Archives de catégorie : Entreprise

Actualités liées à la sécurité informatique des entreprises, PME, PMI, TPE, association, communes.

Argent, Banque, Cybersécurité, Identité numérique, Paiement en ligne, Twitter

Faille pour Twitter : effacer les données bancaires

Un commentaire

Plusieurs failles permettent de faire disparaître les données bancaires enregistrées dans Twitter par les annonceurs publicitaires.

Twitter permet d’enregistrer des données bancaires dans la partie ads.twitter.com, le service publicitaire du gazouilleur 2.0. Un internaute, qui se fait appeler Security Geek, a découvert comment faire disparaître les données des cartes bleues sauvegardées dans Twitter Ads par les annonceurs. La vulnérabilité était très critique car il suffisait de posséder l’identifiant de la carte de crédit pour la supprimer. Un identifiant composé uniquement de 6 chiffres tels que « 098289 ». Il aurait suffit qu’un malveillant travaille sur un petit code en python, qui aurait utilisé une simple boucle sur 6 chiffres, pour supprimer les CB qui lui seraient passés sous la souris. Un moyen de calmer le chiffre d’affaire publicitaire de Twitter. « Le plus drôle est que la page de réponse, après la manipulation, affichait une erreur « 403 forbbiden », s’amuse l’inventeur de la faille, Ahmed Aboul-Elamais. La carte de crédit était réellement supprimée du compte« . Une seconde faille permettait de faire croire à Twitter la mauvaise utilisation d’une CB. Bilan, le piaf effacé la vraie CB du compte officiel qui l’employait.

Emploi, Entreprise, Fuite de données, Paiement en ligne

Un escroc volait les CB des clients de l’entreprise qui l’employait

Un employé du service de recouvrement d’une importante société de crédit piratait les cartes de crédits des clients pour la jouer grand seigneur.

Normalement, une société de crédit propose des « aides » financières aux personnes qui ont besoin d’argent. Seulement, un employé d’une entreprise de Merignac, il officiait dans le service de recouvrement des impayés (Sic!) a trouvé malin de voler les coordonnées bancaires des clients qui n’en demandaient pas tant.

L’escroc a été tracé après avoir tenté d’acquérir un iPad sur Internet. C’est la société Secuvad qui a levé le lièvre. Il faut dire aussi que le « pirate » avait tenté d’utiliser plusieurs numéros de cartes bancaires pour le même achat. L’homme, âgé de 40 ans, a été arrêté par la police de la brigade financière de Bordeaux. Il a avoué plusieurs achats, via des CB interceptées à son travail.

Il avait acquis des téléphones et du matériel informatique. Il agissait depuis 2011. Il était déjà connu pour des faits similaires. L’entreprise spécialisée dans les solutions de financement compte 3 millions de clients. Le voleur en aurait volé un peu plus de 700. (Sud Ouest)

 

Arnaque, escroquerie, Facebook, Fuite de données, Identité numérique, Leak, Particuliers, Phishing, Vie privée

Cinq millions de comptes gMail piratés : Seulement ?

La semaine dernière, on nous refaisais le coup de la base de données « super » importante, piratée. Après le pseudo milliard de mots de passe qui n’étaient rien d’autre que l’accumulation de mails interceptés par des « piratins » à grand coups de phishing et attaque de BDD iSQL, voici venir une autre société qui met la main, dans un forum de black Market, sur une base de données de 5 millions de présumés clients gMail.

Google explique que ces comptes proviennent d’attaques de type filoutage. Un grand nombre des identifiants étaient sans danger car vieux, et les mots de passe changés depuis des lustres. N’empêche, cette accumulation rappelle que Google propose, comme Microsoft, Facebook, … la double authentification de son compte et que la protection est loin d’être négligeable. Vous pouvez découvrir le fonctionnement de ce genre de sécurité dans l’article dédié à la double authentification pour votre site web ou pour vos applications Internet.

A noter que la société Know’em propose de savoir si vous êtes victimes de cette « fuite » de 5 millions de comptes gMail en allant sur un espace web dédié : securityalert.knowem.com.

Cyber-attaque, Cybersécurité, Entreprise, escroquerie, Fuite de données, Leak, Linkedin, Vie privée

Réseaux sociaux : la nouvelle porte d’entrée des cybercriminels dans les entreprises ?

Aujourd’hui, la cybercriminalité est de plus en plus importante et organisée. Nous sommes loin de l’époque du pirate solitaire qui envoyait des malware du fond de sa chambre. Le phishing, par exemple, a prospéré au cours des dernières années.

Les cybercriminels utilisent des méthodes de plus en plus sophistiquées de phishing pour cibler les entr eprises, ce qui entraîne non seulement une perte de crédibilité des entreprises mais aussi et par conséquent une perte de clients et de bénéfices. La priorité première pour entreprise, cible d’une attaque via le phishing devrait être la protection de ses clients. Mais de nos jours, ce n’est pas aussi facile qu’il y paraît. La disponibilité des informations personnelles via les réseaux sociaux a rendu la tâche plus facile pour les cybercriminels. Il est maintenant aisé pour eux de produire des messages de phishing de plus en plus convaincants avec les informations qu’ils arrivent à trouver sur Internet. Des informations mises en ligne par des utilisateurs qui deviennent des proies faciles. Dans le même temps, les entreprises de toutes tailles ne parviennent pas à éduquer leurs utilisateurs sur le fait d’être constamment vigilants, en particulier dans leurs activités personnelles en ligne.

L’exemple de LinkedIn
Au cours de ces derniers mois, plusieurs articles ont mentionné un nouveau mode d’attaque phishing via LinkedIn. En fait, l’une des meilleures méthodes pour toucher une entreprise avec une attaque ciblée consiste à envoyer un simple email LinkedIn. Une enquête récemment réalisée a révélé que les attaques dissimulées dans les invitations LinkedIn avaient un taux de clics deux fois plus élevé. Il y a un nombre toujours croissant de faux profils sur LinkedIn, et c’est l’un des plus gros problèmes de ce réseau social. Ces comptes peuvent être utilisés pour espionner les entreprises, phénomène que nous appelons le « Social Klepto ». D’après une enquête menée récemment : par rapport à des sites tels que Facebook ou Twitter, LinkedIn est le réseau social le moins bloqué (20%); et c’est aussi le réseau social qui comprend le moins d’utilisateurs se sentant en danger sur le site (14%). Ces chiffres nous montrent que la population a plus confiance en LinkedIn qu’en d’autres medias sociaux.  Il n’est donc pas surprenant que les invitations LinkedIn aient un taux de clics plus important que les demandes d’ajout en ami de Facebook ou les invitations aux cercles de Google+. Afin de vous assurer que vous utilisez LinkedIn de la manière la plus sûre possible, lisez bien les points suivants.

Vérifiez vos paramètres de confidentialité LinkedIn
Tout comme la plupart des services gratuits, le site LinkedIn peut utiliser les informations de votre profil pour des recherches ou à des fins marketing à savoir pour de la publicité ciblée (comme Gmail et Facebook). Plusieurs paramètres par défaut et concernant la confidentialité du compte ont été choisis de sorte à ce que les utilisateurs reçoivent des emails marketing de la part de LinkedIn. La plupart des utilisateurs ne pensent pas à vérifier ces paramètres. Cependant, c’est en ne contrôlant pas ces paramètres qu’ils peuvent recevoir des courriers indésirables (spam). Il est donc essentiel pour les utilisateurs de vérifier leur profil, leurs paramètres de confidentialité et d’envoi d’emails sur leur compte LinkedIn afin de s’assurer que leurs données ne soient pas partagées avec des tierces personnes ou que leurs informations ne soient pas trop publiques. Globalement, décocher toutes les cases de la page ‘Préférences & Confidentialité’ est la meilleure des solutions, à moins de vouloir recevoir les emails de certains groupes LinkedIn spécifiques.

Prenez garde aux emails suspicieux d’invitation LinkedIn
Étant donné la nature de l’utilisation des réseaux sociaux dans un contexte professionnel et le fait que la population ait pris confiance en des noms tels que LinkedIn, cette méthode d’attaque est de plus en plus utilisée ces derniers temps. Comme toujours donc, évitez de cliquer sur les liens à l’intérieur de vos emails. Si vous recevez un email envoyé par LinkedIn, le mieux est d’aller visiter le site directement pour confirmer ces demandes plutôt que de cliquer sur le lien de l’email, et ce, même si vous connaissez la personne émettrice de la prétendue invitation. En suivant ces instructions, il y a de grandes chances pour que vous ne deveniez pas la dernière victime d’une fausse invitation LinkedIn. (Wieland Alge, vice-président et directeur général EMEA chez Barracuda Networks pour DataSecurityBreach.fr)

Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données

Google va mettre en avant les pages web chiffrées

Un commentaire

Google l’a confirmé : son algorithme de ranking attribue désormais des “points bonus” de référencement aux pages web chiffrées.

Cette initiative vise à encourager les développeurs de sites web à adopter des technologies de chiffrement (via l’utilisation du protocole HTTPS), qui empêchent les hackers de pirater leurs sites web et voler des informations clients. C’est très bien de voir une initiative de la part de Google pour augmenter l’utilisation du chiffrement. C’est une démarche intelligente et susceptible d’avoir un impact significatif sur la façon dont les organisations sécurisent leurs sites web. Toutes les entreprises veulent un bon Google PageRank, il est donc dans leur meilleur intérêt de s’assurer que leurs pages web sont chiffrées.

A la suite d’HeartBleed nous préconisons aussi de conserver les clés racines en dur dans des modules cryptographiques. Il faut dire aussi que les données texte en clair sont faciles à lire. Donc tout site web qui stocke ou transmet des logins, mots de passe ou toutes autres données de clients en clair met ces données clients et la réputation de son entreprise en danger.

Par le passé les entreprises ont pu ignorer le chiffrement pour des contraintes de coûts ou la peur de ralentir le temps de réponse de leur site web. « Mais des technologies de chiffrement à haute vitesse sont désormais disponibles qui éliminent ces problèmes de coût et de vitesse. Ceux qui transmettent ou stockent des données texte en clair n’ont donc vraiment plus d’excuse. » confirme à Data Security Breach Julien Champagne, Directeur Commercial France et Maghreb de SafeNet.

Argent, Arnaque, Cyber-attaque, Cybersécurité, DDoS, escroquerie, Fuite de données, Leak, Paiement en ligne, Vie privée, Virus

Un 2nd trimestre marqué par la découverte de menaces de plus en plus sophistiquées

Ce trimestre a été marqué par la découverte d’un « crypteur » mobile en libre circulation, vendu 5 000 dollars sur le marché noir, qui a déjà infecté 2 000 terminaux dans 13 pays en moins d’un mois.

Les autres faits marquants à retenir sont l’apparition d’un trojan prenant le contrôle à distance des mobiles Android et iOS via un outil d’espionnage « légal », et la découverte de la campagne MiniDuke APT, réplique de celle du début 2013, qui cible les entités gouvernementales, le secteur de l’énergie, les organisations militaires et les télécoms, et même les trafiquants de stéroïdes et d’hormones illicites.

Attaques sur le Web
·        354,5 millions d’attaques ont été lancées depuis des ressources en ligne disséminées dans le monde entier, soit 1,3 million de plus qu’au premier trimestre. Des chiffres à relativiser, ils ne concernent que les sondes de l’éditeur. Des changements ont eu lieu dans le classement des cinq premières sources d’attaques Web, puisque l’Allemagne est passée de la quatrième à la première place – ses parts augmentant de 12 points. Les États-Unis (22 %) ne sont plus premiers mais seconds après une chute de 6 points. 44 % des attaques Web neutralisées ont été perpétrées à l’aide de ressources Web malveillantes basées dans ces deux pays. Ils sont suivis par les Pays-Bas (+ 3 points au 2ème trimestre) qui se maintient à la troisième place, la Fédération de Russie (- 2,5 points) et le Canada (+ 6,3 points).

Menace mobile
·        À la fin du 1er trimestre 2014, la base de malwares mobiles comptait près de 300.000 échantillons. Au deuxième trimestre, cette base en compte 65 000 de plus. Android n’est plus désormais la seule cible des développeurs de malwares mobiles. En effet, les cybercriminels ont exploité les fonctions d’iOS, avec l’attaque sur Apple ID, qui bloque complètement le terminal. Les pirates demandent ensuite une « rançon » pour le déblocage de l’appareil. Ces nouveaux faits ont révélé les activités de HackingTeam, une société italienne qui vend un logiciel « légal » nommé Remote Control System (RCS). La dernière recherche montre qu’un certain nombre de modules malveillants ciblant les terminaux Android, iOS, Windows Mobile et BlackBerry proviennent de HackingTeam. Le module iOS permet à un assaillant d’accéder aux données stockées sur l’appareil, d’activer secrètement le microphone et de prendre des photos.

En mai, le premier « crypteur » mobile en circulation était mis à jour publiquement. Nommé Pletor, il bloque le téléphone sur la « visualisation de contenus pornographiques interdits », chiffre la carte mémoire du smartphone et affiche une demande de rançon. Le ransomware évolue. Au début du mois de juin, une nouvelle modification de Svpeng visait principalement les utilisateurs des États-Unis. Le trojan bloque le téléphone et demande 200 dollars pour le débloquer.

Menaces financières sur le Web
·        Les malwares ayant pour but de dérober de l’argent ont attaqué 927 568 ordinateurs au 2ème trimestre. Le chiffre de mai indique une hausse de 36,6 % par rapport au mois d’avril.
·        La plupart des attaques ont été enregistrées au Brésil, en Russie, en Italie, en Allemagne et aux États-Unis.
·        2 033 trojans bancaires mobiles ont été détectés au cours des trois derniers mois. Leur nombre a quadruplé depuis le début de 2014, et sur un an (depuis juillet 2013), ce chiffre a augmenté de 1450%.
·        Neuf familles de malwares financiers sur dix agissent en injectant un code HTML aléatoire dans la page Web affichée par le navigateur et en interceptant ensuite chaque donnée de paiement saisie par l’utilisateur dans les formulaires Web originaux ou insérés.

Contenus malveillants
·        60 millions de contenus malveillants uniques (scripts, pages web, exploits, fichiers exécutables, etc.) ont été détectés, soit le double du chiffre du 1er trimestre 2014.
·        Deux nouveaux programmes SWF à la mi-avril, confirmés ensuite par Adobe en tant que nouveaux Zero-day.
·        145,3 millions d’URL uniques ont été reconnues comme malveillants par les antivirus, soit 63,5 millions de plus qu’au trimestre précédent.

« Les six premiers mois de l’année ont montré, comme on le pressentait, une évolution du chiffrement des données des utilisateurs sur les smartphones. Les criminels font des profits en utilisant des méthodes qui se sont avérées efficaces sur les utilisateurs de PC. Il est évident que les individus derrière ces attaques sont motivés par l’appart du gain – comme le montre une forte hausse (14,5 fois) du nombre de trojans financiers au cours de l’année écoulée. Outre le profit, la course à la technologie de surveillance se poursuit sans relâche. Les modules mobiles d’HackingTeam ont montré qu’un terminal mobile pouvait être utilisé pour exercer un contrôle total sur tout l’environnement de l’appareil d’une victime, interne et externe » explique à DataSecurityBreach.fr Alexander Gostev, Chief Security Expert, Global Research and Analysis Team chez Kaspersky Lab.

Contrefaçon, Cybersécurité, Fuite de données, Microsoft, Mise à jour, Propriété Industrielle, Smartphone, Windows phone

Microsoft a décidé de faire la guerre aux applications malveillantes

Pour faire face à la concurrence d’iTunes et PlayStore, qui proposent des centaines de milliers d’applications, Microsoft a décidé de proposer du qualitatif dans sa propre boutique d’APP (400.000 logiciels) en contrôlant toutes les applications proposées à utilisateurs d’un Windows Phone/Tablette.

Parmi les obligations mises en place par le géant américain, imposer une explication claire et précise des actions du logiciel proposé dans le store de Microsoft. Les catégories utilisées devront être celles dédiées et l’icône ne devra plus reprendre une marque ou un logo d’une entreprise connue (Twitter, Facebook, …). La société de Redmond a déjà banni 1.500 applis. A noter que seule Microsoft propose une application Facebook pour ses téléphones, autant dire que les petits malins se sont empressés de viser le portail communautaire.

DDoS, Entreprise, Piratage

Le PSN de Sony de nouveau attaqué par des pirates

Le 24 août dernier, un groupe de pirate informatique du nom de Lizard Squad a décidé de lancer une attaque de type DDoS à l’encontre du PSN de Sony, le système online du géant japonais. Les pirates, dans un Twitter explique « Sony, yet another large company, but they aren’t spending the waves of cash they obtain on their customers’ PSN service. End the greed. » Bref, pour les garnements, SONY ne mettrait pas assez d’argent dans sa sécurité informatique. D’un autre côté, une attaque DDoS n’a pas grand chose à voir avec la sécurité informatique des comptes membres. Sony s’est excusé de ce petit problème.

En 2011, une attaque de ce type avait bloqué les joueurs durant un mois. Cette fois, l’attaque n’aura durée que quelques heures. A noter que ces pirates ont annoncé lancer cette attaque pour soutenir les djihadistes agissant en Irak. Une mauvaise blague pour un/des môme(s) qui semble(nt) s’ennuyer. Il(s) s’est/sont même amusé(s) à diffuser une alerte à la bombe, via Twitter.

Il(s) risque(nt) surtout de finir entre 4 murs comme Cody Kretsinger, auteur de l’intrusion dans le serveur de Sony Pictures en juin 2011. Le FBI a lancé une enquête à l’encontre de Lizard Squad après l’alerte à la bombe et la diffusion de données privées et confidentielles de John Charles Smedley, président de Sony.

Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage, Virus

One-Day Wonders : les risques que représentent les sites Web d’un jour pour la sécurité

Une étude montre que 470 millions de sites Web ont une durée de vie inférieure à 24 heures, et que 22 % de ces sites sont utilisés pour faciliter des attaques.

Blue Coat Systems, Inc., leader sur le marché de la Business Assurance Technology, révèle que 71 % des noms de serveurs sur Internet ont une durée de vie inférieure à 24 heures. Bien que la majorité de ces merveilles éphémères  « One-Day Wonders » soit essentielles au partage et à la diffusion de contenu sur Internet, leur quantité phénoménale sert également de couverture aux activités malveillantes, y compris à des communications vers des systèmes infectés. Le nouveau rapport « Merveilles éphémères : comment du code malveillant se dissimule derrière des sites Internet temporaires » détaille la nature et les activités de ces adresses apparaissant et disparaissant rapidement du Web, permettant ainsi de mieux comprendre les problématiques de sécurité qu’ils représentent pour les entreprises.

Parmi les plus grands générateurs de « merveilles éphémères » figurent des organisations ayant une forte présence sur Internet, comme Google, Amazon et Yahoo, ainsi que des sociétés d’optimisation Web aidant à accélérer la diffusion de contenu. Blue Coat a également découvert que l’un des dix créateurs de ces sites web éphémères le plus prolifiques se trouve être le site de pornographie le plus fréquenté sur Internet.

Enfin, 22 % des 50 domaines utilisant le plus fréquemment des sites temporaires hébergent du code malveillant. Ces domaines utilisent ce type de sites afin de faciliter leurs attaques et de gérer des botnets (réseaux de machines zombies), en s’appuyant sur le statut « nouveau et inconnu » du site pour échapper aux radars des solutions de sécurité. Ainsi, ces sites éphémères peuvent être utilisés pour créer des architectures dynamiques de commande et de contrôle évolutives, difficiles à tracer et simples à mettre en place. Ils peuvent également servir à créer un sous-domaine unique pour chaque e-mail de spam afin d’éviter d’être détecté par les filtres anti-spam et les filtres Web.

« Bien que la plupart de ces sites éphémères soient inoffensifs et indispensables à des activités légitimes sur Internet, leur quantité faramineuse crée un environnement parfait pour des activités malveillantes, » explique à DataSecurityBreach.fr Tim van der Horst, chercheur en chef spécialisé dans les menaces chez Blue Coat Systems. « La création et la suppression rapides de nouveaux sites inconnus déstabilise beaucoup de systèmes de sécurité actuels. Il est essentiel de comprendre ce que sont ces sites et comment ils sont utilisés afin de mieux assurer la sécurité des systèmes d’information. »

Les cybercriminels apprécient particulièrement les sites éphémères car : ils créent un état de perplexité : en effet, les domaines dynamiques sont plus difficiles à bloquer pour les solutions de sécurité que les domaines statiques. Ils submergent les solutions de sécurité : en générant un volume de domaines important, les cybercriminels augmentent leurs chances d’en voir un pourcentage conséquent passer au travers des systèmes de sécurité. Ils passent sous les radars : en associant les sites éphémères au chiffrement et à l’exécution de code malveillant entrant, et/ou au vol de données sortantes sécurisées à l’aide du protocole SSL, les cybercriminels peuvent rendre leurs attaques invisibles des solutions de sécurité des organisations, incapables d’empêcher, de détecter et de réagir face à ces menaces.

Sans cesse confrontées aux cyber-attaques, les organisations peuvent tirer des enseignements importants des résultats de cette étude afin d’être mieux informé et de renforcer leur sécurité : les systèmes de sécurité doivent être informés en temps réel de la part de systèmes automatisés capables d’identifier et d’attribuer des niveaux de risques à ces sites éphémères ; les systèmes de défense statiques ou non réactifs ne suffisent pas à protéger les utilisateurs et les données d’une entreprise ; les systèmes de sécurité s’appuyant sur des politiques de sécurité doivent pouvoir agir à partir d’informations en temps réel afin de bloquer les attaques menées à l’aide de codes malveillants.

Les chercheurs de Blue Coat ont analysé plus de 660 millions noms de serveurs uniques ayant fait l’objet de requêtes de la part de 75 millions d’utilisateurs dans le monde sur une période de 90 jours. Ils ont découvert que 71 % de ces serveurs, soit 470 millions, étaient en réalité des « merveilles éphémères », des sites n’existant que pour un jour.

Banque, BYOD, Chiffrement, Cloud, cryptage, Entreprise, Fuite de données, Paiement en ligne, Propriété Industrielle

Un livre blanc sur les risques associés aux certificats numériques

À chaque fois que des transactions ou accès au réseau sécurisés sont requis, la personne demandant l’accès doit d’abord prouver son identité. L’une des méthodes d’identification de l’utilisateur est l’emploi de certificats numériques qui sont semblables à des cartes d’identité numériques. Cette procédure fait l’objet d’un examen dans un nouveau livre blanc publié par les spécialistes de la sécurité informatique de SecurEnvoy, intitulé « Les Risques de l’authentification à l’aide des certificats numériques ». Vous pouvez le télécharger gratuitement sur le site Web de la société [Lien ci-dessous, ndlr DataSecurityBreach.fr].

Un certificat numérique est en réalité une clé privée stockée sur une carte à puce ou un dispositif mobile, que l’utilisateur porte toujours sur lui. Toutefois, dans ce cas le problème des identités distribuées représente un désavantage important. Étant donné que pour chaque dispositif (final) qu’un utilisateur veut utiliser pour son travail, qu’il s’agisse d’un PC, d’un smartphone ou d’une tablette, un certificat séparé est requis. Ceci entraîne un travail d’installation pénible, ainsi qu’une véritable « jungle de certificats » en fonction du nombre de périphériques impliqués.

En outre, les certificats demeurent sur les appareils finaux et peuvent tomber aux mains de criminels s’ils sont perdus ou vendus, ce qui pose un problème pour les données sensibles. Une alternative plus simple, mais doublement sécurisée est l’authentification forte sans jeton, qui est également décrite dans le livre blanc [En Anglais].