Archives de catégorie : Entreprise

Actualités liées à la sécurité informatique des entreprises, PME, PMI, TPE, association, communes.

Entreprise

Envoyez vos campagnes emailing tout simplement

Le logiciel Sarbacane est proposé en téléchargement gratuit : l’occasion pour vous de tester la diffusion facile et rapide de vos newsletters. Fidéliser vos lecteurs, clients, visiteurs sur Internet ? Et si vous tentiez l’emailing. Ici, pas question de parler de spam, de pourriel, mais bien d’une gestion efficace et rapide de votre base de données. Sarbacane est la solution d’emailing de référence.

Ce logiciel, en téléchargement gratuit pour tester ses capacités, permet de gérer vos campagnes d’emailing et de newsletter. Importez vos contacts, créez vos mails personnalisés en HTML, et envoyez vos mails à vos lecteurs, clients, visiteurs en toute facilité. Nous vous proposons de tester gratuitement ce logiciel d’emailing pour que vous puissiez découvrir sa simplicité d’utilisation et son efficacité.

Créé par une société du Nord de la France, située à quelques kilomètres de zataz.com, Sarbacane a reçu le label qualité d’Ekomi avec une note loin d’être négligeable : 4.4 sur 5. La Poste, Toshiba, Universal Music ou encore le CIC utilisent Sarbacane : testez gratuitement Sarbacane et laissez-vous convaincre par son utilité et son efficacité.

Sarbacane Téléchargement Gratuit

cryptage, Cybersécurité, Espionnae, Facebook, Fuite de données, Vie privée

Espionner via l’API d’un HTML5

2 commentaires

Une vulnérabilité découverte dans un API d’HTML5 permet de connaitre l’historique de navigation d’un internaute. Cette possibilité a été annoncée dans un document diffusé par le Context Information Security sous le titre de « Pixel Perfect Timing Attacks with HTML5« . Le problème se situe dans l’API requestAnimationFrame.

Cet API consulte l’historique de votre navigateur pour différencier un site web que vous avez visité et celui qui vous aller visiter. Seulement, il a été découvert qu’il était aussi possible, pour un site malveillant, de mettre la main sur l’historique de navigation de chaque visiteur. Si vous couplez requestAnimationFrame à une interception d’ip et quelques informations privées, vous voilà avec la vie privée numérique de l’internaute bien mal en point.  Côté conseil, utilisez le monde « Navigation privée » de votre navigateur.

Facebook, Twitter, Google, Linkedin, Bong, Amazon, Mozilla, Reddit, souffrent de cette potentialité malveillante. Cette technique s’est avérées très efficaces, permettant à un site malveillant de contrôler des milliers d’URL par seconde pour voir si un utilisateur a visité les principaux portails du web.  En 2010, David Baron a publié une proposition pour prévenir de telles attaques, en limitant les styles (css) qui peuvent être appliquées aux liens visités et veiller à ce que l’API JavaScript appelle que les styles des éléments à visiter. Les correctifs avaient été mis en œuvre dans tous les principaux navigateurs. Sauf que la faille découverte permet aussi de lire, à distance, les pixels et, avec un peu de malice, permettre à un pirate de lire ce qui s’affiche dans le navigateur. Le White paper de CIS.

Argent, Arnaque, Banque, Cybersécurité, escroquerie, Paiement en ligne

Piratage d’un compte bancaire, les indices qui mettent la puce à l’oreille

3 commentaires

La plupart des utilisateurs jugent important de protéger leurs informations personnelles stockées sur leurs ordinateurs. Et selon une récente enquête consultée par DataSecurityBreach.fr, réalisée pour Kaspersky Lab, aussi incroyable que cela puisse paraître un participant sur trois (33%) conserve ses coordonnées bancaires sur son ordinateur domestique. A noter que 62 % des utilisateurs considèrent la fuite de données financières comme la menace la plus dangereuse ; 47 % estiment que le vol d’informations bancaires lors d’achat en ligne est le problème le plus préoccupant lorsque l’on se rend sur internet. 57 % des français estiment qu’ils ne sont pas suffisamment outillés pour faire face aux menaces de sécurité sur internet.

Les cybercriminels multiplient les tentatives pour pirater les sites de banque et de commerce en ligne. C’est pourquoi, surveiller ses comptes de paiement en ligne (PayPal, Amazon, Google Checkout, etc.) de près peut éviter des mauvaises surprises à la fin du mois. Comme le rappelle ZATAZWeb.tv, s’informer, c’est déjà se sécuriser. Voici les six « alertes » qui doivent vous faire tendre l’oreille.

1.     Surveiller les activités non autorisées : savoir toujours quelles opérations sont prévues. Tout montant débité sans l’autorisation du détenteur du compte, aussi faible soit-il, doit constituer un signal d’alerte.

2.     Attention aux notifications : Le fait de recevoir un e-mail informant que les informations de son compte ont changé alors que rien n’a été modifié peut être un signe que le compte a été piraté.

3.    Attention aux faux appels : si un interlocuteur se présente comme travaillant pour un établissement bancaire ou prestataire de paiement au téléphone, ne pas hésiter à rappeler le service client pour vérifier l’authenticité de l’appel.

4.    Se méfier des textos : si l’utilisateur reçoit soudainement des SMS ou des appels provenant d’un numéro de mobile habituellement non utilisé par son prestataire, il faut être extrêmement prudent quant à son origine.

5.     Vérifier chaque e-mail : si un e-mail ou une autre forme de communication en ligne ne paraît pas authentique, ne pas y répondre sans avoir vérifié son authenticité auprès de son prestataire.

6.     Attention aux faux liens : si des activités inhabituelles sont observées sur son compte, il faut vérifier si aucun lien suspect dans un e-mail n’a été ouvert.

Ainsi, il est bien sûr recommandé aux utilisateurs d’adopter les bons réflexes de sécurité lors des achats en ligne. En outre, l’installation d’un logiciel efficace de sécurisation d’Internet, et notamment des fonctions de banque en ligne, permet d’éviter les attaques de type « man in the browser » qui interceptent les données normalement sécurisées transitant dans un navigateur Web. Dans ce type d’attaque, un malware implanté sur l’ordinateur infecté modifie de manière invisible des pages Web légitimes afin de prendre le contrôle des activités de banque en ligne. L’internaute est bien connecté au site Web authentique de la banque, l’adresse affichée (URL) est la bonne mais des cybercriminels peuvent intercepter la transaction pour dérober les informations financières et, plus grave, de l’argent.

Arnaque, Cyber-attaque, Entreprise, Fuite de données, Leak

Les menaces et la sécurité des centres d’assistance technique

Un commentaire

Le SANS Institute of Research a dévoilé les résultats d’une étude sponsorisée par RSA, la division sécurité de EMC, portant sur les menaces et la sécurité des centres d’assistance technique (Les help desks, ndlr datasecuritybreach.fr).

Les help desks sont le point d’entrée des employés pour la résolution des problèmes informatiques. Pourtant on constate que la sécurité informatique reste encore assez à améliorer ; les téléassistants étant mesurés à la rapidité de résolution des problèmes. Ainsi ces centres sont aujourd’hui une voie facile pour les hackers de mettre un pied dans l’entreprise. L’étude réalisée auprès de 900 professionnels de l’informatique dans le monde, tous secteurs confondus, souligne les menaces et le niveau de sécurité des centres d’assistance technique :

–          Pour 69% des répondants, l’ingénierie sociale est le premier moyen pour les hackers d’entrer dans les entreprises via les help desks.  L’ingénierie sociale étant une forme d’acquisition déloyale d’information : les informations basiques et accessibles à tous comme le nom, prénom et numéro d’employé sont souvent le seul moyen d’identifier les collaborateurs.

–          Un tiers des professionnels interrogés atteste que la sécurité de leur help desk reste très faible.

–          43% ne prennent pas en compte le paramètre sécurité lorsqu’ils calculent le budget de leur help desk.

Data Security Breach rappelle qu’afin de prévenir les attaques, les entreprises doivent protéger leurs données tout en répondant aux attentes des employés et ainsi revoir la sécurité de leur help desk. Pour cela RSA recommande :

–          L’automatisation et la mise en libre-service des options pour les questions courantes de l’utilisateur telles que la réinitialisation du mot de passe afin de réduire les erreurs et les vulnérabilités qui conduisent à des failles informatiques et le vol de données

–          Des formations solides et continues du personnel pour apprendre à repérer et réagir à d’éventuelles attaques

–          Des outils avancés qui permettent des méthodes d’authentification plus solides en utilisant des ressources de données dynamiques. (SANS Institut)

BYOD, Entreprise, Fuite de données, Sauvegarde, Vie privée

Messages personnels dans un ordi pro ne sont plus personnels

3 commentaires

Le site juridique Legalis.net revient sur une décision de la cour de cassation concernant les emails envoyés depuis l’ordinateur personnel d’un salarié, avec son adresse personnelle, puis transférés sur son ordinateur professionnel, sans qu’ils soient identifiés comme « personnels ». Bilan, la justice française a décidé que ces courriers étaient présumés professionnels. Telle est la conclusion qui ressort de l’arrêt de la Cour de cassation du 19 juin 2013. La Cour de cassation a affiné sa jurisprudence qui figure dans le premier attendu : « les dossiers et fichiers créés par un salarié grâce à l’outil informatique mis à sa disposition par son employeur pour l’exécution de son travail sont présumés, sauf si le salarié les identifie comme étant personnels, avoir un caractère professionnel de sorte que l’employeur peut y avoir accès hors sa présence ». Bref, cette décision pourrait très bien être prise en compte lors de la visite de votre Facebook, via un ordinateur du bureau.

Biométrie, Entreprise, Sauvegarde

Ma voix est mon mot de passe

Un commentaire

La biométrie vocale fournit une couche supplémentaire de sécurité et, dans le cadre d’un processus d’authentification multifactorielle, élimine pratiquement les risques associés à l’utilisation du même identifiant et mot de passe pour les comptes multiples. En utilisant simplement l’empreinte vocale unique à chaque être humain, la sécurisation de l’accès aux informations personnels s’en trouve amélioré et pallie l’oubli des mots de passe. DataSecurityBreach.fr rappelle qu’il s’agit également de la seule caractéristique biométrique à pouvoir être vérifiée à distance, ce qui rend l’authentification vocale particulièrement pratique.

Plusieurs groupes comme Barclays, Turkcell, Vanguard et Eastern bank ont choisi d’offrir à leurs clients une méthode d’authentification plus naturelle reposant sur la biométrie vocale. Barclays est le premier groupe de services financiers à déployer un système de biométrie vocale passif comme principal moyen d’authentification des clients contactant leur centre d’appel. Lorsqu’un client appelle Barclays pour consulter ses comptes par téléphone, il converse tout naturellement pendant 20 à 30 secondes avec un agent du service client. Pendant ce laps de temps, la voix du client est comparée avec son empreinte vocale déjà enregistrée. Lorsque l’identité du client est effectivement authentifiée, le représentant de Barclays en est averti discrètement. Si le système n’authentifie pas le client ou si la demande de transaction excède les seuils de sécurité, les agents de Barclays procèdent alors à la traditionnelle authentification basée sur la connaissance.

A ce jour, la société Nuance a traité plus de 30 millions d’empreintes vocales avec sa technologie de biométrie vocale et, en seulement deux ans, ce nombre a triplé. Traditionnellement utilisée dans le secteur bancaire, celui des télécommunications et pour le compte d’organisations gouvernementales, l’usage de la biométrie vocale s’accélère dans les domaines de la mobilité et de l’électronique grand public.

Nuance a dévoilé, il y a quelques jours, une nouvelle génération de biométrie vocale adaptée à une authentification du locuteur pour les terminaux mobiles, les téléviseurs ou encore les rapports médicaux. L’authentification vocale est à coup sûr en passe de se démocratiser. Le « jeton vocal » pourrait bientôt remplacer les habituels mots de passe et codes PIN.

Cybersécurité, spam

La France sort du classement des pays les plus spammeurs du monde !

La France sort du classement des pays les plus spammeurs du monde ! Sophos a dévoilé la nouvelle édition de son classement des 12 pays les plus relayeurs de spams du monde, le Sophos Dirty Dozen, pour le second trimestre 2013. A noter que la France, classée 5ème pays le plus relayeur de spam au premier trimestre 2013, est sortie du classement tout comme le Pérou et la Corée du Sud. Parmi les nouveaux entrants du classement, l’arrivée remarquée de la Biélorussie directement à la seconde place, suivie de l’Ukraine et du Kazakhstan. Les Etats-Unis quant à eux gardent leur place de leaders.

Entreprise, Fuite de données, Sauvegarde

Boulette chez Pacific Host : BDD ouverte sur la toile

Un commentaire

Voilà le genre de boulette qui aurait pu faire mal entre de mauvaises mains, heureusement pour Pacific Host, la fuite n’a été vue, à première vue, que par la rédaction de DataSecuriyBreach.fr. Lors d’une mise à jour vers MySQL 5.5, vendredi 19 juillet, un paramètre incorrect dans la configuration a fait planter un des serveurs de l’hébergeur. Une « boite » numérique comprenant pas moins de 1.500 sites Internet.

La société d’hébergement s’est expliquée sur cette porte ouverte. « Nous avons dû supprimer certains de nos logiciels de sécurité pour permettre l’accès à la prise mysqld. » Bilan, une erreur MySQL (111) s’affichait et le fichier localhost.sql pouvait se copier comme pour rire.

Le problème a été corrigé. La rédaction de Data Security Breach pense être l’unique entité à avoir vu le contenu de la BDD ouverte (emails, sites, logins, mots de passe, clé d’activation, IP, identifiant de smartphone, navigateurs utilisés, …) ou pas !

Cloud, Fuite de données, Logiciels, Sauvegarde

Toujours de l’inquiétude face aux services Cloud

Les questions de la confidentialité « dans le nuage » ont été mises en avant au cours des dernières semaines. DataSecurityBreach.fr vous en parlait. Cependant, avant même d’entendre parler de PRISM, les consommateurs étaient inquiets de la sécurité et de la confidentialité des contenus qu’ils stockent dans le Cloud.

Une récente étude F-Secure montre que 6 consommateurs sur 10 s’inquiétaient de la sécurité des contenus stockés par les réseaux sociaux et les services de stockage Cloud avant même que les informations sur PRISM ne fassent les unes des journaux. L’enquête F-Secure Digital Lifestyle Survey 2013 (6000 personnes interrogées dans 15 pays en avril*) démontre que ce sont les jeunes utilisateurs ainsi que les multi-screeners (personnes utilisant simultanément plusieurs appareils dotés d’un écran) qui sont les plus préoccupés par le sujet.

Selon l’enquête que Data Security Breach a pu consulter, les cinq premiers fournisseurs qui proposent à leurs utilisateurs de confier leurs contenus sont : Facebook, Youtube, Google Drive, Dropbox et à égalité au 5ème rang : Microsoft SkyDrive et Apple iCloud. Cependant, les résultats montrent que mettre en ligne des données sur les réseaux sociaux ou des clouds stockage ne signifie pas que les utilisateurs leur font confiance.

59% des consommateurs ont peur qu’un tiers puisse accéder à leurs données stockées chez ces fournisseurs. 60% craignent que les fournisseurs de ce type de service vendent des données à des entreprises tierces et 62% pensent que la confidentialité de leurs activités en ligne pourrait ne pas être respectée. Enfin, 63% des sondés s’inquiètent de la vulnérabilité de la technologie des fournisseurs de stockage. Les pays Européens sont en général moins inquiets que ne le sont les autres pays du globe. Par exemple, seuls 38% des britanniques et 40% des néerlandais s’inquiètent d’un accès non autorisé à leurs contenus. A titre de comparaison, le même sujet inquiète 69% des américains, et 78% des brésiliens.

Autres statistiques intéressantes : les personnes âgées entre 20 et 30 ans présentent plus d’inquiétudes que les personnes âgées de 50 à 60 ans, et les multi-screeners sont eux aussi plus préoccupés. On notera que ce sont ces mêmes personnes qui sont les plus friandes des services Cloud.

33% des consommateurs déclarent avoir la sensation de perdre le contrôle de leurs données. En Belgique, pas moins de 51% des interrogés ont estimé qu’ils ne contrôlaient plus leurs données, alors que ce n’est le cas que de 20% des sondés vivant au Royaume-Uni.

« Ces résultats reflètent la connaissance des consommateurs quant aux enjeux du stockage dans le Cloud aujourd’hui », explique à Datasecuritybreach.fr Timo Laaksonen, Vive President, Content Cloud chez F-Secure. « Cela souligne une fois de plus la nécessité de sécuriser les services de Cloud privés, pour lequel sécurité doit rimer avec confidentialité de vos données ».

Android, BYOD, Chiffrement, Cybersécurité, Fuite de données, ios, Sauvegarde, Sécurité, Téléphonie

Configurer efficacement la double identification Google

8 commentaires

 « L’attaque est le secret de la défense, la défense permet de planifier une attaque. », voilà un adage qui plait à l’oreille de l’équipe de DataSecurityBreach.fr. Il colle parfaitement à l’ambiance numérique. Comme celle concernant la sécurité de son compte Google. Dire que la double identification pour un compte webmail, Twitter, Facebook ou tout autres services web devient indispensable est un doux euphémisme. Et ce n’est pas ce pauvre banquier de Dubaï qui dira le contraire. Un pirate informatique a réussi à se faire transférer 15.000 $ sur un compte bancaire basé en Nouvelle-Zélande en communiquant avec le banquier via un compte gMail piraté. Bref, n’attendez pas le passage d’un pirate. Mettez en action la double identification Google, qui, en regardant de plus prêt est en faite une quadruple identification.

Configurer les numéros de téléphones de secours

DataSecurityBreach.fr vous conseille un numéro portable et un numéro fixe. Dans le premier cas, pour recevoir par SMS le code de secours. Dans le second cas, recevoir le précieux secours via un téléphone fixe et une voix humaine.

Codes de secours à imprimer

Il vous permet de disposer de 10 codes si vos téléphones ne sont pas disponibles. 10 séries de 8 chiffres qui vous permettront de vous connecter à votre compte. Mots de passe spécifiques aux applications.

Google Authentificator

Avec les téléphones portables, data security breach vous en parle souvent, les accès malveillants se multiplient. Google propose « Google Autentificator« . Une application pour iOS, Android, … qui donne accès à un code d’identification unique. Code valide durant 1 minutes à rentrer, en plus de votre mot de passe habituel. Bref, voilà une sécurité digne de ce nom qui prend quelques minutes à configurer mais permet de ne pas passer des heures, quand ce ne sont pas des jours à sauver les meubles après le passage d’un pirate informatique.