayées

La justice belge enquête sur une fraude à la carte bancaire prépayée. Plusieurs centaines de cas déjà référencés.

Une faille a-t-elle était découverte dans les cartes de crédit prépayées belges ? Selon les journaux belges Gazet van Antwerpen et Het Belang van Limburg, des pirates informatiques auraient mis la main sur plusieurs centaines de cartes de crédit prépayées. Des CB qui ne demandent pas à être connectées directement à un compte en banque. Ces cartes se rechargent. Pas besoin de fournir une pièce d’identité pour en acquérir une.

En Belgique, Axa, Belfius et bpost proposent ce type de service. En France, Veritas, Ukash, NeoCash ou encore Carte Zero existent sur un marché comptant plusieurs dizaines de concurrents. Les pirates auraient réussi à manipuler les cartes prépayées de plusieurs établissements financiers. Phishing de clients ou attaque ciblée ? La justice belge n’a pour le moment aucune réponse. A suivre ! (RTBF)

Cybersécurité, Entreprise, Fuite de données, Logiciels, Mise à jour, Wordpress

WordPress ou lorsque la moitié des sites Web du Net sont vulnérables

Un commentaire

Le 21 avril, WordPress a émis un avis de sécurité critique et « vivement encouragé » ses utilisateurs à mettre à jour « immédiatement » leurs sites Web. En règle générale, l’utilisation de ces termes alarmants est symptomatique d’une menace majeure. Et c’était effectivement le cas.

WordPress domine tellement le marché des CMS que près de 50% de l’ensemble des sites Web s’appuient sur ce système de gestion de contenu. Ce récent avis de sécurité résout de nombreuses vulnérabilités dont certaines étaient critiques puisqu’un attaquant pouvait obtenir un accès administrateur pour n’importe lequel des millions de sites Web fonctionnant sous WordPress. La vulnérabilité la plus sensible affecte la version 4.1.1 de WordPress et les versions antérieures.

Pour commencer, MySQL prend des libertés avec UTF-8

Le chercheur Cedric Van Bockhaven a découvert que le jeu de caractères UTF-8 utilisé par MySQL ne supportait que des caractères encodés sur 3 octets, ce qui est plus que suffisant pour la plupart des langues modernes (BMP), mais pas assez pour les caractères supplémentaires (SMP) tels que le superbe cheval de manège (U+1F3A0) ou le joli petit poussin vu de face (U+1F425) …

Si vous tentez d’insérer une chaîne de caractères contenant l’un de ces magnifiques animaux dans une colonne de type UTF-8, MySQL tronquera la chaîne de caractères après le caractère encodé sur 4 octets et avertira l’administrateur de la présence d’une «Incorrect string value». Le seul moyen de prévenir ce type d’insertion est de configurer MySQL en mode strict, ce qui n’est pas le cas par défaut.

Malheureusement, le fonctionnement de WordPress est basé sur MySQL et le CMS n’utilise pas le mode strict.

Ensuite, on exploite la faille

Lorsqu’on parle de troncation, le Cross-site Scripting (XSS) n’est jamais très loin. M. Van Bockhaven a découvert que le même comportement de troncation UTF-8 permettait d’exploiter la fonctionnalité de commentaires de WordPress et d’insérer des scripts, quel que soit le thème WP. Le chercheur a pu modifier les mots de passe, créer un nouveau profil administrateur et exécuter à peu près n’importe quelle action sur le CMS.

Un autre exploit a été révélé le lendemain à partir du même problème de troncation. Jouko Pynnönen a en effet découvert que la taille des entrées du type TEXT de MySQL est limitée à 64 kilo-octets. Un très long commentaire sera donc tronqué tout comme le caractère encodé sur 4 octets de M. Van Bockhaven et avec les mêmes conséquences. Pour résoudre cette deuxième vulnérabilité, WordPress a publié un nouvel avis de sécurité (4.2.1)


Ensuite, WordPress corrige

L’équipe chargée de la sécurité de WordPress a résolu le problème UTF-8 via la mise à jour 4.1.2 du 21 avril qui prend désormais pleinement en charge les caractères encodés sur 4 octets en modifiant le jeu de caractères MySQL utilisé par défaut dans WordPress en UTF-8MB4. Une semaine plus tard, une nouvelle mise à jour 4.2.1 réglait le problème de troncation lors de l’insertion de longs commentaires. Les vulnérabilités XSS liées à ces problèmes ne seront donc plus exploitables.

L’équipe a également résolu d’autres problèmes de sécurité concernant encore XSS dans une version plus ancienne de WordPress ainsi que celui de l’injection de codes SQL dans certains plug-ins vulnérables. Le 7 mai, l’équipe sécurité de WordPress publie une nouvelle version 4.2.2. Cette fois c’est une vulnérabilité de type DOM XSS qui cible le CMS… (Par Jerôme Clauzade, Qualys)

cryptolocker, Cybersécurité, Entreprise, Fuite de données, Logiciels, Microsoft, Mise à jour, Patch, Virus

15 ans après le virus “I Love You” l’amour du risque perdure

Particuliers et entreprises ont-ils retenus les leçons du passé pour optimiser leur sécurité ? Pas si sûr

Le 4 mai 2015 a marqué les 15 ans du ver “I love you” qui avait été très médiatisé car il s’agissait de l’une des premières attaques de grande ampleur ayant touché les entreprises, comme les particuliers, sur l’ensemble des continents. De fait, cette attaque reste très présente dans les esprits lorsqu’on évoque les sujets de sécurité. Mais 15 ans après, que peut-on retenir de ce message dont la portée s’est révélée particulièrement efficace ?

I Love You, aussi dénommé LoveLetter ou The LoveBug, a touché et a infecté près de 10 % des ordinateurs connectés à Internet il y a tout juste 15 ans et causé un préjudice estimé à 5 milliards de dollars. Celui-ci s’est propagé au travers des messageries Outlook et Outlook Express et consistait en un email contenant une lettre d’amour en pièce jointe. En moins d’une semaine, il avait touché plus de 3,1 millions de PC dans le monde entier.

L’efficacité de ce virus tient à trois facteurs relativement nouveaux à l’époque. Premièrement, il a tiré parti de la faiblesse des antivirus de l’époque, majoritairement incapables de le détecter et donc de le stopper. Les éditeurs ont d’ailleurs mis plusieurs heures, voire jours pour trouver une solution et la diffuser (pas de services Cloud pour faciliter le partage de connaissance et la diffusion de la mise à jour contenant la signature du ver).

Deuxièmement, il s’agissait de l’une des premières attaques exploitant une forme de social engineering. L’approche a été travaillée pour optimiser le taux d’ouverture de l’email et de nombre de clics sur la pièce jointe. Peu de gens se sont méfiés de cette lettre d’amour à première vue anodine. Troisièmement, la faible sensibilisation aux problématiques de sécurité à l’époque a également joué en faveur du virus.

Et aujourd’hui ?
Force est de constater que 15 ans après, la messagerie reste le principal vecteur d’attaque. Ainsi 90 % des attaques (Etude Human Factor de Proofpoint) exploitent ce canal et le comportement des utilisateurs reste le maillon faible de la sécurité. Comme le confirme le DBIR 2015 de Verizon, 23 % des utilisateurs continuent d’ouvrir les mails de phishing, un chiffre en hausse par rapport à l’année précédente… Donc en résumé, peu de choses ont changé.

Heureusement d’un point de vue technique, de nouvelles solutions ont fait leur apparition, que ce soit au niveau de l’infrastructure, du poste, ou plus particulièrement de la messagerie. C’est aussi pour cette raison que les attaquants ont modifié leur technique d’approche. Le social engineering reste l’une des stratégies les plus exploitées pour lancer des attaques qui sont désormais ciblées (sur une catégorie d’employés, exploitant une actualité, etc.). L’actualité récente, et les attaques de médias comme celle du Monde ou de TV5 Monde, ont d’ailleurs montré toute leur efficacité en matière de menace ciblée.

Les techniques d’attaque en elles-mêmes ont donc peu évolué et elles exploitent toujours le comportement des utilisateurs. Seuls les objectifs ont changé : de la simple gloire recherchée par les attaquants, nous sommes passés à des attaques ciblées, dont les finalités sont précises : espionnage industriel ou commercial, impact sur l’activité ou les finances, hacktivisme (transmission de messages de revendication liés à une cause), nuisance sur l’image de l’entreprise. En parallèle, de nouvelles techniques sont apparues comme par exemple l’utilisation de ransomware, ces logiciels qui chiffrent les données de leurs victimes et qui demandent ensuite une rançon contre la clef de déchiffrement. On peut d’ailleurs souligner que cette tendance est due à l’évolution du fonctionnement des antivirus par rapport à l’époque d’ « I Love You » : en effet, les éditeurs réagissent désormais plus rapidement et de manière mondialisée (en général, un nouveau malware est bloqué en quelques jours, voire quelques heures après les plaintes des premières victimes). En conséquence, pour tout de même en tirer des bénéfices, les organisations criminelles tentent d’extorquer de l’argent directement à chaque victime (et force est de constater qu’en terme de « chiffre d’affaire », tout va pour le mieux pour eux…).

Quinze ans après, il y a donc peu de chance de connaître une attaque d’une envergure et d’un impact aussi importants que le ver « I Love You » mais il reste encore beaucoup à faire pour éduquer les utilisateurs et les sensibiliser aux nouvelles menaces et formes d’attaques employées par les cybercriminels. (Par Christophe Kiciak, Responsable de l’offre Audit technique et test d’intrusion de Provadys.)

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données, Leak, loi, Mise à jour, Piratage, Propriété Industrielle, ransomware, Sauvegarde

Secteur médical : la prochaine cible des cybercriminels ?

Le système d’informations de santé, qui regroupe les dossiers électroniques des patients jusqu’aux dispositifs médicaux, est plus vulnérable qu’on ne l’imagine. Et les enjeux sont bien trop importants pour fermer les yeux sur cette problématique épineuse.

Aujourd’hui, sur le marché noir, les données de patients se monnayent jusqu’à 20 fois plus cher que les données de cartes de paiement récupérées, par exemple, à l’issue d’un piratage visant un acteur de la grande distribution. Les données médicales sont en effet détaillées, riches et regorgent d’informations que recherchent les cybercriminels pour perpétrer leurs détournements d’identité et autres fraudes. De plus, les patients prennent bien plus de temps à se rendre compte du détournement de leurs informations de santé, jusqu’à près d’un an pour certains patients. En effet, pour identifier
une utilisation frauduleuse des cartes de paiement, les banques disposent d’algorithmes qui repèrent rapidement les activités suspectes et prennent souvent automatiquement les mesures de sécurité qui s’imposent. Ces mesures de sécurité n’existent pas dans le domaine médical. Les acteurs de santé, eux-mêmes, ne se rendent pas toujours compte de la vulnérabilité des nombreux systèmes qu’ils utilisent face aux cyber-attaques:

Cyber-attaques traditionnelles
Ces attaques, qui s’en prennent à tous les profils d’organisations, sont véhiculées par des logiciels malveillants, phishing, chevaux de Troie ou encore des ransomware. Par rapport aux autres secteurs d’activité, celui de la santé est particulièrement vulnérable en l’absence de mesures de protection
intégrées et compte tenu d’une priorité moindre accordée à la sécurité. Ces logiciels malveillants, qu’ils soient déployés via des attaques ciblées, des sites Web piratés ou des dispositifs mobiles infectés, entraînent une divulgation de données confidentielles et aboutissent à des coûts importants et à
des tâches de restauration post-incident particulièrement chronophages. Ces attaques ne sont pas vraiment nouvelles, mais elles gagnent en sophistication et la perte de données de patients est une vraie problématique. Les cybercriminels ont d’ailleurs conçu des plateformes entières de logiciels malveillants qui peuvent être personnalisées pour attaquer les acteurs de santé.

Dispositifs médicaux connectés
Aujourd’hui, des moniteurs cardiaques aux pompes à perfusion, tous les équipements peuvent être connectés à un réseau et s’interfacer avec les dossiers électroniques de patient, permettant ainsi d’activer des alertes en temps réel à l’intention du personnel soignant. Cette interactivité est, dans la
perspective du patient, une bonne nouvelle. Mais au niveau sécurité, il s’agit plutôt d’un cauchemar.

La majorité de ces équipements, et notamment les IRM, les scanners et autres équipements de diagnostic n’ont pas été conçus en faisant de la sécurité une priorité. Ils sont nombreux à utiliser des systèmes d’exploitation comme Microsoft Windows et des logiciels conçus pour collecter les données… Et pas forcément les garder en sécurité. Le piratage de ces appareils est donc possible et une fois compromis, les cybercriminels peuvent accéder directement aux systèmes de données cliniques avec lesquels ces équipements sont interfacés.

Les données de patients ne constituent pas les seules ressources pouvant être piratées via des dispositifs connectés. Les cyber-terroristes pourraient potentiellement manipuler les machines et porter atteinte aux patients. D’ailleurs, dès 2011, un chercheur en sécurité a su démontrer qu’une pompe à insuline pouvait être piratée et utilisée pour injecter une dose mortelle d’insuline[1].

Les équipements de santé personnels et résidentiels
Les dispositifs de santé prolifèrent bien au-delà des murs des hôpitaux. Les équipements de santé personnels, les applications de santé et autres coachs de fitness sont de plus en plus nombreux à recueillir et à transmettre des données. Ces systèmes peuvent potentiellement mettre les données de patients en péril (ou du moins ne pas assurer leur parfaite protection), et ils s’interfacent aussi souvent avec des dossiers électroniques de patients ou des systèmes hébergeant des données cliniques. Si un dispositif de contrôle du taux de glucose ou une application de santé sur iPhone peuvent être la cible
d’attaques, ces vulnérabilités s’appliquent également aux institutions de soins de santé. Les dispositifs cliniques ont, en effet, pour priorité d’offrir de nouvelles modalités pour une prise en charge pratique, innovante et performante des patients. La sécurité, elle, est moins prioritaire.

La sécurité des soins de santé ne doit pas attendre que les piratages de données de patients aient réussi pour devenir prioritaire. Il faut s’en préoccuper dès aujourd’hui. Le secteur de soins de santé, dans sa globalité, doit engager des actions proactives et privilégier les équipements qui
intègrent la sécurité en natif, mais aussi déployer une protection active au niveau du réseau et des applications. Les enjeux sont tout simplement trop critiques pour s’offrir le luxe d’attendre.  (Par Christophe Auberger, Responsable Technique France, Fortinet)

backdoor, Chiffrement, cryptage, Cybersécurité, Entreprise, Espionnae, Fuite de données, Justice, Particuliers, Sauvegarde, Téléphonie, Vie privée

Les Députés américains votent la fin de la collecte en vrac de la NSA

Un commentaire

La NSA collecte, à la tonne, les données téléphoniques. Mission officielle, traquer les terroristes. 338 députés, sur 88, ont décidé que cet espionnage devait être mieux contrôlé.

Alors qu’en France les députés ont décidé de permettre la collecte de données « en vrac » de personnes considérées comme dangereuses par les services de renseignements, aux USA, le Capitole a confirmé par le vote positif de 338 députés (pour 88 contre, NDR) que la même collecte, réalisée par la Nationale Security Agency (NSA) devait être contrôlée.

La Chambre a voté ce 13 mai le projet de loi baptisée USA Freedom Act. Bilan, elle aura pour effet, si le Sénat vote dans le même sens, de faire fermer de nombreux programmes d’espionnage de la NSA. Un espionnage visant les ressortissants américains, sur le sol de l’Oncle Sam. Ce projet de loi, adopté massivement par les députés, mettra peut-être fin à la collecte en vrac des appels téléphoniques à partir d’un fournisseur de télécommunication américain.

Un programme d’espionnage dénoncé en 2006 par USA Today, et qui reviendra sur le devant de la scéne en 2013, via les dossiers de la NSA volés par Edward Snowden, ancien analyste privé des grandes oreilles américaines.

Ce projet de loi prévoit que la NSA devra passer par la Foreign Intelligence Surveillance Court avant de demander une écoute. Ce projet exige de l’agence l’utilisation de mots spécifiques lors de ces
recherches. Des mots qui doivent affiner son accès aux seuls dossiers pertinents. Il faut attendre, maintenant, le vote du Sénat pour entériner ce projet de loi. L’Electronic Frontier Foundation (EFF) se félicite de cette nouvelle avancé, même si l’EFF doute du vote final. La semaine dernière, une cour
d’appel fédérale avait statué que cette collecte massive de données téléphonique était totalement illicite. Une collecte qui n’avait jamais été autorisée par l’article 215 du Patriot Act (Fight 215).

Argent, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Paiement en ligne, Particuliers, Piratage, Sauvegarde, Vie privée

Infiltration dans la boutique SallyBeauty.com

La boutique de vente en ligne de produits de beauté SallyBeauty confirme le piratage de données bancaires appartenant à certains de ses clients.

L’entreprise américaine SallyBeauty, basée au Texas, vient d’alerter la rédaction de DataSecurityBreach.fr, et ses clients, d’une probable attaque informatique à l’encontre de ses serveurs. Ce spécialiste des produits de beautés semble avoir des clientes françaises dans ses bases de données.

Une enquête en cours, visant à savoir si un pirate informatique a mis la main sur des donnés privées et sensibles de clients, oblige l’entreprise à diffuser un courriel d’alerte. « Nous pensons qu’il est dans l’intérêt de nos clients de vous avertir que nous avons maintenant suffisamment de preuves pour confirmer qu’une intrusion illégale dans nos systèmes de cartes de paiement a effectivement eu lieu« .

Pour le moment, aucun chiffre n’est donné. L’enquête et les analyses sont toujours en cours. « Nous encourageons nos clients à surveiller leurs relevés de carte de paiement et de signaler toute transaction suspecte à leurs institutions financières« . Un courriel dédié à cette intrusion a été mis en place customerserviceinquiry@sallybeauty.com.

BYOD, Chiffrement, Cloud, cryptage, cryptolocker, Cyber-attaque, Cybersécurité, Entreprise, Espionnae, Fuite de données, Identité numérique, Leak, Logiciels, Microsoft, Particuliers, Patch, Piratage, ransomware, Social engineering, Vie privée

Virus Rombertik : rien de nouveau chez le malveillant

Un commentaire

Suite à la découverte du malware Rombertik par les équipes de Cisco, il s’avère que le microbe n’a rien de bien nouveau. Il additionne les attaques.

Il n’y a rien de neuf dans ce que fait le malware Rombertik, donc ce n’est pas vraiment une « nouvelle génération » en tant que telle. Il s’agit surtout d’une compilation de plusieurs attaques simultanées « Le premier objectif du malware est de voler les données confidentielles utilisées dans le navigateur Internet. explique Christophe Kiciak, de chez Provadys. Dans le cas où il n’y arrive pas, il passe a son second objectif qui consiste à rendre le poste inutilisable« . Un petit souvenir du virus Leonard de Vinci ?

Rombertik est un spyware de navigateur polyvalent ; c’est également un malware conçu pour pirater les transactions du navigateur et lire des informations d’identification telles que les combinaisons noms d’utilisateurs/mots de passe de messagerie, de comptes bancaire ou d’autres systèmes, et de renvoyer ces informations d’identification au serveur des attaquants. Rombertik sabote le Master Boot Record (MBR) pour empêcher le redémarrage de l’ordinateur attaqué, ou à défaut, chiffre les données de l’utilisateur. Un blocage qui a le goût d’un ransomware, mais sans la rançon. Les données ne sont pas récupérables du tout.

Etant donné que Rombertik est très sensible à la traditionnelle sandboxing réactive, il est crucial d’utiliser des systèmes de défense modernes – prédictifs. Des systèmes qui n’attendent pas qu’un utilisateur clique pour déclencher un téléchargement potentiel de Rombertik. De plus, comme le malware peut être expédié via de multiples vecteurs – comme Dyre, via des URL ou des fichiers .doc ou .zip/exe etc. – il est crucial d’utiliser des systèmes qui examinent l’ensemble chaîne destructrice, et bloquent l’accès des utilisateurs aux URL et pièces jointes envoyées par emails avant ceux-ci ne cliquent dessus.

« Les aspects « autodestruction » de Rombertik étant susceptibles d’être déclenchés par les technologies telles que les antivirus, il est crucial que les entreprises utilisent des systèmes automatisés de réponse aux menaces » confirme à DataSecurityBreach.fr Charles Rami, responsable technique Proofpoint.

Des systèmes qui peuvent localiser et bloquer l’exfiltration de données par Rombertik – sans – déclencher d’action sur le PC, et alerter les équipes de sécurité pour répondre rapidement aux dommages pouvant être causés.

Bref, pour se protéger de Rombertik, ici aussi rien de nouveau sous les palmiers : ne pas cliquer sur n’importe quoi ; mettre l’ensemble de ses logiciels à jour ; ne pas utiliser l’ordinateur avec un compte administrateur. Cela vous évitera de donner l’ensemble de vos privilèges au pirate ; faire des sauvegardes et s’assurer qu’elles fonctionnent.

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, Propriété Industrielle, VPN

Hippon, solution française dédiée au chiffrement

La société Hippon propose une solution 100% française. Innovante, elle permet de se créer son réseau confiance pour ses échanges confidentiels.

Voilà une nouvelle solution à suivre de près. Son nom, Hippon. Cette solution de chiffrement et bien plus que cela. Hippon propose un réseau fermé dans lequel vous allez pouvoir échanger des tchats avec vos correspondants en ligne; diffuser des messages à un ou plusieurs destinataires; permettre la diffusion de pièces jointes. L’ensemble des échanges sont chiffrés. Cela permet ainsi de renforcer la confiance et la collaboration avec vos partenaires en vous prémunissant contre le vol ou l’interception de vos échanges sensibles. Un outil collaboratif qui permet de travailler dans une réelle fluidité. Le nombre des intervenants importe peu. L’utilisateur peut déployer son réseau de confiance et se prémunir contre le vol ou l’interception de ses échanges confidentiels.

Il suffit d’intégrer les personnes habilités à rejoindre le groupe. Un clic et la personne à révoquer ne peut plus joindre les informations et les interlocuteurs. Autant les utilisateurs commencent à faire (plus ou moins) attention à leurs données personnelles, autant ils considèrent que c’est à l’entreprise de le faire sans pour autant accepter de changer leurs habitudes. Hippon semble répondre à cette problématique. Une version test de 14 jours est disponible. En mode de test, Hippon est compatible uniquement dans les environnements de Microsoft.

Le système fonctionne parfaitement sur OSX sous virtualisation parallèle et est accessible en mode streaming vidéo depuis les tablettes IOS ou Android. A noter que comme l’exige la loi, les services SaaS proposés par la société Hippon étant fondés sur des clés composites de cryptage et compte tenu des contraintes inhérentes à la sécurité, conformément aux lois en vigueur en matière de moyens et de prestations de cryptologie, le Licencié (le client utilisateur, ndr) est informé que les autorités peuvent demander que les informations du Licencié hébergées par la société Hippon soient décryptées.

Argent, Arnaque, Banque, Cybersécurité, Entreprise, escroquerie, Fuite de données, Identité numérique, Leak, Paiement en ligne, Particuliers, Phishing, Piratage, Propriété Industrielle, Scam, Social engineering

La fraude à la carte bancaire représente 544 millions d’euros de perte en France

Un commentaire

D’après Check Point Software Technologies Ltd, spécialiste de solutions en sécurité informatique, les Européens perdent chaque année plus de 1,7 milliards d’euros dû aux vols des données présentent sur les cartes bancaires. La France, avec 544 millions de perte en 2013 se positionne au 3ème rang derrière le Royaume-Uni et les Etats-Unis (Le Royaume-Uni et la France représentent 62% de la fraude à la carte bancaire en Europe).

La situation la plus critique en matière de sécurité bancaire est aux États-Unis. Chaque année, l’économie américaine perd environ 5 milliards de dollars. L’année dernière, une seule attaque menée contre Home Depot a permis de compromettre 56 millions de cartes bancaires, un nombre record. L’année précédente, en 2013, des pirates ont compromis plus de 40 millions de cartes bancaires en dérobant des données bancaires à la chaîne de supermarchés Target.

Les consommateurs anglais et français sont parmi les plus vulnérables. En 2013, ces deux pays ont perdu respectivement 674 millions et 544 millions d’euros. Additionnées ensemble, ces pertes représentent plus de 62% de la fraude à la carte bancaire en Europe. Cependant, la France enregistre une des plus faibles progressions du taux de vol parmi tous les pays d’Europe. D’importantes pertes ont également été relevées en Allemagne (147 millions d’euros) et en Espagne (116 millions d’euros), mais ces chiffres sont en baisse depuis quelques années. La Russie se détache du lot avec des pertes en 2013 (131 millions d’euros) qui représentaient une augmentation de 28% par rapport à l’année précédente.

Les terminaux de paiement sont menacés

La menace la plus importante pour la sécurité des cartes bancaires réside dans les attaques menées contre les terminaux de paiement. En exploitant des vulnérabilités logicielles et en utilisant des logiciels malveillants, les pirates sont en mesure d’utiliser des accès à distance pour dérober des données lues par les terminaux durant les transactions. Ce type d’attaque a été utilisé contre les réseaux de Home Depot et de Target aux États-Unis. Il convient de noter que les clients aux États-Unis sont particulièrement vulnérables à ces menaces en raison des systèmes de paiement obsolètes qui y sont utilisés. Selon des études récentes, près d’un tiers des attaques de logiciels malveillants menées contre des terminaux de paiement dans le monde se sont déroulées aux États-Unis !

Les experts soulignent également que les systèmes de sécurité des cartes bancaires à puce sont d’une importance secondaire contre les attaques de logiciels malveillants. Les pirates peuvent utiliser partout dans le monde les numéros de cartes bancaires dérobés aux États-Unis. Les cartes bancaires européennes, bien qu’équipées de technologies de sécurité plus avancées (puces et codes PIN), sont facilement utilisées aux États-Unis où la protection est uniquement limitée à la bande magnétique des cartes.

Les Européens sont de plus en plus préoccupés par les vols de cartes bancaires, d’autant plus depuis que les prix des cartes bancaires dérobées ne cessent d’augmenter chaque année sur le marché noir. Les experts de Check Point estiment le prix d’une carte Visa ou MasterCard dérobée aux États-Unis est d’environ 4 dollars, tandis que les données d’une carte bancaire européenne peuvent valoir jusqu’à cinq fois plus, soit 20 dollars !