Archives de catégorie : ID

Les données des mateurs de porno partagées

Vous êtes un amateur/amatrice de porno ? Les géants du divertissement pour adultes partagent les données de leurs visiteurs. De quoi débander rapidement comme va vous le montre DataSecurityBreach.fr.

Depuis quelques mois, nous entendons parler un peu partout dans les média et dans la bouche d’hommes/femmes politiques du tracking sur Internet. Après les sites de réservation de voyage ; après les publicités 2.0 ; voici que les tracking dans le monde de la pornographie attire les regards et les questions. Un internaute, indique sur son blog que “Si vous regardez du porno en 2015, même en navigation privée, vous devez vous attendre, à un moment donné, à ce que l’historique de vos vidéos soit rendu public et rattaché à votre nom.

Il ne faut pas attendre 2015 pour s’en rendre compte. D’abord via les abonnements. Placer sa carte bancaire et son mail dans ce type de site entrainement obligatoirement des logs. Votre IP, votre identifiant et votre mot de passe confirme que vous êtes le propriétaire de la donnée bancaire. Les publicités, elles aussi vous suivent. Les cookies, et votre IP, permettent d’agrandir ce big data bandant. Vous regroupez cela à un moteur de recherche de type Google et votre suivi ce fait encore plus précis. Un courriel dans votre boite aux lettres suffit à referme le string sur votre ordinateur, surtout si vous cliquez sur le lien proposé ou que vous affichiez l’image proposée dans le courriel. Les navigateurs, sécurisés ou non, laissent beaucoup de traces, comme le montre le projet de l’Electronic Frontier Foundation Panopti click.

Le piratage, très présent dans ce milieu. Entre les comptes volés (par hameçonnage, ndr) ou par piratage de sites, serveurs… Les données peuvent rapidement se retrouver sur la toile. Des données piratées de cartes bancaires, par exemple, blanchies sur des sites pornographiques. Les vrais propriétaires des informations se retrouvant ainsi « fichés » sans même le savoir. Sans parler des référencements à la sauce Black SEO qui permettent de piéger des utilisateurs. En 2007, une « maman » s’était retrouvée sur un site pornographique après le passage d’un pirate. Mauvaise blague, mais qui a mis à mal son identité numérique (IID).

Attaques à l’encontre des comptes sociaux

Après Le Monde en Janvier, CNN, Forbes et une vingtaine d’importants média en 2014, c’est au tour de Newsweek de voir son compte Twitter piraté pendant quelques heures par des pirates se réclamant du groupe Etat islamique (EI).

Comme nous le disions déjà lors de l’attaque subie par Le Monde, les comptes de réseaux sociaux tels que Twitter sont une cible de première importance pour les pirates. Si certaines entreprises ont mis en place des procédés et des moyens techniques pour protéger leur compte Twitter contre le hijacking, la plupart n’ont rien de cela et sont donc non seulement vulnérables au hijacking de leurs comptes de réseaux sociaux, mais sont aussi incapables de détecter ce hijacking de leurs propres comptes. Dans une récente étude auprès des entreprises du Fortune 100, les chercheurs de Proofpoint relevaient les points suivants :

· Il existe trois principaux types de menaces de réseaux sociaux parmi lesquels : le piratage de compte, les comptes non autorisés, et les menaces basées sur le contenu (ex : spam social, liens malveillants, etc.).
· En moyenne, deux comptes Facebook sur cinq (soit 40 %) semblant représenter une marque du classement Fortune 100 ne sont pas autorisés.
· En moyenne, un compte Twitter sur cinq (soit 20 %) semblant représenter une marque du classement Fortune 100 n’est pas autorisé.
· Les marques du classement Fortune 100 sont victimes d’au moins une intrusion sur leurs comptes de réseaux sociaux par jour ouvrable.
· Le volume de spams diffusés via les réseaux sociaux a été multiplié par sept depuis le milieu de l’année 2013, date de la publication du précédent rapport « State of Social Media Spam ».

Un compte compromis fournit aux pirates une plateforme idéale pour la distribution de spams, de liens malicieux, et autres contenus pouvant nuire à l’image de marque de l’entreprise touchée. Les comptes de réseaux sociaux des médias sont d’autant plus intéressants pour des personnes malintentionnées qu’ils bénéficient d’une forte audience et que leurs posts ont une large portée. Nous ne pourrions que trop recommander aux entreprises et aux médias de se prémunir de ce type d’attaque et de préparer des plans de réponses en cas de piratage (communication, personnes à alerter, processus de reprise en main des comptes, etc.). En effet, plus on est préparé et moins l’impact sera conséquent pour l’activité et l’image de l’entreprise.

Bon plan

Découvrez les dernières innovations technologiques le 14 et 15 mars au Grand Palais de Lille.

Google Glass, Oculus Rift, objets connectées, imprimantes 3D, drones… L’innovation, ce n’est pas qu’en Californie ! Le 14 et 15 mars, vous aurez l’opportunité d’essayer ces technologies du futur lors de la 3ème édition du salon HelloWorld!.

Le Forum HelloWorld! est le salon Lillois consacré aux nouvelles technologies. C’est un véritable moment d’échange, où les professionnels issus du numérique  et le grand public se côtoient pendant deux jours. L’innovation est mise à l’honneur, et permet aux visiteurs de découvrir les nouvelles créations et tendances. Des grandes entreprises comme Microsoft, IBM ou OVH aux jeunes startups, ce ne sont pas moins de 30 exposants qui présenteront les nouveautés sur 1500 m².

De nombreuses animations et tests auront lieu : tests des Google Glass, de l’Oculus Rift, de montres et bracelets connectées, de drones Parrot, tests de plusieurs jeux vidéo en avant-première. Envie d’aller plus loin ? Certaines entreprises prestigieuses et d’envergures mondiales ouvriront leurs portes. N’oubliez pas d’amener votre CV, comme l’ont fait plus de 200 étudiants l’an dernier !

Un tournoi LAN de jeux vidéo inter-écoles, la HelloWorld!CUP, sera organisée en parallèle. Des étudiants de toute la France viendront représenter leurs écoles et s’affronteront pour tenter de remporter 10000€ de lots sur les célèbres jeux League of Legends et HearthStone. Ce moment de convivialité et de festivité sera commenté par des professionnels de l’eSport, et des pizzas et boissons seront distribués gratuitement à tous les joueurs.

le salon du numérique se déroulera du 14 au 15 mars à Lille Grand Palais de 9h à 18h. Entrée Gratuite.

FriendOrFoe, application pour contrôler son identité Facebook

Kaspersky Lab présente FriendOrFoe (littéralement « ami ou ennemi »), une application gratuite pour Facebook qui permet aux utilisateurs d’évaluer la fréquence de leurs interactions avec leurs amis, et ce que ces derniers pensent d’eux. L’application révèle lesquels de ces centaines d’abonnés sont d’authentiques fans, qui partagent et commentent des contenus essentiellement au sein d’un cercle d’amis. Elle met aussi en évidence les menaces pour les utilisateurs du réseau social et leur explique comment protéger leurs informations personnelles.

Pour ceux qui utilisent diverses applications d’analyse Facebook, Kaspersky Lab a créé un outil destiné à collecter des statistiques sur l’activité enregistrée. FriendOrFoe indique ainsi le nombre de vidéos et de photos publiées par un utilisateur, le nombre de « J’aime » reçus et une multitude d’autres statistiques susceptibles d’intéresser les aficionados du réseau social. FriendOrFoe est aujourd’hui disponible en différentes langues (anglais, français, russe, allemand, italien, espagnol, brésilien, mexicain, arabe, japonais). Cette liste sera complétée dans un proche avenir.

« Le plus vaste réseau social au monde ne peut qu’attirer l’attention des cybercriminels. Le plus souvent, ils sont à la recherche de données personnelles et d’identifiants qu’ils pourront ensuite exploiter pour accéder, par exemple, à des comptes bancaires via les sites de banque en ligne. Il n’est donc pas surprenant que Facebook soit la cible la plus prisée des auteurs d’attaques de phishing : au cours du premier trimestre 2014, 79,5 % des activités de phishing enregistrées sur les réseaux sociaux touchaient Facebook. En plus de proposer des statistiques amusantes, FriendOrFoe apporte des informations simples et claires concernant les dangers qui menacent un utilisateur» commente Evgeny Chereshnev, Head of Global Mobile Business Development chez Kaspersky Lab.

Les fonctionnalités de FriendOrFoe :
–       Contrôle des “tag” sur les photos : l’utilisateur Facebook peut consulter toutes les photos dans lesquelles il est “tagué” et repérer ainsi potentiellement les photos compromettantes.

–       Contrôle de la géolocalisation : il est possible pour un utilisateur de voir s’il a été géolocalisé par une tierce personne sans sa permission et le cas échéant d’opérer un nettoyage des activités non-approuvés.

–       Maitrise des applications : FriendOrFoe examine les applications Facebook utilisées et la liste des tâches autorisées par l’utilisateur.

–       Maitrise de l’historique : il n’est pas possible d’empêcher Facebook de stocker l’historique de recherche mais il est possible de l’effacer du profil.

Les développeurs de Kaspersky Lab continueront d’améliorer les fonctionnalités de l’application suite aux retours des utilisateurs. Cependant, attention, en utilisant ce service vous fournissez votre accès à Kaspersky !

Accès aux photos privées sur Facebook

Il est possible (toujours au moment de la diffusion de cet article, ndr) d’accéder aux photographies privées via une petite manipulation dans les paramètres de Facebook. Pour accéder aux images privées des personnes qui ne sont pas vos ami(e)s, il suffit d’un seul petit clic de souris. Vous devez changer la langue utilisée dans votre compte en mettant « English US ». Option que vous trouverez dans « paramètres ». Il ne vous reste plus qu’à rentrer le nom de la personne que vous souhaitez « regarder » sans y avoir été invité. Pour éviter le regard des curieux, c’est aussi simple, ou presque. Il vous suffit de vous rendre dans le paramétrage de votre compte, et retirer TOUTES les identifications de vos photographies que vous ne souhaitez pas voir apparaitre. Les deux autres solutions :  maitriser ce que vous diffusez ou ne diffusez rien du tout !

Comment est-ce possible ? Tout simplement parce que la législation américaine n’est pas la même qu’en Europe. Bilan, changer de langue (sur Facebook, mais aussi sur consoles, smartphone, …) peut faire croire au système ainsi modifié que vous êtes installés dans le pays en question. Et la vie privée sur le sol américain n’a pas autant de « freins » qu’en Europe. Bilan, ce qui est « protégé » sur le vieux continent, l’est beaucoup moins sur les terres de l’Oncle Sam. Facebook veut aussi se positionner, de plus en plus, comme un moteur de recherche. Bilan, Graph Search et recherche globale rendent les informations, privées ou non, accessibles à qui sait les chercher, Facebook en tête. CQFD !

Près de 2 millions de mots de passe 123456 pour des clients ADOBE

Après le piratage de 38 millions de clients de l’éditeur ADOBE, une étude montre que les mots de passe des piratés sont aussi ridicules qu’inutiles. A se demander si le piratage de 38 millions de clients ADOBE n’est pas un moyen de communiquer auprès des clients et entreprises utilisatrices des produits de l’éditeur de Photoshop, Adobe Acrobat, ColdFusion. Des chercheurs, qui ont été mettre la main sur les données diffusées sur un forum russe, ont analysé les mots de passe volés à ADOBE. Des précieux appartenant donc à ses clients.

Jeremi Gosney, chercheur chez Stricture Consulting Group révèle une liste des 100 mots de passe les plus utilisés. Autant dire qu’il y a des claques qui se perdent : 1,9 million de comptes utilisaient comme sésame : 123456 ; plus de 400 000 : 123456789. On vous passe les mots de passe « password« , « 12345678 » ou encore « adobe123« . Bref, avec de telle sécurité pas besoin de voler une base de données ! (Developpez)

Faites risettes, Facebook vend votre sourire

Un peu de biométrie, un peu de stockage et voilà nos photographies de profils devenus une denrée économique pour Facebook. Nous vous en parlions, l’année dernière dans zatazweb.tv. Facebook met en place des systèmes économiques avec nos données et nos photographies. Parmi les (très) nombreuses actions en préparations, une webcam, chez les commerçants qui, couplée avec Facebook et votre smartphone, vous communique des bons de réductions dans la boutique partenaire.

Depuis quelques jours, Big Brother a décidé de débuter une autre forme de commercialisation des vies privées proposées dans son portail communautaire. L’information a été diffusée de manière « douce », dans un courriel annonçant « de nouvelles conditions d’utilisation« . Dans ces nouveautés, l’utilisation des photos des profils des utilisateurs. Ces dernières peuvent être stockées (ce qui était déjà le cas, ndlr datasecuritybreach.fr) dans une base de données centrale (la nouveauté, ndlr zataz.com). Une BDD centralisée que peuvent consulter les annonceurs.

L’intérêt ? L’avenir va très rapidement nous le dire via les applications et outils (comme notre webcam citée plus haut, ndlr datasecuritybreach.fr). L’annonce de Facebook est aussi d’indiquer aux utilisateurs que leur visage pourra être scanné et exploitée à partir d’un système biométrique prévu à cet effet. Erin Egan, responsable de la confidentialité et de la vie privée chez Facebook, indique ces données offriront aux utilisateurs un meilleur contrôle sur leurs informations personnelles. En gros, si quelqu’un diffuse votre tête sur Facebook, Facebook vous préviendra. Un peu de vie privée par-ci et un gros coup de louche dans le tas car si vous n’acceptez pas les nouvelles conditions d’utilisations, dehors ! Bref, la BDD centrale ne gardera que votre photographie de profile, tout en étant capable de contrôler les autres.

Pour vous protéger de ce genre de débordement commercial, plusieurs choix. Ne pas s’inscrire à Facebook. Bien choisir ses options de confidentialités proposées par le portail. Chiffrer votre visage. Pour cela, troublez par exemple, vos yeux ; mettez un bonnet ; où faîtes comme votre serviteur, faîtes des sourires à vous arracher la mâchoire.

Les arnaqueurs ont récemment montré un fort intérêt pour le football

Les arnaqueurs ont récemment montré un fort intérêt pour le football. En effet, une grande variété d’attaques de phishing (faux sites web) se basant sur le football a été observée en 2012. Les arnaqueurs se sont déjà intéressés à la Coupe du Monde de la FIFA 2014, mais aussi aux stars et aux clubs phares du ballon rond.

Datasecuritybreach.fr vous a d’ailleurs présenté, l’arnaque ciblant les fans de Lionel Messi et celle visant les supporters du FC Barcelone. Deux bons exemples de ces pratiques. Les pirates informatiques comprennent qu’utiliser des célébrités avec une énorme base de fans offre un plus grand choix de cibles, et augmente ainsi leurs chances de récolter les identités des utilisateurs. Ces arnaques persistent encore en 2013 avec une stratégie toujours identique consistant à mettre en place de faux sites web en utilisant des hébergeurs gratuits.

Les sites de phishing ont incité des internautes à entrer leurs codes d’accès Facebook sur des pages consacrées à Lionel Messi, au FC Barcelone ou à Cristiano Ronaldo. Ces dernières affichent ostensiblement des images de Lionel Messi, du FC Barcelone ou de Cristiano Ronaldo, et essaient de donner l’impression qu’elles en sont les pages Facebook officielles. Certains de ces faux sites sont intitulés, « premier réseau social dans le monde ». Les utilisateurs sont ensuite incités à entrer leurs identifiants Facebook afin de se connecter à leur compte. Une fois que les identifiants ont été renseignés, les utilisateurs sont redirigés vers une page communautaire dédiée à Lionel Messi, au FC Barcelone, ou à Cristiano Ronaldo pour créer l’illusion qu’une session légitime s’est ouverte.

Si les utilisateurs sont victimes de sites de phishing en ayant entré leurs identifiants, alors les pirates ont réussi à voler leurs données à des fins d’usurpation d’identité. Pour éviter les attaques de phishing, les internautes sont invités à suivre les conseils ci-dessous :

§  Faites attention lorsque vous cliquez sur des liens qui semblent trop attractifs, envoyés par email ou postés sur les réseaux sociaux

§  Ne renseignez pas de données personnelles lorsque vous répondez à un email

§  N’entrez pas de données personnelles dans un pop-up qui apparaît dans une page ou à l’écran.  Composez plutôt, de façon manuelle, le site web que vous souhaitez consulter, au lieu de cliquer sur un lien suspect.

§  Assurez-vous que le site web est crypté avec un certificat SSL en vérifiant que la mention « https » soit présente dans la barre d’adresse, ou que celle-ci soit de couleur verte lorsque vous entrez des données personnelles ou financières

§  Utilisez des suites de sécurité comme Norton Internet Security ou Norton 360, qui vous protègent contre le phishing et les fraudes sur les réseaux sociaux

Rapportez les faux sites web, emails ou pages Facebook via phish@fb.com.

Le top 10 des arnaques sur Facebook

Data Security Breach a reçu un nouvelle étude sur les arnaques se propageant sur Facebook, les plus répandues à l’échelle mondiale étant de type « qui a vu mon profil ». En seconde position et parmi les stars les plus dangereuses pour la sécurité de votre compte : Rihanna et sa fausse sex tape. Continuer la lecture de Le top 10 des arnaques sur Facebook

Documents électroniques d’identité (eID et e-Passeport): quels sont les défis à relever ?

La gestion des documents d’identité est en pleine mutation : avec la généralisation des programmes de cartes nationales d’identification électronique (appelés également CNIe), les gouvernements souhaitent déployer un véritable bouclier contre les fraudes et la contrefaçon à grande échelle. Cependant, certains programmes nationaux prennent du retard – notamment en France – et certains écueils ne semblent toujours pas résolus.

Quels sont les défis technologiques auxquels les administrations et gouvernements doivent faire face ?
Sur le terrain, la sécurité des documents officiels d’identité reste une préoccupation majeure : les populations n’ont jamais été aussi mobiles et nous sommes toujours plus nombreux à passer les frontières ; du côté de l’administration électronique, le but est de gagner en simplicité. Car les administrations ont besoin non seulement de documents d’identification robustes et multiservices bénéficiant d’une sécurité optimale, mais facilitant aussi les mouvements transfrontaliers et l’accès à des services sociaux ou de santé.

En 2015, 85% des documents d’identification seront électroniques, et les gouvernements qui proposeront ces CNIe seront jusqu’à 4 fois plus nombreux que ceux qui resteront sur des formats plus classiques (sans technologie), selon l’analyste Acuity Market Intelligence. L’utilisation d’identifiants multi-applicatifs semble devenir la norme pour le développement de carte d’identité multiservice et durable, et, dans ce contexte, la prévention des fraudes, le déploiement de programmes de bout en bout et l’expertise en matière d’intégration sont essentiels pour le développement de programmes d’identification nationaux.

Il s’agit, en effet, d’éliminer les problématiques d’interopérabilité technologique, d’assurer les mises à jour des cartes existantes et des systèmes sous-jacents, et d’encourager la longévité des documents d’identification, autant de vecteurs qui peuvent induire des coûts supplémentaires. C’est la raison pour laquelle une expertise en matière de conception, de technologie et de fabrication est essentielle pour s’assurer que les documents d’identification soient conformes aux normes internationales qui régissent leurs dimensions, leur sécurisation, leurs fonctionnalités et leur longévité.

Une longévité optimale
La longévité des documents d’identification est un point crucial : ces documents doivent en effet résister à une utilisation intensive et à différents vecteurs d’usure. Les matériaux comme le polycarbonate se sont imposés en tant que matériau de choix en matière de durabilité et de résistance. On note néanmoins que l’ajout de technologies intelligentes embarquées telles que le RFID ou les puces avec ou sans contact pourraient être considérés comme des freins potentiels à la durabilité des supports en plastique.

Ce constat est à l’origine du développement de nouvelles technologies qui, à l’image de la technologie polycarbonate prévenant la formation de fissure, brevetée de HID Global, assure l’intégrité de la structure des documents d’identification.

La mise à jour des documents d’identification
Le retour sur investissement des programmes CNIe évolués fait l’objet de nombreux débats. En effet, les discussions portent notamment sur l’investissement initial du projet, qui varie selon les fonctionnalités et la durée de vie des cartes d’identité. La possibilité et le processus de mise à jour des cartes déjà en circulation sont essentiels en matière de conception du programme et d’allocation des budgets.

Pourquoi en effet payer pour une carte qui devra être rapidement renouvelée (par ex. suite à un changement d’adresse)? Dans un tel scénario, les cartes à puce déployées dans le cadre d’applications embarquées et sécurisées de gestion des données peuvent être mises à jour. Grâce à ces programmes, la mise à niveau des informations sur la carte est assurée, incluant la possibilité de télécharger de nouvelles applications ou d’activer de nouveaux services, dès que ces derniers sont disponibles. Cette évolutivité offre aux gouvernements la possibilité d’étendre leurs programmes de manière sécurisée, même lorsque les cartes sont déjà entre les mains des citoyens.

Des technologies innovantes, telles que l’OSM (Optical Security Media) facilitent les mises à jour des documents d’identification en circulation. D’ailleurs, cette technologie a fait ses preuves et a été utilisée dans le cadre de la délivrance des permis de résident américains dits « Green Cards » . L’information présente sur la piste optique de ces cartes ne peut être modifiée de manière frauduleuse, et ne peut être mise à jour que par des instances légitimes, le tout, sans avoir à remplacer la carte.
 
Un document d’identification valable 10 ans, durera-t-il vraiment 10 ans ?
Le remplacement des cartes d’identité traditionnelles par des cartes de type eID, l’intégration d’une ou de plusieurs technologies de carte à puce en d’identification, et l’innovation qui favorise la durabilité des cartes sont autant de leviers qui assurent la pérennité des identifiants de demain.

Dans les 5 années à venir, les priorités porteront sur les fonctionnalités des cartes multi-technologiques, davantage d’intégration au niveau de la conception des cartes, l’amélioration des systèmes de délivrance, les différentes possibilités de mise à jour, et l’innovation en matière de production des cartes. Ce sont ces facteurs, entre autres, qui feront de la carte d’identité à puce, valable 10 ans, une réalité. (Par Craig Sandness, pour Data Security Breach, Vice-président chez HID Global, en charge des solutions d’identification officielle.)