Archives de catégorie : Entreprise

Actualités liées à la sécurité informatique des entreprises, PME, PMI, TPE, association, communes.

Arnaque, Cybersécurité, escroquerie, Fuite de données, Phishing, pourriel, Social engineering, spam, Vie privée

1800 fonctionnaires piégés par un phishing

Un commentaire

S’il existe bien un secteur qui mériterait d’être un peu plus regardant sur sa sécurité informatique, c’est bien celui concernant les fonctionnaires. Ils gèrent les informations locales, régionales, nationales, donc des milliers, quand cela ne se chiffre pas en millions de données privées et sensibles. seulement, la sécurité informatique, faudrait-il encore qu’il en entende parler sous forme de formation, de réunion, et autrement que par des professionnels qui ne connaissent du terrain que les rapports chiffrés qu’ils lisent et recopient à longueur de journée.

Un exemple en date, chez nos cousins canadiens. Un sondage interne lancé par le ministère fédéral de la Justice annonce qu’environ 2000 membres du personnel ont cliqué sur un courriel piégé. De l’hameçonnage facile via un faux courriel traitant… de la sécurité des informations confidentielles du ministère. Un tiers des personnes ciblées a répondu à la missive, soit 1850 fonctionnaires sur 5000. Les prochains essais auront lieu en août et au mois d’octobre avec un degré de sophistication supérieure.

Selon le gouvernement canadien environ 10 % des 156 millions de filoutages diffusés chaque jour réussissent à contrer les logiciels et autres filtres antipourriels. Huit millions sont executés par le lecteur, 10% cliquent sur le lien. 80.000 se font piéger. (La presse)

Justice, Logiciels, Propriété Industrielle

27.000€ de dommages pour avoir perturbé Deezer

Un commentaire

Le site de diffusion de musique en mode streaming, Deezer, vient de faire condamner un internaute français à 15.000€ d’amende (avec sursis) et 27.000€ de dommages-intérêts.

Comme le stipule le site juridique Legalis, les juges ont estimé qu’il avait porté atteinte à une mesure technique efficace de protection et proposé sciemment à autrui des moyens conçus pour porter atteinte à une telle mesure, en violation des articles L. 335-3-1, I et II du CPI, qu’il avait développé et diffusé auprès du public un logiciel manifestement destiné à la mise à disposition du public non autorisé d’œuvres protégées, en violation de l’article L 335-2-1 du CPI. Bref, le jeune français avait créé le logiciel Tubemaster++ qui permettait, en profitant d’une faille de Deezer, pour copier les musiques proposés par le site web.

L’étudiant s’est retrouvé face à l’article L 331-5 du code de la propriété intellectuelle, introduit par la loi Hadopi du 12 juin 2009. Il a du créer un outil pour contourner la sécurité de Deezer et s’est retrouvé face aux « mesures techniques efficaces destinées à empêcher ou à limiter les utilisations non autorisées par les titulaires d’un droit d’auteur ou d’un droit voisin du droit d’auteur d’une œuvre, autre qu’un logiciel, d’une interprétation, d’un phonogramme, d’un vidéogramme ou d’un programme sont protégées dans les conditions prévues au présent titre. ».

Entreprise, Fuite de données

Protection des données personnelles : 5 étapes d’un plan de mise en conformité

Pour Elizabeth Maxwell, directrice technique EMEA chez CompuwareLes, la question se pose : les entreprises se sentent-elles concernées par les législations européennes ? En matière de protection des données personnelles, l’impact risque d’être plus retentissant que ne le laisse penser l’éloignement géographique d’institutions dont les objectifs sont parfois obscurs. Transferts des données encadrés, amendes réévaluées à la hausse, profilage sous condition, l’ensemble du cadre législatif européen aura des conséquences sur les investissements IT des entreprises. Protection des données personnelles, voici les 5 étapes d’un plan de mise en conformité.

·        Comprendre les implications de la législation
Cela va sans dire mais il appartient aux entreprises de comprendre les conséquences du nouveau cadre législatif européen sur leurs opérations quotidiennes et récurrentes. Cette première étape est essentielle à l’identification des processus de collecte et de transferts applicables chez elles. L’erreur à ne pas commettre est de minimiser l’impact et le coût. Il faudra s’attendre, au contraire, à d’importantes dépenses, compte tenu des pratiques généralisées de développement et de test qui s’appuyaient jusque-là sur des données non anonymisées.

·        Auditer et localiser les données sensibles
La deuxième étape consiste à réaliser un audit global de localisation des données personnelles et sensibles. Qui a accès à quoi, où et comment ces données sont-elles recoupées ? Quels sont les points d’achoppement, où sont les risques de violation ?  Encore une fois, le temps nécessaire à cette analyse ne doit pas être sous-estimé.

·        Adapter ses processus aux nouvelles contraintes
Une fois la localisation et l’identification des données et des risques associés réalisées, il devient plus aisé d’introduire à ses processus de traitement existants l’anonymisation de la donnée. Il est également envisageable de créer de nouveaux flux de travail qu’il sera plus facile et plus rapide d’adapter aux exigences à venir de la législation européenne.

·        Développer une solution conforme aux exigences
En fonction des résultats de l’audit, du niveau préalable de conformité, du business model choisi ou encore de la démarche retenue par l’entreprise, la solution globale définie pourra porter par exemple sur une révision des droits d’accès aux données, sur le choix d’une nouvelle solution de MDM, sur la refonte des clauses contractuelles relatives aux transferts ou (et très certainement) une combinaison de ces différents sujets.

·        Donner de l’air à la  DSI
L’ensemble de ces étapes représente un processus long et fastidieux, dont la réussite repose sur une parfaite maîtrise du cadre législatif. Le délai de deux ans laissé aux entreprises n’est pas de trop au regard des très nombreux paramètres à prendre en compte. Le volume de données, leur interaction complexe, leur qualité et leur intégrité ne sont qu’une étape d’un plan plus général de révision des processus afin de répondre rigoureusement aux obligations européennes.

Les DSI européennes travaillent aujourd’hui, bien malgré elles, à flux tendu. La charge de travail qu’implique le dispositif européen de protection des données personnelles peut être supportée en s’appuyant sur une expertise extérieure, afin de réduire à la fois le risque d’erreur, les délais d’initiation à la législation et donc le coût global.

Chiffrement, Cybersécurité, Espionnae, Fuite de données, Identité numérique, Vie privée

Un Monsieur sécurité pour protéger les données des électeurs

Le gouvernement Canadien a décidé, voilà quelques jours, de mandater une équipe de sécurité informatique qui aura comme mission de trouver la moindre faille et fuite de données concernant les électeurs du pays. Une décision politique qui fait suite au jugement d’une entreprise de généalogie qui a commercialisé durant 6 ans les données de plusieurs millions d’élécteurs via ses services oueb.

L’Institut Drouin, spécialisé dans la généalogie, avait copié une liste électorale datant de 2003. Le jugement de cour du Québec a ordonné à Drouin de détruire les données appartenant à 5,5 millions de Québécois : nom, adresse, sexe et date de naissance. « L’État a le droit d’en interdire la diffusion pour protéger la vie privée des électeurs », a indiqué le tribunal.

En France, il suffit de regarder les seconds tours d’éléctions pour appercevoir les candidats et leurs équipes décortiquer les listes électorales afin d’inciter les abstansionnistes à voter, voir certains élus analyser les employés municipaux n’ayant pas pris le temps de voter !

Entreprise, Fuite de données, Propriété Industrielle

Guide de la charte informatique

2 commentaires

La charte informatique permet d’encadrer les risques liés à l’utilisation du système d’information par les salariés et de limiter les responsabilités pénales et civiles de l’entreprise et de ses dirigeants.

Toutefois sa mise en place doit se faire dans certaines conditions pour qu’elle soit juridiquement opposable, c’est pourquoi Olfeo propose un guide pour accompagner les entreprises sur ce point.

Olfeo, éditeur français d’une solution de proxy et filtrage de contenus Internet, dévoile son « Guide de la charte Informatique » co-écrit avec le cabinet d’avocats Alain Bensoussan spécialisé dans le domaine du droit de l’informatique. Ce document a pour objectif d’aider les directions informatiques dans l’élaboration de leur Charte des systèmes d’information, souvent appelée de manière générique « Charte informatique ».

« Une grande partie des DSI et des RSSI sont conscients de l’importance de mettre en place une charte informatique dans leur entreprise pour définir les conditions générales d’utilisation du système d’information et notamment des accès Internet, des réseaux et des services multimédias », explique à DataSecurityBreach.fr Alexandre Souillé, président et fondateur d’Olfeo. « Toutefois, la démarche de charte n’est pas toujours évidente à mettre en œuvre, c’est pourquoi nous avons conçu ce guide qui permet à nos clients de mieux comprendre les facteurs clés de succès lors de la conception et le déploiement de leur charte. »

Le guide de la charte informatique Olfeo co-écrit avec le cabinet d’avocats Alain Bensoussan aborde ainsi, de manière pédagogique, les différents aspects relatifs au document :

–             Comprendre les fondements juridiques d’une charte
–             Pourquoi mettre en œuvre une charte
–             Comment aborder le contenu d’une charte tout en préservant l’équilibre entre vie privée résiduelle et droit du travail
–             Comment déployer une charte opposable aux salariés et quelles sont les autres guides ou livrets à mettre en œuvre en parallèle…

Concernant le déploiement d’une charte opposable aux employés, le guide présente les étapes indispensables à respecter
La charte doit être déployée de la même manière qu’un règlement intérieur. La jurisprudence établit clairement qu’une charte déployée comme un règlement intérieur s’impose à tous les utilisateurs soumis à ce règlement. Son déploiement doit être effectué conformément à certains fondamentaux. Le premier consiste à de soumettre la Charte aux instances représentatives du personnel, c’est le principe de discussion collective. Le second est le principe de transparence qui consiste à diffuser la Charte auprès des utilisateurs, à la fois individuellement mais également collectivement, à une place facilement accessible sur le lieu de travail.

Pour les entreprises privées et les administrations qui disposent d’agents de droit privé deux étapes supplémentaires sont également nécessaires : déposer cette charte au conseil des prud’hommes ainsi qu’à l’inspection du travail en deux exemplaires. Enfin, à chaque modification de la Charte, l’ensemble de cette procédure doit être à nouveau déployée.

« Une Charte s’inscrit dans une démarche d’explication et de sensibilisation quant aux enjeux et aux risques. L’objectif est de faire adhérer les utilisateurs. Il faut donc que la Charte soit claire et à la portée de tous », ajoute à Data Security Breach Alexandre Souillé. « >Il ne faut d’ailleurs pas hésiter à se faire accompagner de professionnels qualifiés en cas de besoin car l’utilisation de la charte peut prévenir l’entreprise, les dirigeants et mêmes les employés de bien des désagréments. »

Entreprise, Propriété Industrielle

L’anatomie des commentaires indésirables

Une enquête révèle que 80% du trafic de commentaires indésirables est généré par seulement 28% des sources d’attaques.

Imperva, pionnier du 3ème pilier de la sécurité des entreprises, avec une nouvelle couche de protection spécialement conçue pour les centres de traitement de données physiques et virtuels, a publié son rapport Hacker Intelligence Initiative de juin, « Anatomie des commentaires indésirables » Le rapport propose une analyse en profondeur de la manière dont un nombre relativement restreint de sources d’attaque sont responsables de la majorité du trafic de commentaires de type « Comment spam ». Il démontre que la gestion du niveau de réputation des adresses IP permet d’identifier plus rapidement les spammeurs et ainsi bloquer leurs attaques pour se protéger de la plupart de leurs activités malveillantes.

« Les attaques de commentaires indésirables peuvent paralyser un site web, impacter sa disponibilité et compromettre l’expérience utilisateur », déclare Amichai Shulman, CTO de Imperva. « Notre dernier rapport réalisé par notre équipe d’ADC   (Application Defense Center)révèle qu’un nombre relativement restreint de sources d’attaques créé la majorité de ce type de spams, en s’appuyant la plupart du temps sur des outils automatisés, leur permettant de toucher un maximum de cibles. Identifier rapidement la source d’une attaque et bloquer ses commentaires permet de limiter considérablement son efficacité et ainsi minimiser son impact sur un site. »

On apprend que 80% du trafic decommentaires indésirables est généré par seulement 28% dessources d’attaques. 58% de toutes les sources d’attaques sont actives pendant de longuespériodes. Identifier rapidement la source de l’attaque tel qu’un spammer de commentaires et bloquer ses demandes l’empêche de mener la plupart de ses activités malveillantes. La réputation de l’adresse IP permet de résoudre le problème généré par ce type de commentaires en bloquant les spammeurs au plus tôt dans leurs campagnes d’attaques.

Le rapport se base sur les données recueillies par la surveillance de plus de 60 applications Web analysées par le service ThreatRadar Réputation d’Imperva, il fournit des informations précieuses permettant de disséquer ces commentaires indésirables du point de vue de la victime mais également du hacker. Par exemple, l’enquête a examiné les étapes suivies par le hacker pour concevoir ses « spams » et les diverses manières dont ils peuvent être automatisés pour une diffusion plus importante. Du point de vue de la victime, la recherche montre qu’à mesure que le temps passe, un spammeur de commentaires augmente la fréquence de ses attaques contre un site à partir du moment où il identifie une vulnérabilité dans le système qui gère les commentaires. Cela démontre à quel point il est important de l’identifier au plus tôt. Le rapport présente également des études de cas qui décryptent différents schémas d’attaques de commentaires sur les mails et les flux de trafic. Enfin, le rapport délivre des préconisations détaillées sur la manière dont les sites Web peuvent se défendre contre les attaques de commentaires indésirables, en utilisant des techniques d’atténuation.

Cyber-attaque, Cybersécurité, Fuite de données, Mise à jour, Patch

Faille pour TweetDeck

Depuis plusieurs heures, des milliers d’internautes se sont amusés à utiliser une vulnérabilité dans l’outil de conversation en ligne TweetDeck.

Un excellent logiciel au demeurant qui permet de suivre et administrer plusieurs comptes Twitter. La faille, un XSS, a donc été diffusé et largement exploité pour le fun, mais aussi dans des buts largement moins avouables. Une véritable plaie, le code diffusé retweet la faille et envahie donc Twitter et les comptes des utilisateurs ainsi piégés. Cela fait plus de 24 heures que la vulnérabilité est connue publiquement, et Twitter, propriétaire de l’outil n’a pas encore réagi. Attendez-vous à voir Tweetdeck fermer quelques minutes (heures ?) le temps de la mise en place d’un correctif.

Une vague XSS qui pourrait paraître anodine. Le Cross-Site Scripting ne fait que diffuser automatiquement son contenu. Une action qui cache peut-être l’arbre malveillant dans la forêt ! Un pirate serait-il en train de détecter des cibles utilisatrices de TweetDeck. Une veille (un compte Twitter référence les microblogs piégés, voir ci-dessus, Ndlr de DataSecuritybreach.fr) aux intentions malveillantes qui aurait pour but final de lancer une autre attaque, dans les heures/jours à venir ? Action largement plus violente via une faille, un 0day [0Day], voleuse de données; ou d’une préparation pour une cyber manifestation contre la Coupe du Monde 2014 qui débute au Brésil ? A suivre …

Argent, Banque, Cybersécurité, Paiement en ligne

Livre Blanc Certissim : la fraude identitaire prend de l’ampleur

Un commentaire

Depuis 2000, le Livre Blanc Certissim apporte sa vision de la fraude sur le marché du e-commerce français. Document de référence pour les e-marchands souhaitant optimiser leur gestion de la fraude, le Livre Blanc Certissim présente les grands indicateurs de la fraude dans le e-commerce ainsi que les nouveaux enjeux de la lutte contre la fraude.

L’expertise de Certissim et son implication dans la lutte contre la fraude lui permettent également de décrire les nouvelles techniques des cybercriminels. Les données du Livre Blanc Certissim proviennent des fraudes détectées par son système ainsi que des déclarations d’incidents de paiement de ses 900 sites marchands partenaires.

L’édition 2014 de cette étude met en avant une augmentation et une diversification des méthodes d’usurpation des données personnelles ainsi qu’une généralisation de la fraude sur l’ensemble du territoire. Les tentatives de fraude s’élèvent à près de 2 milliards d’euros en 2013, contre 1,7 milliards une année plus tôt. La projection des taux de Certissim sur l’ensemble du e-commerce français, soit 51,1 milliards d’euros de chiffre d’affaires(1), indique que l’ensemble des tentatives de fraude se chiffrerait a minima à 1,9 milliard d’euros en 2013. Les enjeux financiers sont par conséquent significatifs à l’échelle de l’économie numérique nationale. Sur le périmètre étudié par Certissim, le taux de tentatives de fraude dans le e-commerce s’est stabilisé à 3,83 % (3,91 % en 2012). Le taux d’impayés frauduleux est en baisse à 0,14 % (0,18 % en 2012)(2) . Le panier moyen des impayés est de 243 €. Si le risque reste important, la fraude dans le e-commerce est mieux maîtrisée.

Fraude identitaire : croissance des usurpations de comptes clients
Certissim alerte les particuliers et les professionnels sur l’évolution des méthodes de phishing(3) observée en 2013. Les auteurs de phishing ne se contentent plus d’essayer de récupérer des coordonnées bancaires. Désormais, ils cherchent à récolter tous types de données personnelles : état civil, coordonnées (postales, bancaires, téléphoniques), mots de passe, réponses aux questions secrètes, etc. L’objectif pour eux est d’utiliser une identité « propre » et crédible pour commander en ligne.

En cumulant les informations issues de phishing et des réseaux sociaux, DataSecurityBreach.fr a pu lire que les fraudeurs parviennent à prendre possession de comptes clients de e-acheteurs honnêtes connus des e-commerçants. Ces usurpations sont possibles notamment à cause de la négligence des particuliers quant à la écurisation de leurs mots de passe. Une fois connecté, les fraudeurs s’approprient le compte client, en modifiant l’adresse e-mail et le numéro de téléphone, et commandent avec des numéros de cartes bancaires volés. En outre, le fraudeur n’est pas inquiété mais le vrai détenteur du compte client doit prouver qu’il n’est pas à l’origine des commandes frauduleuses.

Aucune région française n’est épargnée par la fraude
Certissim dresse un double constat à partir des adresses de livraison des commandes frauduleuses (tentatives de fraude et impayés). Le phénomène de concentration de la fraude en zones urbaines se confirme. Les fraudeurs utilisent des adresses de livraison situées dans les grands centres urbains afin de se fondre dans la masse des commandes en ligne effectuées quotidiennement. Ils disposent alors d’un important marché de revente à proximité de leurs lieux de livraison. Les cas de fraudes en zones rurales augmentent. En province, les fraudeurs  privilégient la livraison en point relais. Pour ne pas être repérés, ils comptent sur la méconnaissance de leurs procédés de la part d’autorités locales peu confrontées à la fraude.

(1) Données Fevad, janvier 2014
(2)Taux de tentatives de fraude et d’impayés en valeur
(3) Hameçonnage

Android, Fuite de données, Identité numérique, Sécurité, Smartphone, Social engineering, Vie privée

Heartbleed, de retour dans nos smartphones

2 commentaires

Nous vous en parlions à l’époque, la faille heartbleed a été découverte/exploitée aussi dans les smartphones. Des millions d’appareils sous Android, non mis à jour (4.1.1 et antérieur), le sont encore. Un chercheur vient de lancer une alerte indiquant que des millions de smartphones sont tributaires des mises à jour des opérateurs, constructeurs. Bref, la faille OpenSSL fait encore des dégâts.

Luis Grangela, scientifiques portuguais, indique qu’une méthode de piratage exploitant Heartbleed peut être exploitée par des pitrates. Sa méthode utilise le Wi-Fi et des smartphones Android. Son attaque, baptisée Cupidon, est basée au niveau des tunnels TLS. Pour le chercheur, iOS d’Apple ne serait pas épargné.

Entreprise, Identité numérique, Justice, Propriété Industrielle

Val Thorens, une marque protégée sur Internet

Comme l’explique le site Legalis, la station de ski Val Thorens est une marque qu’il vaut mieux éviter de détourner sur Internet.

Par un arrêt du 28 mai 2014, la cour d’appel de Lyon a estimé que les noms de domaine val-thorens.net et val-thorens.org appartenaient à la station de ski éponyme et non pas à l’internaute qui avait mis la main de ces adresses web. Pour la justice, il y a violation du droit d’auteur, même si la Ville et son office de tourisme n’avaient pas enregistré les noms de domaine.