Archives de catégorie : Particuliers

Actualités liées à la sécurité informatique des particuliers et à la vie privée.

Cybersécurité, Entreprise, Espionnae, Fuite de données, loi, Particuliers, Social engineering

La stratégie Américaine de contre-espionnage pour 2016

Le National Counterintelligence Strategy des Etats-Unis d’Amérique revient sur son plan d’action pour l’année 2016. Mission, tenter de bloquer l’espionnage sur le sol de l’Oncle Sam.

La stratégie de contre-espionnage national des États-Unis d’Amérique 2016 a été élaborée  conformément à la Loi de mise en valeur de contre-espionnage de 2002 (n° 107-306 Pub.L., 116 Stat. 2 383 – 50 USC sec. 3383 (d) (2)). La stratégie établit la manière dont le gouvernement des États-Unis (US) permettra d’identifier, de détecter, d’exploiter, de perturber et de neutraliser toutes les menaces d’espionnages par des entités de renseignement étrangères (Foreign intelligence entity – FIE).

Le document fournit des conseils pour les programmes de contre-espionnage (counter intelligence – CI) et les activités du gouvernement américain visant à atténuer ces menaces. « Chaque ministère et organisme du gouvernement américain a un rôle dans la mise en œuvre de cette stratégie dans le contexte de sa propre mission et par l’application de ses responsabilités et des pouvoirs uniques, explique le document. Rien dans la présente stratégie doit être interprétée comme une autorisation de mener des activités de CI« .

Dans ce fichier, plusieurs points liées au numérique comme le « Cyber Effect » qui regroupe la manipulation, la perturbation, le déni, la dégradation ou la destruction d’ordinateurs, d’information ou de communication des systèmes, des réseaux , des infrastructures physique ou virtuel contrôlées par des ordinateurs ou des systèmes d’information, ou des informations qui y résident.

Base de données, Cybersécurité, Emploi, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, Justice, loi, Particuliers

Accord sur la protection des données personnelles : oui à la protection de nos vies privées !

Les négociations sur le paquet protection des données personnelles ont abouti mardi 15 décembre. C’est un succès pour les eurodéputé-e-s socialistes et radicaux. Nous voulions un accord dans le PNR ; il était pour nous indissociable de la protection des données personnelles. La commission des libertés civiles s’est prononcée aujourd’hui, et avant une adoption en plénière prévue au début 2016, en même temps que le PNR européen, ce que nous exigions.

Les données personnelles des Européens ont une valeur estimée aujourd’hui à 315 milliards d’euros, qui pourrait s’élever à 1 000 milliards d’euros en 2020 ! Elles sont donc l’objet de bien des convoitises. Le rôle de l’Europe, et tout particulièrement du Parlement européen, est de les protéger. Nous devions nous battre afin d’améliorer la législation sur la  protection des données devenue largement obsolète. Aujourd’hui, 97% de nos données transitent par le net alors que la législation encore en vigueur date d’avant le développement de la toile !

Parce que la technologie donne de nouveaux moyens de surveillance à la police et la justice, il était indispensable de bâtir un socle de garanties pour les droits et libertés des citoyens, tout en autorisant les forces de sécurité à échanger des informations de manière plus rapide et plus efficace. Nous sommes parvenus à un juste équilibre entre la protection des droits fondamentaux des citoyens et le renforcement de l’efficacité de la coopération policière dans l’ensemble de l’Union européenne.

Quant au bruit des derniers jours concernant l’accès des jeunes aux réseaux sociaux, nous nous félicitons, au Parlement, que la raison l’ait finalement emporté au Conseil. Le Parlement européen a en effet toujours défendu un accès libre aux réseaux sociaux pour les enfants à partir de 13 ans. Malheureusement, certains États membres au sein du Conseil privilégiaient une approche plus restrictive – et hors des réalités – avec un accès sans consentement parental seulement à partir de 16 ans ! Vouloir interdire l’accès libre aux réseaux sociaux aux moins de 16 ans relevait pourtant de l’absurde et risquait de discréditer l’Europe à leurs yeux et à ceux de bien de leurs parents. Quiconque a des enfants sait déjà que « tenir » jusqu’à 13 ans relève de l’impossible…. La sagesse était d’en rester à un relatif statu quo, en permettant aux États membres de fixer librement l’âge auquel un mineur peut s’inscrire sur les réseaux sociaux sans consentement parental.

Tout au long des débats, qui ont duré quatre ans, nous avons veillé à renforcer les droits des internautes en leur permettant de mieux contrôler leurs données, notamment en cas d’usage abusif. Droit à l’effacement, voies de recours, informations sur la façon dont les données sont traitées, encadrement des transferts de données des Européens vers les pays tiers, possibilités de profilage strictement limitées, sanctions en cas de non-respect des règles : avec cette réforme, l’Union sera dotée des standards de protection de la vie privée les plus élevés au monde ce qui, compte tenu de son poids démographique et économique, permettra d’influencer la norme du reste de la planète.

BYOD, Cloud, Cyber-attaque, Cybersécurité, Entreprise, Espionnae, Leak, Logiciels, Microsoft, Particuliers, Piratage, Social engineering

Dropbox utilisé par des pirates Chinois

Des pirates Chinois utiliseraient DropBox dans leurs attaques informatiques. Loin d’être une nouveauté, Dropbox est apprécié par les malveillants pour sa simplicité « cloudesque » !

La société américaine FireEye a annoncé avoir découvert une nouvelle attaque phishing lancée par un groupe de pirates Chinois. Ces derniers, comme des pirates que zataz a pu vous indiquer provenant d’Afrique ou de plusieurs pays de l’Est, utilisent Dropbox dans leur attaque.

Ces pirates utilisent le service de stockage pour sauvegarder leurs outils malveillants. Ils diffusent ensuite les liens Dropbox à leurs cibles. FireEye explique que depuis Août, ce « phishing » exploitant Dropbox aurait visé des militants tibétains, ainsi que des dizaines d’organisations basées au Bangladesh, au Népal, et au Pakistan.

Les pirates utilisent, entre autres, le RAT (logiciel espion) Poison Ivy. Dropbox a fait disparaître, depuis, les logiciel incriminés.

Base de données, Cybersécurité, Emploi, Entreprise, Fuite de données, ID, Identité numérique, Justice, loi, Mise à jour, Particuliers

Obligation de notification en cas de fuite de données

Les entreprises des Pays-Bas vont être obligées de notifier leurs clients en cas de fuite de données dès janvier 2016.

Alors que la France est toujours en attente d’une vraie obligation de protéger les utilisateurs d’Internet face à une fuite de données visant les entreprises hexagonales, les sociétés Néerlandaises vont être obligées d’alerter leurs clients en cas de piratage de leurs bases de données.

Les entreprises néerlandaises vont devoir, dès janvier 2016, alerter la CNIL locale, la DPA, et les personnes ciblées par une fuite de leurs données personnelles en cas de piratage, backup oublié, perte d’un ordinateur… L’absence de notification pourra conduire à des amendes allant jusqu’à 500 000 €.

Toutes les entreprises locales, ou étrangères, ayant des serveurs au Pays-Bas, sont concernées par cette loi. Bilan, si un hébergeur Français, Suisse, Belge, Américain… se fait pirater sur le sol Néerlandais, il aura obligation d’en informer les autorités.

En Europe

Depuis le 25 août 2013, le règlement européen n° 611/2013 met en place une procédure d’information en cas de piratage de données d’un opérateur de services de télécommunications ou d’un fournisseur de services internet permettant à un tiers d’accéder à des données à caractère personnel (nom, adresse ou coordonnées bancaires par exemple).

Cette procédure comprend 3 obligations à la charge du professionnel :

  • La notification des faits auprès de la Commission nationale informatique et libertés (CNIL) dans un délai de 24 heures après leur constatation (avec un document normalisé et identique pour tous les membres de l’Union européenne),
  • La fourniture d’une description des données concernées et des mesures déjà prises ou qui seront prises,
  • Une évaluation de la nécessité d’informer ou non les abonnés, en fonction du type de données ayant fait l’objet d’une violation.
Argent, Arnaque, cryptolocker, Cybersécurité, Entreprise, escroquerie, Logiciels, Particuliers, ransomware, Social engineering

Des mails « alerte terrorisme » pour infiltrer les entreprises

De faux courriels annonçant aux entreprises qu’elles sont de potentielles cibles de terroristes cachent un fichier malveillant.

Un mail inquiétant a été diffusé au Canada, Dubaï, Bahreïn ou encore en Turquie indiquant aux entreprises ciblées par la missive qu’elles étaient des cibles potentielles d’actes de terroristes. Les escrocs derrières ces courriels surfent sur les craintes de nouvelles attaques meurtrières des membres de la secte de Daesh. Des attaques de type phishing comme on a pu le connaitre lors de médiatiques catastrophes, comme ce fût le cas pour le Tsunami qui a touché des plages Thaïlandaises en 2004.

Dans ce nouveau cas, les pirates conseillent aux lecteurs d’alerter leurs collaborateurs et familles. Ils incitent aussi à cliquer sur les pièces jointes. L’un de ces fichiers n’est rien d’autre qu’un logiciel espion. Les escrocs ont, avant de lancer leur attaque, organisé un social engineering qui leur a permis de collecter suffisamment d’information sur leurs cibles pour crédibiliser le contenu de leurs faux messages d’alertes.

backdoor, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Particuliers, Phishing, Piratage, ransomware, Social engineering, Vie privée

La menace du phishing plane sur les PME : trois étapes pour éviter le pire

Les attaques informatiques ciblant de grands groupes, comme TV5monde, font régulièrement la une des journaux. Selon le rapport 2014 PwC sur la sécurité de l’information, 117 339 attaques se produisent chaque jour au niveau mondial. Depuis 2009, les incidents détectés ont progressé de 66 %.

Ce type d’attaques, très répandue, cible en grande partie les PME. Selon un rapport de l’ANSSI, 77 % des cyber-attaques ciblent des petites entreprises. Les conséquences peuvent être désastreuses pour ces structures à taille humaine, n’ayant pas forcément la trésorerie suffisante pour assurer leur activité en attendant le remboursement de leur assurance. Le coût d’une attaque peut s’avérer très élevé et la crédibilité de l’entreprise visée peut également en pâtir. Suite à une attaque informatique du type « fraude au président », la PME française BRM Mobilier a ainsi perdu cet été 1,6 M€ et se trouve aujourd’hui en redressement judiciaire.

En mai dernier, le PMU a effectué un test grandeur nature en envoyant un faux email, proposant de gagner un cadeau, avec une pièce jointe piégée. Résultat : 22% des salariés ont téléchargé la pièce jointe et 6% ont cliqué sur le lien contenu dans l’email et renseigné leurs données personnelles.

Comment éviter que ce type de scénario ne vire à la catastrophe ?

1 – Connaitre le déroulé d’une attaque
Le phishing, également appelé hameçonnage, est une technique employée par les hackers pour obtenir des données personnelles, comme des identifiants ou des données bancaires. Le déroulement est simple : le hacker envoie un email en usurpant l’identité d’un tiers de confiance, comme un partenaire, un organisme bancaire, un réseau social ou encore un site reconnu. L’email contient une pièce jointe piégée ou un lien vers une fausse interface web, voire les deux. Si le subterfuge fonctionne, la victime se connecte via le lien, et toutes les informations renseignées via la fausse interface web sont transmises directement au cybercriminel. Autre possibilité : la pièce jointe est téléchargée et permet ainsi à un malware d’infester le réseau de l’entreprise.

2 – Comprendre la dangerosité d’une attaque pour l’entreprise
Pour les entreprises, le phishing peut s’avérer très coûteux. Il est bien évidemment possible que le hacker récupère les données bancaires pour effectuer des virements frauduleux. Puisque nous sommes nombreux à utiliser les mêmes mots de passe sur plusieurs sites, les informations recueillies sont parfois réutilisées pour pirater d’autres comptes, comme une messagerie, un site bancaire, ou autre. De trop nombreuses personnes utilisent les mêmes mots de passe sur plusieurs sites – il est aussi possible que le hacker réutilise les informations recueillies pour pirater une boite mail, ou un compte cloud. Le cybercriminel peut ainsi consulter l’ensemble de la boîte mail, ou des comptes de sauvegarde cloud, et mettre la main sur des documents confidentiels, comme des plans ou des brevets, pouvant nuire à l’entreprise.

Enfin, les hackers profitent du piratage des boîtes mails pour envoyer à tous les contacts un nouvel email de phishing. La crédibilité de l’entreprise peut ainsi être touchée et ses clients pourraient subir à leur tour des pertes.

3 – Se préparer et éduquer avant qu’il ne soit trop tard
Les emails de phishing ont bien souvent une notion « d’urgence », qu’il s’agisse d’une demande pressante de la part d’un organisme ou d’un partenaire, ou d’une participation à un jeu concours « express ». Le but étant bien évidemment de ne pas laisser le temps à la victime de prendre du recul.

Comprendre le procédé d’une attaque est la première étape pour organiser sa défense. Il faut donc éduquer les salariés et leur donner quelques astuces pour ne pas tomber dans le piège :
– faire attention aux fautes d’orthographe : bien que les emails de phishing soient de mieux en mieux conçus, on y retrouve régulièrement des erreurs de syntaxe ou d’orthographe.
– regarder l’adresse mail ou le lien URL : même lorsqu’un email ou une interface web est une parfaite copie de l’original, l’adresse de l’expéditeur ou l’URL n’est pas la bonne puisqu’elle ne provient pas du même nom de domaine.

Des salariés éduqués et conscients du danger sont le meilleur atout contre les cyber-attaques, en particulier contre le phishing. Mais, cela n’est pas suffisant, notamment sur les terminaux mobiles où nous avons tous tendance à être plus spontanés et donc, à adopter des comportement à risques. Data Security Breach propose des ateliers de formation à la Cyber Sécurité. (Par Marc Antoine Parrinello, Responsable Commercial Entreprises France)

backdoor, Cybersécurité, Espionnae, ID, Identité numérique, IOT, Mise à jour, Particuliers, Patch

Des ondes non audibles capables de lancer votre micro

Méfiez-vous des annonces publicitaires qui peuvent utiliser le son de vos enceintes pour permettre d’écouter votre téléphone, TV, tablette, et PC.

Supposez que votre navigateur Internet ouvre un site web avec une pub, et que celle-ci actionne par ondes acoustiques non-audibles le micro de votre smartphone. De la science-fiction ? Le Centre pour la démocratie et de la technologie (Center for Democracy and Technology) vient d’alerter la Commission Fédérale Américaine, la FTC, que cette possibilité était loin d’être à négliger.

Des entreprises (SilverPush, Drawbridge, Flurry) travaillent sur les moyens de suivre un utilisateur via les dispositifs informatiques qu’il utilise. Adobe développe également des technologies de suivi multi-appareils. A la vue du nombre de failles exploitées par les malveillantes dans les produits Adobe tels que Flash ou PDF, voilà qui a de quoi inquiéter.

La société Californienne SilverPush travaille sur des balises exploitant des ultrasons qu’un homme ne peut pas entendre. « SilverPush intègre également des signaux dans des publicités télévisées » confirme le document du CDT. L’idée de ce traçage, savoir quand le téléspectateur à vue la publicité. A-t-il zappé ? Est-il resté devant ? Cette idée semble être tirée de BadBIOS, un malware découvert par le chercheur Dragos Ruiu, qui utilise, lui aussi, les ultrasons dans ses basses besognes. (ArtTechnica)

Android, Chiffrement, cryptage, Cybersécurité, ID, Identité numérique, ios, Logiciels, Mise à jour, Particuliers, Patch, Sécurité, Smartphone, Windows phone, Wordpress, Wordpress

Double authentification pour votre site web

Un commentaire

Vous avez un site web ? En plus de votre mot de passe d’accès à votre espace d’administration utilisez la double authentification.

Après les modes d’emplois pour mettre en place la double authentification pour Youtube, gMail, Amazon, DropBox, Facebook, DataSecurityBreach.fr vous propose la même sécurité dédiée à votre site Internet. Ce mode d’emploi est à destination des utilisateurs de WordPress.

La validation en deux étapes contribue à protéger le compte d’un utilisateur contre les accès non autorisés au cas où un tiers parviendrait à obtenir son mot de passe. Même si une personne malveillante parvient à décrypter, deviner ou dérober un mot de passe, elle ne peut se connecter si elle ne dispose pas des informations de validation supplémentaires de l’utilisateur. Ces dernières se présentent sous la forme de codes que seul l’utilisateur peut obtenir via son mobile ou via une signature chiffrée contenue dans une clé de sécurité.

Mode d’emploi double authentification WordPress

Commençons par la base, télécharger l’application qu’il faudra installer dans votre smartphone. Plusieurs choix possibles : Google Authenticator ; Authy ; encore FreeOTP ou encore Duo Mobile Authentication. Ensuite, installer sur votre site Internet l’application dédiée. Une fois c’est deux actions réalisées, direction l’espace « utilisateurs » de votre espace web. Sélectionnez votre identité. Dans cette partie, apparait un espace baptisé « Code secret ».

Cliquez, soit sur « créer nouveau code secret » ou « Montrer le QR Code« . Il vous suffit de lancer l’application mobile. Ensuite, sélectionner le menu, en haut à droite du logiciel. De choisir « configurer un compte« . Plusieurs choix : de viser le QR Code avec votre ordiphone (le plus simple). Rentrer le code secret, la clé fournie, généré par l’application dans votre site web. Dorénavant, une seconde entrée de mot de passe apparaît dans votre ouverture d’administration. Il suffira d’y insérer le code fourni par votre téléphone portable.

Des hébergeur tels que OVH propose aussi la double authentification.
Chiffrement, cryptage, Cybersécurité, Facebook, ID, Identité numérique, Logiciels, Mise à jour, Particuliers, Patch, Phishing, Wordpress, Wordpress

Double authentification pour Facebook

Le site communautaire Facebook propose la double authentification. A utiliser sans modération !

Après les modes d’emplois pour mettre en place la double authentification pour Youtube, Google, Amazon, DropBox, voici venir la sécurité dédiée pour Facebook. La double authentification permet de créé un second mot de passe via votre téléphone portable, valable quelques secondes, en plus de votre identifiant de connexion de base. Bilan, si votre mot de passe est subtilisé, le pirate ne pourra pas l’utiliser. Il faut les deux identifiants pour accéder à votre compte.

Mode d’emploi double authentification Facebook

D’abord, connectez-vous à votre compte Facebook. Dans la partie « Paramètres« , option cachée dans le petit menu, en haut à droite, sur la droite du petit cadenas, cliquez sur « Générateur de code« . Votre téléphone vous fournira, via l’application Facebook, un second code à rentrer, en plus de votre mot de passe, lors de toutes connexions via un ordinateur ou appareil non connu. Par exemple, pour les joueurs et utilisateurs de PS4, Xbox One… Facebook vous communiquera un code, par SMS.

Il est possible d’utiliser l’application Authenticator de Google pour générer le précieux second mot de passe. Un code qui change toutes les 30 secondes. A noter que des sociétés Françaises telles que Gandi ou encore OVH utilisent aussi la double authentification pour protéger leurs clients.

Cybersécurité, Facebook, ID, Identité numérique, Particuliers, Social engineering

Photo Magic : Facebook va s’inviter dans vos photos

Un commentaire

Facebook va lancer l’application Photo Magic. Mission de l’outil, aigrener les photos de votre smartphone pour retrouver vos amis.

Photo Magic Facebook est testé, en ce moment, en Australie. Sa mission, regarder l’ensemble des photos sauvegardées dans votre téléphone portable et retrouver vos amis Facebook. Une fois trouvées, les images sont classées et l’application vous alerte qu’il vous est possible de les partager, via Messenger. David Marcus, directeur de la messagerie de Facebook, affirme qu’après la phase de test de Photo Magic, l’application sera proposée dans quelques jours aux États-Unis.

Une nouvelle « option » sécurité, qui semble dédiée à cette application, est aussi apparue dans les Facebook Français. L’application Moments, sortie en juin 2015, utilise la technologie de reconnaissance faciale avec plus de 80 % de précision. L’outil est capable de vous reconnaître, même si votre visage n’est pas complet. Les utilisateurs pourront empêcher Photo Magic de les identifier en cliquant simplement sur l’option présente dans l’administration de son compte.