Archives de catégorie : Entreprise

Actualités liées à la sécurité informatique des entreprises, PME, PMI, TPE, association, communes.

Android, Cybersécurité, Entreprise, Logiciels, Piratage, Smartphone, Virus

Malware NotCompatible : le retour

En mai 2012, Data Security Breach revenait sur l’annonce de Lookout avec l’apparition de NotCompatible, un programme malveillant diffusé par des sites web piratés. Une fois installé, NotCompatible fait office de serveur proxy, permettant à l’appareil qui l’héberge d’envoyer et de recevoir des données relatives au réseau. Pour la première fois, des sites web piratés ont servi de tremplin pour cibler et contaminer des appareils mobiles spécifiques. Depuis les premiers cas mis au jour, nous avons détecté une activité de NotCompatible faible à modérée par moments, avec des pics. La situation est toute autre depuis plusieurs jours : le réseau de surveillance de Lookout concernant les menaces mobiles (Mobile Threat Network) a détecté une hausse soudaine du nombre de cas qui atteint 20 000 par jour entre dimanche et lundi dernier.

Les nouveautés

NotCompatible n’a guère changé sur le plan de ses capacités techniques et de sa conception depuis les premiers cas décelés, en mai 2012. C’est en revanche son mode de diffusion qui diffère désormais : le programme circule principalement via des messages spam envoyés par des comptes de messagerie Email piratés.

Android dans le collimateur

Les premières campagnes d’infection de NotCompatible visaient spécifiquement les utilisateurs d’appareils sous Android, en repérant la présence d’un en-tête (header) contenant le mot « Android » dans le navigateur : sa détection commandait alors le téléchargement du programme malveillant. Désormais, les liens contenus dans le spam en question utilisent une tactique semblable. La tactique est similaire dans les nouveaux cas. En cliquant sur un lien présent dans un spam, sous Windows, iOS et OSX, l’utilisateur est redirigé vers un article prétendument publié sur Fox News relatif à la perte de poids.

Si l’on clique sur le lien à partir d’un appareil sous Android, le navigateur redirige vers un « site de sécurité pour Android », en vue d’une mise à jour. En fonction de sa version d’Android et du navigateur, l’utilisateur peut être poussé à effectuer un téléchargement, à son insu dans un grand nombre de cas. DataSecurityBreach.fr vous explique souvent ce tour de passe-passe via des kits pirates. Le programme se glissera alors dans le dossier des téléchargements. Dans le cas de Chrome, l’utilisateur verra s’afficher une demande de confirmation du téléchargement.

C’est le cas pour une écrasante majorité des cas détectés lors du récent pic d’activité. Le programme a été installé dans seulement 2 % des cas. Comment s’en prémunir ?  Evitez d’ouvrir des mails de spam. Des messages surprise de vieux amis perdus de vue ayant pour objet « hot news », « Last all Night » ou encore « You Won $1000 », montrent clairement qu’il s’agit d’un spam.

·        Le bon sens doit être de mise avant de cliquer sur un lien. Si le nom du site web vers lequel il pointe ne vous dit rien, mieux vaut s’abstenir. La prudence doit particulièrement être de mise dans le cas de liens au format abrégé tel que bit.ly ou ABCD, car il est encore plus difficile de juger de l’honnêteté du site en question.

·        Si votre appareil mobile lance subitement le téléchargement d’un fichier sans aucune action de votre part, ne cliquez surtout pas dessus et supprimez-le immédiatement.

·        Téléchargez une application de protection mobile qui passe au crible les contenus à la recherche de programmes malveillants éventuels.

Cybersécurité, Entreprise, Hacking, Particuliers

Laisserez-vous disparaitre la protection de vos données ?

La commission des « affaires juridiques » (JURI), menée par Marielle Gallo (France – EPP), vient de voter son avis sur la nouvelle législation relative à la protection des données proposée par la Commission européenne. Avec ce dernier vote pour avis, légèrement moins catastrophique que les précédents, le Parlement européen affaiblit une fois encore la protection des données personnelles des citoyens européens. Les membres des quatre commissions ayant exprimé leur avis ont choisi de se ranger aux côtés des multinationales américaines qui, comme Facebook et Google, collectent, traitent et vendent des données concernant nos vies quotidiennes. La mobilisation citoyenne commence doucement à porter ses fruits, mais doit encore s’intensifier avant le vote crucial de la commission principale « libertés civiles » (LIBE) – actuellement prévu pour les 24-25 April, mais probablement reporté.  ***

Une fois encore, Marielle Gallo (France – PPE) a choisi de protéger les intérêts de l’industrie plutôt que les droits des citoyens, et a conduit la commission « affaires juridiques » (JURI) à voter un avis appelant à affaiblir la protection de la vie privée des citoyens dans la proposition de règlement de la Commission européenne. Des amendements déposés par Marielle Gallo et ses collègues conservateurs (soutenus par les membres du groupe libéral (ALDE)) proposent par exemple d’autoriser les entreprises à traiter les données personnelles des citoyens et à les transmettre à des tiers qui pourront ensuite en faire ce qu’ils voudront, dès lors qu’ils invoqueront un « intérêt légitime » [1]. D’autres amendements adoptés aujourd’hui introduisent toutes sortes de failles juridiques, et invitent par exemple le Parlement européen à autoriser le traitement des données personnelles même lorsque l’objectif de ce traitement est incompatible avec celui décrit lors de la collecte des données [2].

Ainsi, ce vote s’inscrit dans la lignée de ceux des commissions « consommateurs » (IMCO) de janvier [3], et de ceux des commissions « industrie » (ITRE) et « emploi » (EMPL) de février [4], qui reprenaient un grand nombre des demandes des lobbies de l’industrie, et menaçaient les protections proposées par la Commission européenne.

Cependant, ce vote, au même titre que les trois précédents, n’a pas de portée législative. Le prochain vote à en avoir un sera celui de la commission principale « libertés civiles » (LIBE), prévu pour fin avril mais probablement reporté, et qui déterminera réellement si l’Union européenne choisira de laisser à ses citoyens le contrôle de leurs données, ou si elle choisira de copier le modèle américain dans lequel les sociétés peuvent collecter, traiter, stocker et vendre les données personnelles des citoyens sans aucune contrainte.

Le vote d’aujourd’hui a pourtant été légèrement moins catastrophique que les précédents, et démontre que les membres du Parlement européen sont sensibles à la mobilisation citoyenne et à la pression médiatique, et qu’ils protégeraient notre droit à la vie privée si nous les y poussions. Avant le vote de la commission LIBE, les citoyens doivent donc renforcer la mobilisation et continuer à contacter leurs députés européens.

« Les enjeux cruciaux liés à notre vie privée et à l’économie numérique se joueront au sein de la commission principale « libertés civiles ». Les citoyens peuvent mettre leurs élus face à leurs responsabilités en se mobilisant et en exigeant que Facebook, Google et les autres géants du Net n’aient pas un accès « Open Bar » à nos données personnelles. Nous devons garder le contrôle de nos données, afin de garder le contrôle de notre vie en ligne. Tout se jouera à partir de maintenant et jusqu’aux élections européennes. » déclare Jérémie Zimmermann, porte-parole de l’association La Quadrature du Net.

* Références * 1. Am. 24 déposé par Marielle Gallo (France – EPP)

2. Am. 144 déposé par Klaus-Heiner Lehne (Allemagne – EPP)

3. https://www.laquadrature.net/fr/vie-privee-les-entreprises-us-gagnent-en-commission-consommateurs-au-parlement-europeen

4. https://www.laquadrature.net/fr/la-vie-privee-des-citoyens-menacee-dans-les-commissions-parlementaires-europeennes

Cybersécurité, Entreprise, Hacking, Logiciels, Piratage

Certification DSD du gouvernement australien

Good for Enterprise aide les départements du gouvernement à minimiser les risques liés à la cyber-sécurité puis à tirer un meilleur parti de leurs appareils iOS.

Good Technology™, le leader des solutions sécurisées de mobilité d’entreprise, annonce aujourd’hui que Good for Enterprise™ (GFE) est devenue la première solution de sécurité mobile utilisant un conteneur à être certifiée par l’organisme Defence Signals Directorate (DSD) du gouvernement australien. Cette certification, DSD Cryptographic Evaluation (DCE) certification1, permettra aux appareils iOS sécurisés avec Good for Enterprise de communiquer et de stocker des informations classifiés jusqu’au niveau ‘Protected’.

« La certification du niveau de sécurité ‘protected’ est le Saint Graal », a commenté à data security Breach Kevin Noonan, Ovum Public Sector Research Director. « A travers cette large palette de fonctionnalités qu’offre Good, telles que l’accès aux e-mails, au calendrier, aux contacts, à l’intranet et le visionnage des documents, il sera beaucoup plus facile de répondre à la majorité des besoins des professionnels dans la plupart des agences gouvernementales australiennes. »

La DSD est une agence de renseignements du Ministère de la Défense australien. La DSD fournit des recommandations et des services de sécurité principalement aux agences fédérales et gouvernementales australiennes. La DSD travaille également en étroite collaboration avec les industriels pour développer et déployer des produits cryptographiques sécurisés.

« En tant que ministère rattaché au CommonWealth, nous avons des exigences élevées concernant la protection et la sécurisation des informations du gouvernement » a declaré à Datasecuritybreach.fr Al Blake, Chief Information Officer, au Département d’Etat du Développement Durable, de l’Environnement, de l’Eau, de la Population et des Collectivités. « En déployant Good, avec son conteneur chiffré, cela permet aux utilisateurs finaux d’utiliser l’appareil mobile de leur choix, ce qui minimise les frais de gestion des terminaux tout en ayant le niveau de sécurité élevé dont nous avons besoin pour les informations gouvernementales. Le déploiement a été un énorme succès et a permis d’augmenter considérablement la connectivité du personnel et la flexibilité au travail. »

En plus de la solution GFE récemment certifiée, les solutions de Good fournissent une plateforme de mobilité complète au gouvernement. Bien que DSD l’ait certifié pour iOS, GFE prend également en charge Android et Windows Mobile. Les ministères australiens peuvent également bénéficier du meilleur des applications développées par des éditeurs tiers, comme des éditeurs de documents, SharePoint, toutes sécurisées par la plateforme de développement d’applications de Good, Good Dynamics.

En outre, Good Dynamics permet aux utilisateurs de créer et de déployer leurs propres applications sous iOS, enrichissant ainsi l’expérience utilisateur et améliorant la productivité tout en assurant la sécurité des données.

La certification par la DSD du conteneur sécurisé de Good Technology permet aux ministères d’utiliser de manière bien plus productive leurs terminaux iOS, sans faire de compromis sur la cyber-sécurité. La principale exigence pour les organisations du secteur public devrait être de minimiser le risque de compromission des données, telles que des fuites depuis des terminaux ou des réseaux.

La solution de Good Technology de gestion des périphériques mobiles (MDM) offre non seulement une solution complète sécurisé de bout en bout, mais fournit également aux administrateurs la possibilité de surveiller, de gérer et d’aider les utilisateurs d’iOS. Le support technique peut rapidement résoudre les problèmes, et donne une vision complète de tous les appareils iOS déployés au sein d’un département grâce au tableau de bord. A tout moment et de n’importe où, les administrateurs peuvent protéger les réseaux et les données en bloquant l’accès à partir des appareils ‘jailbreakés’, et en effaçant à distance les smartphone et tablettes volés ou perdus.

 

1 : Common Criteria (CC) certification is ongoing

Cybersécurité, Entreprise, Logiciels, Particuliers

Smartphone quasi indestructible

La perte de données peut aussi se dérouler après la chute de son portable. Imaginez, sur les pistes, et … paf! … e portable termine sa course contre un sapin. Cet hiver, la neige était au rendez-vous et bon nombre d’utilisateurs de smatphones sont encore sur les pistes à profiter du sport de glisse préféré des français. Avec la croissance effrénée des nouvelles technologies, rester connecter même sur les pistes, devient un jeu d’enfant. Mais qu’en est-il des chutes à grande vitesse lorsque son smartphone dernier cri est dans la poche de sa combinaison ? Températures extrêmes, chutes ou encore neige qui s’insinue partout, beaucoup de smartphones ne tiennent pas le choc face aux conditions hivernales. Caterpillar lève le voile sur son nouveau mobile idéal pour la saison du ski : le Cat B15.

A toutes épreuves

• Protéger des chutes : L’appareil est protégé par de l’aluminium anodisé argent et un caoutchouc absorbant les chocs.

• Waterproof : Le Cat B15 est certifié IP67. Ce standard industriel signifie que le dispositif est étanche, capable de résister à l’immersion dans un mètre d’eau pendant 30 minutes. Pas de problème d’utilisation lorsque les mains sont mouillées.

• Résistance aux températures extrêmes : Le Cat B15 fonctionne par des températures allant de -20º C à +55º C. Il est donc protégé de la neige mais également du sable pour les vacances d’été !

Cybersécurité, Entreprise, Logiciels, Particuliers, Piratage, Virus

Qui connaît son ennemi comme il se connaît…

Cette citation de Sun Tzu, issue de l’Art de la Guerre et écrite dès le Vème siècle avant Jésus-Christ, continue d’inspirer nombre de stratégies militaires ou commerciales, mais ne vaut que si l’on considère l’ensemble du constat : « Qui se connaît mais ne connaît pas l’ennemi sera victorieux une fois sur deux. Que dire de ceux qui ne se connaissent pas plus que leurs ennemis ? ». Par Eric Soares, Vice-président France de Symantec pour Data Security Breach.

Les entreprises et les gouvernements ont-ils conscience de la multiplication des cyber-menaces ? Les plus connues d’entre elles  ne cessent de baisser : seules 4 % d’entre elles sont des virus ; le taux de spam a baissé de plus de 30 % sur les douze dernier mois. Ces « vieilles » menaces sont connues des individus, des entreprises et des gouvernements, qui se sont, au cours des années équipés pour les contrer. Néanmoins, les attaques malveillantes avaient augmenté de 81 % en 2011, les attaques web de 36 % et le nombre de variantes uniques de code malveillant atteignait les 403 millions, des tendances qui n’ont cessé de s’affirmer depuis, avec le succès dont on entend trop souvent parler hélas. Les entreprises et gouvernements doivent en outre faire face à l’augmentation des attaques ciblées, qui touchent non seulement les dirigeants, mais également les différentes fonctions de l’organisation ouvertes sur l’extérieur. Il convient également de tenir compte des attaques visant la production-même des entreprises ou leur fonctionnement, telles que le désormais très connu Stuxnet ou la plus discrète Narilam, qui modifiait des bases de données comptables. Enfin, à ces menaces externes viennent s’ajouter les risques internes : selon une étude récente menée avec le Ponemon Institute, 60 % des employés ont déclaré prendre des données appartenant à leur employeur lorsqu’ils le quittent.

Qu’elles soient internes ou externes, les entreprises tout comme les gouvernements doivent non seulement avoir conscience mais également la connaissance des cyber-menaces qu’elles doivent affronter.

Le périmètre des risques doit également être réévalué. Il y a encore quelques années, les systèmes d’information étaient limités aux ordinateurs et serveurs se trouvant dans les murs des organisations. La moitié de leurs données se trouvent désormais en dehors de leur pare-feu. Aujourd’hui le développement du cloud et celui de la mobilité, séparément et conjointement, sont certes porteurs de nouvelles opportunités pour les entreprises et les gouvernements, mais signifient également  une multiplication des points d’entrée pour les menaces et nécessite une approche in-extenso de la sécurité.  Celle-ci est en effet l’une des premières préoccupations des entreprises qui transfèrent tout ou partie de leur capital informationnel vers le cloud. C’est également une opportunité majeure de sécurité accrue… à condition de s’être assuré que ce même cloud, qu’il soit privé, public ou hybride, répond aux exigences de sécurité et aux obligations réglementaires les plus rigoureuses.

Le développement des terminaux mobiles à usage professionnel n’est évidemment pas un phénomène que l’on peut contrer, mais qu’il convient d’accompagner, là encore, afin de protéger au mieux les informations de l’entreprise. Aujourd’hui, 23 % des collaborateurs accèdent aux informations de l’entreprise via un appareil mobile. Il s’avère donc nécessaire de renforcer les politiques de sécurité, dont les niveaux doivent varier selon le propriétaire du terminal, et bien sûr de son utilisation.

Les organisations doivent donc tenir compte de ces nouveaux développements dans leur approche de la sécurité de leurs données, ou d’intégrer cette dernière dès la phase initiale de leurs projets de cloud et de mobilité la dimension sécurité. Mais est-ce toujours le cas ?

Les défis à relever sont particulièrement nombreux pour être « cyber-ready » et assurer la cyber résilience d’une organisation. Le risque 0 n’existe certes pas, mais il convient  d’apprendre et de comprendre la multiplication et les différents types de cyber-menaces ainsi que les nouveaux périmètres à considérer, pour assurer une protection optimale et maximale des informations.

Cybersécurité, Entreprise, Hacking, Logiciels, Particuliers, Piratage, Virus

Astuces pour protéger les données de votre entreprise

Soyez attentifs ! Quelques astuces pour garder les données de votre entreprise à l’abri de l’intérêt de personnes mal intentionnées. Par Wieland Alge, pour Data Security Breach, Vice président Europe – Barracuda Networks.

Pour les informations importantes, n’utilisez que des sources que vous savez être sûres. De manière générale, ne faites pas confiance à un tiers si vous n’avez pas été l’auteur du premier contact. Si votre banque vous téléphone et vous demande des informations spécifiques, évitez de les donner. À la place, il vaut mieux que vous contactiez vous-même votre banque en utilisant les numéros de contact que vous savez être sûrs. Ils sont généralement inscrits au dos de votre carte bancaire ou sur le site internet de votre banque.

Ayez le même réflexe avec vos emails.

Au lieu d’utiliser les URL contenues dans vos emails pour vous assurer qu’elles renvoient bien aux bonnes adresses, il est préférable de ne pas cliquer sur ces liens, car il est toujours possible de tomber dans un piège. Les emails provenant de Paypal ou d’organismes similaires doivent être ignorés. À la place, rendez-vous sur le site internet de l’organisme en question en tapant manuellement l’URL dans votre navigateur, puis connectez-vous à votre compte. S’il y a réellement quelque chose que vous devez savoir, cela sera très clairement indiqué après votre connexion.

Mettez au point une technique d’interrogatoire.

La mise en place de ce genre de technique au sein d’une entreprise est contre nature et peut demander des efforts, mais elle permet également de stopper une grande partie des attaques et de résoudre certains problèmes organisationnels. Il faut régulièrement demander à tous les employés, nouveaux comme anciens, de présenter un badge lorsqu’ils souhaitent accéder à une zone sensible ou à des données importantes. Ils doivent savoir qu’ils sont responsables de leur badge et de l’utilisation qu’ils en font. Cette technique permet également de stopper les employés qui s’accordent plus de permissions sans y être autorisés. Félicitez publiquement ceux qui signalent les problèmes éventuels et qui prennent des mesures pour les corriger, et récompensez-les si possible.

Gardez des rapports d’entrée et de sortie pour les zones sensibles.

Assurez-vous que les employés comprennent que ce n’est pas parce qu’une personne est haut placée dans la hiérarchie de l’entreprise qu’elle peut transgresser les règles.

Méfiez-vous de ceux qui s’intéressent trop à votre entreprise.

si vous les avez rencontrés dans le bar ou le café du coin : ce ne sont probablement que des commerciaux, mais il pourrait aussi s’agir d’escrocs. Vous ne perdrez généralement pas grand-chose à éviter ces deux types de personnes.

Ayez conscience que la technologie et la nature humaine ont leurs limites.

Malheureusement, les configurations techniques en matière de sécurité ont toujours des limites. Une fois que vous l’aurez compris, cela pourra vous aider à prévenir les attaques. Dans le meilleur des cas, les paramètres ne sont juste pas assez suffisants, et même avec des programmes adéquats et des contrôles d’accès, la sécurité est à la merci de l’utilisateur : intermédiaire à la fois le plus fort et le plus faible.

Quelques conseils de Datasecuritybreach.fr pour les entreprises afin d’éviter les vols de données sur les différents réseaux de communication :

Téléphone :

1.   Ne donnez jamais à personne vos mots de passe de sécurité.

2.   Ne divulguez jamais les informations sensibles de votre entreprise, à moins que ce ne soit à une personne que vous connaissez dans la vraie vie et qu’il ou elle ait une autorisation. Même pour les appels des personnes qui déclarent vouloir joindre le patron de votre entreprise, il vous faut vérifier l’identité de l’appelant avec les protocoles de sécurité de l’entreprise.

3.   Donnez l’alerte si vous entendez un de vos collègues transgresser les règles précédentes.

Internet :

4.   Soyez toujours prudents avec les URL des pages internet et des emails. Avant de cliquer sur un lien, passez votre souris dessus pour vous assurer qu’il renvoie à la bonne adresse, ou tapez l’URL manuellement dans votre navigateur.

5.   Soyez vigilants face aux emails inhabituels dans votre boite de réception. Si vous y répondez, revérifiez le contenu de votre email et de votre liste de destinataires CC.

En personne :

6.   Demandez toujours aux employés de présenter leur badge d’identité lorsqu’ils entrent sur le lieu de travail.

7.   Utilisez des badges d’identité temporaires pour les visiteurs, les amis, le personnel de service et de distribution ; et raccompagnez-les à chaque fois.

8.   Formez vos employés afin qu’ils aient les connaissances appropriées en matière de sécurité, et plus particulièrement ceux qui sont les cibles les plus faciles à atteindre comme le personnel de l’accueil, du service client ou du service commercial.

Cybersécurité, Entreprise, Particuliers

Rentabiliweb atteint le plus haut degre de securite en matiere de transactions bancaires

Be2bill, solution spécialisée dans le paiement en ligne éditée par Rentabiliweb Europe, est le premier établissement acquéreur en France à être certifié « Merchant Agent » et la troisième société française à se voir délivrer cette certification de tiers de confiance par VISA, premier réseau mondial. En effet, les réseaux bancaires imposent désormais aux commerçants, pour continuer à garantir leurs transactions, de travailler exclusivement avec des opérateurs agréés comme Be2bill.

Par ailleurs, Rentabiliweb Europe annonce le renouvellement et l’extension de sa certification PCI DSS (Payment Card Industry Data Security Standard) au niveau 1 Service Provider, soit le plus haut niveau d’exigence en matière de sécurité informatique sur le traitement des données bancaires. Largement répandu dans les pays anglo-saxons et de plus en plus en France, le standard PCI DSS est avant tout une mesure de protection des données bancaires pour tous les sites marchands et fournisseurs de solutions de paiement qui traitent, transportent et stockent des données de cartes bancaires.

Etre conforme au standard PCI DSS, ou passer par un prestataire de services de paiement (PSP) certifié, affranchit le marchand de sa responsabilité sur le traitement des données bancaires, notamment en cas de point de compromission (POC) avéré. Dans un environnement PCI DSS, le marchand ne risque plus de subir les pénalités, souvent très lourdes, de la part des réseaux interbancaires (VISA, Mastercard, GCB).

Obtenir la certification PCI DSS est un processus lourd, contraignant et chronophage pour les commerçants. Grâce à la solution de paiement Be2bill, les marchands confient la sécurisation de leurs transactions à un tiers de confiance certifié au plus haut niveau. Be2bill gère en effet 100% du processus de traitement des données bancaires, en assume l’entière responsabilité et permet à ses clients de se consacrer entièrement au développement de leur activité.

En tant que PCI DSS service provider niveau 1, Rentabiliweb Europe se soumet à un audit de conformité rigoureux effectué par un organisme indépendant et reconnu, le Qualified Security Assessor (QSA). Rentabiliweb s’appuie sur une référence française en matière d’audit de sécurité informatique : Hervé Schauer Consultants. Les audits de contrôle seront trimestriels et porteront sur la fiabilité du réseau, l’analyse des règles de configuration, l’absence de failles de sécurité, etc. Ils seront réalisés par un Approved Scanning Vendors : Qualys.

L’extension du certificat PCI DSS au plus haut niveau de sécurité, au-delà des bénéfices qu’elle apporte au groupe et à ses clients, est une étape indispensable pour Rentabiliweb dans la préparation de son dossier d’établissement de crédit. « Depuis 10 ans nous travaillons non seulement à la mise en conformité, mais également à la définition de nouveaux standards de sécurisation des datas. La certification PCI DSS, qui a porté sur 12 exigences et plus de 120 points de contrôle, récompense les investissements humains et techniques que nous avons massivement déployés au cours des 20 derniers mois précise à datasecuritybreach.fr Romain Pera, Directeur technique de Rentabiliweb Europe. « Je m’étais engagé à amener le groupe Rentabiliweb au plus niveau technique en termes de traitement de données sensibles, afin de servir nos clients e-commerçants les plus exigeants. C’est chose faite.» indique à Data Security Breach Jean-Baptiste Descroix-Vernier, président du groupe Rentabiliweb.

*La norme PCI DSS est prescrite par les principaux fournisseurs de cartes de paiement. Elle détermine les règles et processus à respecter par les entreprises qui traitent, transportent et stockent des données de cartes bancaires.

Cybersécurité, Entreprise, Particuliers

Aux calendes grecques la protection des données

Après les Commission du Marché intérieur et de l’Industrie, c’était au tour de la Commission des Affaires juridiques de se prononcer sur la proposition de la Commission européenne. En adoptant aujourd’hui l’avis Gallo (14 voix pour, 6 contre, 1 abstention), la Commission des Affaires juridiques a vidé encore un peu plus de son contenu la proposition de la Commission européenne visant à renforcer la protection des données personnelles. L’eurodéputée socialiste Françoise Castex dénonce, auprès de Datasecuritybreach.fr, le compromis de l’UDI Marielle Gallo avec les ultralibéraux: « le résultat de cette alliance est déplorable pour le consommateur et fait le jeu des géants Google et autres Facebook. Marielle Gallo, qui se prétend depuis des années le héraut de l’identité culturelle française, a sacrifié les données personnelles des citoyens européens sur l’autel des multinationales américaines (…) Comment peut-on être arc-bouté sur les droits de propriété intellectuelle et être aussi hermétique au droit à disposer de ses données personnelles ? Mme Gallo n’aime décidemment pas les internautes!« , ironise-t-elle.

Pour le Vice-présidente de la Commission des Affaires juridiques: « Nous devons renforcer les droits des citoyens si nous voulons restaurer leur confiance dans les entreprises sur internet. La droite, qui avait soutenu la résolution du Parlement du 6 juillet 2011 sur le renforcement de la protection des données, à cédé aux sirènes des lobbyistes et fait marche arrière! Force est de constater qu’elle n’a pas eu le courage d’imposer les règles claires et protectrices qu’elle appelait de ses vœux il y a à peine deux ans. C’est déplorable!« 

Pour l’eurodéputée socialiste, « Nous devons exiger un consentement explicite, préalable et informé de l’utilisateur pour chaque acte de collecte, de traitement ou de vente de ses données. Il nous faut par ailleurs protéger les citoyens de toute forme de discrimination résultant des mesures de profilage en encadrant strictement ce dernier. Pour ce faire, nous devons sanctionner lourdement les entreprises dans les cas d’abus et les mettre devant leurs responsabilités en cas de négligences conduisant à la fuite de données personnelles. » Avant de conclure: « Garder la maîtrise de ses données personnelles doit être un droit fondamental. »

Cybersécurité, Entreprise, Piratage

Bouleversements sécuritaires en 2013 ?

L’Internet que nous connaissons existera-t-il encore dans quelques années ? Est-ce un bouleversement sur « Qui contrôle Internet » ? La découverte d’une nouvelle épidémie de malware Mac ? Une attaque de type DDoS des Smart TV? Peu importe ce que nous réserve 2013, il est certain que ce sera une année charnière. Voici ce que le F-Secure Labs prévoit à DataSecurityBreach.fr pour l’année à venir.

1.       Et si c’était la fin d’Internet tel que nous le connaissons ? « Selon les échanges survenus lors de la World Conference on International Telecommunications (qui a eu lieu en décembre à Dubaï), 2013 devrait être une année riche en évènements », déclare Sean Sullivan, Security Advisor chez F-Secure Labs à Data Security Breach. Cette conférence pourrait avoir un impact majeur sur Internet tel que nous le connaissons aujourd’hui: « Internet pourrait se morceler en une série de petits Internets », avance Sean Sullivan. « Il est aussi possible qu’Internet devienne un espace financé par des grands groupes de fournisseurs de contenus, tels que Facebook, Google ou Youtube. Et que ceux-ci imposeraient des taxes aux internautes souhaitant accéder aux informations qu’ils proposent. »

Le WCIT (World Congress on Information Technology) est une conférence organisée par l’International Telecommunication Union (ITU) pour finaliser le traité des « International Telecommunications Regulations ». Parmi les participants, on trouve des représentants des gouvernements de tous les pays, dont de nombreux opposants à une utilisation libre d’Internet. Il s’agit notamment de régimes gouvernementaux qui aimeraient reprendre le contrôle d’Internet, actuellement aux mains des « geeks », explique Sean Sullivan à DataSecurityBreach.fr. De nouvelles mesures ont même déjà été proposées, avançant des raisons de sécurité. Toutefois, les défenseurs de la vie privée estiment que ces mesures entraineraient la fin de l’anonymat sur Internet.

2.       Des fuites nous révèleront une augmentation des outils d’espionnage financés par les gouvernements « Il est clair que depuis les dernières fuites liées à Stuxnet, Flame et Gauss, la course aux cyber-armement est belle et bien lancée », déclare Mikko Hypponen, Chief Research Officer. Même si nous ne serons pas toujours au courant des cyber-opérations lancées par des états-nations, nous pouvons nous attendre à ce que ces activités soient de plus en plus utilisées par les gouvernements. En 2013, il est fort probable de voir une augmentation de telles fuites, y compris en provenance de pays qui n’ont jamais été à l’origine d’attaques à ce jour. Avec le lancement d’une véritable course à l’armement, les fuites ne cesseront d’augmenter.

3.       L‘utilisation des malware mobile se démocratisera Android s’est développé comme aucun autre système d’exploitation par le passé, passant des smartphones aux tablettes puis aux Smart TV. Et plus un système d’exploitation se généralise, « plus il est facile de créer des malware performants, et plus il y aura d’opportunités pour les criminels de mettre en place des activités lucratives » déclare à Data Security Breach Sean Sullivan. Les malware ciblant les mobiles seront facile d’accès, grâce à des kits d’outils créés et vendus par des cybercriminels spécialistes du hack à d’autres criminels, non experts. En quelques sortes, des « malware-as-a-service », pour Android.

4.       Une autre épidémie de malware frappera l’univers du Mac Le scareware appelé Mac Defender fut propagé en 2011 ; En 2012, Flashback profita des failles de Java. Pour 2013, le Labs prévoit la découverte d’une autre épidémie de malware Mac qui devrait faire des ravages au sein de la communauté Mac. « L’auteur du Cheval de Troie FlashBack est toujours en fuite. Il paraîtrait même qu’il serait en train de travailler sur une nouvelle offensive» estime Sean Sullivan à Data Security Breach . « Malgré les améliorations en sécurité apportées à Mac OS, une partie des utilisateurs Mac continue de rester inconsciente des risques encourus, ce qui les rend vulnérables face aux nouveaux malware. »

5.       Les Smart TV deviendront une nouvelle cible pour les hackers Les Smart TV sont connectées à Internet. Elles sont très puissantes mais ne sont généralement pas sécurisées… et deviennent donc vulnérables aux attaques. Elles sont d’autant plus vulnérables que, contrairement aux ordinateurs, elles sont souvent connectées à Internet sans le nécessaire pour empêcher le trafic indésirable. Par ailleurs, les consommateurs oublient souvent de changer le nom d’utilisateur et le mot de passe par défaut, ce qui facilite l’accès aux hackers. « C’est très facile pour les hackers de rechercher et trouver les Smart TV sur Internet, » dit à Datasecuritybreach.fr Sean Sullivan. « Une fois trouvées, ils n’ont plus qu’à utiliser le nom d’utilisateur par défaut et le mot de passe de la TV en question, et le tour est joué. » En 2012, une famille de malware, LighAidra, a infecté des décodeurs. En 2013, les Smart TV pourraient être utilisées pour des fraudes utilisant les clicks (le Bitcoin mining) ou encore des attaques de type DDoS.

6.       Les logiciels espions pour mobiles seront de plus en plus nombreux 2013 sera l’année des logiciels de tracking, dont la côte qui monte en flèche. Ces derniers seront utilisés pour des raisons autres que celle du contrôle parental. Il y a eu une nette croissance du nombre d’applications de sécurité pour les enfants, permettant de surveiller les activités et comportements de ces derniers sur la toile, et notamment sur Facebook. « Il apparait évident que ce type de logiciel peut également être utilisé pour espionner n’importe qui, et pas seulement les enfants » déclare Sean Sullivan à Data Security Breach. «Plus l’utilisation du smartphone sera répandue, plus les gens chercheront  ce type de logiciels,  par exemple pour savoir ce que deviennent leurs ex ! ».

Cybersécurité, Entreprise, Hacking, Logiciels, Piratage, Virus

La NSA recrute ses tueurs numériques

Un commentaire

La NSA recrute ses tueurs numériques La NSA recrute son armée numérique. Pendant ce temps, un hacktivistes passe par son espace privée dédié à l’emploi. « Notre pays est entré dans une ère nouvelle qui apporte de profonds changements » explique l’espace emploi de la NSA. Un espace publique qui annonce que la National Security Agency lance une série de recrutements de personnel qui sera intégré aux opérations de réseau informatique (CNO). « Cette mission très importante est composé de trois grandes parties: le réseau de défense, d’attaque de réseau, et de l’exploitation des réseaux informatiques. Afin de s’acquitter de ses missions, la NSA est à la recherche de personnes qui sont hautement qualifiées et passionnées pour gagner la guerre dans le cyberespace. »

Bon, ne courez pas proposer votre CV. La NSA ne recrute que de l’américain pur souche. Toujours est-il que les emplois sont « variés » demandant « une bonne connaissance des techniques de pénétration du réseau » (…) « Si vous avez l’habitude visiter les sites Web de sécurité de réseau, assister à des conférences, ou de maintenir votre propre réseau, nous aimerions vous parler ! » Comme le montre la capture écran de cet article, des postes partout aux USA, des employés pour le « computer Network Operation » ; des chercheurs informatiques ; descodeurs/programmeurs … et des pirates informatiques. Comme nous vous l’avons entouré, le poste « Intrusion Analyst Skill Developpement program ». du Ethical Hacking à la sauce « Homme en noir ».

A noter, d’ailleurs, que lors du Defcon 20 de Las vegas, un concours renvoyait les vainqueurs du « Capture the flag » sur un espace numérique du site NSA.GOV dédié : www.nsa.gov/careers/dc20/. A première vue, un poste qui n’a pas encore trouvé preneur. L’hacktiviste Sl1nk (En interview dans l’émission de janvier de zatazweb.tv) a réussi à s’inviter dans l’espace emploi du site officiel de la NSA. Une visite qui lui a permis de se créer un compte « utilisateur ». Nous vous laissons imaginer la suite !

Pendant ce temps, les grandes banques américaines se sont tournés vers la National Security Agency pour demander de l’aide à la suite de plusieurs attaques informatiques lancées durant les fêtes de fin d’année. Les banques ont demandé à la NSA de protéger leurs systèmes informatiques. Autant dire que l’idée est intéressante. Demander au plus gros espion de la planète de sécuriser des banques. vous commencez à sentir le souffle chaud de big brother dans sa belle chemise de « protection » contre les DDoS. Les attaques sur les sites bancaires, qui ont commencé il y a un an, et qui se sont intensifiées en Septembre, auraient connu une nouvelle sophistication inquiétante. La NSA, la plus grande agence mondiale d’espionnage électronique, a été priée de fournir une assistance technique pour aider les pauvres banquiers. En gros, entre les connexions pirates, mais aussi les légitimes, et les banques, il y aurait donc dorénavant les grandes oreilles de l’Oncle Sam. La NSA a refusé de commenter, sauf une déclaration lapidaire, une aide « en pleine conformité avec toutes les lois et réglementations applicables. ». Fermé le ban !