Archives de catégorie : Entreprise

Actualités liées à la sécurité informatique des entreprises, PME, PMI, TPE, association, communes.

Une agence américaine sensible infiltrée par du 95D

Un pirate informatique réussi à infiltrer une agence américaine sensible en se faisant passer pour une blonde torride. Emily Williams, gentille, sexy, pas avare de cartes numériques envoyées de ses vacances. Une amie ? Pas vraiment. Des chercheurs en sécurité informatique Aamir Lakhani et Joseph Muniz ont expliqué lors de la conférence RSA Europe 2013 comment une agence américaine sensible, en charge de question de sécurité avait été infiltrée par un pirate, amateur de phishing particulièrement bien ciblé. De fausses cartes numériques de vacances piégées qui auraient permis de mettre la main sur les accès Facebook, LinkedIn ou encore SalesForce de fonctionnaires. Les deux chercheurs ont expliqué que leur attaque, pour du faux, avait permis de duper un employeur du gouvernement en lui faisant croire qu’elle était une employée gouvernementale. Le clic sur le javascript piégé aura fait le reste ! L’attaque « scientifique » aura durée 90 jours. Lakhani a refusé de préciser quelle agence du gouvernement avait été infiltrée et compromise par Mlle Williams.

 

QUOTIUM et l’ESIEA annoncent un partenariat dans le développement sécurisé

L’éditeur de logiciel QUOTIUM (Euronext QTE) a révolutionné la façon dont les applications sont sécurisées. Pionnière de la technologie IAST « Interactive Application Security Testing », sa solution de sécurité SEEKER, permet d’analyser le code applicatif pendant l’exécution d’une attaque malveillante et les conséquences de celle-ci sur les flux de données utilisateur. La technologie de Seeker est unique car elle permet d’avoir une vision réelle de l’état de sécurité d’une application et de ses risques métiers. Pour chaque faille de sécurité détectée, Seeker propose un correctif à appliquer sur les lignes de codes vulnérables accompagné d’une explication technique détaillée incluant la vidéo de l’attaque sur l’application testée.

Créée il y a 55 ans, l’ESIEA est une grande école d’ingénieurs en sciences et technologies du numérique qui délivre un diplôme habilité par la Commission des Titres d’Ingénieur (CTI) et propose deux Mastères Spécialisés en sécurité informatique (Bac +6) sur ses campus de Paris et Laval.

Parmi ses cursus, l’ESIEA propose un Mastère International « Network and Information Security (N&IS) » qui profite directement du résultat des travaux de l’un des 4 laboratoires de l’école. Ce laboratoire de cryptologie et virologies opérationnelles (CVO²) effectue des recherches fondamentales sous tutelle du Ministère français de la Défense dans les domaines des cyber-attaques, de la sécurité des systèmes et de l’information et des architectures de sécurité réseau.

Dans ce contexte, afin de former les étudiants aux problématiques de développement sécurisé, l’ESIEA s’est rapprochée de la société QUOTIUM pour initier un partenariat stratégique autour de leur technologie phare, le logiciel SEEKER spécialisé dans l’analyse de vulnérabilités des applications web. Concrètement, les étudiants du mastère spécialisé N&IS de l’ESIEA exploiteront une plateforme SEEKER réseau dédiée, dans le cadre de la formation au développement sécurisé et aux techniques d’audit. Il est envisagé à terme d’organiser une certification de nos étudiants vis-à-vis de la technologie SEEKER. Cette plateforme sera aussi utilisée dans le cadre des travaux de R&D du laboratoire de cryptologie et de virologie opérationnelles de l’ESIEA, avec une première utilisation dans le cadre du projet DAVFI.

Le choix de QUOTIUM par l’ESIEA s’explique notamment par la qualité technique de la solution SEEKER et sa facilité d’intégration dans les processus de développement.

IP-tracking: Le Parlement traque la Commission européenne

Les eurodéputés demandent que l’IP-tracking soit reconnu comme une pratique commerciale déloyale. La Commission des affaires juridiques du Parlement européen a adopté aujourd’hui un rapport sur l’application de la directive 2005/29/CE sur les pratiques commerciales déloyales. Dans ce rapport, voté à l’unanimité, les parlementaires demandent aux États membres et à la Commission européenne une protection adéquate des consommateurs face à l’IP-tracking [1].

Françoise Castex se félicite que l’ensemble des groupes politiques aient soutenu son amendement visant à reconnaître l’IP-tracking comme une pratique commerciale déloyale. « C’est la preuve que le ras-le-bol est général face à ces pratiques inadmissibles qui touchent des millions de consommateurs européens! » déclare l’eurodéputée socialiste.

« Le Parlement souhaite mettre un terme à l’inaction de la Commission et des États membres« , estime Françoise Castex, qui avait saisi l’exécutif européen un janvier puis en juillet dernier [2]. « Nous demandons à la Commission européenne de se pencher sur ce phénomène bien connu des consommateurs et de proposer enfin un texte qui interdise ces pratiques commerciales sur le net. »

« À défaut, nous demanderons à la Commission européenne une révision de la directive 2005/29« , conclut la Vice-présidente de la Commission des Affaires juridiques du Parlement européen.

[1] Méthode utilisée par un opérateur et qui consiste, lorsqu’un usager effectue une recherche de billets, à enregistrer cette recherche et l’associer à l’adresse IP du terminal utilisé. Si l’usager n’achète pas immédiatement, et se décide un peu plus tard, l’opérateur ayant gardé en mémoire l’intérêt manifesté par l’usager pour ce trajet, propose alors un prix un peu supérieur, ceci afin de susciter l’achat immédiatement en laissant penser à l’internaute que le nombre de places diminue et que le prix augmente.

[1] Françoise Castex avait saisi la Commission européenne le 29 janvier 2013 par une question avec demande de réponse écrite (http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+WQ+P-2013-000873+0+DOC+XML+V0//FR&language=fr) et interpellé le Commissaire à la protection des consommateurs lors de sa prise de fonctions le 2 juillet: http://www.francoisecastex.org/2013/07/ip-tracking-francoise-castex-saisit-le-nouveau-commissaire-croate.html

[1] Méthode utilisée par un opérateur et qui consiste, lorsqu’un usager effectue une recherche de billets, à enregistrer cette recherche et l’associer à l’adresse IP du terminal utilisé. Si l’usager n’achète pas immédiatement, et se décide un peu plus tard, l’opérateur ayant gardé en mémoire l’intérêt manifesté par l’usager pour ce trajet, propose alors un prix un peu supérieur, ceci afin de susciter l’achat immédiatement en laissant penser à l’internaute que le nombre de places diminue et que le prix augmente.

[2] Françoise Castex avait saisi la Commission européenne le 29 janvier 2013 par une question avec demande de réponse écrite (http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+WQ+P-2013-000873+0+DOC+XML+V0//FR&language=fr) et interpellé le Commissaire à la protection des consommateurs lors de sa prise de fonctions le 2 juillet: http://www.francoisecastex.org/2013/07/ip-tracking-francoise-castex-saisit-le-nouveau-commissaire-croate.html

Le Single Sign On

Le Single Sign On : Un seul identifiant, un seul mot de passe, une seule connexion pour un accès à des milliers d’applications – comment ça marche ? Luc Caprini – Directeur Europe du Sud de Ping Identity

Qu’est ce que le Single Sign On ?
Le terme « Single Sign On » ou « SSO » peut en effrayer plus d’un et pourtant son principe est relativement simple. Avant d’expliquer en quoi consiste exactement le Single Sign On et quels en sont les bénéfices, il faut tout d’abord détailler le contexte dans lequel le Single Sign On intervient. Cela permet de comprendre toute son utilité.

Aujourd’hui, nous possédons chacun une multitude d’identifiants et de mots de passe dont on ne se rappelle pas toujours. Que ça soit au bureau, ou à domicile, nous ne pouvons échapper au « devoir d’identification » dès que nous allumons un ordinateur, un smartphone ou une tablette.  C’est une contrainte qui ralentit la productivité du collaborateur qui se connecte maintes et maintes fois aux applications de son entreprise ou au cloud et c’est un handicap lorsqu’on ne se souvient plus de ses identifiants pour se connecter sur un site Internet et qu’il est donc impossible d’y accéder.

Principe
C’est là qu’intervient le Single Sign On. En quoi cela consiste exactement ? L’utilisateur dispose simplement d’une interface qui s’ouvre à l’allumage de son terminal et il rentre une seule et unique fois, une seule et unique combinaison « identifiant/mot de passe » qui lui permettra de se connecter automatiquement et de façon sécurisée à toutes les applications de l’entreprise, au cloud et également aux applications Web de type Facebook, Gmail, etc. sans jamais devoir s’identifier une nouvelle fois.

Fonctionnement
Le principe est donc relativement simple. La petite complexité réside dans la gestion de l’identité unique de chaque utilisateur. Cette gestion passe par une solution de fédération des identités. Cela signifie que l’identité et le mot de passe de l’utilisateur sont stockés dans un lieu unique, contrôlé par l’entreprise. Lorsque l’utilisateur accède à l’application, son identité est transmise en toute transparence et en toute sécurité, depuis le Système d’Information (SI) de l’entreprise, au fournisseur de l’application. On appelle cela le SSO fédéré.

Bénéfices
Le SSO fédéré a de multiples avantages pour une entreprise.

Le BYOD
Il permet notamment de favoriser le développement du BYOD. En effet, le SSO fédéré repose sur la base d’un accès sécurisé aux applications de l’entreprise via une identité unique. Cet accès peut donc se faire depuis n’importe quel terminal, qu’il soit  fixe ou mobile. Ainsi, collaborateurs, clients et partenaires ont accès aux applications de l’entreprise depuis leurs propres ordinateurs portables, smartphones ou tablettes sans difficulté. L’entreprise ne craindra donc pas pour ses données.

Réaliser des économies
La réinitialisation des mots de passe entraîne pour l’entreprise un coût de traitement et une baisse de la productivité. En effet, il faut téléphoner à la hotline, patienter puis réinitialiser son mot de passe, ce qui est fastidieux et ennuyeux pour le collaborateur. Dans la pratique, le coût moyen des réinitialisations de mots de passe s’élève à un peu plus de 20€ par employé et par opération. Un seul identifiant, un seul mot de passe, ça ne s’oublie pas. Le SSO fédéré est donc un gain réel de temps et d’argent.

Renforcement de la sécurité
Si l’entreprise n’utilise pas le SSO fédéré, les collaborateurs se connectent donc aux applications de façon classique. Plus les utilisateurs doivent mémoriser d’identifiants et de mots de passe, plus ils optent pour des mots de passe faciles à deviner (phénomène dû à une « lassitude » à l’égard des mots de passe). D’autre part, ces mots de passe peuvent être stockés à des endroits identifiables et être facilement dérobés. Le SSO fédéré permet de résoudre ce problème en centralisant la gestion des accès utilisateurs. De cette manière, lorsqu’un utilisateur ne travaille plus dans l’entreprise, son accès à toutes les applications est désactivé.

Stimulation de la productivité
Prenons l’exemple d’un utilisateur qui se connecte trois fois par jour à une application cloud et supposons que chaque connexion lui prenne environ cinq secondes (en supposant que la connexion s’établisse avec succès). Ce délai semble faible mais il peut avoir des conséquences importantes si l’on considère le calcul suivant :

·         Trois connexions par jour = 15 secondes par jour, par utilisateur et par application
·         Les connexions coûtent à une entreprise de 1 000 utilisateurs 250 minutes par jour et par application (62 500 minutes ou 130 jours ouvrables annuels, en supposant une année de 250 jours de travail par an)

Grâce au SSO fédéré, les utilisateurs peuvent réduire le temps passé à se connecter successivement à plusieurs applications et se consacrer à des activités à plus grande valeur ajoutée.

Vous aider à détecter une faille de sécurité

Il y a des indicateurs tangibles qui peuvent vous aider à identifier une atteinte à la sécurité de votre environnement de travail.  Certains sont évidents, d’autres moins. Quels sont les premiers signes qui devraient vous conduire à vous inquiéter ? Voici quelques pistes pour vous aider à détecter une faille à temps. Par Jean-Philippe Sanchez, Consultant chez NetIQ France

1. Un trafic inattendu (ou un changement d’activité) entre systèmes sur le réseau constitue un indicateur communément surveillé par les entreprises parce qu’il montre qu’un système a été compromis et s’avère désormais utilisé pour étendre l’emprise de l’attaquant. Un tel trafic peut être révélateur d’une attaque en cours ou, pire, du déplacement d’informations en vue de leur récupération ultérieure. Les fournisseurs du domaine militaire sont particulièrement concernés car les informations hautement sensibles qu’ils manipulent sont souvent la cible d’attaques de long terme au coeur de leurs réseaux.

> Surveillez d’éventuels changements dans les flux réseau et concentrez-vous sur les systèmes concernés pour chercher à connaître les causes de ces changements.

2. Des changements dans les fichiers et la configuration de systèmes surviennent souvent lors d’une attaque. Le pirate va en effet installer des outils (y compris des logiciels malveillants ciblés) souvent impossibles à détecter avec les antivirus traditionnels. Toutefois, les changements qu’ils apportent aux systèmes infectés peuvent être détectés et sont ainsi utilisés pour identifier les systèmes compromis. Certaines industries telles que celle du commerce de détail utilisent notamment cette méthode pour suivre les attaquants cherchant à voler des informations relatives à des cartes bancaires. De fait, l’attaquant est susceptible d’installer des outils de capture de paquets réseau pour collecter des données relatives à des cartes bancaires alors qu’elles transitent sur le réseau. Les attaquants concentrent leurs efforts sur les systèmes susceptibles d’observer le trafic réseau.

> Bien que les chances de trouver un outil de capture de paquets réseau (parce qu’il sera développé sur mesure et probablement totalement nouveau) soient limitées, les changements de configuration des systèmes compromis peuvent être aisément observés.

3. Des changements d’activité d’utilisateurs à privilèges élevés, comme les administrateurs de systèmes, peuvent indiquer que le compte concerné est utilisé par un tiers pour essayer d’établir une tête de pont sur votre réseau. De fait, les utilisateurs à privilèges élevés sont souvent la cible d’opérations d’hameçonnage, dans le cadre d’une attaque avancée persistante puisqu’ils ont accès à des informations de grande valeur. La surveillance d’éventuels changements – tels que durée d’activité, systèmes connectés, type ou volume d’informations consultées – peut fournir une indication sur une violation de sécurité très tôt dans son déroulement. C’est un important sujet de préoccupation pour la plupart des entreprises, mais ça l’est encore plus dans le secteur de la santé. Dans celui-ci, de nombreuses personnes au sein des organisations sont susceptibles d’accéder à des données protégées dont elles n’ont pas véritablement besoin. Et un tel accès peut être utilisé par un attaquant pour dérober des informations pouvant conduire à une violation de sécurité très grave et très coûteuse.

> Surveillez les habilitations et les accès aux applications métiers, ainsi que la séparation des tâches (SOD).  Les risques liés à la séparation des tâches se manifestent suite à une série d’actions réalisées par une même personne et qui entraînent une erreur ou pire, une fraude. Par exemple, un utilisateur ayant accès aux transactions de création/modification des commandes fournisseurs et aux transactions de paiement pourrait créer un fournisseur fictif et initier un paiement…

4. Les schémas de trafic réseau sortant vers de nouveaux hôtes, tout particulièrement mis en perspective avec des informations provenant de services de réputation d’adresses IP, peuvent indiquer qu’un système compromis communique avec un serveur de commande et de contrôle. Toutes les organisations s’inquiétant d’un risque de compromission de leur système d’information devraient surveiller un éventuel trafic réseau sortant inattendu. Souvenez-vous : les chances d’empêcher un attaquant d’entrer sont faibles ; les attaques modernes se caractérisent par un niveau élevé de persistance et par une capacité avérée à passer les défenses.

> Surveillez l’activité au sein du réseau et le trafic quittant votre périmètre. Les systèmes compromis communiquent souvent avec des serveurs de commande et de contrôle et le trafic correspondant peut être observé avant que ne soient causés des dégâts réels.
> Cherchez le trafic sortant visant des adresses IP inhabituelles. Les listes Noires / Blanches des adresses IP utilisées sur Internet font aujourd’hui parties des points indispensables à surveiller.

5. Un événement imprévu, tel que l’application impromptue de correctifs sur des systèmes, peut indiquer qu’un attaquant est parvenu à établir une tête de pont sur votre réseau et s’attache à supprimer des vulnérabilités pour éviter que des concurrents ne le suivent. Il peut s’agir par exemple de l’application soudaine de correctifs comblant des vulnérabilités connues, tout particulièrement sur des applications ouvertes au Web. Cela peut paraître à première vue comme une bonne chose, et donc ne pas éveiller les soupçons. Une analyse des systèmes de l’organisation conduisant à découvrir que quelqu’un a comblé des vulnérabilités connues, mais préalablement non corrigées, peut indiquer qu’un attaquant s’est infiltré sur le réseau et referme derrière lui les portes qu’il a utilisées afin d’éviter l’arrivée de concurrents. Après tout, la plupart des attaquants cherchent à gagner de l’argent à partir de vos données ; ils n’ont aucune raison de vouloir partager les profits avec quelqu’un d’autre.

> Il est parfois payant de s’interroger avec suspicion sur un cadeau qui semble trop beau pour être sincère…

Les smartwatchs interdites d’examens

Une université Belge fait interdire le port des montres pendant les examens pour faire face aux possibilités de tricherie avec une smart watch. Il n’aura pas fallu bien longtemps aux tricheurs pour trouver un intéret certain aux montres connectées, les fameuses smartwatchs. Samsung (Galaxy Gear), Sony, le Chinois ZTE, et prochainement Apple, proposent ces petits bijoux de technologies. L’université Belge de l’Arteveldehogeschool, située à Gand, vient de faire interdire le port de la montre lors d’un examen. Les « smartwatchs » permettent de se connecter sur Internet, et donc d’apporter des réponses aux tricheurs (qui ont les moyens de se payer ce type de montre intélligente).

Sur la Samsung, pas possible de lire les courriels, sur Sony, oui. La Galaxy Gear permet cependant de filmer son voisin d’examen. En juin dernier, un étudiant vietnamien de la Ho Chi Minh City University a d’ailleurs été coincé en train de tricher avec son chronographe numérique. Data Security Breach a pu se procurer le document internet de l’école, expliquant les montres à surveiller. Bref, d’ici peu, les concours et examens se passeront à poil !

Piratage : Bitcoins dans la ligne de mire

Décidément, la monnaie Bitcoins, monnaie virtuelle qui peut se transformer rapidement en argent sonnant et trébuchant, connait un regain d’intérêt chez les pirates informatiques. La place d’échange Bitcoin danoise BIPS est la dernière victime en date. Une attaque DDoS qui a permis aux attaquants de dérober près de 1 million de dollars. Au moins deux attaques DDoS (les 15 et 17 novembre) ont précédé ce piratage et il était logique de penser que de nouvelles tentatives seraient menées.

La popularité du Bitcoin, monnaie virtuelle dont l’utilisation au niveau mondiale ne cesse de croitre a vu son cours progresser significativement au cours des derniers mois. Le cours du Bitcoin est passé, en octobre de 137 euros à… 647 euros en cette fin du mois de novembre (20 dollars, il y a un – La monnaie a grimpé jusqu’à 1000 dollars, mercredi). Bilan, après le piratage de mining.bitcoin.cz, de Inputs.io, voici donc le DDoS contre un Danois. « Les cyberattaques les plus conséquentes sont capables de mettre hors service les applications critiques d’une entreprise et peuvent avoir des impacts financiers importants, souligne Laurent Pétroque ingénieur chez F5 Networks, Les entreprises qui dépendent de leur présence en ligne pour leur activité se doivent absolument d’investir dans des solutions de sécurité que ce soit pour elles, leur personnel ou les clients et utilisateurs finaux et ce afin de les protéger contre ces vecteurs d’attaque. »

Que ce genre d’attaques DDoS soient l’œuvre de fauteurs de troubles, de rivaux effectuant des tentatives de sabotages ou tout simplement de cybercriminels appâtés par des opportunité de gains faciles, il est plus que flagrant que la défense contre ces dernières ne concerne plus uniquement une faible proportion d’entreprises des secteurs privés et public. Ces attaques sont devenues plus fréquentes, ce sont amplifiées ces derniers mois et nous pouvons nous attendre à en voir beaucoup plus, avec encore plus de puissance, dans les tous les secteurs en 2014. « Les autres places d’échange Bitcoin à travers le monde devraient, si ce n’est pas déjà fait, faire le nécessaire rapidement pour se prémunir d’attaques similaires. » termine l’informaticien.

Data security breach revenait, il y a peu, sur les attaques à l’encontre de Bitcoin et des utilisateurs de cette monnaie virtuelle. Depuis plusieurs mois, les attaques se sont intensifiées : botnet, kit exploit, phishing, DDoS. Certains pirates, comme le montre datasecuritybreach.fr affiche des transactions malveillantes de plusieurs dizaines de milliers de dollars/euros. Au cours des dernières années, la capacité de voler le fichier wallet.dat, le portefeuille Bitcoin, a été ajoutée à plusieurs familles de logiciels malveillants comme Zeus, Zbot, Dorkbot,  Khelios. Et ce n’est plus le mot de passe Bitcoin qui semble être un frein aux malveillants professionnels. A noter que des botnets IRC s’exécutent sur la base du « AthenaIRCBot », un code source qui a la capacité de voler le fameux fichier portefeuille. Bref, l’hiver s’annonce… chaud, d’autant plus que le Ministère de la Justice américaine et le SEC (le gendarme de la bourse US) ont déclaré au Sénat de l’Oncle Sam que le Bitcoin était un moyen de paiement légitime. A chypre, il est dorénavant possible de payer ses cours en Bitcoin.

 

 

Les réseaux sociaux, « faille insidieuse » des cyberattaques ?

Les cyberattaques sont plus sophistiquées que jamais et les techniques de hacking ne cessent d’évoluer, de se renouveler. Aujourd’hui, force est de constater que la menace ne provient plus exclusivement de l’extérieur. Au sein d’une organisation, les utilisateurs sont à la fois victimes et potentiels « cybercriminels » notamment dans le cadre de leur usage des réseaux sociaux.

Les bonnes pratiques de l’usage des réseaux sociaux au bureau
Afin de réduire les risques d’attaques et de renforcer la sécurisation des données, les entreprises doivent former les employés aux bonnes pratiques de l’usage des réseaux sociaux au bureau ; de nombreux utilisateurs ont un comportement à risque par manque de sensibilisation et/ou parce qu’ils ne mesurent pas les dangers qu’ils font prendre aux organisations. Pourtant, les menaces les plus importantes proviennent surtout des sites professionnels tels que LinkedIn ou Viadeo, qui sont des sources intarissables d’informations à très forte valeur ajoutée sur les entreprises pour les hackers.

Ceux-ci ont accès en « libre-service » à un très grand nombre d’informations sur l’activité de l’entreprise qui leur permettent de récupérer des données sensibles. Les réseaux sociaux professionnels sont, en effet, le point d’entrée à des informations sur les employés, leur rôle dans l’entreprise, leurs fonctions quotidiennes, voire les nombreuses informations sur les outils de sécurité utilisés et les problématiques auxquelles ils ont été exposés. Les hackers utilisent actuellement l’ensemble des vecteurs à leur disposition : ils peuvent également pirater des informations professionnelles via un terminal personnel lorsque l’employé utilise ses propres outils (BYOD) ou travaille de chez lui à partir de son ordinateur personnel. Aujourd’hui, les brèches de sécurité sont progressives et permettent aux pirates de s’introduire dans les systèmes informatiques de la manière la plus discrète possible pour collecter le maximum d’informations et accéder petit à petit aux données les plus critiques.

Le Community Manager, danger insoupçonné
Le Community Manager a un rôle clé dans une entreprise puisqu’il gère son image et sa présence sur les réseaux sociaux. Il ne s’agit pas tant de ses privilèges (qui sont finalement peu élevés) que de son impact sur l’image et la communication officielle de l’entreprise sur les médias sociaux. Le détournement de ce type de compte est aujourd’hui une cible privilégiée de groupes cherchant à nuire à l’image d’une société ou à profiter de sa notoriété pour passer des messages non sollicités ou diffuser des informations confidentielles. Par ailleurs, lorsqu’un salarié quitte l’entreprise, il doit rendre ses clés, son badge mais les employeurs ne pensent pas nécessairement à changer ses mots de passe. Or, un Community Manager ou autre employé mécontent qui quitte l’entreprise emportant avec lui identifiants et mots de passe pourrait également lui nuire sans difficultés – tout salarié d’une entreprise est susceptible de conserver ses données de connexion après son départ de la société.

Prenons l’exemple récent de l’affaire PRISM, il ressortirait que l’ancien analyste de la NSA, Edward Snowden, aurait accédé à des informations extrêmement confidentielles grâce aux identifiants de connexion de plusieurs de ses collègues, qu’il aurait convaincu de lui fournir en prétextant un travail qu’il devait faire, en tant qu’administrateur du système informatique. Ce type de comportements peut avoir des conséquences catastrophiques sur l’économie d’une entreprise et engendrer des dommages collatéraux durables (perte de clients, impact sur le cours des actions en bourse pour les sociétés cotées, retrait d’investisseurs/business angels…).

De l’importance d’appliquer et transmettre les bonnes pratiques
Les cyberattaques sont une réalité pour tous et les entreprises comme les employés doivent prendre conscience que chaque individu est une porte d’accès aux données sensibles d’une société. Pour ce faire, les organisations peuvent appliquer plusieurs règles simples et peu coûteuses afin de renforcer la sécurisation des informations :

[dsb] Sensibiliser les utilisateurs au fait que le risque existe et  qu’ils doivent adopter un comportement de méfiance vis-à-vis d’informations en provenance de l’extérieur, mais également de l’intérieur – le fait de partager un simple mot de passe avec un collègue, peut aussi être considéré comme un comportement à risque.

[dsb] Identifier la source et le parcours des hackers afin de paralyser l’attaque et le retrait de données sensibles.

[dsb] Mettre en place des solutions de détection pour alerter les personnes responsables de l’entreprise qu’un compte sensible est en cours d’utilisation (peut-être frauduleuse) afin de favoriser une intervention rapide.

[dsb] Identifier et sécuriser les comptes à privilèges au sein des entreprises, premières cibles des attaquants puisque souvent méconnus et négligés.

En conclusion, pour parer au maximum à ces « failles humaines », employés et entreprises doivent redoubler de vigilance pour un usage plus réglementé des réseaux sociaux professionnels et privés. Commentaire d’Olivier Prompt, Regional Sales Engineer, Northern Europe & Africa chez Cyber-Ark Software pour Data Security Breach.

Les services secrets britanniques font dans le phishing

Quoi de plus sympathique qu’un bon gros phishing pour mettre la main sur les données privées et sensibles d’une cible. Les services secrets de sa gracieuse majesté britannique, le British Intelligence Agency GCHQ (Government Communications Headquarters) aurait utilisé de fausses pages du portail professionnel communautaire Linkedin pour mettre la main sur des données ciblées.

Une information que le magazine allemand Der Spiegel a révélé après l’analyse de documents secrets du GCHQ que l’ancien « analyste » Edward Snowden aurait volé. La première attaque connue visait le gouvernement belge et Belgacom, l’opérateur de télécommunication. Une fois le visiteur piégé par la fausse page Linkedin, un logiciel espion s’installait dans l’ordinateur des cibles de la GCHQ. L’objectif aurait été d’accéder au système de routeur GRX exploité par BICS pour intercepter le trafic téléphonique.

C’est quand même dingue de voir comment ces services secrets peuvent être bavards, dans leurs bureaux ; Ca n’étonne personne de savoir qu’un simple analyse « du privé » puisse accèder à autant d’informations variées !

En attendant, pour répondre aux écoutes probables de la NSA du trafic data de Yahoo! et Google, les deux géants de l’Internet viennent d’annoncer qu’ils allaient protéger leurs données internes. La CEO de Yahoo!, Marissa Mayer, a indiqué que les connexions de son groupe seraient désormais chiffrées.

Débandade numérique : du viagra dans le site de La Poste

« Fitness, netteté de l’objectif, une considération attentive de con de la question de l’échelle ainsi que la beauté et de l’art et de l’unité coupons » c’est par ces quelques mots que la page 10386, mais aussi des centaines d’autres, de l’espace « Courrier International » du site officiel de La Poste (laposte.fr) s’ouvre aux regards des internautes étonnés par ce charabia bien loin de l’univers de la société Française.

Derrière le lien « Suivre vos envois« , un pirate informatique spécialisé dans la diffusion de publicités illicites vantant, la plupart du temps, les médicaments contrefaits. Dans le cas de Laposte.fr, du viagra, la petite pilule bleue qui fait rougir maman et durcir papa… ou le contraire ! La rédaction de Data Security Breach a recensé plusieurs centaines de fausses pages. Ici, une injection d’un texte n’ayant ni queue, ni tête, sauf quelques lignes exploitant des mots clés que les moteurs de recherche, Google en tête, reprendront sans sourciller. Aucun blocage des moteurs de recherche, d’autant plus que les phrases sont diffusées par un site très sérieux. Google and Co n’y voient que du feu. Les pages ranks des sites pirates, et donc leur visibilité, sera plus forte encore grâce à des alliés ainsi manipulés.

Bref, si les mots « viagra acheter » ; « viagra au meilleur prix » ou encore « achat viagra le moins cher online viagra prescription » apparaissent dans vos sites, inquiétez-vous. Vous servez de rebond à des vendeurs de contrefaçons de médicaments.

Un piratage qui pourrait faire sourire, sauf que l’injection n’installe pas qu’une seule page. Chaque phrase dirige l’internaute vers d’autres pages « La Poste », avec autant de nouvelles phrases et des villes comme Lyon, Montpellier, … Finalité pour le pirate, plus le site comportera ses « liens » malveillants, plus il sera aperçu, ensuite, par les moteurs de recherche, donc les internautes potentiels acheteurs. Il suffit de taper « Viagra » et « Laposte » pour comprendre l’épineux problème. Les liens proposés par les moteurs de recherche dirigent, dans un premier temps vers le site de Laposte.fr, pour être ensuite redirigé dans la foulée, sur les pharmacies illicites.

D’après les informations de zataz.com, l’injection a pu être possible via une vulnérabilité dans un CMS. En attendant, Google a intercepté, au moment de l’écriture de notre article, une dizaine de page… par mots clés. DataSecurityBreach est passé par le protocole d’alerte de son grand frêre pour alerter le CERT La Poste [HaideD 2668]. (Merci à @Stoff33)

Mise à jour : La Poste aura été totalement transparente au sujet de cette attaque informatique. Le CERT La Poste revient sur les actions menées et comment le pirate a pu agir : « Le site piraté est l’ancien site du courrier international (www.laposte.fr/courrierinternational ) que nous allions désactiver la semaine prochaine, explique le CERT La Poste à DataSecurityBreach.fr. Nous avons migré et réorganisé ses contenus sur le portail laposte.fr. Les contenus du courrier international sont aujourd’hui consultables sur http://www.laposte.fr/Entreprise/Courrier-international/. Nous réintégrons sur laposte.fr les contenus qui étaient disponibles sur d’autres sites. Cet exemple s’inscrit dans cette démarche. Les pirates ont apparemment réussi à rentrer par une faille du CMS Typo3 de l’ancien site web. Actuellement, l’ancien site est désactivé (pages incriminées inaccessibles) et tous ses fichiers sont archivés pour analyse dès demain matin.Nous activons notre réseau de correspondants chez Google pour demander un retrait des résultats de recherche (et du cache Google associé) le plus rapidement possible. » Un exemple qui démontre que les anciens CMS, qui ne sont plus exploités, ne doivent pas rester sur un serveur ; et que les mises à jour sont indispensables dans le cas contraire.