L’entreprise financière africaine Atlantic Bank Group piraté. Base de données corrompue. Il y a quelques jours, la rédaction de DataSecurityBreach.fr a appris le piratage d’une entreprise financière africaine d’importance. Le site de l’Atlantic Bank Group a été visitée par un groupe de pirates informatiques. La structure n’est pas anodine, le Groupe Banque Atlantique est un conglomérat de services financiers d’Afrique de l’Ouest, dont le siège est à Lomé (Togo). Le groupe est composé de banques et autres sociétés de services financiers localisés en Côte d’Ivoire, Bénin, Niger, Burkina Faso, Mali, Sénégal et Cameroun. D’après les informations que data security breach a pu consulter, les pirates ont diffusé des informations sur un espace web privé, la base de données du site banqueatlantique.net a pu être consultée, et très certainement ponctionnée, par les pirates. A première vue, parmi les actions malveillantes possibles : usurpation d’identité et diffusion de fausses informations économiques.
Archives de catégorie : Entreprise
Actualités liées à la sécurité informatique des entreprises, PME, PMI, TPE, association, communes.
Social engineering et cheval de Troie, vos meilleurs ennemis
Une série d’attaques particulièrement préparées, basées sur un mécanisme d’ingénierie sociale et d’infection par cheval de Troie, et ciblant des entreprises françaises a été porté à la lecture de datasecuritybreach.fr. En avril 2013, l’éditeur Symantec a été alerté d’une série d’attaques dont l’élément le plus distinctif est l’appel téléphonique que la victime de la part de l’attaquant se faisant passer pour un employé ou un partenaire de l’organisation, en français, et demandant à la victime de traiter une facture qu’il va recevoir par email. Le courriel piégé contient soit un lien malveillant soit une pièce jointe, qui se révèle être une variante de W32.Shadesrat, un cheval de Troie.
Ces attaques ont commencé en février 2013. Cependant, ce n’est que récemment, en avril, que des appels téléphoniques ont commencé à accompagner l’envoi des emails. Pour le moment, les attaques ont concerné des entreprises françaises, ainsi que certaines de leurs filiales basées à l’étranger (Roumanie et Luxembourg). L’attaquant est bien préparé et il a, bien sûr, obtenu l’adresse email et le numéro de téléphone de sa victime avant l’opération. Les victimes de ces attaques sont le plus souvent des employés des départements comptables ou financiers de ces entreprises. Comme le traitement des factures fait partie de leurs tâches quotidiennes, ce leurre s’avère plutôt convaincant. Chaque élément de cette attaque requiert une soigneuse préparation qui contribue au taux de réussite général de l’attaque.
Il semble que la motivation de l’attaquant soit pour le moment purement financière. Cibler des employés des départements comptables et financiers des entreprises concernées lui assure un paiement ou une transaction en ligne rapide, ainsi qu’un accès facilité aux informations bancaires et comptables des entreprises attaquées qu’il pourra utiliser ultérieurement. Mais le cheval de troie permet également un accès aux documents de l’entreprise. W32.Shadesrat est en effet un Trojan d’accès à distance (RAT : Remote Access Trojan), connu et documenté dans les solutions de sécurité Symantec, déjà utilisé par une grande variété d’attaquants, et toujours actif dans différents pays.
Recommandations à destination des entreprises :
– Informer le personnel des services concernés de ces attaques ;
– Disposer d’une solution de sécurité de dernière génération sur chacun de ses postes de travail et la mettre à jour ;
– Stocker les informations sensibles de l’entreprise dans un espace sécurisé, et les chiffrer ;
– Vérifier l’identité des prestataires émettant une facture urgente avec les différents services ayant pu faire appel à leurs services, ainsi que leurs coordonnées bancaires.
La justice protège l’inventeur d’une fuite de données
Si un administrateur d’un système informatique ne protège pas ses données, le « découvreur » de la fuite ne risque plus d’être poursuivi pour piratage. Voilà qui devient intéressant. Legalis annonce un jugement qui va attirer l’œil de plus d’un internaute. Si le responsable d’un système d’information ne sécurise pas son réseau, serveur, … contre les intrusions, la justice ne poursuivra pas l’Internaute qui aura pu accéder aux dites données.
Pour le tribunal correctionnel de Créteil, via son jugement du 23 avril, le délit d’accès et de maintien frauduleux n’est pas constitué. Un jugement rendu après la relaxe d’un internaute qui s’était « introduit » dans l’extranet de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail. Le surfeur, un internaute journaliste, y avait récupéré des documents accessibles, car non protégés par un code d’accès et un mot de passe.
Ce jugement va dans le sens de la jurisprudence Kitetoa de 2002 et impose ‘enfin » au responsable d’un traitement d’information une obligation de sécurité. L’internaute poursuivi avait découvert les fichiers via Google. Google ayant aspiré liens et les données (dans son cache, ndlr), considérant ces derniers comme une source ouverte. Le tribunal indique que s’il n’y pas eu soustraction matérielle des documents, que ces derniers sont toujours à disposition du propriétaire, il n’y a pas « piratage ».
Un détail, de taille, surtout pour les amateurs de logiciels d’injections SQL : ne pensez pas que cette décision vous protège, bien au contraire. Le tribunal correctionnel de Créteil protège les personnes qui cliquent sur des documents, via Google, pendant pouvoir le faire, pas des pirates qui utilisent un logiciel Internet, via une action clairement illicites, et qui tombe sous le coup de la loi Godfrain. (Legalis)
Piratage de CNN : de faux articles diffusés ?
Un pirate informatique aurait découvert comment diffuser de faux articles sur le site américain CNN. Le pirate informatique Reckz0r, 25 ans, originaire d’Arabie Saoudite, vient d’annoncer le piratage du site CNN et plus précisément de son espace Edition. Quatre faux articles, dont une version très personnelle de Bill Gates, le fondateur de Microsoft, en train d’empoisonner de jeunes africains. Le pirate explique avoir découvert une injection SQL dans le portail américain d’information. Neuf comptes utilisateurs, 5 administrateurs et 4 journalistes ont été diffusés sur la toile. L’un des comptes, celui Kate Gosling, aurait été utilisé pour ces fausses diffusions sur Edition.cnn.com.
Le fichier diffusé par le pirate sur Pastbin en dit peu sur la faille. Un lien vers edition.cnn.com et les comptes interceptés. Une capture écran tente de prouver une fausse diffusion (sur les 4) d’article, celle de Bill Gates. Un article signé Kate Gosling. La même Kate que l’on retrouve dans les 9 administrateurs. Sauf qu’il y a un problème. Kate Gosling n’existe pas chez CNN. Un nettoyage total dans le serveur des américains pour faire disparaitre se compte ou un moyen pour ce pirate saoudien de faire parler de lui et de sa cause ?
Reckz0r explique avoir attaqué CNN pour le punir des fausses informations diffusées dans ses pages et antennes. Le bidouilleur reproche à la chaîne d’information d’être trop proche d’Israël et ne pas suffisamment soutenir les palestiniens. Ce pirate était apparu sur la toile en 2012 avant de disparaitre, voilà un an, quasiment jour pour jour. A-t-il connu une prison du royaume durant cette période ? En 2012, le pirate avait fait un passage remarqué chez Visa et Mastercard. Ancien membre d’UGNazi, il indiquait le 12 juin 2012 devenir un « White Hat ». Voilà qui est raté !
Yahoo piraté : 22 millions d’identifiants peuvent avoir été volés
Suite à la nouvelle de la toute récente acquisition de Tumblr pour 1,1 milliard de dollars, Yahoo est devenue une cible privilégiée des pirates informatiques. L’annonce d’une intrusion sur les serveurs de Yahoo Japon, indique que 22 millions d’identifiants de connexion – soit environ un dixième des abonnés de Yahoo au niveau mondial – pourraient avoir été volés par les pirates. Bien que l’envergure de l’attaque n’ait pas été confirmée, Yahoo Japon a admis son infrastructure avait été compromise et la société a déclaré qu’elle ne pouvait pas « nier la possibilité » qu’un fichier contenant 22 millions de nom d’utilisateurs ait pu être dérobés. Jean-Pierre Carlin, Directeur régional pour l’Europe du Sud chez LogRhythm, commente à datasecuritybreach.fr : « Si 22 millions d’identifiants utilisateur ont été volés, nous pouvons considéré cela comme un piratage à grande échelle. Malheureusement, il n’est plus rare d’entendre parler de ce type d’attaques d’envergure, et Yahoo est simplement la dernière société d’’une longue liste de grandes marques qui se rend compte que la question n’est plus de savoir « si » la société est attaquée, mais « quand » elle le sera.«
Cependant, à porter à son crédit, Yahoo n’a pas tardé à communiquer à propos de cette attaque, et la société devrait également être félicitée pour avoir fourni à ses membres des conseils concrets sur la façon d’empêcher les pirates de compromettre leurs comptes individuels. Toutefois, à la suite d’une violation, quelle qu’en soit la sorte, il est aussi absolument vital d’étudier la manière dont les pirates ont réussi à s’introduire, pour ensuite à utiliser ces informations afin de renforcer les défenses de sécurité à l’avenir. Les indices seront contenus dans les messages d’activité. En analysant les millions – voire des milliards – de logs que chaque infrastructure informatique génère quotidiennement, les organisations peuvent recueillir des indications essentielles sur la façon dont les pirates sont capables d’infiltrer leurs réseaux, de cibler les fichiers de grande valeur ou les bases de données pour ensuite extraire ces informations à des fins de profit personnel.
C’est seulement à ce niveau d’intelligence réseau qu’une organisation peut améliorer sa stratégie de sécurité globale et être ainsi en meilleure position de contrecarrer les futures attaques. En effet, avec l’analyse en temps réel des données contenues dans les messages d’activité, les entreprises peuvent identifier les attaques ainsi que d’autres incidents inattendus au moment même où ils se produisent, permettant de stopper les pirates et d’éviter les gros titres médiatiques embarrassants qui accompagnent toute violation de données au sein d’une organisation. A noter que le protocole d’alerte de zataz.com, qui permet d’aider bénévolement des entreprises à se protéger face à une fuite, un piratage, … a alerté Yahoo! de plusieurs failles. des XSS et injection SQL.
Le ministére de la défense d’Arabie Saoudite infiltré
Un compte email du ministère de la défense d’Arabie Saoudite infiltré par des pirates Syriens. Le groupe de pirates Syrian Electronic Army a délaissé, un peu, les attaques à l’encontre des comptes Twitter de grands medias. Le groupe de pirates pro gouvernement Syrien vient d’annoncer, avec preuves, l’infiltration d’un compte mails appartenant au ministère de la défense d’Arabie Saoudite. Le SEA indique bientôt diffuser des informations secrètes trouvées dans l’espace électronique. Le groupe a déclaré que cette fuite « comprend de la correspondance et des informations secrètes du ministère saoudien de la Défense … Elles ont été transmises au gouvernement syrien. » Ce même groupe avait déjà attaqué plusieurs sociétés pétrolières du royaume saoudien.
Le 26 juin : 11ème édition des Big Brothers Awards
Privacy France présente la 11ème édition des Big Brothers Awards le 26 juin 2013 à la Parole Errante à à Montreuil. Les Big Brother Awards sont de retour ! Après deux années d’absence, les césars du monde sécuritaire seront à nouveau décernés le 26 juin 2013, à partir de 19h, à la Parole Errante, à Montreuil. Douze ans après la première édition française, l’impertinente cérémonie, nommée d’après le personnage de fiction du roman 1984 de George Orwell, reprend du service pour récompenser les acteurs de la société de contrôle et de surveillance. Créés en 1998 au Royaume-Uni, puis repris dans près d’une vingtaine de pays, les Big Brother Awards (BBA) dénoncent, depuis lors, les « surveillants qui nous surveillent ». Au vu de la perte progressive de nos libertés individuelles, par le détournement de nos données personnelles, au travers de la prolifération des fichiers, par le durcissement sécuritaire des cadres législatifs et par la multiplication des dispositifs de surveillance dans nos villes, les tristement célèbres prix Orwell seront dépoussiérés, afin de mettre un coup de projecteur sur notre réalité sous surveillance.
L’objectif reste le même : « surveiller les surveillants » par un ciblage sélectif des dignes représentants de l’idéologie sécuritaire, notre jury étant, comme à son habitude, composé de défenseurs des droits, philosophes des libertés, journalistes, juristes, etc. ayant produit des analyses critiques sur le sujet. Toute institution, entreprise ou personne s’étant distinguée par son mépris du droit à la vie privée et/ou par sa promotion de la surveillance et du contrôle des individus peut être suggérée comme candidate. L’équipe des BBA vous invite donc à participer à cette grande traque en proposant vos candidats via le formulaire de nomination en ligne ou par mail (date butoir le 31 mai).
Pas d’attaques gratuites, il faut rapporter des faits avérés, accompagnés de sources identifiées. Rappelons que pour être éligibles, les candidatures doivent être basées sur des faits avérés et étayées par des sources publiques.
Big Data
Le Big data, c’est aussi une question de sécurité ! Christophe Auberger, Responsable Technique chez Fortinet pour DataSecurityBreach.fr
Sécuriser le Big Data dans les Entreprises Nécessite la Mise en Application de Politiques Intelligentes ainsi que des Outils Analytiques Complets et Performants. Aborder la question de sécurité lorsque l’on parle de Big Data suscite souvent deux courants de pensées divergents de la part des professionnels de l’IT – le refus catégorique que le Big Data devrait être traité différemment de l’infrastructure réseau existante, et une réponse inverse se tournant vers une sur-ingénierie de la solution à adopter compte tenu de la valeur actuelle (ou perçue) des données impliquées.
Le Big Data, selon la définition de Gartner, représente des données informatives de gros volumes, d’une vélocité élevée et/ou d’une grande variété qui nécessitent de nouvelles formes de traitement pour permettre une meilleure prise de décision, conception d’idées et optimisation des processus. Le Big Data augmente les défis de sécurité dans les réseaux de données existants.
Voici les quatre aspects du Big Data, définis par IDC, qui suscitent des défis mais aussi des opportunités:
· Le Volume: Le volume des données est passé de téraoctets à zettaoctets (1 zettaoctet représente 1021 octets ou 1 000 000 000 téraoctets) et au-delà
· La Vélocité: La vitesse des données (entrée et sortie) passant d’ensembles de données statiques, créées une seule fois, à des flux de données en continu
· La Diversité: La gamme de types et sources de données – structurées, non/semi-structurées ou brutes
· La Valeur: L’importance des données dans leur contexte
Alors que le Big Data présente de nouveaux défis de sécurité, le point initial pour les résoudre est le même que pour toute autre stratégie de protection de données: celui qui consiste à déterminer les niveaux de confidentialité des données, à identifier et classifier les données les plus sensibles, à décider où les données critiques devraient être localisées, et à établir des modèles d’accès sécurisés tant pour les données que pour les analyses.
Planifier autour du cycle de vie du Big Data Protéger correctement le Big Data exige la définition de besoins spécifiques de sécurité autour du cycle de vie du Big Data. Généralement, cela commence par la sécurisation de la collecte des données suivi par celle de l’accès aux données. Comme la plupart des politiques de sécurité, une bonne évaluation des menaces du Big Data de l’organisation doit se faire en continu et viser à garantir l’intégrité des données stockées et sous analyse.
La performance est un élément clé lorsqu’on sécurise les données collectées et les réseaux. Les pare-feux et autres dispositifs de sécurité réseau, tels que ceux pour l’encryption, doivent être ultra performants pour pouvoir supporter de plus en plus de débit, de connexions et d’applications. Dans un environnement Big Data, la création et la mise en application des politiques de sécurité sont essentielles du fait de l’importance du volume de données et du nombre de personnes qui auront besoin d’y accéder.
La quantité de données accroit également la nécessité de prévenir les fuites de données. Les technologies de Prévention des Pertes de Données devraient être utilisées pour s’assurer que l’information n’est pas divulguée à des tiers non autorisés. Les systèmes d’intégrité des données et de détection d’intrusions internes doivent être utilisés pour détecter les attaques ciblées avancées qui contournent les mécanismes de protection traditionnels, par exemple, la détection d’anomalies dans les couches d’agrégation et de collectes. Tous les paquets de données, tous les flux de données, toutes les sessions et transactions devraient être inspectés de près.
Parce que le Big Data couvre des informations qui se trouvent dans une zone étendue provenant de sources multiples, les organisations doivent aussi pouvoir protéger les données là où elles se trouvent. A cet égard, les systèmes de sécurité virtualisés fournissant une gamme complète de fonctionnalités de sécurité doivent être positionnées aux endroits stratégiques des architectures cloud hybrides, privées et publiques, fréquemment trouvées dans les environnements Big Data. Les ressources doivent être connectées de manière sécurisées et les données transportées depuis les sources de stockage du Big Data doivent également être sécurisées, typiquement via un tunnel IPSec.
Le Big Data, oui, mais avec les Bons Outils ! Alors que le Big Data présente des défis, il offre également des opportunités. Avec les bons outils, d’importantes quantités d’informations pourront être analysées, ce qui permettra à une organisation de comprendre et de comparer les activités dites normales. Si cette organisation peut alors surveiller les utilisateurs qui s’écartent de cette norme, cela permettra de devancer de manière proactive les potentielles fuites de données et systèmes.
Cet effort doit être soutenu par un personnel IT compétent et le déploiement efficace d’outils de sécurité appropriés. Ces outils sont des appliances dédiées de collecte de logs, d’analyse et de reporting qui peuvent en toute sécurité rassembler les données provenant des dispositifs de sécurité et autres systèmes compatibles syslog. Ces appliances vont également analyser, rapporter et archiver les événements de sécurité, le trafic réseau, le contenu Web, et les données de messagerie. Ceci permet de facilement mesurer le respect des politiques et de produire des rapports personnalisés.
La difficulté à saisir, gérer et traiter les informations rapidement dans les environnements Big Data va continuer à rendre la sécurité un élément de second plan pour de nombreuses entreprises. Alors que la bande passante et le stockage continuent de croitre, la mobilité de ces gros ensembles de données augmente également, provoquant des brèches et la divulgation d’ensembles de données sensibles. Les menaces viendront probablement d’intrus manipulant le Big Data de manière à ce que les outils de business analytics et de business intelligence génèrent des résultats erronés et conduisent à des décisions de gestion qui pourraient être profitables aux intrus.
Même de petits changements dans le Big Data peuvent avoir un impact important sur les résultats. Les organisations ne doivent donc pas ignorer la nécessité de protéger les actifs du Big Data – pour des raisons de sécurité, de business intelligence ou autre. Elles doivent répondre aux principaux besoins du Big Data en termes d’authentification, d’autorisation, de contrôle d’accès basé sur les rôles, d’audit, de contrôle, de sauvegarde et de récupération. A plus long terme, l’analytique du Big Data impliquant l’évaluation et la surveillance comportementale deviendra également de plus en plus capitale pour répondre à la nouvelle génération de défis de sécurité IT.
BOX STORY 1: le SIEM, un Problème pour le Big Data Pour améliorer leur sécurité, certaines organisations ont des solutions SIEM (Security Information and Event Management ou de Gestion des événements et informations de sécurité) pour les aider à collecter et analyser les alertes de sécurité et les systèmes de logging. Cela peut, par inadvertance, toutefois, créer un problème pour le Big Data – dans le cas où chaque log et alerte sont collectés.
Pour éviter ce problème, les organisations devraient arrêter de considérer la sécurité comme un système purement défensif et plutôt penser à ajouter une couche d’abstraction au-dessus de toutes les données pertinentes de l’entreprise. Elles doivent se demander quelles sont les données pertinentes dans un contexte de sécurité. Evidemment, les logs au niveau du réseau (c’est-à-dire le pare-feu, IPS, etc.) et les logs d’accès utilisateurs restent nécessaires. Cependant, les logs de sécurité des terminaux, les logs liés au proxy et même les données d’inspection approfondie des paquets risquent de ne plus être pertinents.
BOX STORY 2
– Exemples de Big Data
· Logs Web
· Données RFID
· Réseaux de capteurs
· Données des réseaux sociaux
· Documents et textes Internet
· Indexation des recherches Internet
· Archivage des détails d’appels
· Dossiers médicaux
· Archives de photos
Un ancien pirate de CB invente un anti skimmer
Après son arrestation et un séjour en prison, un pirate informatique invente un nouveau système contre le piratage de données bancaires. Un ancien pirate informatique roumain, spécialisé dans le piratage de données bancaires via des skimmeurs, vient de mettre sur le marché une invention de son cru. L’outil est un système de protection contre le skimming, le piratage de votre carte bancaire via un distributeur de billets piégé.
Valentin Boanta, 33 ans, avait été arrêté en 2009. Il vient d’inventé un nouveau dispositif qui empêche les vols de données bancaires via un GAB, un guichet automatique de billets. Valentin Boanta a déclaré à l’agence de presse Reuters que son arrestation le rendait heureux parce qu’il avait pu se soigner de son addiction au piratage informatique « C’était comme une drogue pour moi« .
Le système inventé par l’ancien skimmeur, baptisé Secure Revolving System-SRS, est financé par une société de Bugarest, MB Telecom. A noter que cette société roumaine, connue aussi sous le nom de MB technology, est spécialisée dans les scanners. En 2012, MB a remporté un prix pour un scanner d’avion. En 2009, elle remportait le même prix pour un scanner à camion.
Selon l’ambassade américaine basée à Bucarest, les pirates roumains auraient volé environ 1 milliard de dollars aux américains en 2012. A noter que l’ancien pirate est toujours en prison. Il a écopé de 5 ans pour avoir créé et revendu des skimmeurs à la mafia locale.
13 Comptes en banque bloqués après le piratage de RPG
Le compte en banque de l’entreprise de télécommunication RPG piraté. Plus de 32.000 euros transférés. Des pirates informatiques ont réussi, en 3 heures, à pirater l’un des comptes bancaires de l’entreprise de télécommunication indienne RPG et à transférer 32.640 euros. Un compte courant basé dans la ville de Mumbai. L’attaque a été détectée le 11 mai dernier. L’argent détourné a été placé dans 13 comptes bancaires différents à Chennai, Coimbatore, Tirunelveli, Bangalore, Hyderabad, … Les comptes bancaires ouverts par les pirates ont été bloqués, mais les e.voleurs ont déjà mis la main sur l’argent liquide. La police a arrêté trois présumés membres de ce groupe de pirates qui retiraient des billets verts dans des banques de Coimbatore et Hyderabad. Les pirates ont réussi ce piratage via un courriel piégé. Un employé aurait ouvert un fichier joint dans un email. Dans le document numérique piégé, un cheval de Troie. (TI)