Archives de catégorie : Identité numérique

Cybersécurité, Identité numérique, Social engineering

Réseaux sociaux : quand l’exposition numérique devient un risque réel

Les réseaux sociaux façonnent notre quotidien, mais leur usage insouciant peut avoir des conséquences inattendues. Une bonne hygiène numérique devient indispensable pour se protéger des dangers invisibles mais bien réels de l’exposition en ligne.

Aujourd’hui, il est difficile d’imaginer la vie sans réseaux sociaux. Facebook, Instagram, TikTok, X (ex-Twitter), et consorts font partie intégrante de notre routine. Ils nous relient à nos proches, nous informent, nous instruisent, et nous permettent même de révéler nos passions ou de développer une activité professionnelle. Mais cette vitrine numérique, aussi attrayante soit-elle, est à double tranchant. En partageant notre vie en ligne, souvent de manière inconsciente, nous exposons aussi une partie de notre intimité à des inconnus. Ces données, anodines en apparence, peuvent devenir de véritables outils pour des personnes mal intentionnées. Alors, comment profiter des réseaux sociaux tout en protégeant sa vie privée ? Le défi est plus actuel que jamais.

Les réseaux sociaux ont redéfini la manière dont nous interagissons avec le monde. Ils offrent une multitude de fonctionnalités, allant du simple partage de photos jusqu’à la monétisation de contenus artistiques ou pédagogiques. À mesure que les plateformes se perfectionnent, elles deviennent de plus en plus intuitives et incitent l’utilisateur à publier toujours plus de contenus. Mais cette facilité d’expression masque un danger grandissant : celui de livrer, sans le savoir, des informations sensibles à des inconnus, voire à des cybercriminels.

L’insouciance avec laquelle certaines personnes publient des détails sur leur vie privée alimente un vivier d’informations pour ceux qui cherchent à en tirer profit. Une adresse, un lieu de vacances, une date d’anniversaire ou encore le nom d’un animal de compagnie : autant de données qui peuvent servir à usurper une identité ou à forcer un mot de passe. Car il faut bien le comprendre : tout ce qui est publié sur Internet peut, tôt ou tard, tomber entre de mauvaises mains.

« Les cybercriminels privilégient les cibles faciles : une bonne sécurité de base suffit souvent à les décourager. »

C’est pourquoi il est crucial d’instaurer des règles de base en matière de sécurité numérique. La première étape, souvent négligée, est celle de la confidentialité. Les paramètres de confidentialité permettent de contrôler qui peut voir quoi. Or, bon nombre d’utilisateurs laissent leur profil en accès libre, pensant à tort qu’ils n’ont rien à cacher. Pourtant, cette ouverture facilite le travail des programmes automatisés utilisés par les pirates informatiques, capables de scanner des centaines de profils en quelques secondes à la recherche de failles ou d’informations exploitables.

Limiter l’accès à son profil, c’est déjà réduire les risques de manière significative. Les plateformes comme Facebook, Instagram ou TikTok offrent des options assez poussées pour définir précisément les personnes autorisées à voir les publications. Il est donc recommandé de configurer son compte de façon à ce que seules les personnes de confiance aient accès aux contenus personnels. Cela permet également d’éviter que des inconnus utilisent vos photos ou vos publications pour créer de faux profils ou alimenter des arnaques. Mais soyons honnêtes ! Les dérives du « follows » ; des « J’aime » ; du fantasme de devenir un/une « influenceur/influenceuse » font que la sécurité n’est pas la priorité des utilisateurs.

Vient ensuite la question du contenu publié. Il ne s’agit pas de censurer sa présence en ligne, mais plutôt d’adopter une approche réfléchie. Avant de poster, il est bon de se demander à qui s’adresse le message et quelles informations il contient réellement. Publier une photo de son nouveau logement peut sembler anodin, mais elle peut dévoiler des éléments d’ameublement, un code postal ou même un plan du quartier. De même, annoncer un départ en vacances à l’avance peut signaler une absence prolongée et donc un domicile vide.

La prudence est également de mise lorsqu’on parle d’autres personnes. Une simple publication évoquant un collègue, un enfant ou un ami peut, dans certains cas, engager la responsabilité de l’auteur. En France comme ailleurs, le droit à l’image et le respect de la vie privée sont protégés par la loi. Il est donc nécessaire d’obtenir l’accord explicite des personnes concernées avant toute publication les impliquant.

Mais la prudence ne s’arrête pas aux publications visibles. L’un des aspects les plus critiques de la sécurité numérique repose sur la gestion des mots de passe. Trop souvent, les utilisateurs choisissent des mots de passe évidents, comme une date de naissance, un prénom ou une combinaison simple. Ces informations sont souvent disponibles publiquement ou peuvent être devinées à partir des contenus partagés. Pour minimiser les risques, il est essentiel d’adopter des mots de passe complexes, uniques pour chaque plateforme, et de les changer régulièrement, idéalement tous les deux à trois mois.

« Un mot de passe trop simple, même s’il semble pratique, peut transformer un compte sécurisé en une porte grande ouverte. »

Data Security Breach rappelle qu’à cela s’ajoute un outil de plus en plus indispensable : la double authentification. Présente sur la plupart des grandes plateformes, cette fonctionnalité ajoute une couche de sécurité en exigeant une confirmation supplémentaire, généralement via un SMS ou une application d’authentification. C’est une barrière simple mais redoutablement efficace contre les tentatives d’intrusion.

Les cybercriminels, pour leur part, ne perdent pas leur temps avec les comptes bien protégés. Lorsqu’un pirate ne parvient pas à pénétrer un profil après plusieurs tentatives, il passe souvent à une autre cible. En ce sens, adopter de bonnes pratiques de cybersécurité agit comme un filtre : vous devenez une cible moins attrayante, et donc moins vulnérable.

Il ne faut pas non plus oublier que l’ingénierie sociale reste une méthode très répandue. Cela consiste à manipuler psychologiquement une personne pour obtenir des informations confidentielles. Et dans ce domaine, les réseaux sociaux sont une mine d’or. Un pirate peut par exemple se faire passer pour un ami, un collègue ou un membre de la famille afin d’obtenir des données sensibles ou de vous amener à cliquer sur un lien malveillant. Un VPN permettra de protéger votre géolocalisation. La vigilance reste donc de mise, même dans les interactions les plus banales.

Enfin, la question de l’éducation numérique prend toute son importance. Les jeunes générations, nées avec un smartphone dans les mains, sont souvent plus à l’aise avec les outils numériques mais pas forcément mieux informées sur les dangers qu’ils comportent. Il est essentiel de sensibiliser dès le plus jeune âge à la notion de vie privée en ligne, et d’instaurer une culture du doute et de la vérification. Votre serviteur propose des ateliers et rendez-vous dans les écoles sur ce sujet.

La confiance numérique ne se décrète pas : elle se construit au fil du temps, par des choix réfléchis et une gestion rigoureuse de son image en ligne. Dans un monde où les données personnelles valent de l’or, chaque utilisateur a la responsabilité de préserver sa propre sécurité, mais aussi celle de son entourage.

backdoor, Cybersécurité, ID, Identité numérique

Threads : fausse application aux couleurs du Twitter de META

Le 5 juillet 2023, l’application Threads, concurrente directe de Twitter développée par Meta, a été lancée aux Etats-Unis et a atteint en quatre jours plus de 100 millions d’utilisateurs, dépassant de loin les précédents records établis par ChatGPT et TikTok. Son indisponibilité actuelle en Europe a encouragé des développeurs malveillants à créer une application jumelle portant quasiment le même nom « Threads for Insta » sur l’Apple Store.

Créée par l’entreprise SocialKit LTD, qui avait déjà créé une fausse application ChatGPT, l’application Threads for Insta reprend les codes graphiques d’Instagram, réseau social auquel la vraie application Threads est liée. Son logo ressemble fortement à celui d’Instagram et incite l’utilisateur à penser qu’il s’agit de l’application légitime. Cette application jumelle est déjà classée à la 5ème place en nombre de téléchargements sur l’Apple Store, et numéro 1 dans la rubrique des réseaux sociaux !

Autre information clé, l’application Threads for Insta indique utiliser de l’intelligence artificielle pour émettre des « threads » alors que l’application officielle ne propose pas cette fonctionnalité.

Quel danger pour les utilisateurs ?

Contrairement à la véritable application Threads, cette supercherie n’est pas gratuite : seule la période d’essai l’est et son utilisation, une fois celle-ci expirée, est payante. Si l’utilisateur n’annule pas son inscription, il sera facturé 2,99 euros par semaine, ou 29,99 euros par mois, ou bien 89,99 euros par an. Pour l’instant, aucune cyberattaque n’a été reportée suite à l’utilisation de cette application. Cependant, les utilisateurs doivent rester vigilants pour ne pas tomber dans le piège d’un hackeur.

Comment être sûr de télécharger la véritable application Threads ?

L’application n’est pour l’instant pas disponible en Europe et aucune date de sortie n’a été annoncée. Toute application dont le lancement a eu un fort impact médiatique est sujette à des tentatives d’usurpation à des fins commerciales (comme c’est le cas ici de Threads for Insta), de collection de données personnelles (revendues par la suite sur le darknet), ou dans le pire des cas, de vol de coordonnées bancaires ou d’informations permettant de lancer une campagne de phishing (ou hameçonnage, technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d’identité).

« Afin de ne pas se faire piéger, l’utilisateur devra tout d’abord rechercher le site officiel de l’entreprise qui, lui, comportera un lien vers l’Apple Store pour effectuer le téléchargement de l’application. confirme à DataSecurityBreach.fr Cassie Leroux, Directrice Produit chez Mailinblack. Il pourra également vérifier assidûment le logo de l’application, les captures d’écran disponibles sur l’Apple Store, ainsi que les conditions générales de vente et d’utilisation.« 

famille, ID, Identité numérique, loi, Particuliers

Identité numérique européenne : Le futur de la vie privée en ligne

En 2024, tous les pays européens devront mettre à la disposition de leurs citoyens un Digital ID Wallet. Grace à ce portefeuille électronique, ils pourront, depuis leurs terminaux électroniques, stocker et gérer leur identité numérique, et partager leurs attributs personnels vérifiés. Utilisable partout en Europe, il placera les citoyens au centre du contrôle de leurs données personnelles et garantira un très haut niveau de sécurité.

Louer un appartement, acheter une voiture, ouvrir un compte en banque, contracter un prêt bancaire, donner son consentement pour un acte médical, s’inscrire dans une université… Des démarches aujourd’hui dématérialisées qui nécessitent de renseigner des dizaines de formulaires, de prouver son identité, de s’authentifier sur une multitude de services numériques (site e-commerce, services publics…) et parfois de transmettre des captures de justificatifs papier par email, sans sécurité particulière, lors de la transmission puis du stockage, et contenant souvent beaucoup plus d’informations que nécessaire. Autant d’opérations complexes et chronophages pour tous les usagers, notamment ceux pour qui la protection des droits et données personnelles et la maitrise des outils numériques et solutions de sécurité ne coulent pas de source.

C’est pourquoi l’Union européenne, dans sa politique de la « Décennie numérique« , a notamment demandé aux États membres de proposer un Digital ID Wallet. Elle souhaite offrir à tous les citoyens les moyens de stocker et gérer leurs identité numérique, identifiants et attributs personnels depuis un portefeuille électronique hébergé sur leurs terminaux personnels (smartphone, tablette, portable).

Disponible à partir de 2024, ce portefeuille électronique pourra contenir les éléments vérifiés de la carte d’identité nationale biométrique (empreintes digitales, photographies, informations textuelles), des attributs personnels authentifiés et certifiés (permis de conduire, acte de naissance, carte bancaire, justificatif de domicile, fiche d’imposition, diplômes, feuilles de paie, documents de santé…).

Reprendre le contrôle de ses données personnelles

En deux décennies, nos usages se sont profondément numérisés. Les données personnelles qui permettent d’identifier tout ou partie d’une personne – données d’état civil, adresse email ou postale, mots de passe, fiches d’impôt, salaire, facture EDF, sans oublier la transmission de données personnelles qui ne sont pas encore numérisées, telles que diplômes, factures et justificatifs en tout genre – sont communiquées à des tiers (services publics, entreprises privées) et stockées dans d’immenses et innombrables bases de données. Une centralisation de données personnelles qui présente des risques de cyberattaques, des risques d’utilisation peu scrupuleuse de données personnelles à des fins commerciales mais aussi des problématiques énergétiques de stockage.

En demandant aux États membres de proposer à leurs résidents un tel portefeuille numérique, l’UE permet à chaque citoyen de reprendre le contrôle et l’utilisation de son identité. Ainsi, il pourra, grâce aux technologies du wallet, circonscrire le partage de ses données aux seules nécessaires à la délivrance du service. Il pourra par exemple donner accès à son revenu d’imposition sans être contraint, comme c’est le cas actuellement, de délivrer l’intégralité de sa feuille d’impôts. Le citoyen pourra aussi récupérer ses données créées et vérifiées par des tiers sous forme d’attestations (Qualified Electronic Attribute Attestation – QEAA), les stocker dans son wallet, et les communiquer lorsque nécessaire. Via ce dispositif « zero knowledge proof », il pourra par exemple prouver sa majorité sans pour autant fournir sa date de naissance, car l’utilisation de son wallet garantira que l’information a été vérifiée par ailleurs.

Faire des citoyens les maîtres de leurs données d’identité

A l’heure actuelle, toutes les données personnelles de chaque citoyen sont stockées dans des bases de données privées et publiques. Elles seront, grâce à ce wallet, décentralisées et gérées individuellement par chaque citoyen européen. En devenant souverain de ses données, il pourra donc consciemment choisir de les partager sans peur et en toute sécurité. Il reprendra ainsi le contrôle de sa vie numérique, maitrisera ses données personnelles et la manière dont elles circuleront.

Prévu pour 2024, ce wallet sera fourni aux citoyens par leurs pays de domiciliation. Proposé par chaque État membre, il pourra être délivré par des établissements publics ou privés. Simple d’utilisation et interopérable, ce wallet devra répondre à des normes et spécifications techniques garantissant un haut niveau de sécurité. Si aucune obligation d’utilisation de ce portefeuille électronique européen n’est exigée, l’UE mise sur la fluidité et la simplicité d’un tel dispositif pour convertir tous les européens. (Par Stéphane Mavel, en charge de la stratégie Identité Numérique d’IDnow)

Entreprise, ID, Identité numérique

L’accès à certains sites réservé aux majeurs

L’accès à certains sites ou services sur Internet est réservé aux majeurs, en particulier l’accès aux sites web à caractère pornographique. Il est alors nécessaire de mettre en place un système de vérification de l’âge de l’internaute. La CNIl propose des pistes pour Jacky, Michelle et compagnie !

Ces dispositifs, qui participent à la protection des mineurs, ne sont jamais parfaitement efficaces et des contournements sont possibles. Ils peuvent, par ailleurs, présenter des risques pour la vie privée. La CNIL rappelle qu’à défaut de pouvoir viser une efficacité absolue, il convient de choisir des dispositifs pertinents et sécurisés pour atteindre le meilleur résultat possible. Ils doivent être réservés aux sites pour lesquels cela est nécessaire, le principe restant que l’accès aux sites web doit se faire par défaut sans contrôle d’identité ou d’âge.

Le contrôle de l’âge de l’internaute, dans un objectif de protection de la jeunesse, est compatible avec le règlement général sur la protection des données (RGPD), à condition de présenter des garanties suffisantes pour minimiser les atteintes à la vie privée et éviter que le contrôle de l’âge soit l’occasion pour les éditeurs de récupérer des données supplémentaires sur les internautes consultant leur site. En outre, il convient d’éviter que les données soient captées par un tiers pour des usages malveillants (vol de données biométriques, hameçonnage, usurpation, chantage…).

Les solutions existantes

Dans sa position, la CNIL analyse les solutions existantes et précise les conditions à respecter pour garantir leur sécurité.

Elle rappelle notamment qu’il est possible d’utiliser la carte bancaire : si certains mineurs ont une carte bancaire (ou peuvent s’en procurer une) pour accéder à un site, la vérification par carte bancaire n’en demeure pas moins efficace dans la plupart des cas pour protéger les plus jeunes et s’appuie sur une technologie éprouvée, qui peut aussi être utilisée pour contrôler l’accès à des sites gratuits. L’analyse faciale des traits du visage par un système automatique accédant à la webcam de l’ordinateur, sans reconnaissance faciale biométrique, permet également de bloquer l’accès des plus jeunes et d’autoriser l’accès des personnes ayant nettement plus de 18 ans ; elle présente en revanche des risques d’erreur pour les personnes proches de l’âge de 18 ans.

Dans les deux cas, ces solutions doivent être opérées par des tiers présentant un niveau de sécurité et de fiabilité suffisant, pour éviter les vols de données et garantir la prise en compte des risques additionnels engendrés par leur utilisation. D’autres solutions sont possibles mais présentent certaines difficultés techniques ou une maturité moindre.

Une annonce intéressante au moment d’actions « punitives » de Google. La firme alerte des blogs et sites web de contenus pour adultes à faire disparaitre. Un système tellement précis et efficace (#blague) que le géant américain impose à des sites web, comme celui de votre serviteur ou encore ZATAZ, de faire disparaitre des articles contenant les mots « sites pour adultes » sous peine d’être interdit de supports publicitaires.

Nous allons voir, en combien de temps, cet article va tomber dans la moulinette « censure » de Google.

Identité numérique

Google se lance dans le FLoC

Le géant de l’Internet Google vient d’annoncer que le traçage des internautes à des fins marketing, c’était bientôt fini. La firme américaine va lancer ses FLoC.

Les FLoCs, la prochaine invention de Google pour abandonner les cookies à des fins publicitaires. A la base, les cookies permettent d’identifier un ordinateur surfant sur la toile afin de lui proposer des services individualisés : passant de la publicité, à la gestion d’une authentification, à la couleur du site qu’il visite. Google annonce depuis plusieurs mois la fin des cookies. « Nous annonçons explicitement qu’une fois que les cookies tiers supprimés, nous ne construirons pas d’identificateurs alternatifs pour pister les individus quand ils surfent sur la toile, et nous ne les utiliserons pas non plus dans nos produits », indique David Temkin, responsable des produits publicitaires et de la confidentialité chez Google. A la place, Google va utiliser des FLoC, Federated Learning of Cohorts. Ici, on ne vise plus « une » personne, mais un « groupe » de personnes. Le FLoC va permettre de cibler des segments d’audience. Une audience qui sera définie selon la navigation des internautes.

Les Federated Learning of Cohorts (FLoC) proposent une nouvelle façon pour les entreprises d’atteindre les personnes avec un contenu et des publicités pertinents en regroupant de grands groupes de personnes ayant des intérêts similaires. Cette approche masque efficacement les individus «dans la foule» et utilise le traitement sur l’appareil pour garder l’historique Web d’une personne privée sur le navigateur. En créant des simulations basées sur les principes définis dans la proposition FLoC de Chrome, les équipes publicitaires de Google ont testé cette alternative de confidentialité aux cookies tiers.

Les résultats indiquent que lorsqu’il s’agit de générer des audiences basées sur les intérêts, FLoC peut fournir un signal de remplacement efficace pour les cookies tiers.

Cybersécurité, Identité numérique

Cybersécurité : à l’approche des élections, mieux vaut prévenir que guérir

Guillaume Poupard, directeur de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) place les élections comme un risque majeur de cyberattaques. Des présidentielles, aux sénatoriales, en passant par les municipales, les opportunités sont multiples pour les cybercriminels ; comme l’a indiqué récemment dans une interview, l’ex-faussaire et consultant du FBI, Franck Abagnale Junior, avec internet, la cybercriminalité est aujourd’hui sans frontières. Forts de l’expérience des élections de 2016 – 2017 ciblées par de nombreux pirates et face au risque que cela perdure, les Etats doivent plus que jamais redoubler de vigilance.

A l’approche des élections présidentielles américaines, le 3 novembre prochain, les avertissements de l’ANSSI sont plus que jamais à prendre au sérieux, et peuvent servir de piqûre de rappel pour celles à venir en France afin d’anticiper les potentielles menaces. Alors que les campagnes de désinformation font l’objet d’une grande attention en matière de sécurité en période électorale, le déni de service distribué (DDoS) peut entraver la disponibilité des informations. Cette situation peut se révéler tout aussi dangereuse, voire plus. Il existe deux temps où la disponibilité des informations est essentielle et durant lesquels une attaque pourrait mettre à mal l’élection : l’inscription en ligne des électeurs sur les listes et la publication des résultats des élections.

D’après le manuel du Center for Internet Security (CSI) sur la sécurité des infrastructures électorales, la possibilité d’accéder aux systèmes d’inscription des électeurs par internet a renforcé leur vulnérabilité face aux attaques à distance, destinées à manipuler ces systèmes. Les États-nations, par exemple, pourraient accéder aux bases de données d’inscription des électeurs et les compromettre afin d’empêcher les électeurs légitimement inscrits de voter le jour des élections — une pratique qui s’est par ailleurs déjà concrétisée. En France, les listes électorales sont désormais numériques et très surveillées. Cela permet d’éviter que l’élection soit décrédibilisée par des attaques qui supprimeraient des noms ou empêcheraient de correctement imprimer les listes. La maîtrise de ce type de menaces constitue une priorité absolue pour renforcer la résilience de ces composants en matière de sécurité.

La publication des résultats des élections le soir du scrutin constitue également un sujet de préoccupation. C’est la raison pour laquelle Google a souhaité protéger les candidats des dernières élections du Parlement Européen face à ces potentielles menaces, en donnant accès aux partis politiques à un package empêchant l’arrêt d’un site internet à la suite d’une attaque DDoS. Or, les cybercriminels pourraient aller encore plus loin, en obtenant par exemple l’accès aux systèmes de publication des votes le soir du scrutin, afin de modifier les résultats affichés ; ils pourraient ainsi faire du véritable vainqueur de l’élection, le perdant et saper ainsi la confiance des électeurs.

Les administrateurs doivent ainsi définir une stratégie d’atténuation des attaques DDoS en amont des élections afin d’en assurer la protection. Pour ce faire, il est important qu’ils évaluent le paysage des attaques de déni de service distribué de l’infrastructure électorale et élaborent un plan d’atténuation d’urgence. L’établissement de partenariats pérennes avec un fournisseur de services réseau et un spécialiste de la prévention DDoS permettra également de renforcer la sécurité des élections.

La protection de la démocratie passe avant tout par la protection des élections. Les motivations de telles attaques peuvent être diverses mais les Etats doivent partir du principe que les élections seront victimes de cyberattaques, afin de ne plus être pris par surprise. Il est donc plus que jamais essentiel qu’ils anticipent les menaces afin de garder une longueur d’avance sur les cybercriminels et ainsi protéger la voix des citoyens. (Philippe Alcoy, NETSCOUT)

Cybersécurité, Identité numérique

Geneva, le priseur de censure ?

La censure d’Internet par des gouvernements autoritaires interdit un accès libre à l’information. Des millions de personnes dans le monde bloquées. Des chercheurs viennent de présenter Geneva, un tueur de censure ?

Les tentatives pour échapper à une telle censure se sont transformées en une course sans cesse croissante pour suivre le rythme de la censure sur Internet, en constante évolution et de plus en plus sophistiquée. Les régimes de censure ont eu l’avantage dans cette course. Les chercheurs doivent chercher manuellement des moyens de contourner cette censure. Processus qui prend beaucoup de temps.

Des universitaires américains viennent de présenter à Londres Geneva. Un algorithme capable de contourner les outils mis en place pour bloquer la liberté d’expression sur la toile.

De nouveaux travaux dirigés par des informaticiens de l’Université du Maryland vont-ils modifier l’équilibre de la course à la censure ?

Les chercheurs ont développé un outil baptisé Genetic Evasion (Geneva).

Cette IA apprend automatiquement à contourner la censure.

Elle a été testée en Chine, en Inde et au Kazakhstan. Genèva a trouvé des dizaines de façons de contourner la censure en exploitant des bogues.

Des « accès » pratiquement impossibles à trouver manuellement.

Cette intelligence artificielle a été présentée lors de la 26e conférence sur la sécurité des ordinateurs et des communications (ACM – Londres). « Avec Genèva nous avons pour la première fois, un avantage majeur dans cette course, déclare Dave Levin, professeur assistant en informatique à l’UMD. Geneva représente le premier pas contre les censeurs. »

Et gagner cette course signifie permettre la liberté de parole à des millions d’utilisateurs à travers le monde.

Android, backdoor, Cybersécurité, Identité numérique

Une nouvelle campagne de ransomware Android propagée par le carnet d’adresses des victimes

Les rançongiciels pour Android sont peut-être en baisse depuis 2017, mais ils n’ont pas disparu pour autant. Des chercheurs ont récemment découvert une nouvelle famille de logiciels de rançon, Android/Filecoder.C. En utilisant les listes de contacts des victimes, il tente de se propager par SMS en envoyant des liens malveillants.

Ce nouveau ransomware tout d’abord distribué ses liens malveillants via des fils de discussion sur la thématique pornographique du site Reddit. Le profil d’utilisateur utilisé a été signalé par ESET, mais est toujours actif à l’heure actuelle. La campagne a également brièvement ciblé le forum « XDA developers », destiné aux développeurs Android ; Après avoir été alertés, les opérateurs ont retiré les messages malveillants.

La campagne que nous avons découverte est de faible envergure et plutôt amateur. De plus, le logiciel lui-même est défectueux — surtout en ce qui concerne le chiffrement. Tous les fichiers peuvent être récupérés sans payer de rançon. Cependant, si ses auteurs corrigent les failles et que la distribution prend de l’ampleur, ce nouveau logiciel de rançon pourrait devenir une menace sérieuse.

Ce malware se distingue par son mécanisme de diffusion. Avant de commencer à chiffrer les fichiers de sa victime, il envoie un lot de SMS aux contacts de la victime, les incitant à cliquer sur un lien malveillant menant au fichier d’installation du rançongiciel. « En théorie, cela peut conduire à un afflux d’infections — d’autant plus que le message peut être envoyé en 42 langues. Heureusement, même les utilisateurs les moins sensibilisés doivent remarquer que les messages sont mal traduits. Certaines versions n’ont même aucun sens ! », explique Lukáš Štefanko de che ESET.

Outre son mécanisme de diffusion, Android/Filecoder.C présente quelques anomalies dans son chiffrement. Il exclut les grandes archives (plus de 50 Mo) et les petites images (moins de 150 Ko), et sa liste des types de fichiers à cibler contient de nombreuses entrées sans rapport avec Android, tout en n’ayant pas certaines extensions typiques pour ce système. En fait, cette liste semble provenir du célèbre ransomware WannaCry.

Il y a aussi d’autres éléments intrigants : contrairement aux logiciels de rançon Android classiques, Android/Filecoder.C n’empêche pas l’utilisateur d’accéder à l’appareil en verrouillant l’écran. De plus, la rançon n’est pas prédéfinie, mais créée dynamiquement en utilisant l’ID utilisateur attribué au moment de l’infection. Ce processus se traduit par un montant de rançon aléatoire compris entre 0,01 et 0,02 BTC.

Il s’agit d’une pratique inédite, probablement destinée à attribuer les paiements aux victimes. « Cette tâche est généralement résolue en créant un portefeuille Bitcoin unique pour chaque victime. Mais ici l’attaquant n’utilise qu’un seul portefeuille Bitcoin », observe Lukáš Štefanko.

Base de données, Chiffrement, cryptage, Cybersécurité, double authentification, Entreprise, Fuite de données, ID, Identité numérique, Mise à jour, Particuliers, Patch, RGPD, Securite informatique, Vie privée

Problèmes dans un ancien logiciel G Suite

Google révèle, mardi 21 mai 2019, deux failles de sécurité dans un ancien outil de sa solution G Suite Pro. Le stockage des mots de passe des clients pas des plus sécurisé. Un problème depuis 14 ans.

Problème de stockage pour les mots de passe ! Voilà ce qu’indique le géant Google dans un communiqué de presse diffusé ce mardi 21 mai. Depuis 2005, un outil de la solution G Suite pour professionnel, situé dans la console d’administration, stockait les mots de passe « de manière simplifiée« . Seuls concernés, les clients d’entreprise G Suite. Pas les comptes Gmail classiques.

Deux bogues concernant les mots de passe

Cette faille de sécurité date d’un ancien outil des années 2000. « L’outil permettait aux administrateurs de charger ou de définir manuellement les mots de passe des utilisateurs de leur entreprise, indique la firme américaine. L’intention était d’aider à intégrer de nouveaux utilisateurs; par exemple, un nouvel employé pouvait recevoir les informations de son compte et le récupérer. » Google confirme avoir commis une erreur en mettant en œuvre la fonctionnalité de définition de mot de passe de cet outil en 2005. Les mots de passe créés via cet outil étaient stockés sur disque sans passer par l’algorithme de hachage de mot de passe standard de Google. « Les employés ou des intrus ne pouvaient ni voir ni lire les mots de passe en clair. » explique Google.

Problème minime ?

La société parle d’une découverte effectuée en 2019. Elle déconseille d’utiliser l’outil et corrige le problème. « Nous n’avons vu aucune preuve d’accès incorrect ou d’utilisation abusive des mots de passe concernés« , écrit Google.

L’entreprise a également révélé un deuxième incident au cours duquel la plate-forme G Suite avait stocké des mots de passe sans les transmettre via son algorithme habituel de hachage des mots de passe. Ce second incident a été mis au jour alors que le personnel « résolvait les nouveaux flux d’inscription des clients G Suite« .

Google affiche qu’à partir de janvier 2019, G Suite avait stocké les mots de passe définis lors de la procédure d’inscription sous une forme simplifiée. Comme lors du premier incident, les mots de passe ont finalement été chiffrés lors de leur enregistrement sur le disque. Ce deuxième lot de mots de passe non hachés stocké pendant 14 jours. La société a annoncé avoir déjà averti les administrateurs de G Suite et leur avait demandé de réinitialiser les mots de passe des utilisateurs définis à l’aide de l’ancien outil G Suite. « Par précaution, nous allons réinitialiser les comptes des administrateurs qui ne l’ont pas fait eux-mêmes« .

Risque minime donc pour la sécurité des clients impactés. Un malveillant aurait dû, pour intercepter les données, s’inviter dans l’infrastructure de Google et retrouver sa cible !

Une fuite bien loin de celle ayant impacté Facebook et Instagram, en mars 2019 et les millions de mots de passe stockés en clair. (Zdnet)

Chiffrement, cryptage, Cybersécurité, ID, Identité numérique, Particuliers, Securite informatique

Secure File Transfer : nouveau site de téléchargement en mode chiffré

3 commentaires

Une société néerlandaise met en ligne un concurrent à Wetransfer. Originalité du service, utiliser le chiffrement bout-à-bout pour sécuriser les communications.

L’entreprise KPN vient de mettre en ligne un nouveau service de transfert de fichiers. Son nom : Secure File Transfer. SFT permet de diffuser ses fichiers comme Wetransfer.

A la différence de ce dernier, Secure File Transfer propose un chiffrement de type bout-en-bout. Le système est assez étonnant.

Si vous souhaitez envoyer un fichier, un code QR apparaît. Il faut transférer l’information à votre destinataire sous forme de photographie. Ce dernier doit scanner l’image avec sa webcam afin de pouvoir télécharger le document que vous souhaitez lui transmettre. Vous pouvez communiquer jusqu’à 4go de données. L’expéditeur peut paramétrer la durée de disponibilité et le nombre de téléchargement possible.

Une fois votre fichier téléchargé, un QR Code est généré, ainsi qu’un lien de transfert. Il est possible de rajouter un mot de passe.

La version bêta de ce service est accessible.