Archives de catégorie : Particuliers

Actualités liées à la sécurité informatique des particuliers et à la vie privée.

Chiffrement, Cybersécurité, Espionnae, Facebook, ID, Identité numérique, Justice, loi, Particuliers

Facebook ne doit plus suivre les Belges à la Trace

Un tribunal a donné 48 heures à Facebook pour arrêter le suivi de ses utilisateurs Belges.

La CNIL Belge [Commission de la vie privée belge], par le biais d’un tribunal local, vient de gagner une bataille intéressante face à Facebook. Le portail communautaire doit stopper le suivi des internautes du royaume. Fini le cookie inquisiteurs qui dure 5 ans. Facebook a interjeté l’appel de la décision.

Le tribunal belge a déclaré que le géant américain doit obtenir le consentement des internautes afin de recueillir les données collectées par le cookie. Pour les juges, ce cookie et son contenu sont considérés comme des données personnelles. Facebook risque 250.000 euros d’amende, par jour, si le problème n’est pas corrigé. Facebook a précisé qu’il « utilisait le cookie DATR pendant plus de cinq ans pour garder Facebook sécurisé pour 1,5 milliard de personnes à travers le monde« .

Les plus bidouilleurs garderont un petit sourire aux lèvres en se souvenant d’une méthode du « cookie stealing » permettant de prendre la main sur un compte Facebook en interceptant le précieux document. Il suffisait alors de Wireshark et cookie injector pour devenir Kalif à la place du Kalif. Il fallait, certes, être sur le même réseau que la cible, mais soyons honnête, un détail… que ce détail.

Argent, Banque, Cyber-attaque, Cybersécurité, escroquerie, Justice, Particuliers, Phishing, Piratage, Social engineering, Vie privée

La chasse aux phishings est ouverte

D’après le Ministère de l’Intérieur, 2 millions de Français touchés par un phishing en 2015.

Pour renforcer la lutte contre le phishing, le Ministère de l’Intérieur a signé ce jour, une convention de partenariat avec l’association Phishing Initiative, soutenue par Lexsi et Microsoft France. Cet accord vise à mutualiser les informations entre sa propre plateforme, PHAROS, et celle de Phishing Initiative qui a identifié de son côté plus de 150 000 adresses uniques de sites frauduleux visant la France depuis sa création en 2011.

Une convention commune pour renforcer la lutte contre le Phishing
En signant la convention de lutte anti-phishing, Catherine Chambon, sous-directeur de la lutte contre la cybercriminalité et Jérôme Robert, président de Phishing Initiative souhaitent renforcer la sensibilisation des internautes aux risques liés à cette malveillance majeure. « La complémentarité de nos actions rend évidente la nécessité d’un rapprochement et d’une coordination entre nos deux organisations », explique Jérôme Robert. « PHAROS et Phishing Initiative opèrent en effet tous deux des plateformes de signalement à destination du grand public. Il est par conséquent possible d’instaurer des conditions de partage de l’information de manière à optimiser d’une part, la recherche de données et d’autre part, la protection de l’internaute. »
Suite à la signature de cette convention et à l’engagement des parties prenantes, le Ministère de l’Intérieur et Phishing Initiative travailleront également à la rédaction d’un rapport commun et à l’élaboration d’un suivi des tendances au service de la protection des internautes.

Phishing Initiative et PHAROS : l’union des expertises
Elaborée et construite sous l’impulsion de Madame Catherine Chambon, Madame Valérie Maldonado, chef de l’OCLCTIC, Messieurs Jérôme Robert, Directeur Marketing, Vincent Hinderer, Expert Cybersécurité chez Lexsi, et Bernard Ourghanlian, directeur technique et sécurité de Microsoft, la convention a pour objectif d’augmenter le nombre d’URLs traitées et analysées.

Avec respectivement 60 000 et 30 000 URLs traitées depuis début 2015, Phishing Initiative et PHAROS unissent leurs forces pour protéger les internautes et rendre le web plus sûr. « L’association de nos dispositifs de lutte contre la fraude sur Internet représente une avancée majeure dans la protection des particuliers comme des entreprises » précise Bernard Ourghanlian de Microsoft France. « Face à la malveillance et à la fraude organisée, chaque citoyen et chaque entreprise est acteur d’un Internet plus sûr au bénéfice de tous. »

La Sous-Direction de la Lutte contre la Cybercriminalité (SDLC) a développé deux dispositifs destinés aux particuliers : la Plateforme d’Harmonisation d’Analyse et de Recoupement et d’Orientation des Signalements (PHAROS), lancée en janvier 2009, et Info-Escroqueries, une hotline téléphonique dédiée aux arnaques. PHAROS a notamment pour mission de recueillir et traiter les signalements de contenus et de comportements illicites détectés sur Internet.

Phishing Initiative, un programme de lutte européen
Cofinancé par le Programme de Prévention et de Lutte contre le Crime de l’Union Européenne, Phishing Initiative offre à tout internaute la possibilité de lutter contre les attaques d’hameçonnage en signalant de manière simple les liens lui paraissant suspects en un clic sur www.phishinginitiative.fr. Chaque signalement fait l’objet d’une analyse par les experts Lexsi qui, s’il se révèle frauduleux, est transmis aux partenaires de Phishing Initiative, notamment Microsoft. Ces derniers enrichissent alors leurs listes noires, de sorte que le lien frauduleux est bloqué par les principaux navigateurs Web (Edge, Internet Explorer, Chrome, Firefox et Safari).

Phishing Initiative en chiffres
A ce jour, plus de 400 000 adresses suspectes ont été signalées dans le cadre de la Phishing Initiative, dont plus de 300 000 uniques. Depuis le début de l’année 2015, 110 000 signalements ont déjà été transmis, représentant plus de 60 000 nouvelles adresses uniques. Parmi elles, plus de 35 000 URLs uniques ont été confirmées comme faisant partie d’une campagne de phishing, soit près de 120 adresses distinctes par jour. A noter que le temps médian nécessaire aux analystes pour catégoriser un nouveau cas signalé est de moins de 20 minutes. Microsoft rafraîchit sa liste noire toutes les 20 minutes au sein d’Internet Explorer et Edge, ce qui protège en moyenne les internautes en moins de 40 minutes suite à un signalement sur www.phishing-initiative.fr.

Des milliers d’internautes contribuent anonymement à ce projet chaque année et plusieurs centaines d’individus ont créé depuis la rentrée un compte personnel sur le site Phishing Initiative. Il leur permet désormais de signaler des URLs suspectes plus simplement et d’accéder à des informations, statistiques et services additionnels, relatifs notamment aux signalements effectués par leurs soins. Ces internautes peuvent, par exemple, suivre l’état du site en temps réel et demander à être prévenus du caractère frauduleux ou non d’une adresse ainsi soumise, mais surtout participer à la lutte anti-phishing et empêcher que d’autres internautes soient victimes de ce fléau.

Une idée à saluer, elle demande cependant, pour être vraiment efficace, plus de rapidité encore ! Comme peut le faire votre serviteur, alerter et montrer sur Twitter, en temps réel, une attaque phishing permet de familiariser l’internaute face à cet ennemi 2.0.

BYOD, Chiffrement, cryptage, Cybersécurité, Entreprise, ID, Identité numérique, IOT, Particuliers, Vie privée

Internet des objets : les risques de la maison connectée

En examinant un échantillon aléatoire des plus récents produits issus de l’Internet des objets (IoT), les chercheurs de Kaspersky Lab ont découvert de sérieuses menaces pour la maison connectée. En effet, de nombreux objets connectés présentent des vulnérabilités importantes, à l’instar de cafetières divulguant les mots de passe Wi-Fi de leurs propriétaires (comme nous vous le révélions il y a 3 semaines, NDR), de baby phones facilement piratables ou encore de systèmes de sécurité domestique commandé par smartphone et pouvant être leurrés au moyen d’aimants.

En 2014, lorsque David Jacoby, expert en sécurité chez Kaspersky Lab, avait décidé de tester le niveau de vulnérabilité des équipements connectés de sa maison en cas de cyberattaque, il avait alors découvert que la quasi-totalité d’entre eux étaient vulnérables. A la suite de ce constat, en 2015, une équipe d’experts antimalware a réitéré l’expérience, à une légère différence près : alors que Jacoby avait concentré ses recherches principalement sur les serveurs, routeurs et téléviseurs connectés au réseau, cette nouvelle étude s’est intéressée aux divers équipements connectés disponibles sur le marché de la domotique.

Domotique : quels dangers les objets connectés représentent-ils ?
Pour mener l’expérience, l’équipe a testé une clé USB de streaming vidéo, une caméra IP, une cafetière et un système de sécurité domestique, les trois derniers étant commandés par smartphone. Des expériences réalisées dans plusieurs salons et hackfests que l’éditeur d’antivirus a repris à son compte pour cette étude.

Grâce à une connexion au réseau du propriétaire, le piratage de la caméra du baby phone a permis de se connecter à l’appareil, d’en visionner les images et d’activer le circuit audio. Notons également que d’autres caméras du même fabricant ont également servi à pirater les mots de passe du propriétaire. L’expérience a également démontré qu’il était également possible pour un pirate se trouvant sur le même réseau de récupérer le mot de passe maître de la caméra et de modifier son firmware à des fins malveillantes.

En ce qui concerne les cafetières pilotées par une application mobile, il n’est même pas nécessaire que le pirate se trouve sur le même réseau que sa victime. La cafetière examinée au cours de l’expérience a envoyé des informations suffisamment peu cryptées pour qu’un pirate découvre le mot de passe donnant accès à l’ensemble du réseau Wi-Fi de son propriétaire.

Enfin, lorsque les chercheurs de Kaspersky Lab ont étudié le système de sécurité domestique commandé par smartphone, ils ont pu constater que son logiciel ne présentait que quelques problèmes mineurs et était assez sécurisé pour résister à une cyberattaque.

Une vulnérabilité a cependant été découverte dans l’un des capteurs utilisé par le système : le fonctionnement du capteur de contact, destiné à déclencher l’alarme en cas de l’ouverture d’une porte ou d’une fenêtre, repose sur la détection d’un champ magnétique créé par un aimant monté sur le châssis. Concrètement, l’ouverture fait disparaître le champ magnétique, amenant le capteur à envoyer des messages d’alarme au système. Toutefois, si le champ magnétique est maintenu, l’alarme ne se déclenche pas.

Pendant l’expérience menée sur le système de sécurité domestique, les experts de Kaspersky Lab sont parvenus, au moyen d’un simple aimant, à remplacer le champ magnétique de l’aimant fixé sur la fenêtre, ce qui leur a permis d’ouvrir et de refermer celle-ci sans déclencher l’alarme. Le problème dans cette vulnérabilité est qu’elle est impossible à corriger par une mise à jour logicielle : elle tient à la conception même du système. Mais le plus préoccupant réside dans le fait que ces équipements sont couramment employés par de nombreux systèmes de sécurité sur le marché.

« Heureusement notre expérience montre que les fabricants prennent en compte la cyber sécurité lors du développement de leurs équipements pour l’Internet des objets. Néanmoins, tout objet connecté commandé par une application mobile est quasi certain de présenter au moins un problème de sécurité. Des criminels peuvent ainsi exploiter plusieurs de ces problèmes simultanément, raison pour laquelle il est essentiel pour les fabricants de les résoudre tous, y compris ceux qui ne paraissent pas critiques. Ces vulnérabilités doivent être corrigées avant même la commercialisation du produit car il est parfois bien plus difficile d’y remédier une fois que des milliers d’utilisateurs en ont fait l’acquisition », souligne à DataSecurityBreach.fr Victor Alyushin, chercheur en sécurité chez Kaspersky Lab.

Afin d’aider les utilisateurs à protéger leur cadre de vie et leurs proches contre les risques liés aux vulnérabilités des équipements IoT au sein de la maison connectée, voici quelques conseils élémentaires :

1. Avant d’acheter un équipement IoT quel qu’il soit, recherchez sur Internet s’il présente des vulnérabilités connues. L’Internet des objets est un sujet brûlant et de nombreux chercheurs se spécialisent dans la recherche de problèmes de sécurité de tous types de produits, qu’il s’agisse de baby phone ou d’armes à feu connectées. Il y a de fortes chances que l’objet que vous vous apprêtez à acheter ait déjà été examiné par des experts en sécurité et il est possible de savoir si les problèmes éventuellement détectés ont été corrigés.

2. Il n’est pas toujours judicieux d’acheter les produits le plus récents qui sont disponibles sur le marché. Outre les défauts habituels des nouveaux produits, ils risquent de receler des failles de sécurité qui n’ont pas encore été découvertes par les chercheurs. Le mieux est donc de privilégier des produits qui ont déjà eu plusieurs mises à jour de leur logiciel.

3. Si votre domicile renferme de nombreux objets de valeur, il est sans doute préférable d’opter pour un système d’alarme professionnel, en remplacement ou en complément de votre système existant commandé par smartphone, ou bien de configurer ce dernier afin d’éviter que toute vulnérabilité potentielle n’ait une incidence sur son fonctionnement. S’il s’agit d’un appareil appelé à collecter des informations sur votre vie personnelle et celle de vos proches, à l’instar d’un baby phone, mieux vaut peut-être vous tourner vers le modèle radio le plus simple du marché, uniquement capable de transmettre un signal audio, sans connexion Internet. Si cela n’est pas possible, alors reportez-vous à notre conseil n°1.

Argent, Arnaque, Cybersécurité, escroquerie, Justice, loi, Particuliers, santé, Social engineering

Escroquerie à la mort

Connaître le décès d’une personne permet à des escrocs d’appeler les familles pour espérer les piéger.

Des escrocs se font passer pour des associations de généalogie afin de soutirer de l’argent aux familles d’un défunt. L’idée est malheureusement terriblement efficace. D’abord, l’escroc collecte les identités des personnes décédées. Il suffit de faire une revue de presse des quotidiens locaux, voir des journaux municipaux, pour trouver les informations de base.

Ensuite, les voleurs font un environnement de la famille. Les escrocs inscrivent toutes les informations qui serviront ensuite à convaincre l’interlocuteur qu’ils contacteront par téléphone. Ils expliquent être mandatés par un avocat, un notaire ou une association de généalogie, comme ces cas révélés en Picardie.

L’excuse des voleurs, le défunt aurait souscris une assurance vie. Bien entendu, si le cas vous touche, ne fournissez AUCUNES informations bancaires. Demandez un numéro de téléphone pour rappeler. Attention ! Les escrocs peuvent vous fournir un 0899 (numéro surtaxés). Refusez aussi !

Argent, Biométrie, Chiffrement, cryptage, Cybersécurité, Entreprise, Particuliers, Sécurité, Smartphone

L’iris comme mot de passe pour retirer de l’argent

Le groupe bancaire américain CitiGroup teste des distributeurs de billets proposant le contrôle du client par l’iris.

La société bancaire Citigroup vient de lancer un test géant d’un système de biométrie équipant ses distributeurs de billets. Mission, plus de mot de passe à taper, mais montrer ses yeux, et plus précisément son iris pour être identifié. Une technologie proposée par Diebold.

Comme l’indique le Wall Street Journal, une sécurité plus fiable que l’empreinte digitale. Deux machines sont testées à New-York. Il faut posséder un téléphone portable et l’application de Citigroup. Une fois votre iris validé par votre téléphone, un QR code apparaît à l’écran de l’appareil qu’il faut ensuite présenter au distributeur de billets. Une technologie qui semble lourde pour quelques billets, mais qui ne réclame plus de cartes bancaires, de code à taper, … Elle a été baptisée Irving.

La seconde technologie, Janus, rajoute une communication d’information par courriel et/ou SMS. Pour rappel, Diebold propose aussi des urnes informatiques pour les élections… qui ont été montrées du doigt, en 2008, suite à des problèmes de sécurité.

https://www.youtube.com/watch?v=awIM_M00tSA

Argent, Arnaque, Cybersécurité, escroquerie, Justice, loi, Mise à jour, Particuliers, Social engineering

Rencontres en ligne : les arnacœurs contre attaque !

35 % des français ont déjà créé un faux profil et 15 % ont menti sur leur âge : du petit mensonge aux escroqueries sentimentales, comment éviter les pièges ?

Les escroqueries qui fleurissent sur les sites et applications de rencontres sont de plus en plus courantes et les témoignages de victimes se suivent et se ressemblent. Tout internaute doit se montrer vigilant lors de ses activités en ligne et plus particulièrement lors de conversations intimes avec des inconnus. Il est essentiel de ne pas partager ses données personnelles, qu’il s’agisse d’informations bancaires, de coordonnées (adresse e-mail ou postale etc.) ou de détails sur sa vie privée. Alors, comment trouver l’amour en ligne sans se faire avoir ?

Une étude conduite par Avast auprès de plus de 1200 français de tous âges, confirme la nécessité d’appliquer certaines règles dans le cadre d’une rencontre en ligne : alors que plus de 30 % des répondants affirment être déjà tombé amoureux avant même leur première rencontre physique avec leur partenaire, des vérifications préalables s’imposent. S’il n’est probablement pas dramatique de mentir de quelques années sur son âge, la création d’un faux profil – avouée par 20 % des personnes interrogées – pose en revanche plus de questions sur les intentions de certains utilisateurs.

Parmi les informations régulièrement révélées par les membres de ce type de sites/applications, nombreuses sont celles qui permettent à des personnes mal intentionnées de mieux repérer les faiblesses de leurs interlocuteurs. L’enquête d’Avast le confirme : sur l’ensemble du panel, plus d’un tiers des personnes interrogées (34 %) affirment avoir déjà été sollicitées par une personne qui leur réclamait de l’argent lors d’échanges en ligne, et plus de 10 % ont d’ailleurs cédé ! Les arnaqueurs comptent en général sur la naïveté ou la détresse émotionnelle/sentimentale de leurs interlocuteurs pour arriver à leurs fins. Il existe pourtant des méthodes simples et efficaces pour éviter de tomber dans leurs filets.

En effet, il n’est pas compliqué de vérifier l’authenticité des photos de profil ou encore de déceler une arnaque suffisamment tôt pour ne pas se laisser impliquer émotionnellement. Car plus le temps passe avant de découvrir la supercherie, plus il sera difficile de stopper le processus, notamment dans le cadre d’un chantage qui devient « affectif ».

Près de 20 % des personnes interrogées déclarent avoir été victime de harcèlement sur un site ou une application de rencontre. Plus de la moitié des membres d’un site ou d’une application de rencontre sont mariés (38 %) ou entretiennent déjà une relation (13,78 %). La majorité des répondants sont inscrits sur un ou deux sites/applications (76 %) mais presque 5% sont membres de plus de 7 sites ou applications différentes. 20 % des répondants avouent avoir déjà créé un faux profil. 15 % confirment avoir déjà menti sur leur âge : 58 % se donnent entre 1 et 5 ans de moins (ou de plus), environ 20 % entre 6 et 11 ans et 20 % également modifient de plus de 18 ans leur véritable âge

« Il est évident que le partage d’informations personnelles est nécessaire dans le cadre d’une rencontre amoureuse en ligne, explique à DataSecurityBreach.fr Sarah Teboul, spécialiste e-commerce chez Avast. C’est la raison pour laquelle les utilisateurs doivent impérativement s’assurer de la crédibilité de leur interlocuteur avant de leur confier la moindre information personnelle. Il existe plusieurs façons de se prémunir contre ces pièges. Par exemple, lorsqu’ils sont sollicités pour de l’argent, ils peuvent entre autres bloquer la personne sur les réseaux sociaux et renforcer leurs paramètres de sécurité. Il leur est également possible de vérifier la source des photos ou poèmes reçus sur internet afin de confirmer l’identité de leur interlocuteur, les escrocs réutilisant en général les mêmes images et textes. De nombreuses ressources sont également disponibles en ligne tels que des portails dédiés mis en place par le gouvernement et des numéros verts qui apportent un soutien plus important aux victimes d’escroqueries. »

Argent, Arnaque, Cyber-attaque, Cybersécurité, escroquerie, Espionnae, Mise à jour, Particuliers, Patch, Piratage

Les internautes allemands confrontés à des publicités malveillantes

Les clients du Fournisseur T-Online et du site eBay visés par des publicités malveillantes. Un cheval de Troie était installé dans les ordinateurs des victimes.

Sale ambiance, fin de semaine dernière, pour des milliers d’internautes allemands. Des pirates informatiques ont réussi l’infiltration d’une importante régie publicitaire locale, MP NewMedia. Lors de cette intrusion, les malveillants ont fait de manière à afficher de fausses annonces sur d’importants sites web (boutique, presse, …).

Parmi les diffuseurs involontaires d’un cheval de Troie, le fournisseur d’accès à Internet T-Online ou encore eBay. Dans le cas du FAI, dès qu’un visiteur souhaitait se rendre sur son compte mail, une message lui proposait de télécharger un logiciel. Derrière le programme, un code malveillant d’espionnage ! Tous les clients ayant visité T-Online, du vendredi 16 octobre au dimanche 18 octobre ont pu être compromis.

Prudence, il y a de forte chance que les pirates se soient attaqués à d’autres régies publicitaires. (MalwareBytes)

Argent, Arnaque, Cybersécurité, ID, Identité numérique, Mise à jour, Particuliers, Patch, Social engineering

Un malware prend la place de Chrome pour surveiller les machines piégées

Des chercheurs ont découvert un malware qui prend le relais du navigateur Chrome. Similaire au navigateur de Google, des bonus malveillants en plus.

Décidément, les malwares pour Android, iOS et autres ordinateurs sont légions. Gdata a annoncé, le 20 octobre 2015, pas moins de 3 millions de nouveaux codes malveillants découverts lors des 6 premiers mois de l’année 2015 ; Apple vient d’effacer 256 applications de l’App Store. Des applications qui volaient des données personnelles aux utilisateurs.

Dans cette panoplie malveillante, un petit nouveau qui est basé sur le code de Chromium, un outil open-source qui permet de garder la même interface que Chrome dans les outils créés. Le malware fonctionne ainsi : d’abord il fait de manière à devenir le navigateur par défaut. Il prend en charge un certain nombre de fichiers tels que HTML, JPG, PDF et GIF.

Malwarebytes explique que le malware détourne aussi les associations d’URL : HTTP, HTTPS et MAILTO et la quasi-totalité des authentifications du PC avec l’Internet. Le navigateur affiche ensuite des tonnes de publicités vers des sites pirates proposant faux antivirus et autres promotions commerciales douteuses. Le navigateur est diffusé par la société Clara Labs, une « entreprise » basée à San Francisco, du moins sa boite aux lettres.

Argent, Arnaque, Cybersécurité, escroquerie, Justice, Particuliers, Social engineering

Amazon traque les faux avis 5 étoiles

Amazon vient de tirer à boulet rouge sur les avis de faux consommateurs. Le géant américain en aurait découvert un millier qui se feraient payer le « 5 étoiles ».

Avoir des avis positifs sur Internet, c’est gage de qualité, de service rendu. Seulement, les faux avis positifs sont nombreux, très nombreux. Amazon vient d’indiquer qu’il en avait repéré plusieurs centaines. Ces derniers passeraient par le site Fiverr.com. Un portail qui permet de vendre « son avis ». Les avis 5 étoiles sont vendus, par exemple, 5 dollars. Amazon a déposé plainte contre X et espère faire disparaître le site, comme ce fût le cas pour buyamazonreviews.com, bayreviews.net et buyreviewsnow.com.

Argent, Base de données, Chiffrement, Contrefaçon, cryptage, Cybersécurité, Entreprise, ID, Identité numérique, Particuliers, Social engineering

Le réveil de la force : des données appartenant à des joueurs d’Electronic Arts dans la nature

Piratage ? Fuite de données ? Phishing ? Plusieurs centaines de données appartenant à des joueurs de produits édités par Electronic Arts diffusés sur la toile.

Pour le moment, impossible de savoir d’ou proviennent les données diffusés sur Pastebin. Dans les fichiers mis en ligne, des informations appartenant à des joueurs de produits vidéo ludique proposé par l’éditeur Electronic Arts. Tout est possible : piratage d’ordinateurs de joueurs ; phishing ; Fuite de données internes. Avec le « buzz » autour du jeu star Wars Battlefront, les pirates ont les dents acérées et les griffes sorties. EA est une cible, comme les autres éditeurs de jeux vidéo. D’abord par une population de pirates, professionnels de la contrefaçon, visant les serveurs et espérant ainsi mettre la main sur des nouveautés, avant leur sortie (le cas le plus parlant fût celui de Sony Picture et des films stockés sur un serveur, 6 mois avant leur sortie en salle, NDR). Le vol de comptes de joueurs et autres données, pouvant être bancaires, attirent la force obscure de certains internautes. EA a Confirmé un problème interne et a proposé aux « clients » impactés de modifier leur mot de passe. Avoir accès à un compte permet aussi de jouer au jeu téléchargé, voir de revendre le compte,  afin d’en tirer des euros sonnants et trébuchants.