Archives de catégorie : Entreprise

Actualités liées à la sécurité informatique des entreprises, PME, PMI, TPE, association, communes.

Argent, Fuite de données, Justice, loi, Particuliers, Sauvegarde, Sécurité

Internet : le consentement explicite

Quand vous naviguez sur Internet, pouvez-vous dire qui collecte des informations à votre sujet, quelle est la nature de ces informations et qui peut y avoir accès ? Pouvez-vous contrôler qui peut savoir quoi de vous ? La Commission européenne a proposé de vous en donner le pouvoir, mais le Parlement européen, sous la pression des lobbies de l’industrie, risque de voter autrement.

Avec le développement du commerce des données, le contrôle des citoyens sur leurs données personnelles a progressivement diminué, alors même que leur droit fondamental à la vie privée ne peut être défendu s’ils n’ont pas eux-mêmes les moyens de le protéger. Mais la protection de notre vie privée n’est pas le seul enjeu lié à cette question : ce manque de contrôle entraîne un manque de confiance aux conséquences négatives tant pour la liberté d’expression [1] que pour le développement économique des services en ligne [2].

Pour faire face à cette situation critique, la Commission européenne propose de donner aux citoyens un véritable contrôle sur leurs données personnelles en établissant un principe clair : que les utilisateurs aient à donner un consentement explicite pour toute collecte, traitement ou échange d’informations les concernant.

L’enjeu

Pour mieux comprendre le sens de la proposition de la Commission européenne, il faut revenir à l’actuelle législation européenne – la directive de 1995 obsolète – qui n’exige pas que le consentement soit donné « explicitement » mais « indubitablement » [3]. Qu’est-ce qu’un consentement « indubitablement donné » ? Le sens d’une notion si vague « est souvent mal interprété ou simplement ignoré », comme le déplore le groupe de travail « Article 29 » [4] – l’organe européen réunissant l’ensemble des autorités nationales européennes de protection des données personnelles.

Un consentement peut être considéré comme « indubitablement donné » lorsqu’une personne informée du traitement de ses données ne s’y oppose pas. Cependant, la législation actuelle n’obligeant pas les entreprises à s’assurer que ces personnes soient effectivement informées, la plupart de ces entreprises ne sont pas vraiment enclines à exposer de façon claire, pratique et visible la nature ou le but des traitements de données qu’elles réalisent.

Par conséquent, les citoyens ignorent la plupart des traitements que leurs données subissent : en pratique, ils ne pourraient pas s’y opposer s’ils le désireraient.

Prenons l’exemple d’Amazon. Lorsque vous consultez un article sur ce site, votre navigation est enregistrée pour vous suggérer des produits similaires. Bien que la formule « inspirés par votre historique de navigation » vous indique que certaines de vos données personnelles sont traitées, elle n’indique pas qu’Amazon collecte en réalité bien plus de données que la simple liste d’articles que vous avez consultés et, ce même s’il s’agit de votre première visite et que vous n’êtes pas inscrit sur ce site. Ces informations ne sont accessibles qu’à la toute fin des pages du site Internet. Google, quant à lui, ne prend même pas la peine d’indiquer qu’il collecte, stocke et traite l’ensemble des informations liées à toutes vos requêtes et visites de site Internet. Le seul moyen de le savoir est de rechercher puis de lire ses règles de confidentialité.

La proposition de la Commission La proposition élaborée par la Commission européenne changerait radicalement cette situation en posant le principe d’un consentement explicite de l’utilisateur. Le consentement des utilisateurs devraient alors être exprimé « par une déclaration ou par un acte positif univoque » [5], et ce pour chacune des finalités pour lesquelles une entreprise souhaiterait collecter leurs données. Le « silence informé » ne serait plus considéré comme un consentement valide.

Les entreprises devraient alors activement rechercher le consentement de leurs utilisateurs, assurant ainsi qu’aucune donnée personnelle ne puisse plus être traitée sans que les utilisateurs n’en aient été véritablement et directement informés. Adoptée, cette proposition assurerait que rien ne se passe hors de vue ou de contrôle des utilisateurs. À cet égard, de bonnes pratiques existent déjà et constituent des exemples concrets de ce que serait un consentement explicitement donné sur Internet. Des navigateurs tels que Firefox et Chrome requièrent déjà votre consentement explicite avant d’envoyer des informations concernant votre géolocalisation à un site Internet.

Ceci permet de garantir que, pour tout traitement, vous êtes réellement informé de la nature des données collectées et, ainsi, que vous puissiez véritablement y consentir. Ensuite, si vous le souhaitez, vous pouvez aussi simplement choisir de « toujours accepter » que le site que vous visitez puisse collecter votre position géographique sans avoir à chaque fois à obtenir votre consentement. Même si le concept de cette « boîte de requête » est largement perfectible – en ce qu’elle n’indique pas comment vos données seront traitées ni qui pourra y accéder – cela nous montre, au moins, le type de contrôle que nous pourrions exercer si l’exigence d’un consentement explicite était adoptée.

Les recommandations des géants de l’Internet

Le contrôle des utilisateurs semble être problématique pour les géants de l’Internet, Datasecuritybreach.fr vous en parle souvent, dont les bénéfices reposent largement sur la quantité de données personnelles qu’ils collectent. Ils redoutent qu’un plus grand contrôle donné aux utilisateurs amoindrisse les quantités de données qu’ils traitent. Ceci nous montre bien comment notre vie privée est considérée par ces entreprises : si leurs activités respectaient véritablement notre vie privée, pourquoi craindraient-elles que nous n’y consentions pas ? Exiger un consentement explicite ne porterait atteinte qu’aux entreprises qui ne respectent pas notre vie privée. Les autres, en revanche, ne pourraient que bénéficier du gain de confiance résultant du véritable contrôle donné aux utilisateurs.

Google, Facebook, Microsoft, Amazon et eBay ont unanimement demandé aux députés européens de retirer du règlement le consentement explicite [6]. Leur principal argument est que les utilisateurs « veulent des services Internet qui soient rapides, simples d’accès et efficaces [et que rechercher systématiquement leur consentement explicite] les conduirait à le donner automatiquement, par habitude », « étant surchargés de demandes de consentement » (traduits par nos soins).

Dès lors que rechercher le consentement explicite des utilisateurs est le seul moyen de garantir qu’ils seront veritablement avertis de chacun des traitements réalisés sur leurs données personnelles, ces demandes ne peuvent pas représenter une « surcharge ». Quiconque choisirait de consentir « automatiquement, par habitude », serait tout de même averti de ces traitements, alors que nous ne le sommes que rarement aujourd’hui.

De plus, une fois qu’ils auraient accepté qu’une entreprise puisse traiter certaines de leurs données pour une finalité claire et spécifique, les utilisateurs n’auraient pas à consentir aux nouveaux traitements qui poursuivraient exactement cette même finalité [7]. Ainsi, déclarer qu’ils seraient « surchargés de demandes de consentement » est simplement faux. En pratique, les utilisateurs n’auraient généralement à consentir, tout au plus, qu’une seule fois : en visitant un site Internet pour la première fois ou en utilisant pour la première fois une nouvelle fonctionnalité de ce site.

Les propositions des députés européens Les commissions « consommateurs » (IMCO) et « industrie » (ITRE) ont suivi les recommandations des géants de l’Internet et ont voté contre l’exigence d’un consentement explicite. IMCO a proposé de subordonner cette exigence au « contexte », ce qui est aussi vague et dangereux que d’exiger un consentement « indubitablement donné » [8] ; alors que la commission ITRE a suggéré que le consentement ait simplement à être donné « sans équivoque », d’une façon similaire à ce que prévoit déjà la directive de 1995 [9]. Ces deux avis semblent avoir véritablement influencé le débat, de sorte que sept amendements ont été déposés dans la commission « libertés civiles » (LIBE), par dix-sept députés européens, proposant de retirer l’exigence d’un consentement explicite du règlement [10]. Ce qui démontre que ces membres de LIBE, principalement libéraux et conservateurs, ne souhaitent pas conférer aux utilisateurs le contrôle sur leurs données.

Aujourd’hui, il apparaît que la plupart des députés européens sont opposés au principe d’un consentement explicite, dupés par des centaines de lobbyistes, et ne changeront pas de position si nous ne nous mobilisons pas et n’agissons pas dès maintenant.

Ce que vous pouvez faire

Tout d’abord, Datasecuritybreach.fr vous conseille de n’utiliser que des logiciels et des services dans lesquels vous pouvez avoir confiance. Préférez des logiciels libres et hébergez vos propres services autant que possible. De nombreux outils, tels que Tor [11] [12], DuckDuckGo [13] [14] ou des extensions de navigateurs, tels que NoScript [15] ou HTTPS Everywhere [16], vous permettent de remplacer, contourner ou bloquer certains services Internet essayant de collecter vos données personnelles.

Malheureusement, ces solutions ne suffiront jamais à protéger pleinement votre vie privée en ce qu’elles ne sont pas installées par défaut, demandent un certain effort et sont parfois perçues comme complexes à utiliser. Ainsi, nous devons agir afin de nous assurer que le futur règlement protégera véritablement la vie privée des citoyens européens : appelez ou écrivez [17] à vos représentants dès maintenant – les inquiétudes de leurs électeurs et la défense des libertés fondamentales devraient toujours primer sur les intérêts économiques des géants de l’Internet –, partagez cette analyse, écrivez-en afin de donner votre opinion sur le sujet, parlez-en autour de vous ou inventez quelque chose à base d’image, de vidéo, de son, etc. C’est maintenant que nous devons agir !

Les membres de LIBE [18] des différents groupes politiques ont déjà commencé à chercher des compromis sur ce sujet précis : nous devons les contacter avant qu’ils ne tombent d’accord sur les pires amendements.

Références

1. L’UNESCO a publié en 2012 une étude mondiale sur le respect de la vie privée sur l’internet et la liberté d’expression [en], qui commence ainsi : « Le droit au respect de la vie privée sous-tend d’autres droits et libertés, dont la liberté d’expression, la liberté d’association et la liberté de conviction. L’aptitude à communiquer anonymement sans que les gouvernements connaissent notre identité, par exemple, a joué historiquement un grand rôle dans la sauvegarde de la libre expression et le renforcement de la responsabilisation politique, les individus étant plus enclins à s’exprimer sur les questions d’intérêt public s’ils peuvent le faire sans crainte de représailles. » Ce qui a toujours été vrai pour la surveillance gouvernementale se vérifie probablement aujourd’hui pour la surveillance privée. Pouvons-nous vraiment nous exprimer librement si toute entreprise, ou même toute personne, peut connaître notre identité et quantité d’autres informations sensibles à notre sujet ?

2. Une étude [en] du Boston Consulting Group montre que « la valeur créée par l’identité digitale peut en effet s’avérer considérable : un milliard d’euro en Europe d’ici 2020 [mais] deux tiers de la valeur totale liée à l’identité numérique ne se réalisera pas si les acteurs n’arrivent pas à établir un climat de confiance pour la circulation des données personnelles » (traduit par nos soins).

3. Directive de 1995 : Article 2 – Définitions Aux fins de la présente directive, on entend par: h) «consentement de la personne concernée»: toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement. Article 7 Les États membres prévoient que le traitement de données à caractère personnel ne peut être effectué que si: a) la personne concernée a indubitablement donné son consentement

4. Opinion of the Article 29 Data Protection Working Party on the Definition of Consent [en] : « Cet avis est en partie rendu en réponse à une requête de la Commission dans le cadre de la révision en cours de la directive concernant la protection des données personnelles. Elle contient donc des recommandations à prendre en compte dans cette révision. Ces recommandations comprennent : (i) clarifier la définition de consentement « indubitablement donné » et expliquer que seul un consentement basé sur des actions ou déclarations faites pour signifier un accord constitue un consentement valable ; (ii) exiger que les responsables de traitement mettent en place des mécanismes pour démontrer le consentement (dans le cadre d’une obligation générale de responsabilité) ; (iii) ajouter une exigence explicite concernant l’accessibilité et la qualité de l’information sur laquelle se fonde le consentement, et (iv) un certain nombre de suggestions concernant les mineurs et autres personnes dépourvues de leur capacité juridique. »

« La notion de consentement « indubitablement donné » est utile pour mettre en place un système qui, sans être trop rigide, permet une protection forte. Alors qu’il pourrait potentiellement conduire à un système raisonnable, malheureusement, son sens est souvent mal interprété ou simplement ignoré. »

« La clarification doit se concentrer sur le fait qu’un consentement « indubitablement donné » requiert l’utilisation de mécanismes qui ne laissent aucun doute sur l’intention de la personne concernée de donner son consentement. Cependant, il doit être clair que l’utilisation de paramétrage par défaut exigeant que la personne concernée les modifient afin de signifier son désaccord (un consentement fondé sur le silence) ne peut constituer en soi un consentement « indubitablement donné ». Ceci est particulièrement vrai dans l’environnement en ligne. »

« La position commune 10 du Conseil de 1995 a introduit la définition (actuelle) du consentement. Il a été défini comme « toute indication donnée de façon spécifique, libre et informée de ses souhaits par laquelle la personne concernée signifie son accord au traitement de données personnelles le concernant ». La principale modification apportée à la position de la Commission de 1992 ayant été d’effacer le mot « expresse » qui qualifiait le mot « indication ». En même temps, le terme « indubitablement » a été rajouté à l’article 7(a) qui devenait ainsi : « la personne concernée a indubitablement donné son consentement ». » (traduit par nos soins)

5. Proposition de Règlement pour la protection des données Article 4 – Définitions Aux fins du présent règlement, on entend par: 8. «consentement de la personne concernée»: toute manifestation de volonté, libre, spécifique, informée et explicite par laquelle la personne concernée accepte, par une déclaration ou par un acte positif univoque, que des données à caractère personnel la concernant fassent l’objet d’un traitement;

6. Lire les recommandations contre le consentement explicite envoyées aux députés européens par les géants de l’Internet [en] sur le wiki de la Quadrature. Vous pouvez également lire bien d’autres documents envoyés par les lobbies [en] aux députés européens, sur d’autres sujets concernant la protection des données personnelles.

7. La Quadrature du Net publiera bientôt une analyse de Privacy Alert abordant précisément ce point.

8. Voir la réaction de La Quadrature du Net au vote de IMCO du 23 janvier. Avis de IMCO : amendement 63 Article 4 – Définitions (8) « consentement de la personne concernée »: toute manifestation de volonté libre, ++qui doit être++ spécifique, informée et ++aussi++ explicite ++que possible selon le contexte,++ par laquelle la personne concernée accepte, par une déclaration ou par un acte positif univoque ++, et de manière explicite lorsque les données visées à l’article 9, paragraphe 1, doivent être traitées,++ que des données à caractère personnel la concernant fassent l’objet d’un traitement; (Comment lire un amendement : ++ajouté au texte initial++ / –supprimé du texte initial–)

9. Voir la réaction de La Quadrature du Net au vote de ITRE du 21 février. Avis de ITRE : amendement 82 Article 4 – Définitions (8) « consentement de la personne concernée »: toute manifestation de volonté, libre, spécifique, informée et –explicite– ++sans équivoque++ par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement. ++Le silence ou l’inaction n’équivalent pas en soi à un consentement++; (Comment lire un amendement : ++ajouté au texte initial++ / –supprimé du texte initial–)

10. Amendements 757, 758, 760, 762, 764, 765 et 766, déposés en LIBE par : Lidia Joanna Geringer de Oedenberg (S&D – Pologne) Adina-Ioana Valean (ALDE – Roumanie) Jens Rohde (ALDE – Danemark) Louis Michel (ALDE – Belgique) Sarah Ludford (ALDE – Royaume-Uni) Charles Tannock (ECR – Royaume-Uni) Timothy Kirkhope (ECR – Royaume-Uni) Axel Voss (EPP – Allemagne) Seán Kelly (EPP – Irlande) Wim van de Camp (EPP – Pays-Bas) Hubert Pirker (EPP – Autriche) Monika Hohlmeier (EPP – Allemagne) Georgios Papanikolaou (EPP – Grèce) Véronique Mathieu Houillon (EPP – France) Anna Maria Corazza Bildt (EPP – Suède) Agustín Díaz de Mera García Consuegra (EPP – Espagne) Teresa Jiménez-Becerril Barrio (EPP – Espagne)

11. https://www.torproject.org/

12. Tor est un logiciel libre et un réseau ouvert qui vous aide à vous protéger d’une forme de surveillance du réseau, telle que l’analyse du trafic réalisée par certains gouvernements, menaçant nos libertés individuelles et notre vie privée.

13. https://duckduckgo.com/html/

14. DuckDuckGo est un moteur de recherche utilisant des informations récoltées sur des sites web participatifs, tel que Wikipédia, afin de répondre à vos requêtes. Le  moteur de recherche déclare protéger votre vie privée et ne pas enregistrer d’information vous concernant. https://duckduckgo.com/html/

15. https://fr.wikipedia.org/wiki/NoScript

16. https://www.eff.org/https-everywhere

17. https://www.laquadrature.net/wiki/Comment_contacter_un_d%C3%A9put%C3%A9_europ%C3%A9en

18. https://memopol.lqdn.fr/search/?q=committees%3ALIBE%20is_active%3A1

Argent, Banque, Fuite de données, Leak, Piratage

Atlantic Bank Group piraté

L’entreprise financière africaine Atlantic Bank Group piraté. Base de données corrompue. Il y a quelques jours, la rédaction de DataSecurityBreach.fr a appris le piratage d’une entreprise financière africaine d’importance. Le site de l’Atlantic Bank Group a été visitée par un groupe de pirates informatiques. La structure n’est pas anodine, le Groupe Banque Atlantique est un conglomérat de services financiers d’Afrique de l’Ouest, dont le siège est à Lomé (Togo). Le groupe est composé de banques et autres sociétés de services financiers localisés en Côte d’Ivoire, Bénin, Niger, Burkina Faso, Mali, Sénégal et Cameroun. D’après les informations que data security breach a pu consulter, les pirates ont diffusé des informations sur un espace web privé, la base de données du site banqueatlantique.net a pu être consultée, et très certainement ponctionnée, par les pirates. A première vue, parmi les actions malveillantes possibles : usurpation d’identité et diffusion de fausses informations économiques.

Argent, Arnaque, Entreprise, escroquerie, Fuite de données, Phishing, Social engineering

Social engineering et cheval de Troie, vos meilleurs ennemis

Une série d’attaques particulièrement préparées, basées sur un mécanisme d’ingénierie sociale et d’infection par cheval de Troie, et ciblant des entreprises françaises a été porté à la lecture de datasecuritybreach.fr. En avril 2013, l’éditeur Symantec a été alerté d’une série d’attaques dont l’élément le plus distinctif est l’appel téléphonique que la victime de la part de l’attaquant se faisant passer pour un employé ou un partenaire de l’organisation, en français, et demandant à la victime de traiter une facture qu’il va recevoir par email. Le courriel piégé contient soit un lien malveillant soit une pièce jointe, qui se révèle être une variante de W32.Shadesrat, un cheval de Troie.

Ces attaques ont commencé en février 2013. Cependant, ce n’est que récemment, en avril, que des appels téléphoniques ont commencé à accompagner l’envoi des emails. Pour le moment, les attaques ont concerné des entreprises françaises, ainsi que certaines de leurs filiales basées à l’étranger (Roumanie et Luxembourg). L’attaquant est bien préparé et il a, bien sûr, obtenu l’adresse email et le numéro de téléphone de sa victime avant l’opération. Les victimes de ces attaques sont le plus souvent des employés des départements comptables ou financiers de ces entreprises. Comme le traitement des factures fait partie de leurs tâches quotidiennes, ce leurre s’avère plutôt convaincant. Chaque élément de cette attaque requiert une soigneuse préparation qui contribue au taux de réussite général de l’attaque.

Il semble que la motivation de l’attaquant soit pour le moment purement financière. Cibler des employés des départements comptables et financiers des entreprises concernées lui assure un paiement ou une transaction en ligne rapide, ainsi qu’un accès facilité aux informations bancaires et comptables des entreprises attaquées qu’il pourra utiliser ultérieurement.  Mais le cheval de troie permet également un accès aux documents de l’entreprise. W32.Shadesrat est en effet un Trojan d’accès à distance (RAT : Remote Access Trojan), connu et documenté dans les solutions de sécurité Symantec, déjà utilisé par une grande variété d’attaquants, et toujours actif dans différents pays.

Recommandations à destination des entreprises :

–          Informer le personnel des services concernés de ces attaques ;

–          Disposer d’une solution de sécurité de dernière génération sur chacun de ses postes de travail et la mettre à jour ;

–          Stocker les informations sensibles de l’entreprise dans un espace sécurisé, et les chiffrer ;

–          Vérifier l’identité des prestataires émettant une facture urgente avec les différents services ayant pu faire appel à leurs services, ainsi que leurs coordonnées bancaires.

Fuite de données, Justice, Leak, Particuliers

La justice protège l’inventeur d’une fuite de données

Si un administrateur d’un système informatique ne protège pas ses données, le « découvreur » de la fuite ne risque plus d’être poursuivi pour piratage. Voilà qui devient intéressant. Legalis annonce un jugement qui va attirer l’œil de plus d’un internaute. Si le responsable d’un système d’information ne sécurise pas son réseau, serveur, … contre les intrusions, la justice ne poursuivra pas l’Internaute qui aura pu accéder aux dites données.

Pour le tribunal correctionnel de Créteil, via son jugement du 23 avril, le délit d’accès et de maintien frauduleux n’est pas constitué. Un jugement rendu après la relaxe d’un internaute qui s’était « introduit » dans l’extranet de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail. Le surfeur, un internaute journaliste, y avait récupéré des documents accessibles, car non protégés par un code d’accès et un mot de passe.

Ce jugement va dans le sens de la jurisprudence Kitetoa de 2002 et impose ‘enfin » au responsable d’un traitement d’information une obligation de sécurité. L’internaute poursuivi avait découvert les fichiers via Google. Google ayant aspiré liens et les données (dans son cache, ndlr), considérant ces derniers comme une source ouverte. Le tribunal indique que s’il n’y pas eu soustraction matérielle des documents, que ces derniers sont toujours à disposition du propriétaire, il n’y a pas « piratage ».

Un détail, de taille, surtout pour les amateurs de logiciels d’injections SQL : ne pensez pas que cette décision vous protège, bien au contraire. Le tribunal correctionnel de Créteil protège les personnes qui cliquent sur des documents, via Google, pendant pouvoir le faire, pas des pirates qui utilisent un logiciel Internet, via une action clairement illicites, et qui tombe sous le coup de la loi Godfrain. (Legalis)

Cyber-attaque, Entreprise, Fuite de données, Leak

Piratage de CNN : de faux articles diffusés ?

Un pirate informatique aurait découvert comment diffuser de faux articles sur le site américain CNN. Le pirate informatique Reckz0r, 25 ans, originaire d’Arabie Saoudite, vient d’annoncer le piratage du site CNN et plus précisément de son espace Edition. Quatre faux articles, dont une version très personnelle de Bill Gates, le fondateur de Microsoft, en train d’empoisonner de jeunes africains. Le pirate explique avoir découvert une injection SQL dans le portail américain d’information. Neuf comptes utilisateurs, 5 administrateurs et 4 journalistes ont été diffusés sur la toile. L’un des comptes, celui Kate Gosling, aurait été utilisé pour ces fausses diffusions sur Edition.cnn.com.

Le fichier diffusé par le pirate sur Pastbin en dit peu sur la faille. Un lien vers edition.cnn.com et les comptes interceptés. Une capture écran tente de prouver une fausse diffusion (sur les 4) d’article, celle de Bill Gates. Un article signé Kate Gosling. La même Kate que l’on retrouve dans les 9 administrateurs. Sauf qu’il y a un problème. Kate Gosling n’existe pas chez CNN. Un nettoyage total dans le serveur des américains pour faire disparaitre se compte ou un moyen pour ce pirate saoudien de faire parler de lui et de sa cause ?

Reckz0r explique avoir attaqué CNN pour le punir des fausses informations diffusées dans ses pages et antennes. Le bidouilleur reproche à la chaîne d’information d’être trop proche d’Israël et ne pas suffisamment soutenir les palestiniens. Ce pirate était apparu sur la toile en 2012 avant de disparaitre, voilà un an, quasiment jour pour jour. A-t-il connu une prison du royaume durant cette période ? En 2012, le pirate avait fait un passage remarqué chez Visa et Mastercard. Ancien membre d’UGNazi, il indiquait le 12 juin 2012 devenir un « White Hat ». Voilà qui est raté !

Fuite de données, Leak, Piratage

Yahoo piraté : 22 millions d’identifiants peuvent avoir été volés

Suite à la nouvelle de la toute récente acquisition de Tumblr pour 1,1 milliard de dollars, Yahoo est devenue une cible privilégiée des pirates informatiques. L’annonce d’une intrusion sur les serveurs de Yahoo Japon, indique que 22 millions d’identifiants de connexion – soit environ un dixième des abonnés de Yahoo au niveau mondial – pourraient avoir été volés par les pirates. Bien que l’envergure de l’attaque n’ait pas été confirmée, Yahoo Japon a admis son infrastructure avait été compromise et la société a déclaré qu’elle ne pouvait pas « nier la possibilité » qu’un fichier contenant 22 millions de nom d’utilisateurs ait pu être dérobés. Jean-Pierre Carlin, Directeur régional pour l’Europe du Sud chez LogRhythm, commente à datasecuritybreach.fr : « Si 22 millions d’identifiants utilisateur ont été volés, nous pouvons considéré cela comme un piratage à grande échelle. Malheureusement, il n’est plus rare d’entendre parler de ce type d’attaques d’envergure, et Yahoo est simplement la dernière société d’’une longue liste de grandes marques qui se rend compte que la question n’est plus de savoir « si » la société est attaquée, mais « quand » elle le sera.« 

Cependant, à porter à son crédit, Yahoo n’a pas tardé à communiquer à propos de cette attaque, et la société devrait également être félicitée pour avoir fourni à ses membres des conseils concrets sur la façon d’empêcher les pirates de compromettre leurs comptes individuels. Toutefois, à la suite d’une violation, quelle qu’en soit la sorte, il est aussi absolument vital d’étudier la manière dont les pirates ont réussi à s’introduire, pour ensuite à utiliser ces informations afin de renforcer les défenses de sécurité à l’avenir. Les indices seront contenus dans les messages d’activité. En analysant les millions – voire des milliards – de logs que chaque infrastructure informatique génère quotidiennement, les organisations peuvent recueillir des indications essentielles sur la façon dont les pirates sont capables d’infiltrer leurs réseaux, de cibler les fichiers de grande valeur ou les bases de données pour ensuite extraire ces informations à des fins de profit personnel.

C’est seulement à ce niveau d’intelligence réseau qu’une organisation peut améliorer sa stratégie de sécurité globale et être ainsi en meilleure position de contrecarrer les futures attaques. En effet, avec l’analyse en temps réel des données contenues dans les messages d’activité, les entreprises peuvent identifier les attaques ainsi que d’autres incidents inattendus au moment même où ils se produisent, permettant de stopper les pirates et d’éviter les gros titres médiatiques embarrassants qui accompagnent toute violation de données au sein d’une organisation. A noter que le protocole d’alerte de zataz.com, qui permet d’aider bénévolement des entreprises à se protéger face à une fuite, un piratage, … a alerté Yahoo! de plusieurs failles. des XSS et injection SQL.

Cyber-attaque, Fuite de données, Leak, Piratage

Le ministére de la défense d’Arabie Saoudite infiltré

Un commentaire

Un compte email du ministère de la défense d’Arabie Saoudite infiltré par des pirates Syriens. Le groupe de pirates Syrian Electronic Army a délaissé, un peu, les attaques à l’encontre des comptes Twitter de grands medias. Le groupe de pirates pro gouvernement Syrien vient d’annoncer, avec preuves, l’infiltration d’un compte mails appartenant au ministère de la défense d’Arabie Saoudite. Le SEA indique bientôt diffuser des informations secrètes trouvées dans l’espace électronique. Le groupe a déclaré que cette fuite « comprend de la correspondance et des informations secrètes du ministère saoudien de la Défense … Elles ont été transmises au gouvernement syrien. » Ce même groupe avait déjà attaqué plusieurs sociétés pétrolières du royaume saoudien.

Entreprise

Le 26 juin : 11ème édition des Big Brothers Awards

Privacy France présente la 11ème édition des Big Brothers Awards le 26 juin 2013 à la Parole Errante à à Montreuil. Les Big Brother Awards sont de retour ! Après deux années d’absence, les césars du monde sécuritaire seront à nouveau décernés le 26 juin 2013, à partir de 19h, à la Parole Errante, à Montreuil. Douze ans après la première édition française, l’impertinente cérémonie, nommée d’après le personnage de fiction du roman 1984 de George Orwell, reprend du service pour récompenser les acteurs de la société de contrôle et de surveillance. Créés en 1998 au Royaume-Uni, puis repris dans près d’une vingtaine de pays, les Big Brother Awards (BBA) dénoncent, depuis lors, les « surveillants qui nous surveillent ». Au vu de la perte progressive de nos libertés individuelles, par le détournement de nos données personnelles, au travers de la prolifération des fichiers, par le durcissement sécuritaire des cadres législatifs et par la multiplication des dispositifs de surveillance dans nos villes, les tristement célèbres prix Orwell seront dépoussiérés, afin de mettre un coup de projecteur sur notre réalité sous surveillance.

L’objectif reste le même : « surveiller les surveillants » par un ciblage sélectif des dignes représentants de l’idéologie sécuritaire, notre jury étant, comme à son habitude, composé de défenseurs des droits, philosophes des libertés, journalistes, juristes, etc. ayant produit des analyses critiques sur le sujet. Toute institution, entreprise ou personne s’étant distinguée par son mépris du droit à la vie privée et/ou par sa promotion de la surveillance et du contrôle des individus peut être suggérée comme candidate. L’équipe des BBA vous invite donc à participer à cette grande traque en proposant vos candidats via le formulaire de nomination en ligne ou par mail (date butoir le 31 mai).

Pas d’attaques gratuites, il faut rapporter des faits avérés, accompagnés de sources identifiées. Rappelons que pour être éligibles, les candidatures doivent être basées sur des faits avérés et étayées par des sources publiques.

Cloud, Entreprise, Sauvegarde

Big Data

Le Big data, c’est aussi une question de sécurité ! Christophe Auberger, Responsable Technique chez Fortinet pour DataSecurityBreach.fr

Sécuriser le Big Data dans les Entreprises Nécessite la Mise en Application de Politiques Intelligentes ainsi que des Outils Analytiques Complets et Performants. Aborder la question de sécurité lorsque l’on parle de Big Data suscite souvent deux courants de pensées divergents de la part des professionnels de l’IT – le refus catégorique que le Big Data devrait être traité différemment de l’infrastructure réseau existante, et une réponse inverse se tournant vers une sur-ingénierie de la solution à adopter compte tenu de la valeur actuelle (ou perçue) des données impliquées.

Le Big Data, selon la définition de Gartner, représente des données informatives de gros volumes, d’une vélocité élevée et/ou d’une grande variété qui nécessitent de nouvelles formes de traitement pour permettre une meilleure prise de décision, conception d’idées et optimisation des processus. Le Big Data augmente les défis de sécurité dans les réseaux de données existants.

Voici les quatre aspects du Big Data, définis par IDC, qui suscitent des défis mais aussi des opportunités:

·        Le Volume: Le volume des données est passé de téraoctets à zettaoctets (1 zettaoctet représente 1021 octets ou 1 000 000 000  téraoctets) et au-delà

·        La Vélocité: La vitesse des données (entrée et sortie) passant d’ensembles de données statiques, créées une seule fois, à des flux de données en continu

·        La Diversité: La gamme de types et sources de données – structurées, non/semi-structurées ou brutes

·        La Valeur: L’importance des données dans leur contexte

Alors que le Big Data présente de nouveaux défis de sécurité, le point initial pour les résoudre est le même que pour toute autre stratégie de protection de données: celui qui consiste à déterminer les niveaux de confidentialité des données, à identifier et classifier les données les plus sensibles, à décider où les données critiques devraient être localisées, et à établir des modèles d’accès sécurisés tant pour les données que pour les analyses.

Planifier autour du cycle de vie du Big Data Protéger correctement le Big Data exige la définition de besoins spécifiques de sécurité autour du cycle de vie du Big Data. Généralement, cela commence par la sécurisation de la collecte des données suivi par celle de l’accès aux données. Comme la plupart des politiques de sécurité, une bonne évaluation des menaces du Big Data de l’organisation doit se faire en continu et viser à garantir l’intégrité des données stockées et sous analyse.

La performance est un élément clé lorsqu’on sécurise les données collectées et les réseaux. Les pare-feux et autres dispositifs de sécurité réseau, tels que ceux pour l’encryption, doivent être ultra performants pour pouvoir supporter de plus en plus de débit, de connexions et d’applications. Dans un environnement Big Data, la création et la mise en application des politiques de sécurité sont essentielles du fait de l’importance du volume de données et du nombre de personnes qui auront besoin d’y accéder.

La quantité de données accroit également la nécessité de prévenir les fuites de données. Les technologies de Prévention des Pertes de Données devraient être utilisées pour s’assurer que l’information n’est pas divulguée à des tiers non autorisés. Les systèmes d’intégrité des données et de détection d’intrusions internes doivent être utilisés pour détecter les attaques ciblées avancées qui contournent les mécanismes de protection traditionnels, par exemple, la détection d’anomalies dans les couches d’agrégation et de collectes. Tous les paquets de données, tous les flux de données, toutes les sessions et transactions devraient être inspectés de près.

Parce que le Big Data couvre des informations qui se trouvent dans une zone étendue provenant de sources multiples, les organisations doivent aussi pouvoir protéger les données  là où elles se trouvent. A cet égard, les systèmes de sécurité virtualisés fournissant une gamme complète de fonctionnalités de sécurité doivent être positionnées aux endroits stratégiques des architectures cloud hybrides, privées et publiques, fréquemment trouvées dans les environnements Big Data. Les ressources doivent être connectées de manière sécurisées et les données transportées depuis les sources de stockage du Big Data doivent également être sécurisées, typiquement via un tunnel IPSec.

Le Big Data, oui, mais avec les Bons Outils ! Alors que le Big Data présente des défis, il offre également des opportunités. Avec les bons outils, d’importantes quantités d’informations pourront être analysées, ce qui permettra à une organisation de comprendre et de comparer les activités dites normales. Si cette organisation peut alors surveiller les utilisateurs qui s’écartent de cette norme, cela permettra de devancer de manière proactive les potentielles fuites de données et systèmes.

Cet effort doit être soutenu par un personnel IT compétent et le déploiement efficace d’outils de sécurité appropriés. Ces outils sont des appliances dédiées de collecte de logs, d’analyse et de reporting qui peuvent en toute sécurité rassembler les données provenant des  dispositifs de sécurité et autres systèmes compatibles syslog. Ces appliances vont également analyser, rapporter et archiver les événements de sécurité, le trafic réseau, le contenu Web, et les données de messagerie. Ceci permet de facilement mesurer le respect des politiques et de produire des rapports personnalisés.

La difficulté à saisir, gérer et traiter les informations rapidement dans les environnements Big Data va continuer à rendre la sécurité un élément de second plan pour de nombreuses entreprises. Alors que la bande passante et le stockage continuent de croitre, la mobilité de ces gros ensembles de données augmente également, provoquant des brèches et la divulgation d’ensembles de données sensibles. Les menaces viendront probablement d’intrus manipulant le Big Data de manière à ce que les outils de business analytics et de business intelligence génèrent des résultats erronés et conduisent à des décisions de gestion qui pourraient être profitables aux intrus.

Même de petits changements dans le Big Data peuvent avoir un impact important sur les résultats. Les organisations ne doivent donc pas ignorer la nécessité de protéger les actifs du Big Data – pour des raisons de sécurité, de business intelligence ou autre. Elles doivent répondre aux principaux besoins du Big Data en termes d’authentification, d’autorisation, de contrôle d’accès basé sur les rôles, d’audit, de contrôle, de sauvegarde et de récupération. A plus long terme, l’analytique du Big Data impliquant l’évaluation et la surveillance comportementale deviendra également de plus en plus capitale pour répondre à la nouvelle génération de défis de sécurité IT.

BOX STORY 1: le SIEM, un Problème pour le Big Data Pour améliorer leur sécurité, certaines organisations ont des solutions SIEM (Security Information and Event Management ou de Gestion des événements et informations de sécurité) pour les aider à collecter et analyser les alertes de sécurité et les systèmes de logging. Cela peut, par inadvertance, toutefois, créer un problème pour le Big Data – dans le cas où chaque log et alerte sont collectés.

Pour éviter ce problème, les organisations devraient arrêter de considérer la sécurité comme un système purement défensif et plutôt penser à ajouter une couche d’abstraction au-dessus de toutes les données pertinentes de l’entreprise. Elles doivent se demander quelles sont les données pertinentes dans un contexte de sécurité. Evidemment, les logs au niveau du réseau (c’est-à-dire le pare-feu, IPS, etc.) et les logs d’accès utilisateurs restent nécessaires. Cependant, les logs de sécurité des terminaux, les logs liés au proxy et même les données d’inspection approfondie des paquets risquent de ne plus être pertinents.

BOX STORY 2

– Exemples de Big Data

·        Logs Web

·        Données RFID

·        Réseaux de capteurs

·        Données des réseaux sociaux

·        Documents  et textes Internet

·        Indexation des recherches Internet

·        Archivage des détails d’appels

·        Dossiers médicaux

·        Archives de photos

Banque, Entreprise

Un ancien pirate de CB invente un anti skimmer

Après son arrestation et un séjour en prison, un pirate informatique invente un nouveau système contre le piratage de données bancaires. Un ancien pirate informatique roumain, spécialisé dans le piratage de données bancaires via des skimmeurs, vient de mettre sur le marché une invention de son cru. L’outil est un système de protection contre le skimming, le piratage de votre carte bancaire via un distributeur de billets piégé.

Valentin Boanta, 33 ans, avait été arrêté en 2009. Il vient d’inventé un nouveau dispositif qui empêche les vols de données bancaires via un GAB, un guichet automatique de billets. Valentin Boanta a déclaré à l’agence de presse Reuters que son arrestation le rendait heureux parce qu’il avait pu se soigner de son addiction au piratage informatique « C’était comme une drogue pour moi« .

Le système inventé par l’ancien skimmeur, baptisé Secure Revolving System-SRS, est financé par une société de Bugarest, MB Telecom. A noter que cette société roumaine, connue aussi sous le nom de MB technology, est spécialisée dans les scanners. En 2012, MB a remporté un prix pour un scanner d’avion. En 2009, elle remportait le même prix pour un scanner à camion.

Selon l’ambassade américaine basée à Bucarest, les pirates roumains auraient volé environ 1 milliard de dollars aux américains en 2012. A noter que l’ancien pirate est toujours en prison. Il a écopé de 5 ans pour avoir créé et revendu des skimmeurs à la mafia locale.