Archives de catégorie : Identité numérique

Fuite de données sensibles concernant des juges

Un document papier retraçant les identités, les adresses et les numéros de téléphones de dizaines de juges découvert… par terre !

Le moins que l’on puisse dire est que les fuites de données peuvent prendre toutes les formes possibles et imaginables. 126 juges canadiens viennent de découvrir les joies du document ulta sécurisé, tellement qu’il n’existe qu’en version papier… mais qui se retrouve au sol, sur une place de parking. Un dossier comprenant les identités, les adresses postales privées, les numéros de téléphones de juges. Une tête en l’air l’a oublié ? la fait tomber ?

Comme l’indique nos cousins de « La Presse« , une copie a été retrouvée sur la place de stationnement d’un commerce des Laurentides. Un document qui n’existerait pas en mode numérique [ils l’ont tapé avec une vieille machine à écrire ?, NDR], sur aucun serveur et qu’il « est interdit de transmettre par voie électronique » [donc en numérique !, NDR].

Plus étonnant, cette liste, en plus des données professionnelles, comporte aussi les données privées, dont les identités des conjoints. Vue l’ambiance locale entre les nombreuses affaires de corruptions, de détournement d’argent, une telle liste pourrait être particulièrement préjudiciable pour le pays et ces hommes de loi.

Des politiques Indiens attaqués par un mystérieux Legion Group

Plusieurs politiques Indiens ont été victimes de piratages informatiques signés par un mystérieux collectif Anonymous prénommé Legion Group. Les pirates annoncent s’être aussi attaqués aux institutions bancaires du pays.

Au cours de ces derniers jours de décembre 2016, une dizaine de comptes Twitter d’hommes et de femmes politiques Indiens (Rahul Gandhi, Vijay Mallya, Ravish Kumar, Barkha Dutt) ont été piratés par un mystérieux collectif d’hacktivistes signant leurs actes sous le pseudonyme de Legion Group. Pour annoncer leurs actions, ils ont affiché plusieurs messages sur les comptes malmenés des politiques et de plusieurs journalistes de la télévision nationale : « Remember kids, e-mail us at legion_group@xxxxx.org if you have useful information or sp00lz.« 

En novembre dernier, le vice-président du Congrés [Indian National Congress], Rahul Gandhi, avait été piraté par le même groupe. Des traces de Legion group ont été retrouvées à Bangalore, aux États-Unis, en Suède, au Canada, en Thaïlande et en Roumanie. Bref, les proxies tournent à plein. Le porte-parole, qui risque d’être l’unique membre de cette team, a indiqué agir sans aucun motif politique. « Notre prochaine cible, les banques du pays » affirme le pirate. Parmi les cibles annoncées : sansad.nic.in [Registar indien], et le système bancaire du pays. « Le système bancaire de l’Inde est profondément défectueux et a été piraté à plusieurs reprises » déclare Legion Group, sans apporter cependant la moindre preuve. Bref, peu importe le continent, les pirates sont tous les mêmes !

Nouveau piratage Yahoo : Des Français concernés

Un nouveau piratage informatique de Yahoo! vient d’être confirmé par le géant de l’Internet Américain. Cette fois, 1 milliard de données clients sont concernées. Des Francophones sont visées par cette fuite de données massive.

Depuis quelques heures, Yahoo!, partout dans le monde, écrit aux clients de ses services (mails, …) concernés par une nouvelle fuite de données concernée par un nouveau piratage de données. Comme le confirmait ZATAZ.COM depuis le mois d’août 2016, les attaques et fuites d’informations sensibles appartenant au géant américain ne font que commencer tant les failles et « tuyaux percées » étaient nombreux.

En novembre 2016, les autorités policières ont fourni à Yahoo des fichiers de données qu’un tiers déclarait être des données d’utilisateurs Yahoo. « Nous avons analysé ces données avec l’aide de spécialistes externes et avons découvert qu’il s’agit de données d’utilisateurs Yahoo » indique le courriel envoyé aux internautes Francophones concernés. D’après les résultats de l’analyse plus approfondie qu’ont réalisé les spécialistes sur ces données, un tiers (1 seul ?) non autorisé a dérobé en août 2013 des données associées à un ensemble de comptes utilisateur « y compris le vôtre » annonce la missive. « Nous n’avons pas été en mesure d’identifier l’intrusion associée à ce vol. Nous avons des raisons de penser que cet incident est probablement distinct de celui que nous avons révélé le 22 septembre 2016« .

Il est possible que les informations dérobées dans les comptes utilisateur concernent des noms, des adresses mail, des numéros de téléphone, des dates de naissance, des mots de passe cryptés (au format MD5) et, dans certains cas, des questions/réponses chiffrées ou non chiffrées concernant la sécurité. Votre compte ne comporte peut-être pas toutes ces données. Les recherches indiquent que les informations dérobées n’incluent ni les mots de passe en texte clair, ni les données de carte de paiement, ni les informations concernant les comptes bancaires. Les données de carte de paiement et les informations relatives aux comptes bancaires ne sont pas stockées dans le système que nous pensons être concerné. Pour ce qui concerne le mot de passe, un « simple » hash MD5 qui se « crack » très rapidement si votre mot de passe est connu des bases de données.

Nous vous invitons à suivre ces recommandations concernant la sécurité :

  • Changez vos mots de passe et les questions/réponses de sécurité de vos autres comptes si vous avez repris des informations identiques ou semblables à celles que vous utilisez pour vous connecter à Yahoo.
  • Examinez vos comptes à la recherche de toute trace d’activité suspecte.
  • Faites preuve de la plus grande prudence si vous recevez des mails non sollicités vous demandant de fournir des informations personnelles ou qui vous envoient sur une page Web où vous devez indiquer des informations personnelles.
  • Évitez de cliquer sur des liens ou de télécharger des pièces jointes à des mails suspects.

Par ailleurs, pensez à utiliser une clé de compte Yahoo : cet outil d’authentification simple évite d’avoir à utiliser un mot de passe pour vos connexions avec Yahoo. Je vous conseille aussi, mais je ne suis pas le seul, à utiliser la double authentification, dont celle proposée par Yahoo! depuis peu ou encore Dailymotion, Google, Linkedin, Facebook, Twitter, Amazon ou encore votre propre site Internet.

Stegano, un malware publicitaire infectant de nombreux sites Internet

Découverte de Stegano, un nouveau kit d’exploitation se propageant via des campagnes publicitaires. De très nombreux sites Internet à forte notoriété ayant des millions de visiteurs quotidiens ont été touchés. Au cours des deux derniers mois, Stegano a été affiché auprès de plus d’un million d’utilisateurs. Stegano se cache dans les images publicitaires (en Flash) affichées sur les pages d’accueil des sites Internet.

Depuis le début du mois d’octobre 2016, des cybercriminels ciblent les utilisateurs d’Internet Explorer et analysent leur ordinateur pour détecter les vulnérabilités dans Flash Player. En exploitant leurs failles, ils tentent de télécharger et d’exécuter à distance différents types de malwares.

Ces attaques se rangent dans la catégorie des publicités malveillantes, c’est-à-dire que des codes malicieux sont distribués via des bannières publicitaires. La victime n’a même pas besoin de cliquer sur la publicité : il suffit qu’elle visite un site Internet l’affichant pour être infecté. Elle est alors renvoyée automatiquement vers un kit d’exploitation invisible permettant aux cybercriminels d’installer à distance des malwares sur son ordinateur.

« Certaines des charges utiles que nous avons analysées comprennent des chevaux de Troie, des portes dérobées et des logiciels espions, mais nous pouvons tout aussi bien imaginer que la victime se retrouve confrontée à une attaque par ransomware, » explique Robert Lipovsky, senior malware researcher chez ESET. « Cette menace montre combien il est important d’avoir un logiciel entièrement patché et d’être protégé par une solution de sécurité efficace et reconnue. Si l’utilisateur applique ces recommandations, il sera protégé contre ce genre d’attaque.» poursuit Robert Lipovsky.

« Stegano » fait référence à la sténographie, une technique utilisée par les cybercriminels pour cacher une partie de leur code malveillant dans les pixels d’images présents dans les bannières publicitaires. Ceux-ci sont masqués dans les paramètres contrôlant la transparence de chaque pixel. Cela entraîne un changement mineur des tons de l’image, rendant ces derniers invisibles à l’œil nu pour la victime potentielle.

Pour vous protéger, bannissez Flash de vos ordinateurs !

Comment renforcer la sécurité de vos mots de passe en 5 étapes

Le piratage des comptes Twitter et Pinterest de Mark Zuckerberg a été lié à la fameuse fuite de données subie par LinkedIn, et facilité par le fait que le milliardaire utilisait les mêmes mots de passe sur plusieurs comptes. Cette histoire constitue une bonne raison pour vous inciter à renforcer la sécurité de vos mots de passe. S’assurer de sa sécurité en ligne ne doit pas nécessairement être tâche compliquée : avec les bons outils, vous pouvez vous protéger tout en économisant votre temps et votre énergie.

Voici 5 conseils pour vous assurer que vos comptes personnels soient aussi sûrs que possible :

1. Créer des mots de passe n’a jamais été notre fort. Utilisez un gestionnaire dédié.
Chaque jour apporte son lot d’histoires de piratage, certaines ayant pour origine les fuites de données vers le dark Web d’il y a 4 ans. Malgré cela, nous continuons à réutiliser les mêmes mots de passe pour différents comptes en dépit de risques évidents. Bien souvent, au moment de l’annonce d’un piratage, il est déjà trop tard, mais il est possible de prendre des précautions afin de sécuriser nos données.

En évitant d’utiliser plusieurs fois le même mot de passe, les pirates ne peuvent pas prendre possession de plusieurs comptes en cas de fuite. Les gestionnaires tels que LastPass offrent une solution sécurisée pour générer des codes longs, complexes et uniques sans avoir recours à sa mémoire ou à des bouts de papier. Mieux : ces outils simplifient l’importation des identifiants de l’ensemble des comptes associés à une adresse e-mail donnée, sans oublier que ces données sont également chiffrées.

2. N’enregistrez pas vos mots de passe sur votre navigateur.
Bien que pratique, stocker des mots de passe en local sur un navigateur est dangereux et vous rend, vous et vos identifiants, vulnérables en cas de piratage. Ce confort est en effet la raison-même pour laquelle ces applications sont moins sécurisées et robustes. Les gestionnaires de mots de passe, eux, apportent un plus en vous aidant à gérer votre vie en ligne. Le chiffrement et le déchiffrement s’effectuent en local. Leurs protocoles de vérification vous évitent de partager votre mot de passe principal à mauvais escient et d’offrir l’accès à vos données.

3. Activez l’authentification à deux facteurs sur l’ensemble de vos comptes, y compris vos messageries.
En activant l’authentification à deux facteurs (2FA) sur vos comptes importants, même si un pirate possède votre mot de passe, il lui faudra une information supplémentaire (un code à usage unique généré à partir d’une application sur votre téléphone, ou une empreinte digitale). Cette méthode est incroyablement précieuse pour votre adresse e-mail, qui sert essentiellement de passerelle pour l’ensemble de votre activité en ligne, y compris vers votre compte bancaire, vos cartes de crédit, ou encore vos investissements.

4. Renforcez votre code PIN.
Les codes PIN à 4 chiffres sont la norme sur nos téléphones portables. Cela dit, nous vous recommandons vivement de vous rendre dans les paramètres de votre appareil et de créer un code plus long. Et évitez de reproduire celui de votre carte bancaire, ou d’utiliser le code d’accès à votre compte en banque en ligne.

5. N’oubliez pas les questions de sécurité.
Beaucoup de comptes en ligne vous invitent à choisir des questions de sécurité afin d’ajouter une protection supplémentaire. Cependant, celles-ci laissent clairement à désirer et constituent pour beaucoup le maillon faible de leur système de sécurité en ligne. Si vous utilisez un gestionnaire de mots de passe, profitez de la fonction de génération automatique pour répondre à ces questions, puis enregistrez les réponses dans la section « Notes » de votre compte. Le champ correspondant doit ressembler à cela : premier animal de compagnie : ackpioughtso. N’oubliez pas d’utiliser également la fonction de création de codes lisibles (proposée en autres par LastPass). Dans le cas contraire, vous risquez de vous retrouver au téléphone à devoir expliquer à un agent de service client pourquoi les caractères $$%%@@ figurent dans le nom de votre animal de compagnie, ce qui vous compliquera la vie pour pas grand-chose. (Par Joe Siegrist, vice-président et directeur général de LastPass)

Nouveaux services numériques de confiance pour l’Imprimerie Nationale

Le Groupe Imprimerie Nationale présente ses nouveaux services numériques de confiance pour une sécurisation renforcée des identités digitales, et des droits et services associés.

A l’occasion du Salon des Assises de la Sécurité,  le Groupe Imprimerie Nationale, expert mondial en solutions sécurisées d’identité, présentera ses services numériques innovants pour simplifier et sécuriser identités digitales, données sensibles et flux. Document augmenté, sécurité et fiabilité des données personnelles dans l’open data : l’Imprimerie Nationale mettra en avant ses solutions numériques de confiance sur le stand n° 59.

Fidèle à sa tradition d’innovation collaborative au service de la cybersécurité, l’Imprimerie Nationale dévoilera ses solutions intégrant la nouvelle technologie de lutte contre la fraude ; le cachet électronique visible (CEV), signature électronique issue du standard 2D-Doc mis en place par l’ANSSI pour lutter contre la fraude documentaire.  Cette nouvelle version enrichie, disponible à coût très compétitif et très facile à mettre en œuvre, permet  désormais une validation en temps réel via une application mobile qui interroge une base de données pour garantir la validité du document et de son environnement (émetteur, données clé,…).

Cette convergence des sécurités physiques et logiques ouvre la voie à une nouvelle réalité, celle du document  augmenté : évolutif,  infalsifiable, connecté. L’Imprimerie Nationale présentera notamment ses dernières applications réalisées pour le secteur du transport (dispositif d’identification des véhicules  pour les VTC)  et de la protection de l’environnement (certificat qualité de l’air, Crit’Air) utilisant cette technologie.  Dans les deux cas, le CEV permet le contrôle, sur le terrain, par les forces de l’ordre et par les clients pour les VTC, de la conformité des informations.

L’Imprimerie Nationale déploiera en masse cette nouvelle technologie dès 2017  (plus de 30 millions de CEV) dédiée aux numériques de confiance

L’Imprimerie Nationale dévoile également la nouvelle version de sa plateforme Pass’IN, solution all-in-one d’identification forte,  de signature électronique et de contrôle d’accès intégrant la technologie NFC qui facilite et sécurise les échanges des données professionnelles sur tout type de support (tablette, mobile, PC).

Pass’IN permet de rationaliser, unifier, sécuriser et personnaliser la gestion physique et logique des identités et des accès. Cette solution, véritable socle de votre confiance numérique, permet de tracer, chiffrer et sécuriser toutes les étapes du cycle de vie des données sensibles (création, transmission, stockage et lecture) quel que soit votre environnement de travail.

Par sa capacité à investir dans les technologies de rupture et à exploiter tout le potentiel d’une technologie française, l’Imprimerie Nationale anticipe les nouveaux usages et propose à ses clients publics et privés des solutions simples, rapides, économiques et plus sécurisées facilitant ainsi leur transition numérique et les numériques de confiance. L’Imprimerie Nationale se positionne sur toute la chaîne de valeur numérique depuis l’entrée en relation  digitale, la validation, l’émission jusqu’à la gestion complète du cycle de vie et l’exploitation des données sensibles. Opérateur de confiance, elle sécurise de bout en bout l’ensemble des processus numériques.

Les trois principales implications de sécurité de l’IoT

Les professionnels de la sécurité informatique font face depuis une dizaine d’années au raz-de-marée que provoque l’augmentation des connexions d’utilisateurs et de terminaux pour accéder aux ressources de l’entreprise ; dans le même temps, ils s’efforcent de réduire la surface d’exposition aux attaques en éliminant autant de points d’accès que possible.

Pour ce faire, ils procèdent généralement à un inventaire des connexions, ils consolident les systèmes sur le réseau et les serveurs ciblés, ils créent des portails en alternative aux accès à distance, et ils opèrent une corrélation avancée des événements de sécurité au moyen d’une solution centrale de sécurité.

Introduire des dispositifs IoT dans un environnement revient à ajouter un nombre inconnu de nouvelles portes à un bâtiment qui en compte déjà 100 dont l’accès est à peine contrôlé. En 20 ans, nous sommes passés d’un appareil par utilisateur à quatre ou cinq par personne et bientôt nous ne saurons probablement plus combien notre environnement compte de points d’accès exploitables connectés à Internet.

Rien que l’audit et l’inventaire de ces terminaux apparaissent comme des tâches monumentales, or c’est la première étape d’une stratégie de protection efficace. L’accessibilité future de dispositifs IoT sur le réseau a des incidences sur la sécurité. Voici trois implications qu’il convient de garder à l’esprit :

La prolifération des dispositifs IoT augmente la surface d’attaque
Pensez aux conditions d’accueil des personnes dans un grand immeuble de bureaux d’une ville moyenne. Il est possible que de nombreuses portes ne soient pas gardées, mais la progression du flux est guidée vers un guichet d’accueil ou un hall d’entrée central où les personnes titulaires d’un badge le présentent tandis que les autres doivent se soumettre à des procédures de vérification d’identité avant de se voir remettre un badge qui les autorise à aller plus loin. Pour d’autres types d’accès, l’approche n’est pas différente ; en instaurant une connexion centrale de courtage, au moins pour les requêtes émanant de l’extérieur de la surface d’attaque, l’entreprise peut établir des contrôles à un point unique d’entrée/sortie.

Suffisamment anodins pour être ignorés, mais suffisamment intelligents pour être dangereux
On a trop souvent tendance à réduire l’IoT à un grille-pain intelligent. Et c’est une partie du problème.
La plupart des « objets » connectés sont d’une telle simplicité qu’on banalise leur présence ou ce sont des outils ou des fonctions intégrées dont on ignore même l’existence. On en vient à oublier que, tout anodin qu’ils aient l’air, ces dispositifs sont connectés à Internet. Ce qui les rend aussi intelligents que quiconque décidera d’y accéder ou de s’en servir.

L’objet entre vos mains, à qui appartient-il réellement ?
Ce qui nous amène à la troisième préoccupation : à qui appartient réellement ou qui contrôle le dispositif IoT avec lequel vous vivez ? Est-ce vous qui l’entretenez ? Espérons que quelqu’un s’en charge car faute de correctifs et de maintenance, il y a fort à parier que votre dispositif IoT figurera bientôt dans une base de données des vulnérabilités avec le risque d’être exploité immédiatement après. S’il y a effectivement maintenance, qui y a accès ? Et même si vous avez la réponse à cette question, que savez-vous de la politique de sécurité du fournisseur concerné ? Pour revenir au point précédent, votre sécurité dépend de la vigilance dont fait preuve celui à qui vous confiez des droits d’accès au réseau de votre entreprise. Effrayant, non ? Mais à nouveau, c’est en suivant les bonnes pratiques de gouvernance des accès, comme l’utilisation d’une connexion de courtage comme indiqué précédemment, que vous saurez qui a accès à vos systèmes IoT, par quel moyen, où, quand et comment.

Le nombre des points d’accès et des dispositifs connectés présents sur votre réseau va très certainement continuer d’augmenter au cours des prochaines années. Avez-vous adopté des mesures pour prévenir les risques de compromission liés aux dispositifs IoT ? (Par Thierry Tailhardat, Directeur France de Bomgar)

Près de la moitié des français n’achèterait pas à une entreprise piratée

78 % des français souhaitent plus de condamnations et des sanctions plus sévères envers les cyber criminels qui volent les données personnelles.

F5 Networks a présenté dernièrement les résultats d’une étude sur les attitudes des français face au piratage. L’étude révèle que les français prennent conscience des problèmes liés au piratage – avec 47 % qui affirment qu’ils n’ouvriraient pas de compte, ne partageraient pas de données ou n’achèteraient pas à une entreprise déjà piratée par le passé (50 % en UK – 51 % en Allemagne).

Même si 49 % des français changent parfois ou à chaque fois leur mot de passe si une entreprise dans laquelle ils possèdent un compte a été piratée, nous sommes encore 17 % à ne jamais changer nos mots de passe après le piratage d’une entreprise dans laquelle nous possédons un compte (8 % en UK – 9 % en Allemagne).

https://twitter.com/zataz/status/783060182205161472

Les motivations des pirates
Selon les français, les pirates sont principalement motivés par le fait de gagner de l’argent grâce au vol de données personnelles (60 %), suivi par la possibilité de souligner des failles dans l’entreprise et les solutions de sécurité (9 %) puis de dérober des secrets d’affaires (8 %). Nous sommes également près de 60 % à penser que les pirates deviennent plus professionnels (72 % en UK – 64 % en Allemagne) et 22 % à penser que les employés ne reçoivent pas des formations appropriées en matière de cybersécurité.

A qui la faute ?
Les français sont partagés : 39 % d’entre eux pensent que la responsabilité doit être attribuée aux solutions de sécurité elles-mêmes, alors que 37 % pensent que l’équipe IT et sécurité est responsable, si l’entreprise est victime d’une cyber attaque. Alors que les britanniques et les allemands sont plus tranchés : ils sont respectivement 52 % et 53 % à penser que la responsabilité doit être attribuée à l’équipe IT et sécurité. 49 % des français estiment également que les entreprises ne prennent pas assez de mesures pour elles-mêmes et leurs clients afin de se protéger contre les cyber criminels, comparativement à 61 % en Angleterre et 46 % en Allemagne. « Les individus pensent de plus en plus qu’il est de la responsabilité des entreprises de mener la lutte contre les cyber criminels et de s’assurer qu’elles protègent les données de leurs clients. Alors que les consommateurs doivent améliorer leur comportement en ligne en pensant à la sécurité, la protection des données reste la responsabilité de l’entreprise », pense Gad Elkin, directeur de la sécurité EMEA chez F5 Networks.

Que faire ?
Lorsque l’on demande aux consommateurs comment les entreprises doivent-elles améliorer leur façon de se protéger contre les hackers, “Investir dans les technologies de sécurité” arrive en première position dans les trois pays (61 %), suivi par “une meilleure éducation des consommateurs sur la menace” et ”partager leurs (les entreprises) connaissances sur la menace” en troisième position.

Et si les français pouvaient tous pirater…
Si l’étude a également permis de révéler que près d’un français sur 5 place les hackers du côté « des bons » (contre seulement 1 britannique sur 10), ils sont 37 % à citer les banques et 22 % le secteur public, parmi leurs victimes – s’ils pouvaient pirater pour une raison ou une autre (voler des données, découvrir des secrets d’affaires ou gagner de l’argent) sans aucune conséquence.

« Les chiffres de l’étude montrent que l’ensemble des consommateurs à travers l’Europe sont disposés à quitter un prestataire pour choisir un concurrent non piraté. La cyber sécurité devient donc un avantage concurrentiel pour les entreprises et non plus seulement un centre de coûts – et celles-ci doivent trouver comment améliorer leurs propres défenses d’une part, et comment éduquer les consommateurs sur les risques informatiques d’autre part. »

L’état du spam et du phishing au premier trimestre 2016

Une étude sur le spam et le phishing au premier trimestre 2016 montre que le nombre de spams contenant des pièces jointes malveillantes ont augmenté de 50 % au cours des trois premiers mois de 2016.

Bitdefender, spécialiste des solutions de sécurité informatique souligne quelques tendances de fond au cours du premier trimestre 2016. Les spammeurs utilisent des techniques d’attaque de plus en plus pointues et ciblées contrairement à l’envoi en masse de spam, chose courante ces dernières années. Les services de partage de fichiers et de stockage dans le Cloud sont devenus des cibles privilégiées par les pirates pour diffuser des codes malveillants. VBS Downloader, Upatre, Andromeda et JS Downloader ont été les downloaders les plus bloqués par Bitdefender. Ce type de logiciel malveillant est intégré dans des pièces jointes. Une fois installé, le programme télécharge différents malware sur les systèmes infectés. Au premier trimestre 2016, une pièce jointe sur sept contenait un ransomware. Les extensions de fichier les plus utilisées sont les archives (Zip, Rar, etc.), ce qui démontre une volonté d’échapper aux filtres Antispam. Le format ZIP dissimule des fichiers Javascript dans 95% des cas et reste le  moyen de diffusion essentiel du ransomware Locky.

En ce qui concerne le phishing, les modèles d’attaques impliquant les services de partage et de stockage en ligne ont détrôné les secteurs de la vente et du paiement en ligne, traditionnellement prisés des cybercriminels.  Au cours du premier trimestre 2016,  les services les plus touchés étaient Apple, Paypal et Google.

Dans les prochains mois, il est fort probable que les tentatives de spear-phishing, les chevaux de Troie et les ransomwares tendront à augmenter en raison des réussites récentes (et lucratives) de fuite de données sensibles utilisant les identifiants de responsables gouvernementaux, de chefs d’états ou, des personnalités politiques etc. par les cybercriminels. Les évènements internationaux majeurs tels que les élections présidentielles américaines, les Jeux Olympiques, le soutien à des œuvres humanitaires par exemple, constituent autant d’opportunités à exploiter par les cybercriminels.

Chiffrement : 27% des certificats sur Yahoo non réédités

Selon Venafi, Yahoo n’a pas pris les mesures pour se protéger et utilise des pratiques de chiffrement très faibles.

Chiffrement : Les équipes du laboratoire de recherche Vénafi – « Venafi Labs », ont analysés des données via TrustNet, la base de données mondiale sur les « Certificate Intelligence » et ont constaté que 27% des certificats sur Yahoo n’ont pas été réédités depuis janvier 2015. Même si les certificats sont remplacés, ce qui pourrait réduire les dégâts, Yahoo ne peut avoir la certitude que les hackers n’ont pas les accès actuels aux communications cryptées. Seulement 2,5% des 519 certificats déployés l’ont été durant les 90 derniers jours. Il est donc très probable que Yahoo! n’ait pas la capacité de trouver et remplacer des certificats numériques rapidement… Et malheureusement c’est un problème très commun, même pour les grandes organisations qui ont une présence importante en ligne.

Les données étudiées par « Venafi Labs » comportent un nombre impressionnant de certificats Yahoo qui utilisent MD5, une fonction de hachage cryptographique pouvant être renversée par une attaque brutale : MD5 souffre de sérieuses failles qui sont par ailleurs très bien connues. Par exemple Flame, une famille de logiciels malveillants souvent utilisés par les départements espionnage de certains pays, a exploité une vulnérabilité MD5. Tous les certificats MD5 utilisés par Yahoo aujourd’hui et bien d’autres certificats évalués par « Venafi Labs » sont émis par les entreprises elles-mêmes. Un certificat MD5 actuel utilise des caractères génériques (*.yahoo.com) et a une date d’expiration de 5 ans. Les certificats de ce type (avec des dates d’expirations très longues et émis par les entreprises elles-mêmes ou encore ceux qui utilisent des caractères génériques) sont tous les symptômes d’un contrôle cryptographique très faible.

Chiffrement faible !

41% des certificats de Yahoo sur l’ensemble des données de TrustNet utilisent SHA-1, un algorithme de hachage qui n’est plus considéré comme sécurisé contre des détracteurs disposant de gros moyens financiers. Les principaux vendeurs de navigateurs ont déclaré qu’ils arrêteraient les certificats SHA-1 en janvier 2017. « N’importe laquelle de ces questions cryptographiques, laisserait une organisation extrêmement vulnérable aux attaques des communications cryptées et leur authentification. explique Hari Nair, Cryptographic researcher chez Venafi. Au niveau collectif, cela soulève de sérieuses questions sur le fait que Yahoo puisse avoir la visibilité et la technologie nécessaire pour protéger les communications cryptées et assurer aux utilisateurs leur vie privée.« .

Yahoo n’a pas remplacé ses clés cryptographiques et ses certificats numériques durant les 90 derniers jours, en aucune façon cela ne pourrait représenter une réaction coordonnée face à une intrusion. Fait encore plus troublant, les fragilités connues sur les certificats MD5 associées avec des « Wildcard certificate » qui ont une date d’expiration de 5 ans, montrent clairement que Yahoo manque d’une vision approfondie sur sa position au niveau de la sécurité informatique. Les organisations utilisent le chiffrement pour tout sécuriser – sans une connaissance approfondie de risques cryptographiques, il n’y a absolument aucun moyen d’être certain de préserver sécurité et vie privée.