Archives de catégorie : Entreprise

Actualités liées à la sécurité informatique des entreprises, PME, PMI, TPE, association, communes.

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, ID, Identité numérique, Particuliers, RGPD, santé, Securite informatique

Un laboratoire de radiologie perd les dossiers médicaux de 9 300 personnes

Laboratoire, perdu, HD ! Que deviennent les données stockées par les professionnels de santé ? Pour le Charles River Medical Associates, sur un disque dur portable perdu. 9.300 dossiers médicaux dans la nature !

Le Charles River Medical Associates est un laboratoire de radiologie américain. Il vient d’avouer (la loi américaine l’impose, NDR) avoir perdu un disque dur contenant 9.387 dossiers médicaux. Des sauvegardes d’informations personnelles et des images radiographiques. Des données de tous ceux qui ont subi une scintigraphie osseuse au depuis 2010. Huit ans d’informations privées, sensibles, sans protection, ni chiffrement.

Le laboratoire a envoyé un courriel, comme va l’imposer le RGPD en France dès le 28 mai 2018, aux patients impactés. Le disque dur « perdu » contient les noms, les dates de naissance, les numéros d’identification des patients et les images de scintigraphie osseuse.

Le groupe de santé a découvert cette disparition en novembre 2017. Il aura attendu trois mois pour alerter les patients ! Le groupe était tenu de signaler cette violation de la vie privée au Département américain de la santé et des services sociaux, ainsi qu’aux médias locaux.

Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Justice, loi, RGPD, Securite informatique

100.000€ d’amende pour Darty à la suite d’une fuite de données via un prestataire

Prestataire de services et fuite de données ! La CNIL condamne à 100.000€ d’amende l’enseigne de magasins spécialisés dans la vente d’électroménager, de matériels informatiques et audiovisuels à la suite de la découverte d’une fuite de données clients via un prestataire de services.

Avez-vous pensé à votre prestataire de services ? La Commission Informatique et des Libertés à, ce 8 janvier 2018, délibéré sur une nouvelle affaire de fuites de données révélée par le  protocole d’alerte du blog ZATAZ. Le lanceur d’alerte avait constaté une fuite de données visant les clients de l’entreprise française de magasins spécialisés Darty. Le courriel envoyé aux clients étant passés par le Service Après-Vente « web » de l’enseigne contenait un url qui pouvait être modifié. Il suffisait de changer le numéro de dossier dans l’adresse web proposé dans le courrier pour accèder aux informations des autres clients. « La brèche concernait le système de gestion des messages envoyés par les clients au Service après-vente » explique ZATAZ. Des milliers de messages étaient accessibles. Plus de 900.000 selon le lanceur d’alerte. Heureusement, aucunes données bancaires. Ils étaient accessibles les adresses mails, les numéros de téléphone, les noms, prénoms. De quoi créer des phishings ciblés ! La Commission Informatique et des Libertés condamné DARTY pour « négligence dans le suivi des actions de son sous-traitant, ce qui a permis l’accessibilité de données à caractère personnel variées et directement identifiantes se rapportant à de nombreux clients« . Le Règlement Général sur la Protection des Données, le RGPD, sera officiellement en action dès le 25 mai 2018. Voilà un signal fort sur le fait que les entreprises. Contrôlez aussi vos partenaires.

Argent, backdoor, Base de données, Cybersécurité, Entreprise, Espionnae, Fuite de données, ID, Justice, Logiciels, Microsoft, Mise à jour, Particuliers, Patch, Securite informatique

Jugement de la FTC : Lenovo doit demander l’accord de ses clients pour les espionner

La Federal Trade Commission, la FTC, a donné son accord final à un règlement avec Lenovo Inc. Le constructeur d’ordinateurs avait été accusé de modifier les navigateurs. Des logiciels installés dans ses machines afin d’engranger les bénéficies des publicités qui s’y affichaient.

Dans sa plainte, la Federal Trade Commission ( FTC – Commission fédérale du commerce ) a déclaré qu’à partir d’août 2014, Lenovo a commencé à vendre aux États-Unis des ordinateurs portables grand public équipés d’un logiciel de publicité préinstallé. Appelé VisualDiscovery, cet outil interférait avec la façon dont le navigateur interagissait avec les sites Web. Il affichait de la publicité au profit de Lenovo. A cela s’est ajoutait de graves failles de sécurité. Dans le cadre du règlement avec la FTC, Lenovo à interdiction de modifier les fonctionnalités des logiciels préchargés sur ses ordinateurs portables.

Il est interdit à la marque d’injecter de la publicité dans les sessions de navigation Internet des consommateurs. Ensuite, interdit aussi de transmettre des informations sensibles des consommateurs à des tiers. Si la société préinstallé ce type de logiciel, la FTC exige que l’entreprise obtienne le consentement des consommateurs avant que le logiciel puisse fonctionner sur leurs ordinateurs portables. En outre, la société est tenue de mettre en œuvre un programme complet de sécurité. Sécurisation pour la plupart des logiciels grand public préchargés sur ses portables. Et cela durant les 20 prochaines années ! Enfin, ce programme de sécurité fera également l’objet d’audits par des tiers.

Pour conclure, VisualDiscovery est un adware développé par la société américaine Superfish, Inc. VisualDiscovery diffuse des annonces sous forme de pop-up dès qu’un internaute passait sa souris sur une image d’un produit vendu dans une boutique numérique.

backdoor, Base de données, Chiffrement, cryptomonnaie, Cybersécurité, Entreprise, ransomware, Securite informatique

26 % des attaques de ransomwares auraient ciblées les entreprises en 2017

En 2017, 26,2 % des cibles du ransomware étaient des entreprises, contre 22,6 % en 2016. Cette augmentation est due en partie à trois attaques sans précédent contre des réseaux d’entreprise. Ces derniers, WannaCry, ExPetr, et BadRabbit, ont bouleversé à jamais le paysage autour de cette menace, de plus en plus virulente.

2017 marque l’année de l’évolution inattendue et spectaculaire de la menace du ransomware, avec des acteurs malveillants avancés. Ils ciblent des entreprises dans le monde entier au moyen de séries d’attaques destructives à base de vers autonomes, dont l’objectif ultime demeure un mystère. Les derniers en date, WannaCry le 12 mai, ExPetr le 27 juin et BadRabbit fin octobre. Toutes ont exploité des vulnérabilités afin d’infecter les réseaux des entreprises. Ces attaques ont également été visées par d’autres ransomwares. Kaspersky Lab a d’ailleurs bloqué des infections de ce type dans plus de 240 000 entreprises au total.

Globalement, un peu moins de 950 000 utilisateurs distincts ont été attaqués en 2017, contre environ 1,5 million en 2016, la différence s’expliquant dans une large mesure par la méthode de détection (par exemple, les downloaders souvent associés au cryptomalware sont désormais mieux détectés par les technologies heuristiques, par conséquent ils ne sont plus classés avec les verdicts de ransomware collectés par nos systèmes de télémétrie).

Ransomwares, un danger qui plane

Les trois principales attaques, ainsi que d’autres moins médiatisées, notamment AES-NI et Uiwix, ont exploité des vulnérabilités complexes ayant fuité en ligne au printemps 2017 à l’initiative du groupe Shadow Brokers. Le nombre de nouvelles familles de ransomware est en net recul (38 en 2017, contre 62 en 2016), contrebalancé par un accroissement des variantes de ransomwares existants (plus de 96 000 nouvelles versions détectées en 2017, contre 54 000 en 2016). Cette multiplication des modifications reflète peut-être les tentatives des auteurs d’attaques de masquer leur ransomware tandis que les solutions de sécurité deviennent plus performantes dans leur détection.

À partir du deuxième trimestre de 2017, un certain nombre de groupes ont mis fin à leurs activités dans le domaine du ransomware et ont publié les clés nécessaires de décryptage des fichiers. Il s’agit d’AES-NI, xdata, Petea / Mischa / GoldenEye et Crysis. Crysis est réapparu par la suite, peut-être ressuscité par un autre groupe. La tendance croissante à l’infection des entreprises par des systèmes de bureau distant s’est poursuivie en 2017, cette méthode de propagation étant devenue la plus courante pour plusieurs familles répandues, telles que Crysis, Purgen / GlobeImposter et Cryakl.

65 % des entreprises frappées par un ransomware en 2017 indiquent avoir perdu l’accès à une grande quantité voire à la totalité de leurs données. Une sur six parmi celles qui ont payé une rançon n’a jamais récupéré ses données. Ces chiffres n’ont pratiquement pas varié par rapport à 2016. Fort heureusement, l’initiative No More Ransom, lancée en juillet 2016, connaît un grand succès. Ce projet réunit des forces de police et des acteurs du secteur de la sécurité pour pister et démanteler les principales familles de ransomware, afin d’aider les particuliers à récupérer leurs données et de saper l’activité lucrative des criminels.

Communiqué de presse, RGPD, Securite informatique

Projet de loi relatif à la protection des données personnelles

La garde des Sceaux, ministre de la justice, Nicole Belloubet a présenté aujourd’hui le projet de loi relatif à la protection des données personnelles qui adapte au droit de l’Union européenne la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Ce projet de loi est le fruit d’un travail étroit avec le Secrétaire d’État au numérique, Mounir Mahjoubi. Il transpose le nouveau cadre juridique européen (le règlement 2016/679 et la directive 2016/680), qui entrera en vigueur en mai prochain. Il comporte plusieurs avancées majeures.

D’une part, il crée un cadre unifié et protecteur pour les données personnelles des Européens, applicable à l’ensemble des entreprises et de leurs sous-traitants, quelle que soit leur implantation, dès lors que ceux-ci offrent des biens et services à des personnes résidant sur le territoire de l’Union européenne. Il instaure également de nouveaux droits pour les citoyens, en particulier un droit à la portabilité des données personnelles. Ce cadre juridique sécurisé permettra ainsi de renforcer la confiance des citoyens dans l’utilisation qui est faite de leurs données personnelles.

D’autre part, conformément à la volonté du Gouvernement de simplifier les normes et d’éviter la sur transposition des textes européens, ce projet de loi simplifie les règles auxquelles sont soumis les acteurs économiques tout en maintenant un haut niveau de protection pour les citoyens. Il remplace ainsi le système de contrôle a priori, basé sur les régimes de déclaration et d’autorisation préalables, par un système de contrôle a posteriori, fondé sur l’appréciation par le responsable de traitement des risques causés par son traitement. En responsabilisant les acteurs, il consacre également de nouvelles modalités de régulation et d’accompagnement des acteurs, au travers d’outils de droit souple. En contrepartie, les pouvoirs de la CNIL sont renforcés, et les sanctions encourues sont considérablement augmentées et portées jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial consolidé.

La protection des données personnelles

Le Gouvernement a toutefois fait le choix de maintenir certaines formalités préalables pour les traitements des données les plus sensibles, par exemple pour les données biométriques nécessaires à l’identification ou au contrôle de l’identité des personnes, ou ceux utilisant le numéro d’inscription au répertoire national d’identification des personnes physiques.

Les mineurs de moins de 16 ans seront également mieux protégés. Le consentement des titulaires de l’autorité parentale sera nécessaire pour que leurs données personnelles soient traitées par les services de la société de l’information, tels que les réseaux sociaux.

S’agissant des traitements de données à caractère personnel en matière pénale, le projet de loi renforce les droits des personnes en créant un droit à l’information et en prévoyant l’exercice direct de certains droits tels que les droits d’accès, de rectification et d’effacement des données. Il introduit également des règles encadrant les transferts de données à des Etats tiers.

Le Gouvernement a enfin fait le choix de conserver, dans un souci d’intelligibilité, l’architecture de la loi « informatique et libertés ». Les modifications apportées à notre droit par ce projet de loi seront codifiées, par voie d’ordonnance, dans la loi fondatrice de 1978 afin d’offrir un cadre juridique lisible à chaque citoyen et acteur économique.

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, RGPD, Sauvegarde, Securite informatique

Plus d’une entreprise française sur cinq ne sera pas en conformité avec la réglementation RGPD en mai 2018

Alors que 78% des entreprises françaises redoutent un vol de données dans l’année à venir, une étude révèle un manque de préparation général à 6 mois de l’entrée en vigueur de la réglementation RGPD.

La société Proofpoint, entreprise spécialisée dans la cybersécurité, indique que les entreprises ne seront pas prêtes pour mai 2018 et la mise en place du Règlement Général sur la Protection des Données (RGPD). Une étude paneuropéenne (Royaume-Uni, France, Allemagne) a analysé le niveau de préparation des entreprises en prévision de l’entrée en vigueur du nouveau règlement. Et il n’est pas bon !

Commanditée par Proofpoint et intitulée « RGPD : entre perception et réalité », cette étude révèle un décalage évident entre perception et réalité en ce qui concerne le niveau de préparation des entreprises par rapport au nouveau règlement RGPD. Alors que 44% des entreprises européennes pensent qu’elles sont déjà en conformité avec la réglementation et que 30% pensent qu’elles le seront au moment de son entrée en vigueur, seules 5% auraient effectivement mis en place toutes les stratégies de gestion de données nécessaires pour garantir cette mise en conformité.

Vol de données : la nouvelle norme

Les cyberattaques sont malheureusement devenues monnaie courante pour les entreprises qui doivent désormais intégrer pleinement les risques associés à leurs stratégies de sécurité pour se protéger. A l’image du piratage d’Equifax exposant les données personnelles de plus de 145 millions de citoyens américains ou du ransomware Wannacry ayant affecté plus de 200,000 ordinateurs dans 150 pays, tout le monde est concerné.

La France, semble particulièrement affectée, avec 61% des entreprises françaises qui déclarent avoir subi un vol de données personnelles durant les deux années écoulées (54% au Royaume Uni et 56% en Allemagne) et 78% d’entre elles qui redoutent un vol de données dans les 12 mois à venir (54% au Royaume-Uni et 46% en Allemagne).

Niveau de préparation RGPD : un décalage évident entre perception et réalité

Si les décideurs IT français semblent mieux préparés que leurs voisins (51% des répondants français pensent que leur organisation est déjà en conformité avec la réglementation RGPD, contre 45% au Royaume-Uni et 35% en Allemagne), l’étude révèle que plus d’une entreprise française sur cinq (22%) ne sera toujours pas en conformité avec la réglementation lors de son entrée en vigueur en mai 2018 (23% au Royaume-Uni et 34% en Allemagne). Un résultat finalement peu surprenant, considérant que seules 5% des entreprises auraient effectivement mis en place toutes les stratégies de gestion de données nécessaires pour garantir cette mise en conformité.

Les décideurs IT semblent pourtant conscients des enjeux, puisque 66% des répondants confient que leur budget a augmenté en prévision de l’entrée en vigueur de RGPD. Plus de sept entreprises sur dix en Europe ont par ailleurs monté des équipes projet dédiées RGPD et plus d’une sur quatre a désigné un responsable de la protection des données. A l’épreuve des faits, et alors que les entreprises avaient deux ans pour se préparer (adoption de la réglementation en avril 2016), seuls 40% des répondants révèlent que leur organisation a rempli un formulaire de mise en conformité RGPD.

Des méthodes de préparation différentes

Le règlement RGPD n’imposant pas de processus standard et uniforme pour se mettre en conformité, l’étude révèle des disparités en ce qui concerne les méthodes de préparation et la mise en œuvre de technologies en ligne avec la réglementation. Par exemple, 58% des décideurs IT français (56% au Royaume-Uni et 47% en Allemagne) confient avoir déjà mis en place des programmes internes de sensibilisation sur la protection des données, 49% ont défini des niveaux d’accès utilisateurs pour les systèmes de traitement des données (44% au Royaume-Uni et 34% en Allemagne), et 44% ont déjà des technologies de cryptage des données en place (46% au Royaume-Uni et 25% en Allemagne).

En outre, seule une entreprise française sur deux (55%) semble avoir déjà identifié quelles données personnelles sont en sa possession et comment elles sont traitées (contre 50% au Royaume-Uni et 42% en Allemagne). Ce résultat semble démontrer que même si certaines entreprises mettent en place des stratégies et reconnaissent l’importance de se mettre en conformité avec la RGPD, un nombre significatif d’organisations courent toujours le risque de ne pas savoir où seront leurs données à l’entrée en vigueur de la réglementation.

Conséquences de la non-conformité

Au vu de la complexité de la réglementation RGPD, de nombreuses entreprises envisageraient de se contenter de limiter leur exposition au risque plutôt que de viser une pleine conformité. Pourtant, cette non-conformité pourrait coûter cher aux entreprises. Les amendes prévues peuvent atteindre jusqu’à quatre pour cent du chiffre d’affaires annuel ou 20 millions d’euros. Au-delà des amendes, la non-conformité représente également un risque important de perte de confiance des clients et de perte de revenus.

Certaines entreprises envisagent déjà les risques associés à la non-conformité, puisque 36% des décideurs IT français (48% au Royaume-Uni et 47% en Allemagne) déclarent que leur entreprise est financièrement préparée à couvrir les amendes. D’autres prévoient plutôt un transfert de risque, avec 22% des répondants français révélant que leur entreprise est couverte par une cyber assurance en cas d’attaque informatique (24% au Royaume-Uni et 27% en Allemagne).

« Un vent d’optimisme semble souffler dans les entreprises puisque qu’il existe un décalage notable entre perception et réalité en matière de préparation à la réglementation RGPD », explique Vincent Merlin, Directeur Marketing EMEA et APJ chez Proofpoint. « A moins de 6 mois de l’entrée en vigueur du nouveau règlement, il devient pourtant urgent d’investir dans des solutions permettant de savoir précisément où sont les données, de mettre en place les contrôle de sécurité nécessaires et de surveiller et réagir à toute tentative de vol de données ».

Argent, Bitcoin, Chiffrement, cryptage, cryptomonnaie, Cybersécurité, Entreprise, Particuliers, Securite informatique

Cryptomonnaie : le bon, la brute et le truand

Un commentaire

Alors que le Bitcoin s’envole vers des taux records, les crypto-monnaies deviennent des enjeux sociétaux, bien plus que la plupart des gens pourraient s’imaginer.

Avec leur augmentation en nombre et en valeur, ainsi que leur adoption croissante par les marchés financiers, les cryptomonnaies vont devenir de véritables cibles, et voir ainsi le nombre d’outils et techniques avancés, créateurs de profit pour les cybercriminels, croître.

Parallèlement, ces cryptomonnaies deviennent également des cibles de choix pour les pirates. Elles ont ouvert de nouvelles manières de monétiser les activités malveillantes. « 2018 devrait ainsi être l’année des mineurs-web malveillants » souligne Kaspersky. Les attaques de ransomware vont continuer à forcer les gens à acheter de la crypto-monnaie, et ce, à cause de son marché non-régulé et quasi anonyme. On s’attend aussi à une croissance des attaques ciblées sur les entreprises, ayant vocation à installer des mineurs dans les machines. Déjà de nombreuses alertes montrent l’utilisation de ce genre d’attaque ou d’infiltration. Un web-mining qui pourrait remplacer la publicité, souligne l’éditeur.

Une planche à billets made un Thaïlande

Pour fabriquer la cryptomonnaie, certains n’hésitent pas à créer des « planches à billets » numériques de taille industrielle. Bref, ils fabriquent de l’argent avec du vent. De la crypto-monnaie fabriquée par de la puissance machine. C’est comme si la Banque de France tapait, toute les minutes, sur une calculatrice pour créer 1 centime. La valeur apparait après la création orchestrée par la carte graphique de la calculatrice. Une monnaie immatérielle, hors autorité centrale, comme la Banque de France justement.

39 000 dollars de courant par jour !

Pour fabriquer leurs monnaie technologique, les « mineurs » installent des dizaines de machines qui « minent », qui génèrent de la crypto-monnaie. ZATAZ a mis la main sur l’une de ces « mines ». Dans notre cas, une « ferme » basée en Thaïlande. Data Security Breach a accès à un serveur mal sécurisé qui gère la température, la vitesse, les ip … d’une cinquantaine de machines employées dans cette création de cryptomonnaie. Dans ce cas, du Bitcoin. Autant dire que l’intérêt est grande de produire cette monnaie vue la monté en flèche de son cours. Un minage qui permet aussi de valider les transactions et sécuriser le réseau fournisseur de Bitcoin. En Chine, un ferme de 21 000 serveurs basés à Ordos représente à elle seule près de 4% de la puissance de calcul mondiale Bitcoin ! Une ferme qui consomme 40 mégawatts d’électricité. Soit 39 000 dollars de facture par jour. On comprend mieux pourquoi certains pirates n’hésitent pas à détourner l’électricité pour leur consommation ! Des fermes comme Ordos, ou celle découverte par DataSecurityBreach.fr, il en existe des dizaines dans le monde. Le Washington Post présentait l’une d’elle, en 2016.

L’État surveillerait les transactions

En outre, le Ministre des Comptes publics, Gérald Darmanin, est intervenu ce 12 décembre 2017 au sujet des cryptomonnaies. Le ministre a précisé que l’État surveillait l’utilisation du Bitcoin et des autres monnaies virtuelles (Monero, Etherum, …). Le Ministre explique que cette surveillance a pour but d’éviter que las cryptomonnaies ne soient « pas perverties […] permettant les financements du crime organisé, du terrorisme ou du blanchiment ». Le ministre de l’Actions et des comptes publics a rappelé aux Français ayant revendus leurs bitcoins, par exemple, de ne pas oublier de notifier la plus-value  sur leur déclaration de revenus.

En conséquence, ne pas le faire ? La sanction pourrait tomber selon le ministre « le redressement fiscal serait évidemment à la hauteur de la fraude. ».

Pendant ce temps, la crypto-monnaie devenant tellement volatile que certaines entreprises préfèrent stopper son utilisation, comme Steam, fournisseur de jeux vidéo. La filiale de l’éditeur Valve proposait de payer en Bitcoin depuis 2016. Le coût des transaction ayant explosé (20$), l’entreprise a stoppé cette solution.

Et piratage…

Encore un site piraté, cette fois, la plateforme Slovène NiceHash. Plus de 54 millions d’euros en crypto-monnaie y ont été dérobés. Enfin, selon le directeur marketing de l’entreprise, Andrej Kraba, un social engineering particulièrement bien travaillé a permis au pirate de mettre la main sur quelque 4.700 bitcoins. Probablement qu’ils auront retenu la leçon… ou pas !

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, Sauvegarde, Securite informatique

Identité à vendre : le marché de l’occasion petit bonheur des voleurs de données

2 commentaires

Marché de l’occasion : une récente étude de sécurité montre que trop souvent les gens ne parviennent pas à effacer correctement leurs données personnelles sur les disques usagés, mettant ainsi en péril leur identité et leur vie privée.

Une récente étude mondiale sur la sécurité révèle que vous mettez trop facilement vos informations personnelles en danger. La société de récupération de données Kroll Ontracka analysé des disques durs d’occasion achetés en ligne pour voir s’ils contenaient des traces de données après avoir été vendu par les propriétaires précédents. Parmi les disques examinés par Kroll Ontrack, des traces de données ont été trouvées sur près de la moitié. Malgré les efforts d’un utilisateur pour effacer ses données, la récupération reste simple. Surtout si un effacement n’est pas correctement effectué.

Pour cette étude, 64 disques durs d’occasion de diverses marques ont été achetées sur eBay (vendeurs privés). Les disques avaient été effacés avec succès ou contenaient encore des traces de données. L’étude a révélé qu’il restait des traces de données sur 30 disques (47%). Les 34 disques restants avaient été nettoyés avec succès (53%).

Données sensibles à vendre sur les sites de petites annonces !

La probabilité de trouver des données personnelles n’est pas le résultat le plus inquiétant de l’étude. La sensibilité de cette information l’est plus encore. Pour les utilisateurs imprudents, la vente d’appareils contenant des données personnelles s’apparente à la vente de leur identité.

C’est le cas d’un HD qui appartenait à une entreprise. Elle utilisait un fournisseur de services pour effacer et revendre ses anciens disques. Ce média contenait une mine d’informations très sensibles. Les noms d’utilisateur, adresses de domicile, numéros de téléphone et les détails de carte de crédit ont été retrouvés. Il contenait une liste d’environ 100 noms. Des informations sur leur expérience professionnelle, leur fonction, les téléphones et un carnet d’adresses de 1 Mo sortis du HD.

Marché de l’occasion : le diable est dans les détails

18 des 64 disques examinés contenaient des informations personnelles critiques ou très critiques. Près d’un tiers (21 disques) contenait des photos personnelles, des documents privés, des courriels, des vidéos … Des informations de compte utilisateur ont été découvertes sur huit lecteurs. La récupération de données transactionnelles a été possible sur sept disques durs. Cela incluait les noms de sociétés, les bulletins de salaire, les numéros de cartes de crédit, les coordonnées bancaires, les détails d’investissement et les déclarations de revenus.

Un média contenait toujours l’historique de navigation, tandis que des données explicites étaient présentes sur un autre.

Le risque s’étend au monde des affaires

Le domaine personnel n’est pas le seul à être touché. Des informations de nature professionnelle se retrouvent très souvent sur des appareils privés, comme par exemple les données commerciales. Six disques contenaient des données commerciales critiques telles que les fichiers CAO, PDF, jpgs, clés et mots de passe. Des paramétrages complets de boutiques en ligne, des fichiers de configuration et des vidéos de formation. Cinq autres contenaient d’autres données liées au travail : les factures et les bons de commande, dont une grande partie comprenant des renseignements personnels sensibles ont aussi été découverts.

Kingston Technology, fabricant et expert dans le domaine des disques SSD, souligne que les disques SSD se comportent très différemment des disques durs lorsqu’ils enregistrent ou effacent des données. Ces différences technologiques présentent leurs propres défis techniques lorsqu’il s’agit de supprimer de manière sécurisée les données des supports de stockage Flash. Les disques SSD ont plusieurs fonctions qui affectent l’état des données stockées, comme la fonction FTL (Flash Translation Layer), qui contrôle le mappage des fichiers, ainsi que le niveau d’usure, Trim, Garbage Collection et le chiffrement permanent. Tous ont un impact sur la récupération des données supprimées.

L’informatique et l’occasion, fuite possible

Attention, Data Security Breach rappelle que les données sont aussi récupérables sur les smartphones, consoles, TV connectées ou encore l’ordinateur de bord de votre voiture (GPS, …). La revente doit se faire dans les règles de l’art en vous assurant une destruction totale des données. Enfin, je vais être honnête, il est de plus en plus difficile sans passer par le marteau ou des outils puissants et couteux pour détruire le contenu.

Communiqué de presse, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Logiciels, Mise à jour, Oracle, Patch, Piratage, Securite informatique

Java est dangereux selon une nouvelle étude

Chaque jour, des millions d’utilisateurs ont recours aux applications Java sans être conscients que 88% d’entre elles sont vulnérables aux cyberattaques !

Vous utilisez java ? Êtes-vous comme 28% des entreprises qui ont mis en place une stratégie de supervision des failles de sécurité efficace pour faire face à des attaques de grande ampleur ? CA Technologies a présenté les résultats de sa derniére étude baptisée « Rapport sur la Sécurité des Logiciels en 2017 ». Une étude réalisée par Veracode, sa filiale spécialisée dans la sécurisation des logiciels.

Ce rapport est une analyse complète de données collectées auprès de plus de 1 400 entreprises en matière de sécurité des applications. Les conclusions de l’étude sont inquiétantes en ce qui concerne les délais de correction des vulnérabilités, les pourcentages d’applications présentant des failles et les risques mniprésents liés à l’utilisation de composants open source vulnérables.

A une époque où les cyberattaques sont devenues monnaie courante (vol de données sensibles, piratage industriel, ransomware, … etc.), l’analyse fournie par Veracode démontre que, sur le terrain, les principes basiques de sécurité ne sont pas respectés. Il est donc urgent que les entreprises aient consciences des mesures nécessaires pour hausser leur niveau de sécurité, face à des hackers dont la force de frappe n’est plus à démontrer.

88% des applications Java seraient dangereuses

Chris Wysopal, Directeur Technique de CA Veracode, explique : « En raison de l’utilisation généralisée de composants exogènes par les développeurs pour coder, une seule vulnérabilité peut suffire pour mettre en danger des milliers d’applications différentes. » 88% des applications Java contiendraient au moins un composant les exposant à des attaques de grande ampleur. Tout ceci est en partie dû au fait que moins de 28% des entreprises mènent régulièrement des analyses pour analyser la fiabilité des composants d’une application.

Outre des informations concernant la menace posée par l’utilisation de composants à risque, ce rapport met également en lumière d’autres enseignements comme le fait que 77% des applications présentent au moins une faille dès la première analyse. Ce nombre progresse à un rythme alarmant pour les applications qui échappent à un test avant leur mise en production. Les institutions gouvernementales continuent à se montrer les moins performantes. Seules 24,7% d’entre elles réussissent tous les scans de sécurité applicative. Par ailleurs, elles présentent le plus de failles exploitables, par exemple par cross-site scripting (49%) ou encore par injection SQL (32%). Deux secteurs enregistrent de légères progressions entre la première et la dernière analyse des vulnérabilités de leurs applications : la santé affiche un taux de réussite au scan de sécurité de 27,6%, puis de 30,2 % ; et la grande distribution : 26,2 % puis 28,5 %.

Les raisons de ces failles majeures

Au cours des 12 derniers mois, plusieurs failles majeures au sein des applications Java ont été provoquées par des vulnérabilités de composants logiciels, qu’ils soient d’origine open source ou de suites commerciales. « Struts-Shock », une faille révélée en mars 2017, en est une illustration. Selon les résultats des analyses, plusieurs semaines après l’attaque initiale, 68% des applications Java s’appuyant sur la bibliothèque Apache Struts 2 utilisaient toujours une version à risque du composant.

Cette vulnérabilité permettait d’exécuter du code à distance grâce à l’injection de commandes, et quelque 35 millions de sites étaient concernés. En exploitant cette faille, les cybercriminels ont pu pirater les applications de nombreuses victimes, dont l’Agence du Revenu du Canada et l’Université du Delaware.

Le rapport révèle également qu’environ 53,3 % des applications Java s’appuient sur une version vulnérable de la bibliothèque Commons Collections ; un chiffre identique aux résultats trouvés en 2016. L’utilisation de composants tiers pour le développement d’applications est courant, car il permet aux développeurs de réutiliser du code fonctionnel et d’accélérer la conception de logiciels. Des études ont montré que les composants open source pouvaient même constituer jusqu’à 75% du code d’un logiciel.

Industrialisation des cyberattaques : une réalité méconnue

Pour Chris Wysopal, les équipes de développement ne cesseront pas d’utiliser de tels composants, et il n’y a pas de raison qu’elles le fassent. Cependant, en cas de vulnérabilités, le temps presse. Les composants tiers et open source ne sont pas forcément moins sécurisés que du code développé en interne. Il est donc important de conserver un inventaire de leurs versions à jour. En effet, un grand nombre de failles sont le résultat de composants vulnérables. Et à moins que les entreprises ne prennent cette menace plus sérieusement et s’appuient sur des outils adaptés pour superviser leur utilisation, le problème ne peut qu’empirer.

L’utilisation de composants à risque fait partie des tendances les plus marquantes de ce rapport. L’ambiguïté réside dans le fait que bon nombre d’entreprises donnent la priorité à la gestion des vulnérabilités les plus dangereuses sans pour autant résoudre les problèmes au niveau du développement de leurs applications de façon efficace. Même les failles les plus graves nécessitent un temps considérable pour être corrigées. Seules 22 % des failles les plus sévères sont corrigées sous 30 jours et la plupart des criminels en profitent dès leur identification. Les pirates ont donc largement assez de temps pour infiltrer un réseau donné et occasionner des dégâts parfois irréversibles.

Le rapport donne 5 conseils à suivre

Tester le plus tôt possible dans le cycle de développement et le plus souvent possible ;
Donner aux développeurs les informations et les ressources dont ils ont besoin, notamment pour leur formation continue et les procédures de remédiation ;
Respecter les procédures de remédiations scrupuleusement et immédiatement après avoir découvert les vulnérabilités ;
Identifier et documenter les versions de vos composants logiciels, en limitant l’utilisation de composants à risques ;
Cibler en priorité les applications critiques et les vulnérabilités les plus virulentes lors des mesures de remédiation. Dans ces phases de crises, c’est souvent la seule possibilité en fonction de vos ressources.

En conclusion, il est urgent de réagir et d’agir rapidement, faute de quoi les entreprises, tout comme les organismes publics, verront leur notoriété mise à mal et perdront la confiance de leurs clients et utilisateurs. En laissant la porte ouverte à la cybercriminalité, elles ne feront qu’encourager des pratiques aussi nuisibles que dangereuses, aujourd’hui le danger ne vient plus de pirates isolés mais de réseaux organisés à l’échelle mondiale, à l’affût de la moindre faille de sécurité.

Base de données, Cybersécurité, Entreprise, Espionnae, Facebook, Fuite de données, ID, Identité numérique, Mise à jour, Particuliers, Patch, Securite informatique, Social engineering

Facebook collecte-t-il des données étatiques ?

Pour récupérer un compte Facebook, un espace Instagram piraté, le géant de l’Internet réclame une photo de votre visage et une copie de votre carte d’identité. Facebook collecte-t-il des données étatiques sous couvert de cybersécurité ?

Facebook serait-il en train de se constituer une base de données contenant des informations étatiques sous le couvert de ses opérations de cybersécurité ? Voilà la question qui est posée. De nombreux lecteurs de Data Security Breach ont reçu un message de Facebook après le blocage de leur compte sur le réseau social. un piratage, un message douteux, … Facebook exige la photographie du propriétaire et sa pièce d’identité. Un scan de la carte d’identité. Facebook explique qu’il s’agit de s’assurer que le propriétaire légitime pourra récupérer son espace. Cela démontre surtout que les algorithmes biométriques sont efficaces. Facebook compare avec les photos présentes sur le compte. Mais n’est-ce-pas aussi et surtout un moyen de fichier plus efficacement encore les utilisateurs.

Cette « récupération » de données (carte d’identité) permet de prouver aux actionnaires que les comptes sont bien associés à des personnes physiques.

Des majeures et solvables si possible.

Bref, voilà le questionnement sur cette « demande » d’informations. Facebook affirme ne rien sauvegarder sur ses serveurs : « Merci d’envoyer une photo de vous montrant clairement votre visage. Nous la vérifierons puis la supprimerons définitivement de nos serveurs ».

Valider son compte Facebook avec sa carte d’identité

Facebook a annoncé il y a peu vouloir utiliser cette méthode pour valider un nouveau compte ouvert sur sa plateforme. Le nouvel abonné, explique Wired, aura l’obligation de se prendre en photo pour ouvrir un profil. Facebook indique que ce projet de sécurisation sera opérationnel sous peu. Le système est testé depuis avril 2017. Facebook parle d’un système de sécurité. Système qui doit permettre de « détecter les activités suspectes » lors d’une demande d’ami ou pour créer une publicité.

Des algorithmes Facebook qui ne sont pas tous à mettre dans la case « espionnage » (quoique) ! A l’image de son détecteur de suicide. Un code qui apprend par lui même et qui serait capable d’alerter en cas de messages considérés comme « annonçant » un passage à l’acte suicidaire en cours. Un système de détection qui ne sera pas mis en place en Europe en raison des règles en matière de respect de la vie privée (RGPD). Une technologie testée depuis mars 2017.

Pour détecter ce genre de cri de détresse, Facebook a introduit en mars 2017 une technologie apprenant par elle-même.

Un algorithme autodidacte. Il a appris à identifier des modèles dans des données existantes : messages, photos … Il peut être utilisé pour détecter ces modèles dans de nouvelles données. Ces données peuvent être des messages inquiétants, des réactions soucieuses à ceux-ci, voire des appels à l’aide sous la forme de vidéos en direct. Plus l’algorithme de détection s’appliquera, plus il deviendra intelligent. « L’intelligence artificielle nous aidera à reconnaître également les nuances linguistiques plus subtiles et à identifier les tendances suicidaires, le harcèlement« , indique Mark Zuckerberg.