Archives de catégorie : Entreprise

Actualités liées à la sécurité informatique des entreprises, PME, PMI, TPE, association, communes.

Argent, Chiffrement, cryptage, cryptomonnaie, Cyber-attaque, Cybersécurité, Entreprise, escroquerie, hackathon, Particuliers, Piratage, ransomware, ransomware, Securite informatique

Prolifération d’un nouveau Locky agressif

Locky is back ? Les analystes de l’Advanced Technology Group de Barracuda Networks surveillent activement une nouvelle attaque par ransomware très agressive qui semble provenir majoritairement du Vietnam.

Comme j’ai pu vous l’indiquer sur Twitter aux premières minutes de l’attaque, ce nouveau Locky a trouvé le moyen de passer certains filtres antispams et touchés des entreprises et écoles Françaises. Une attaque qui serait parti du Vietnam. D’autres sources significatives de cette attaque comprennent l’Inde, la Colombie, la Turquie et la Grèce.

D’autres pays semblent aussi distribuer le même ransomware mais dans des volumes très faibles. Jusqu’à présent la société Barracuda a identifié environ 20 millions de ces attaques au cours des dernières 24 heures, et ce chiffre augmente rapidement. Chiffre tiré de ses sondes, chez ses clients.

Une variante du ransomware Locky

Les analystes de Barracuda ont confirmé que cette attaque utilise une variante du ransomware Locky avec un identifiant unique. L’identifiant permet à l’attaquant d’identifier la victime de sorte que lorsque cette dernière paie la rançon, l’attaquant peut lui envoyer l’outil permettant de décrypter ses données. Dans cette attaque, toutes les victimes ont le même identifiant, ce qui veut dire que les victimes qui paient la rançon ne recevront pas l’outil de décryptage car il sera impossible pour le criminel de les identifier.

Cette attaque vérifie également la langue employée par l’ordinateur de ses victimes, ce qui peut indiquer le déclenchement d’une version internationale de cette attaque dans l’avenir.

Base de données, Chiffrement, Cloud, Cybersécurité, Entreprise, Fuite de données, Sauvegarde, Securite informatique

600 000 dossiers d’électeurs accessibles sur le web

Près de 600 000 dossiers d’électeurs de l’état d’Alaska ont été laissés sans protection sur le Web, accessibles à tous ceux qui savaient où aller pour les consulter.

Dossiers d’électeurs dans la nature ! Sauvegarder des données sans réfléchir et c’est la porte ouverte à une fuite de données. Des chercheurs de Kromtech Security Center ont mis la main sur 593 328 dossiers appartenant aux électeurs de l’Etats d’Alaska. Chaque dossier contenait les noms, les adresses, les préférences électorales, les dates de naissance, l’état matrimonial et l’origine ethnique. Certains dossiers contenaient aussi des renseignements comme la possession d’armes à feu, l’âge des enfants. Les informations ont été révélées à partir d’une base de données mal configurée. (Zdnet)

Base de données, Cybersécurité, Emploi, Entreprise, Fuite de données, Securite informatique

Données personnelles : Amende pour le patron de la Bourse du travail lituanienne

Le directeur de la Bourse du travail de Lituanie fait face à une amende après que son entité a laissé fuir des données personnelles directement sur le site de l’institution.

Une amende pour condamner une fuite de données personnelles, voilà ce qui vient de toucher Ligita Valyte, le responsable de la Bourse du travail de Lituanie. Cette entité est une agence exécutive relevant du Ministère de la sécurité sociale et du travail, chargée de fournir des services aux demandeurs d’emploi et aux employeurs sur le marché du travail. Bref, c’est le Pole Emploi lituanien. La CNIL locale, State Data Protection Inspectorate (VDAI), a condamné à 300€ le dirigeant après que le site web de la bourse au travail a laissé fuiter des données sensibles des personnes inscrites. Des milliers de codes personnels, y compris celui du ministre lituanien des affaires sociales, étaient consultables. Une fuite dès plus gênante car le code personnel attribué à chaque lituanien est unique et immuable selon les lois lituaniennes. Comme l’explique l’Inspection nationale de la protection des données, dans le cas où la violation de la protection des données à caractère personnel a été commise par une personne morale, le chef de l’entité ou une autre personne responsable est passible d’une amende de 300 à 1 150 euros, tandis que la violation répétée impose une amende de 1 100 à 3 000 euros. Les médias locaux ont rapporté qu’il y avait des milliers de codes personnels librement accessibles sur le site Web de la Bourse du travail. En France, la première amende imposée par la CNIL a touché la société Hertz France à la suite d’une fuite de données concernant certains de ses clients Français.

Pendant ce temps, trois pirates lituaniens se sont faits arrêter pour avoir volé des données sensibles d’une clinique de chirurgie plastique. Selon le bureau de la police criminelle lituanien, les suspects ont volé la base de données des clients et ont exigé une rançon de la clinique, et des clients. En mai 2017, pur menacer l’entreprise médicale, les pirates ont rendu public plus de 25 000 photos privées, y compris des photos de corps nu, les prénoms, les noms de famille, les photos avant et après une intervention chirurgicale, et plusieurs autres informations personnelles des patients des cliniques lituaniennes de chirurgie plastique du groupe « Grozio Chirurgija« .

Les voyous réclamaient entre 50 et 2000€ par patients impactés par le piratage, et selon les informations collectées. Avant de répartir la rançon, patient par patient, les pirates informatiques avaient tenté d’offrir la totalité de la base de données à la vente pour 300 bitcoins mais la clinique avait refusé de payer. Quelques centaines de personnes ont donné de l’argent pour que leurs données ne soient pas diffusées par les pirates informatiques. De nombreux patients étrangers, dont des Français et des Britanniques ont été concernés par cette escroquerie numérique.

Communiqué de presse, cryptomonnaie, Cybersécurité, Mise à jour, Patch, Securite informatique

cryptomonnaie : Quand les cybercriminels s’enrichissent à votre insu

ESET a découvert une nouvelle vague de code JavaScript utilisé par des cybercriminels pour miner de la cryptomonnaie depuis le navigateur des visiteurs de sites non compromis.

Quand de la cryptomonnaie est « fabriquée » par des pirates dans votre navigateur ! Comme la plupart des navigateurs activent JavaScript par défaut, il suffit aux cybercriminels d’insérer un script d’extraction sur les sites Internet qui génèrent un trafic important. En effet, il est plus facile d’atteindre un nombre significatif de machines en infectant des sites Internet qu’en infectant directement les machines des utilisateurs.

Les recherches d’ESET montrent que les cybercriminels ciblent les sites Internet de films en streaming et de jeux vidéo, car ces internautes ont tendance à rester longtemps sur une même page. Les scripts d’exploitation fonctionnent donc plus longtemps, ce qui augmente la qualité du minage des cryptomonnaies Feathercoin, Litecoin et Monero. « Cette technique est moins efficace que le minage réalisé avec un logiciel, car elle est 1,5 à 2 fois plus lente. Cependant, le nombre d’utilisateurs disponibles contrebalance cette lenteur », explique Benoît Grunemwald, Cybersecurity Leader chez ESET.

Certains considèrent que miner de la cryptomonnaie sur la machine d’un utilisateur sans son consentement équivaut à une intrusion. Pour que cela soit légal, il conviendrait d’avertir clairement l’utilisateur avant de commencer le minage, ce que les cybercriminels ne font pas en détournant des annonces publicitaires en mineurs.

Les chercheurs ESET dressent les recommandations à suivre pour se protéger contre ce type de menace :

• activer la détection des applications potentiellement dangereuses et des applications potentiellement indésirables (PUA). Cette fonctionnalité est disponible dans les solutions ESET.

• mettre à jour sa solution de sécurité.

• installer un bloqueur d’annonces dans le(s) navigateur(s) utilisé(s) (uBlock par exemple).

• installer un bloqueur de scripts tel que NoScript. Attention, l’installation du blocage des scripts dans le navigateur peut désactiver certaines fonctionnalités de sites Internet.

Chiffrement, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, IOT, Piratage, Securite informatique

IoT et sécurité : un couple encore maudit

Les objets connectés IoT sont de plus en plus utilisés par les cybercriminels pour former des réseaux de botnet. Il n’y a pas de segmentation des cibles : les IoT (Internet of Things – Internet des Objets) des particuliers sont autant ciblés que ceux des professionnels.

Une fois que l’objet connecté est piraté, il agit comme un zombie et dépend des commandes reçues par l’attaquant. Les cyberattaques basées sur des armées d’IoT piratées peuvent ainsi se multiplier et perpétrer des vols de données de santé ou d’informations personnelles.

Cas pratiques : exemples d’attaques ciblées
En septembre 2016, l‘hébergeur OVH est victime d’une attaque DDoS. Près de 145 000 objets connectés sont pilotés à l’insu de leurs utilisateurs par un serveur botnet. Cette attaque massive sature les serveurs de l’hébergeur et perturbe la distribution des services auprès de ses clients. Quelques semaines plus tard, c’est au tour du serveur DNS Dyn, acteur stratégique de l’Internet aux États-Unis, d’être ciblé. Des millions de caméras de sécurité, routeurs et autres objets connectés deviennent le vecteur d’attaque (réseau botnet) d’un serveur central.

Les IoT en chiffres : estimations et constats
En 2014, IDC annonce qu’il existe à travers le monde 200 milliards d’objets capables de se connecter à Internet. 14 milliards d’entre eux (soit 7%) communiquent déjà via Internet et représentent 2% des données numériques mondiales. D’ici à 2020, IDC prévoit entre 30 et 50 milliards d’IoT, représentant à eux seuls 10% du volume total de données générées. Fin juillet 2015, les différentes études menées par HP Fortify portant sur la sécurité des IoT révèlent que les montres connectées sont une nouvelle cible pour les pirates. 100% des appareils testés présentent des vulnérabilités. Celles-ci mettent en évidence la mauvaise protection des données personnelles (authentification et chiffrement insuffisants par exemple).

Deux ans plus tard, où en sommes-nous ?
Les attaques augmentent et les techniques progressent. Le malware Mirai utilisé pour corrompre des IoT se fait doubler par Hajime, un logiciel malveillant aux mêmes fonctions, mais plus puissant. À l’échelle mondiale, 100 000 IoT seraient infectés par Hajime.

Chaque mois, de nouvelles cyberattaques DDoS apparaissent. Sur le blog d’ESET (WeLiveSecurity.com), les chercheurs relèvent qu’un botnet P2P de 2003 a été mis à jour pour s’adapter aux nouveaux agents connectés. Il semblerait que les botnets autrefois sur ordinateurs se dirigent vers les mobiles… Et prochainement sur les objets connectés.

La sécurisation des IoT : négligence des constructeurs ?
Les constructeurs d’IoT concentrent leurs efforts sur la technologie de leur appareil. Les coûts de fabrication de la plupart d’entre eux sont faibles, permettant ainsi de proposer un produit accessible au public. Administrer des systèmes de sécurité dans ces appareils est long, coûteux et compliqué. Or, les constructeurs veulent rentabiliser rapidement la commercialisation de leur IoT. La partie sécurité n’est donc généralement pas prise en compte. Heureusement, tous ne sont pas dans ce cas de figure.

D’ici 2018, IDC prévoit que 34% des dépenses en sécurité se feront sur la protection des données à caractère personnel. À cette date, chaque particulier disposera au total d’une trentaine d’objets connectés : smartphone, voiture connectée, montre, réfrigérateur, box, jouet pour enfants…

Quelles solutions pour se prémunir des attaques ciblant les IoT ?
Bien que certaines normes soient en place, aucune réglementation n’oblige les constructeurs à mettre en place des mesures de sécurité sur les IoT. En attendant, la première étape serait d’acheter des objets connectés de qualité conformes aux normes de sécurité actuelles. Les experts ESET conseillent également de mettre à jour les logiciels et de tester les appareils. Ceci permettra de détecter d’éventuelles vulnérabilités (mots de passe mis par défaut) et d’y remédier. Enfin, la sécurisation du réseau est indispensable.

Dans ce contexte, comment détecter les nombreuses menaces issues de milliards d’appareils ? Est-ce faisable en mode proactif et dès leur création ? Les gestionnaires de risque des grandes entreprises déclarent travailler en moyenne avec une cinquantaine de solutions de sécurité. Combien sont réellement adaptées aux cybermenaces que représente l’emploi de l’IoT ?

Base de données, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage, santé, Sauvegarde, Securite informatique

Espace médical infiltré, 1,2 million de données patients volé

Un internaute, s’annonçant comme étant un Anonymous, a volé 1,2 million de données appartenant à des utilisateurs d’un espace médical.

Le piratage de données de santé gagne du terrain. Je vous parlais, il y a peu, de 500.000 dossiers de patients piratés via un portail dédié aux réservations de rendez-vous chez un professionnel de santé. Aujourd’hui, c’est 1,2 millions de britanniques à être concernés par le même problème.

Un internaute, s’annonçant comme étant membre de la communauté Anonymous, a mis la main sur plus d’un million de dossiers de patients via un partenaire de la NHS, le Ministère de la santé Anglais. La fuite serait partie de SwiftQueue. Un portail qui permet aux patients de réserver des rendez-vous avec un médecin généraliste, un hôpital ou une clinique. Un outil qui exploite également des terminaux dans les salles d’attente qui affichent les rendez-vous.

« Je pense que le public a le droit de savoir à quel point les grandes entreprises comme SwiftQueue utilisent des données sensibles. » indique l’internaute. Dénoncer en diffusant les données de personnes qui ne sont pas responsables de la collecte et la sauvegarde de leurs données ? « Ils ne peuvent même pas protéger les détails des patients » termine-t-il.

Le pirate a déclaré à The Sun que le hack exploitait des faiblesses dans le logiciel de SwiftQueue. Faille qui aurait dû être corrigée il y a plusieurs années. Le « visiteur » annonce avoir téléchargé la base de données entière de l’entreprise, contenant 11 millions d’enregistrements, y compris les mots de passe. De son côté SwiftQueue a déclaré que la base de données n’est pas si importante et que leur enquête initiale suggère que seulement 32 501 « lignes de données administratives » ont été consultées.

Base de données, Chiffrement, Cloud, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage, Securite informatique

Fancy Bear : Fuite de données sur le dopage dans le football !

Piratage de données de santé ! Ce mardi 22 Août, un groupe de pirates informatique a publié les dossiers médicaux présumés de joueurs de football qui auraient été autorisés à se « doper » au cours de la Coupe du Monde 2010.

Le groupe de pirates informatiques connu sous le nom de Fancy Bear (mais aussi APT28, Sofacy, Pawn Storm, Tsar Team) affirme que les informations ont été volées à la Wada (World Anti-Doping Agency), l’Agence mondiale antidopage. Les pirates sont souvent accusés d’espionner pour les services secrets Russes, le FSB. En 2016, Fancy Bear avait diffusé de nombreux documents sur le dopage et les tricheries olympiques dans une opération baptisée #OpOlympics. « Nous allons vous dire comment les médailles olympiques sont gagnées » annonçait l’ourson. Pour de présumés pirates officiant pour la Russie, Fancy Bear ne s’était pas privé d’allumer des sportifs locaux, comme Yuliya Stepanova ou encore en montrant du doigt un dopage étatique.

Je reste aussi sur un étonnement. Pourquoi aujourd’hui le football ? Le 25 juin 2017, la FIFA lançait une enquête « dopage » à l’encontre de joueurs de football Russe. Pour rappel, l’année prochaine, la Russie va accueillir la Coupe du Monde de football. Dernier point, alors qu’il existe des dizaines de façons de rendre anonyme le téléchargement de fichiers, Fancy Bear a choisi de stocker les fichiers volés sur le site de stockage Mega.

Pendant ce temps, le compte Twitter du FC Barcelone était infiltré. Le pirate plaisantin a annoncé l’arrivé du Parisien Angel Di Maria au FC Barcelona. Un club qui, pour rappel, est en bourse. Le genre d’annonce qui fait fluctuer la moindre action. La « blague » n’a pas été appréciée. Une plainte a été déposée.

Banque, Base de données, Chiffrement, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Securite informatique

Fuite de données : Un espace anonyme de discussion Bloomberg le devient beaucoup moins à cause d’une erreur

Près de mille utilisateurs d’un espace de discussion anonyme Bloomberg se retrouvent affichés après qu’une société d’investissement de Londres diffuse la liste des participants par erreur.

La société Bloomberg a organisé, la semaine dernière, un chat avec un millier de participants. Des « posteurs » de messages anonymes qui venaient parler « bourse » ; « argent » … Une société d’investissement de Londres a fait une boulette en envoyant une liste des participants – comprenant les noms et les employeurs – aux personnes présentes dans la salle de discussion. Cette violation de données est l’une des plus importantes pour l’entreprise d’information financière de l’ancien maire de New York, Mike Bloomberg. Bilan, les modérateurs ont du fermer plusieurs espaces de discussions accès sur les données macroéconomiques et l’énergie. Pour les 866 participants impactés par cette fuite, un événement déconcertant. Il expose leurs commentaires sur leurs concurrents et les entreprises qu’ils analysaient. Ce service Bloomberg comporte 325 000 abonnés. L’impact sur l’image de marque risque d’en prendre un coup. (NYP)

Base de données, Cloud, Cybersécurité, Entreprise, Fuite de données, ID, Identité numérique, Mise à jour, Particuliers, Sauvegarde, Securite informatique

Fuite de données pour 52 loueurs de voitures néerlandais

Plus de 180 000 clients de loueurs de voitures des Pays-Bas accessibles sur Internet sans aucune sécurité, ni restriction.

La cybersécurité prend un coup dans l’aile pour des loueurs de voitures. Dans quelques 52 entreprises de location de véhicules opérant aux Pays-Bas, cette sécurité informatique était si mauvaise qu’il n’aura fallu que quelques clics de souris pour accéder à 180 000 dossiers de clients. La fuite a été découverte par la société ESET, société basée à Sliedrecht, qui recherchait un nouveau fournisseur d’automobiles d’entreprise pour son personnel. La fuite partait du logiciel professionnel LeaseWise. Via ce logiciel, les loueurs se partagent une base de données. Un partage non protégé des regards extérieurs ! Les données divulguées incluaient les adresses des clients, les contrats de location et le nombre total de kilomètres parcourus par voiture. (NLT)

Base de données, BYOD, Chiffrement, Cloud, Cybersécurité, Entreprise, Mise à jour, Sauvegarde, Securite informatique

Oups ! Cisco efface des données clients par erreur dans le cloud

La société Cisco a admis avoir perdu, accidentellement, des données du client lors d’une erreur de configuration du cloud de sa filiale Meraki.

Ahhhh, le cloud, petit bonheur numérique qui permet, selon les plaquettes publicitaires de « se faciliter la vie » ; « d’économiser de l’argent » ; « de renforcer son potentiel économique« . Bref, le cloud c’est bien… sauf quand ça bug. Le dernier incident en date concerne CISCO. L’entreprise américaine a confirmé, et donc avoué, avoir perdu des données clients. Un accident en raison d’une erreur de configuration du cloud de sa filiale Meraki.

La semaine dernière, l’équipe d’ingénierie cloud de CISCO a effectué un changement de configuration sur son service de stockage basé en Amérique du Nord. Sauf que cette mise à jour a supprimé certaines données clients. Meraki est une filiale de Cisco qui offre des technologies d’information gérées par le cloud pour les caméras sans fil, et tout ce qui concerne les communications de sécurité via une interface Web.

Un outil pour savoir ce qui a été perdu dans le cloud !

L’entreprise a déclaré que son équipe d’ingénieurs a travaillé pendant le week-end de 5/6 août pour voir si elle pouvait récupérer les données de ses clients. CISCO va fournir, ce 7 août, un outil pour « aider nos clients à identifier précisément ce qui a été perdu ». Cisco n’a pas précisé combien de clients ont été impactés par cet incident. Meraki est utilisé par plus de 140 000 clients et 2 millions de périphériques réseau y sont connectés.

En juillet dernier, des centaines d’entreprises, dont la Compagnie météorologique d’IBM, Fusion Media Group et Freshworks, utilisateurs de Google Groups pour leurs messages internes et privés, ont accidentellement exposé des informations sensibles publiquement en raison d’une erreur de configuration par les administrateurs de groupe. La société Dow Jones & Co a récemment confirmé que des données personnelles et financières de près de 2,2 millions de clients avaient été exposées en raison d’une erreur de configuration dans le seau S3 d’Amazon. Plus tôt cette année, la panne massive de S3 de Amazon Web Services, pendant plusieurs heures, a été causée en raison d’une erreur d’ingénierie.

Quelques jours auparavant, Verizon avait confirmé qu’un fournisseur tiers avait exposé des millions d’enregistrements d’abonnés sur un serveur de stockage Amazon S3 non protégé. Toujours en juillet, WWE confirmait qu’une base de données non protégée contenant les détails de plus de 3 millions d’utilisateurs avait été trouvée stockée en texte brut sur un serveur Amazon Web Services S3.