Archives de catégorie : Particuliers

Actualités liées à la sécurité informatique des particuliers et à la vie privée.

Chiffrement, cryptage, Cybersécurité, Entreprise, Espionnae, Fuite de données, Justice, Leak, Particuliers, Piratage

Julian Assange : « Aucun citoyen européen n’est à l’abri »

Un commentaire

Début de semaine, Julain Assange était sur l’antenne d’Europe 1, dans la matinale de Thomas Sotto. Le fondateur de Wikileaks est revenu sur les révélations de ces derniéres semaines.

On entend parler de vous depuis des années mais qui est Julien Assange ? Justicier, illuminé, résistant, mégalo ? « Je ne sais pas ! Si vous lisez la presse, tous ces qualificatifs et bien d’autres ont été utilisés ! Tortureur de chats, agent du Mossad et j’en passe…« 

Comment vous vous définissez ? « Vous savez que j’ai étudié la physique pendant très longtemps alors, qu’est-ce que je fais ? Je m’efforce de faire en sorte que les êtres humains aient accès à des informations auxquelles ils n’ont pas accès autrement. Habituellement, ce sont des informations qui sont censurées mais elles sont précieuses pour nous permettre de mieux comprendre notre environnement et faire advenir la Justice ! Ce n’est pas systématiquement le cas mais de même que pour comprendre le monde et être civilisé, il est indispensable de savoir lire et écrire, l’accès à ces informations est également essentiel.« 

Wikileaks aura 10 ans l’an prochain. Vous ne craignez pas d’alimenter une grande théorie du complot mondial ? « Je suis assez agacé par les théoriciens du complot, pour une raison très simple ! Au quotidien, nous publions des documents sur les agissements effectifs des gouvernements concernés ! Il n’y a rien qui concerne des extra-terrestres ou des aliens, rien de tel, mais bien des manœuvres géopolitiques secrètes qui vont à l’encontre de l’intérêt du public ! Il me semble que c’est là-dessus que les gens devraient se concentrer !« 

Le chef de ces manipulateurs s’appelle Barack Obama ? « J’aimerais le croire ! Ce serait très confortable de croire que le monde est aussi simple que cela et que les responsables que nous élisons, ou non, sont effectivement ceux qui gèrent le monde ! Malheureusement, les choses ne fonctionent pas comme cela ! Nous voyons l’émergence progressive d’un véritable régime de surveillance de masse parfaitement Orwellien, qui est le fait principalement des gouvernements américains et britanniques, mais auxquels s’associent 38 autres pays ! Téléphones et disques durs du monde entier sont sur surveillance, à quoi s’ajoute la coopération d’entreprises comme Google. Je crois que tout cela rend le monde très vulnérable et fait planer une véritable menace sur le monde contemporain. »

Et la France ? « Pendant longtemps, la France a également disposé d’un régime de surveillance assez agressif, que ce soit à l’intérieur ou à l’extérieur du territoire mais ce régime est resté insignifiant comparé aux systèmes mis en place par le Royaume-Uni ou les USA. En théorie, la France doit encore avoir la capacité d’assurer son indépendance par rapport au reste du monde occidental. En pratique, le niveau d’investissement américain en France, et inversement les investissements français aux USA, les accords d’échange de renseignements, ont largement affaibli cette position et cette capacité théorique d’indépendance. Il est bien possible qu’il soit trop tard aujourd’hui pour que la France retrouve cete indépendance. On sait que nous avons en France des collaborateurs auxquels nous tenons beaucoup, la France est un pays important pour Wikileaks en tant qu’organisation, mais la France a également un rôle important à jouer pour l’indépendance européenne. »

Edward Snowden : les USA veulent le juger, il a trouvé refuge en Russie. On se demande si vous n’êtes pas instrumentalisés, marionnettes de Poutine ? (Rires.) « La réponse est facile : c’est non ! Je sais de quoi je parle : les USA ont essayé d’arrêter Edward Snowden à Hong-Kong afin d’organiser son extradiction, cela aurait constitué un symbole extraordinairement négatif pour la liberté d’expression et aurait envoyé un très mauvais signal à tous les lanceurs d’alerte. Voilà pourquoi nous avons envoyé une de nos journalistes et conseillers juridiques à Hong-Kong, nous avons facilité sa sortie et bien sûr Snowden a fini en Russie. Cela pour une raison très simple : tandis qu’il était en route vers l’Amérique Latine, les USA ont annulé son passeport ! Il ne pouvait plus quitter le territoire russe ! Son billet d’avion devait l’amener à Cuba. Le gouvernement américain a annulé son passeport. Pourquoi ont-ils fait quelque chose d’aussi imbécile ? Parce que les services américains sont incompétents ! Tous ces services étaient en train de chasser Edward Snowden, et nous l’équipe de Wikileaks les avons pourtant battus ! Ca représente une lueur d’espoir pour les éditeurs indépendants et pour l’Europe.« 

De fait, ne devenez-vous pas une sorte d’allié de Poutine face aux USA ? « La Russie ne m’a pas accusé d’espionnage, les USA si ! Je ne suis pas seul dans ce cas-là, les USA en veulent à un grand nombre de personnes, ils ont effectué des descentes policières aux domiciles de 80 personnes et plus, les USA ont placé un grand nombre de mes amis derrière les barreaux, ils ont mis en place un système de surveillance de l’ensemble des internautes et je pèse mes mots ! Aucun citoyen européen, où qu’il se trouve, n’est à l’abri de ce programme de surveillance !« 

Nous sommes à l’ambassade d’Equateur à Londres. Si vous en sortez, vous serez arrêté et extradé vers la Suède où deux femmes ont porté plainte pour agression sexuelle et viol. Vous êtes innocent ? « Oui !« 

Pourquoi ne pas aller le prouver en vous présentant à la justice suédoise ? « Je me suis rendu en Suède, j’y ai passé du temps. Les accusations ont été abandonnées en Suède et ressuscités juste après la publication de nos documents ! Voilà pourquoi nous sommes aussi méfiants vis à vis de la Suède. Si les enquêteurs suédois souhaitent me poser des questions, ils peuvent parfaitement m’appeler, venir ici au Royaume-Uni, un grand nombre de procédures peuvent être  utilisées en l’espèce. »

Depuis plus de deux ans, vous êtes dans cette ambassade sombre, sans cour, sans jardin. En août, vous avez dit que vous alliez partir sous peu. Vous allez rester jusqu’à quand ? « C’est une question très amusante ! Je n’ai jamais déclaré que je quitterais bientôt l’ambassade ! Ce sont des propos attribuables à la presse de Murdoch qui a d’ailleurs déclaré que j’étais prêt à sortir de cette ambassade pour me faire arrêter immédiatement : c’est une pure invention ! En ce qui concerne ma situation présente, je dirais que la surveillance dont je fais l’objet est illégale, le fait que tous mes visiteurs soient passés au crible présente des difficultés pour mon travail, mais je crois que c’est vraiment la menace qui plane sur ma famille, mes enfants, qui me pèse le plus. Eux n’ont rien demandé. »

Votre avenir, vous le voyez comment ? « Je crois que mes circonstances présentes resteront inchangées pendant assez longtemps. »

Vous resterez là des années s’il le faut ? « Si on compare ma situation actuelle à celle qui serait la mienne aux USA, je crois que mes circonstances présentes sont bien meilleures ! La vie est difficile bien entendu, par certains côtés : contrairement à des détenus de droit commun je n’ai aucune opportunité d’exercice physique, ça c’est un aspect assez difficile. Je sais que si je devais effectivement finir aux USA, je me batterais  très certainement, et il en coûterait, croyez-moi, politiquement, au gouvernement américain, que de me faire tomber. »

Quelle prochaine bombe sortira Wikileaks ? « Si je réponds à cette question, ce sera votre bombe et plus la mienne !«  (Merci à Europe 1 de nous avoir envoyé l’interview, NDLR)

backdoor, Cybersécurité, Entreprise, Espionnae, Facebook, Fuite de données, Leak, Particuliers, Piratage, Social engineering

Accéder à votre compte Facebook sans mot de passe, facile !

3 commentaires

Voilà qui va être apprécié chez les amateurs du réseau communautaire. Les employés de Facebook peuvent accéder à votre compte, sans utiliser votre mot de passe. Facebook explique que cela reste cependant très contrôlé !

On ne rigole pas, et on se dit que Facebook croit vraiment ce qu’il tente de raconter aux internautes. Accéder à votre compte Facebook est très simple pour un employé, il lui suffit de cliquer sur le logiciel local et le voilà dans votre espace, sans avoir à utiliser, ni même connaitre votre mot de passe. Facebook explique que cela reste cependant très contrôlé !

La découverte a été faite par un Paavo Olavi Siljamäki, un DJ producteur, en visite dans les locaux de Facebook. Il explique, sur son compte FB, avoir vu de ses petits yeux un employé de Facebook accéder à son compte, sans utiliser le moindre sésame. « Des gens sympas là-bas nous ont donné de bons conseils sur la façon d’utiliser au mieux Facebook. Puis on m’a demandé si j’étais d’accord pour regarder mon profil (…) Un ingénieur de Facebook peut alors se connecter directement sur mon compte, regarder tout mon contenu privé sans me demander mon mot de passe« .

Le plus fou est que Paavo a ensuite regardé, chez lui, son compte Facebook. Sa page ne lui a pas indiquer cette visite particulière.  « Nous avons des contrôles administratifs, techniques et physiques très rigoureux quant à l’accès aux informations de nos utilisateurs » indique Facebook à Venture Beat. Bref, Paavo a donné son accord, et l’employé est rentré !

 

Argent, Arnaque, Contrefaçon, Cybersécurité, Entreprise, escroquerie, Fuite de données, Particuliers

Des milliers de sites Français touchés par du viagra aggressif

Plus de 4500 sites français, en .fr, touchés en février par une opération de piratage d’envergure. Le site ZATAZ.COM explique que ce piratage de masse visait à diffuser des liens et des pharmacies illicités dans les sites infiltrés.

Alors que nous aurions pu penser que les administrateurs et autres webmasters de sites Internet avaient compris la leçon après les piratages de dizaines de milliers de sites Français, en janvier 2015, la révélation de zataz.com montre une fois de plus que de trop nombreux gestionnaires de sites Internet se moquent de la sécurité pensant que cela ne leur arrivera jamais. Le webzine zataz explique que plus de 4.500 sites en .fr « et 50 fois plus dans le monde » ont été touchés par une infiltration de masse. Mission des pirates, cacher des liens et des pages renvoyant sur des pharmacies illicites.

Dans l’émission de ce 1er mars 2015, zatazweb.tv montre en image le cas de plusieurs mairies et offices de tourisme français noyés sous les fausses pages dédiées au viagra, cialis… « Nous aurions pu penser qu’après l’opération anti France de janvier 2015, grand nombre d’administrateurs de sites importants auraient compris l’importance des mises à jour. A première vue, c’est raté » confirme zataz. Inquiétant !

BYOD, Chiffrement, Cloud, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Identité numérique, Leak, Particuliers, Piratage, Sauvegarde, Vie privée

Sécurité des données personnelles : le palmarès des régions les plus soucieuses de la sécurité de leurs mots de passe

L’éditeur Dashlane a réalisé une étude anonyme sur 45,000 de ses utilisateurs français pour évaluer le niveau de sécurité de leurs mots de passe.

On ne compte plus les gros titres annonçant un nouveau piratage d’ampleur. Malgré cette insécurité croissante sur Internet, les internautes continuent de ne pas vraiment protéger leurs données personnelles… et pourtant, s’il y a 10 ans le mot de passe ne servait qu’à s’identifier sur un site web, maintenant il est le premier rempart pour protéger toutes ses données personnelles. Il suffit de regarder son compte Facebook pour s’apercevoir à quel point on met de plus en plus d’informations privées sur Internet.

Après avoir mené une enquête au niveau international en décembre dernier, Dashlane s’est intéressé à la France. Le spécialiste de la gestion des mots de passe pour les particuliers, a réalisé une étude anonyme sur 45 000 de ses utilisateurs français pour établir un classement des régions qui protègent le mieux leurs données personnelles sur Internet. Chaque région s’est vue attribuer un score moyen de sécurité, en fonction du niveau de sécurité des mots de passe des habitants de cette région. La note va de 0 à 100 (le maximum).

 Aucune région ne dépasse le score de 55

Principal constat, aucune région française n’obtient un score de sécurité rassurant… aucune ne dépasse le score de 55 et 3 régions n’obtiennent même pas la moyenne de 50 points : le Languedoc-Roussillon, la Provence-Alpes-Côte d’Azur et le Limousin (49.9), tous trois dans la moitié sud du pays. Mais le Nord-Pas-de-Calais ne fait pas beaucoup mieux avec 50,8. La moyenne des régions françaises se situe donc à 51,8, ce qui place 12 régions (sur un total de 22) en dessous de cette moyenne.

« On observe un noyau de bons élèves, la Franche-Comté, Rhône Alpes et Auvergne, alors que le Languedoc-Roussillon et la Provence-Alpes-Côte d’Azur ferment la marche. Ce classement illustre des différences d’état d’esprit dans la manière dont les gens envisagent leur sécurité en ligne.» indique à DataSecurityBreach.fr, Guillaume Desnoes, Responsable des marchés européens de Dashlane.

Arnaque, backdoor, Chiffrement, Cyber-attaque, Cybersécurité, Entreprise, escroquerie, Fuite de données, Identité numérique, Leak, Particuliers, Piratage, Propriété Industrielle, Social engineering, Vie privée

Les techniques de persuasion utilisées par les cybercriminels

92 % des employés français, 80 % à travers le monde, se sont déjà fait piéger par des menaces informatiques et notamment par des tentatives d’hameçonnage. DataSecurityBreach.fr vous alerte très souvent sur les techniques de persuasion utilisées par les pirates informatiques. Intel Security vient de diffuser un rapport sur les méthodes de substitution des données sensibles utilisées par les cybercriminels sont de plus en plus proches de celles utilisées dans le monde réel et notamment des techniques de vente et d’escroquerie. Prenez garde à votre sécurité en ligne !

« Piratage de l’OS humain », le nouveau rapport d’Intel Security, élaboré avec le soutien du Centre Européen de lutte contre la cybercriminalité d’Europol, présente les techniques utilisées dans les récentes cyberattaques, ainsi que les méthodes de manipulations des hackers pour rendre les collaborateurs d’entreprises complices/acteurs d’actes de cybercriminalité.

Publié quelques jours après la révélation d’une cyberattaque qui a touché plus de 100 banques à travers le monde et causé aux alentours de 900 millions d’euros de dégâts, ce rapport démontre toute l’importance d’une prise de conscience collective et souligne la nécessité d’éduquer les collaborateurs aux méthodes de persuasion appliqués par les hackers dans le monde numérique. Dans l’exemple cité, les attaques de phishing ciblées ont permis l’ouverture de brèches au sein de ces réseaux bancaires, démontrant ainsi la faiblesse intrinsèque du « pare-feu humain ». A titre de comparaison, l’étude Threat Report d’Intel Security a permis, en septembre dernier, de révéler que 92 % des employés français n’étaient pas en mesure d’identifier un courriel de phishing sur sept.

« L’analyse de nombreux cas d’usurpation de données nous montre qu’aujourd’hui, le facteur humain est le plus souvent la clé qui permet aux hackers d’agir. En les manipulant, ils les incitent à prendre des mesures qui facilitent l’infection des systèmes par des logiciels malveillants », commente Raj Samani, Directeur Technique EMEA d’Intel Security et conseiller auprès du Centre européen de lutte contre la cybercriminalité d’Europol.

« Aujourd’hui, les cybercriminels n’ont pas nécessairement besoin de savoir-faire technique pour atteindre leurs objectifs. Certains logiciels malveillants peuvent infecter les ordinateurs en y accédant directement par emails. Ces attaques ciblées manipulent les victimes et les incitent à ouvrir des pièces jointes, prétendument légitimes, ou à cliquer sur un lien qui semble provenir d’une source sûre », indique Paul Gillen, directeur des opérations du Centre Européen de lutte contre la cybercriminalité.

Sur l’année 2014, il a été répertorié une augmentation spectaculaire du nombre d’URL malveillantes soit plus de 30 millions de liens suspects. Cette augmentation peut être attribuée à la fois à une forte hausse du nombre de liens de phishing ainsi qu’à une utilisation plus commune des URL courts qui cachent, souvent, des sites Web malveillants. Cette tendance est d’autant plus inquiétante que 18 % des utilisateurs visés par un email de phishing cliquent sur ce lien malveillant et deviennent ainsi victimes de la cybercriminalité.

Le rapport pointe du doigt le fait que deux tiers des emails mondiaux sont des spams qui visent à soutirer des informations et de l’argent à leurs destinataires. Face à ce constat, il est d’autant plus important que les consommateurs et les collaborateurs d’entreprises soient informés des techniques de phishing et d’escroquerie couramment utilisées dans le monde numérique.

« Aujourd’hui, les cybercriminels sont devenus de très bons psychologues, capables de jouer sur le subconscient des employés en s’appuyant notamment sur un grand nombre de tactiques de « vente » souvent utilisées dans la vie quotidienne. Pour garder une longueur d’avance sur les cybercriminels et réduire le risque d’être l’une des victimes de la cybercriminalité, les entreprises doivent non seulement optimiser leurs processus et compter sur la technologie mais aussi former leurs personnels pour pallier à la brèche dans ce qu’on nomme ‘l’OS humain’ », conclut Raj Samani.

Il n’a jamais été plus important de former les individus à la sécurité et à la politique de leur entreprise en matière de protection des données. Paradoxalement, une étude récente publiée par Enterprise Management Associates1 a révélé que seulement 56 % des employés avaient suivi une formation à la politique de sécurité de l’entreprise.

Les six leviers d’influence des cybercriminels dans le monde numérique

1. Réciprocité des échanges : Les gens ont tendance à se sentir obligés de répondre une fois qu’ils reçoivent quelque chose.

2. Rareté de l’offre : Les individus sont motivés par l’obtention de ce qu’ils croient être une ressource rare ou une offre limitée dans le temps et peuvent ainsi s’exposer plus facilement au cybercrime. Par exemple, un faux courriel envoyé par une banque demandant à l’utilisateur d’accepter une demande suspecte afin d’éviter la désactivation de son compte dans les 24 heures peut avoir tendance à inciter au clic.

3. Cohérence des engagements : Une fois engagée dans une démarche, la victime choisit très souvent de tenir ses promesses pour rester cohérente et éviter de paraître peu voire non fiable. Par exemple, un pirate peut se présenter en tant qu’un membre de l’équipe SI de l’entreprise et, après avoir fait en sorte qu’un employé s’engager à respecter tous les processus de sécurité, lui demander d’effectuer une tâche suspecte sur son poste, qui semblerait être conforme aux exigences de sécurité.

4. Appréciation et amitié : Les tentatives d’hameçonnage sont plus productives lorsque le cybercriminel réussit à gagner la confiance de la victime. Pour endormir la méfiance, un pirate pourrait notamment essayer d’entrer en contact, soit par téléphone soit en ligne, et « charmer » au préalable sa victime potentielle.

5. Respect de l’autorité : Les gens ont tendance à se conformer à une figure d’autorité. Les directives dans un mail prétendument envoyé de la part d’un PDG de l’entreprise sont plus susceptibles d’être suivies par un employé.

6. L’effet de masse : Les gens ont tendance à se conformer à la majorité. Par exemple, si un courriel de phishing est prétendument envoyé à un groupe de collègues, plutôt qu’à un seul destinataire, la victime potentielle de l’attaque se sent davantage rassurée et est plus susceptible de croire que le mail provient d’une source sûre.

1 Source : Enterprise Management Associates

Cyber-attaque, Cybersécurité, Entreprise, escroquerie, Facebook, Fuite de données, ID, Identité numérique, Leak, Linkedin, Particuliers, Phishing, Pinterest, Piratage, Social engineering, Twitter, Vie privée

Attaques à l’encontre des comptes sociaux

Après Le Monde en Janvier, CNN, Forbes et une vingtaine d’importants média en 2014, c’est au tour de Newsweek de voir son compte Twitter piraté pendant quelques heures par des pirates se réclamant du groupe Etat islamique (EI).

Comme nous le disions déjà lors de l’attaque subie par Le Monde, les comptes de réseaux sociaux tels que Twitter sont une cible de première importance pour les pirates. Si certaines entreprises ont mis en place des procédés et des moyens techniques pour protéger leur compte Twitter contre le hijacking, la plupart n’ont rien de cela et sont donc non seulement vulnérables au hijacking de leurs comptes de réseaux sociaux, mais sont aussi incapables de détecter ce hijacking de leurs propres comptes. Dans une récente étude auprès des entreprises du Fortune 100, les chercheurs de Proofpoint relevaient les points suivants :

· Il existe trois principaux types de menaces de réseaux sociaux parmi lesquels : le piratage de compte, les comptes non autorisés, et les menaces basées sur le contenu (ex : spam social, liens malveillants, etc.).
· En moyenne, deux comptes Facebook sur cinq (soit 40 %) semblant représenter une marque du classement Fortune 100 ne sont pas autorisés.
· En moyenne, un compte Twitter sur cinq (soit 20 %) semblant représenter une marque du classement Fortune 100 n’est pas autorisé.
· Les marques du classement Fortune 100 sont victimes d’au moins une intrusion sur leurs comptes de réseaux sociaux par jour ouvrable.
· Le volume de spams diffusés via les réseaux sociaux a été multiplié par sept depuis le milieu de l’année 2013, date de la publication du précédent rapport « State of Social Media Spam ».

Un compte compromis fournit aux pirates une plateforme idéale pour la distribution de spams, de liens malicieux, et autres contenus pouvant nuire à l’image de marque de l’entreprise touchée. Les comptes de réseaux sociaux des médias sont d’autant plus intéressants pour des personnes malintentionnées qu’ils bénéficient d’une forte audience et que leurs posts ont une large portée. Nous ne pourrions que trop recommander aux entreprises et aux médias de se prémunir de ce type d’attaque et de préparer des plans de réponses en cas de piratage (communication, personnes à alerter, processus de reprise en main des comptes, etc.). En effet, plus on est préparé et moins l’impact sera conséquent pour l’activité et l’image de l’entreprise.

Argent, Entreprise, Identité numérique, Particuliers, Propriété Industrielle

Hack la misère !

ATD Quart Monde, Simplon.co et Spintank proposent aux blogueurs, dessinateurs, graphistes, développeurs, militants associatifs ou toute personne que le sujet intéresserait de hacker la misère le samedi 7 mars.

Une journée pour inventer les nouvelles formes du combat contre la misère. Une journée pour trouver des moyens ludiques, inventifs, attirants de démonter les idées fausses sur les pauvres et la pauvreté. Un seul mot d’ordre : « Laissez courir votre imagination. Parce que combattre les préjugés, c’est déjà combattre la pauvreté. »

ATD Quart Monde a pour but d’éradiquer la misère, en permettant à tout le monde d’accéder aux droits fondamentaux : soins, logement, emploi, etc. Pour ça, nous nous battons depuis plus de 50 ans au côté des personnes très pauvres. Avec quelques belles prouesses à notre actif : création du Revenu minimum d’insertion (ancêtre du RSA), de la Couverture Maladie Universelle (CMU) ou plus récemment du droit au logement opposable.

Les 50 participants répartis en 8 équipes de 5 ou 6 personnes pourront s’appuyer sur le livre « En finir avec les idées fausses sur les pauvres et la pauvreté » pour concevoir et développer des projets en travaillant sur le code, le graphisme, le marketing et la communication.

Des professionnels reconnus seront présents pour soutenir les projets initiés : Jean-Christophe Sarrot, auteur du livre En finir avec les idées fausses sur les pauvres et la pauvreté, Nicolas Vanbremeersch, fondateur et président de Spintank, Erwan Kezzar, cofondateur de Simplon.co, Eric Baille, Directeur associé d’Adésias, Benoît Bedrossian a.k.a Beuh, artiste illustrateur, Benjamin Mis, directeur artistique et peintre. Venez mêler vos compétences contre la misère.

Le Samedi 7 mars 2015, de 9h à 17h, 55 Rue de Vincennes – 93100 Montreuil.

Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Identité numérique, Mise à jour, Particuliers, Propriété Industrielle, Vie privée

Les objets connectés : maison en danger

La société HP vient de sortir une étude sur le top 10 des produits de sécurité vendus pour sécuriser sa maison. Caméra de vidéosurveillance et autres détecteurs de mouvement sans fil loin d’être des fort Knox.

L’entreprise américaine explique que tous les produits testés contiennent des vulnérabilités. Dans le lot des problèmes : authentification faible et manque de chiffrement. Gros écueil, selon HP, la non utilisation de la double authentification alors que ces matériels permettent d’être administrés et consultés à distance, via Internet par exemple.

La seconde inquiétude, la collecte des données personnelles allant du nom, adresse, date de naissance du propriétaire du matériel, ou encore, dans certains cas, numéro de téléphone et données de carte bancaire. L’Internet of Things a encore du chemin à faire pour fusionner la sécurité informatique à la course effrénée du marketing et de l’expérience de l’utilisateur. Avoir la plus belle robe et le clic facile ne devraient pas être prioritaires à ce qui permet de protéger la robe et le doigt.

Argent, Arnaque, BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, escroquerie, Fuite de données, Mise à jour, Paiement en ligne, Particuliers, Propriété Industrielle

La sécurité informatique : un enjeu méconnu et sous-estimé

Un commentaire

Avec l’actualité de ce début 2015, la sécurité informatique devient un sujet dont beaucoup de monde parle. Cependant, l’immense majorité des entreprises ne connaissent pas l’étendue des risques liés à la sécurité de leur site. (Par NBS System pour DataSecurityBreach.fr)

Elles ne savent pas, à proprement parler, ce qu’implique le terme de « piratage ». Beaucoup d’entre elles s’imaginent, à tort, être à l’abri car leur site n’est pas très connu, ou qu’il ne contient pas de données sensibles…

Mais ce qu’il faut bien comprendre, c’est que la sécurité concerne tout le monde et que les attaques n’arrivent pas qu’aux autres. Si certaines sont ciblées (par exemple celle de Sony en 2014), la majorité des pirates fonctionnent par pur opportunisme.

On peut faire l’analogie suivante : l’Internet est un gigantesque parking, où chaque site est une voiture. Les personnes mal intentionnées n’ont qu’à passer parmi elles et essayer d’ouvrir les portières pour en trouver une qui ne soit pas fermée afin de la voler. Peu d’entre eux vont utiliser des outils pour cibler une voiture en particulier ; ils n’ont pas besoin de connaissances techniques pour essayer d’ouvrir des portières. Ils voleront toutes les voitures ouvertes à leur disposition, quelle que soient leur marque ou leur prix.

Les pirates informatiques fonctionnent de la même manière. Ils vont passer en revue tous les sites web en espérant trouver une faille sur l’un d’eux pour investir le site.

  • Ils n’ont pas nécessairement besoin de compétences techniques.
  • Il existe de nombreux outils informatiques (légaux ou non) leur permettant de scanner la toile et de repérer très facilement des vulnérabilités.
  • Ils visent large pour être sûrs de toucher le plus de cibles possible.

C’est également pourquoi la taille ou la renommée du site importent peu ; s’il y a une faille sur votre site, il sera piraté un jour ou l’autre.

Il est important que les entreprises se rendent compte qu’on ne peut jamais garantir la sécurité de son site à 100% et encore moins la qualité de son code. En effet, même si le code est écrit par des professionnels très doués, ces derniers sont rarement experts en sécurité et restent, malgré tout, des humains : des êtres faillibles. Il faut donc rester humble ; il n’existe pas de code parfait et tous les développeurs sont voués à faire des erreurs. Par exemple, en 1996, la fusée Ariane a explosé en vol à cause d’une erreur de programmation, autrement dit une erreur de code. C’est la preuve que même l’ESA (Agence Spatiale Européenne), dont les membres sont très compétents et parmi les meilleurs mondiaux, n’est pas infaillible. Votre développeur peut-il se targuer d’avoir le même niveau de compétences ?

Aujourd’hui sur Internet il y a des millions, voire des milliards, de failles existantes et pas encore découvertes ; c’est une certitude ! L’une, voire plusieurs d’entre elles est peut-être sur votre site, ou bien sur l’un de ceux que vous consultez régulièrement… L’enjeu est donc de prendre conscience de cette situation, et de se protéger afin d’éviter les attaques qui, nous le rappelons, peuvent toucher tous les types de sites, et ont des répercussions importantes sur l’image de l’entreprise et ses bénéfices.

  1. Le piratage, comment ça marche ?

Il peut être très facile d’accéder aux données d’un site web via une faille. Or, accéder aux données, c’est accéder au serveur sur lequel est hébergé le site, c’est-à-dire la machine contenant toutes les informations et ressources utilisées pour le fonctionnement du site. Il existe de très nombreux moyens d’y arriver ; nous allons ici détailler l’un de ces moyens, très simple, appelé l’énumération d’identifiants.

Imaginons le site web « http://www.monsiteweb.com », site web d’une compagnie d’assurance. Pour pouvoir utiliser l’interface, le visiteur doit s’identifier et créer un compte, comprenant ses informations (telles que nom, prénom, adresse, etc…). La base de données lui administrera alors un identifiant : 12345678 par exemple.

Une fois identifié, si le visiteur souhaite modifier son adresse suite à un déménagement, il se rendra sur la page des paramètres de son compte. Dans de nombreux cas, peut-être le vôtre, le site affiche dans son URL l’identifiant du client :

Imaginons maintenant que le visiteur soit un pirate. Grâce à la présence de l’identifiant dans l’URL, il trouvera sur cette page uniquement les informations le concernant ; il comprend donc que pour les autres utilisateurs, le fonctionnement est identique. S’il modifie l’identifiant dans la barre d’adresse, en remplaçant le 8 à la fin par un 9 par exemple, et que le code source du site contient une faille et ne bloque pas sa requête, il aura accès aux informations correspondant au compte n°12345679.

Mais s’il a accès à ce compte, cela signifie qu’il a potentiellement accès à tous les autres comptes et donc à la base de données du site toute entière. Rien qu’avec la barre d’adresse, il est donc possible d’accéder à un serveur et de contourner sa sécurité. Cela peut être aussi simple que cela. Un adolescent aujourd’hui peut avoir les compétences suffisantes pour mettre en œuvre cette attaque ! De nombreux tutoriels existent même sur Youtube permettant à n’importe qui d’acquérir les connaissances de base pour mettre en place des attaques simples de ce genre.

Bien qu’il existe de nombreuses autres techniques plus complexes, celle décrite ci-dessus fait partie d’un grand nombre de méthodes triviales et à la portée de tous

Il est important de comprendre cela car une fois que le pirate a accès à la machine, il peut élever ses privilèges et obtenir autant de pouvoir que l’administrateur de celle-ci. C’est-à-dire qu’il pourra littéralement faire tout ce qu’il souhaite avec les informations et les ressources à sa disposition. Il existe plusieurs types d’attaques, chacune avec des objectifs et des impacts différents, mais aux conséquences toujours graves.

  1. Les différents types d’attaque
    • Défiguration d’un site web

C’est le type d’attaque le plus visible, même si c’est techniquement le moins dangereux. La défiguration ou défacement de site web (defacing en anglais) consiste à modifier une ou plusieurs pages d’un site, par exemple la page d’accueil, en la remplaçant par une image, du texte…

Ces attaques sont plutôt simples à réaliser et ne nécessitent pas de compétences techniques très développées. Les pirates utilisent simplement un outil scannant les sites un par un et repérant des vulnérabilités afin de les exploiter grossièrement.

En général, la page de remplacement affichée pendant l’attaque contient le nom du pirate et un message. En effet, par ces défigurations les pirates cherchent uniquement leur visibilité. Ils souhaitent faire passer un message en général politique, ou bien veulent de la reconnaissance. Plus de 20 000 sites, dans le cadre de l’opération OpFrance, se sont fait pirater de cette manière. L’opération a commencé le 18 janvier mais aujourd’hui encore, certains sites affectés sont toujours en maintenance. Si ces attaques ne sont pas dangereuses sur le long terme, elles ont un gros impact en termes d’image pour le site attaqué.
 

  • L’exploitation des ressources d’un site web

Les attaques que nous allons décrire dans ce point et les points suivants sont beaucoup plus dangereuses, notamment parce qu’elles ne sont pas facilement repérables par le site attaqué. Si vous subissez une attaque, dans 90% des cas vous en serez informé par un tiers (source : 2012 data breach investigations report, Verizon, 2012) ; ce sont soit les autorités, soit un client, partenaire ou prestataire qui aura été une victime indirecte de l’attaque subie. Cela cause en général une énorme chute de confiance en l’entreprise. C’est d’ailleurs une des raisons pour laquelle, comme montré sur la figure 1 le délai de découverte de plus de la moitié des attaques se compte en mois.

Dans le cas de l’exploitation des ressources d’un site web, tout est dans le titre. Le pirate, ayant gagné accès au serveur du site, va utiliser les ressources de la machine correspondante (processeur, mémoire, bande passante) pour son propre compte. Il pourra cependant rester dans l’anonymat et se prémunir des risques légaux, puisque c’est le site web piraté qui sera légalement responsable des actions effectuées avec ses ressources.

En l’occurrence, le pirate va souvent les revendre, pour plusieurs usages : l’envoi de SPAM, les DoS (attaque par déni de service, empêchant l’accès à un site), le déchiffrement de données et les boutiques fantôme.

  • L’envoi de SPAM

Il faut savoir que chaque machine possède une adresse IP qui lui est propre, et que l’on fait correspondre au(x) site(s) web hébergés dessus. Quand trop d’e-mails sont envoyés depuis une machine, celle-ci est « marquée » comme malveillante et les envois sont bloqués. En envoyant les courriers SPAM depuis l’adresse IP du/des sites piratés, l’envoi se fera sans blocage. Ainsi, utiliser l’IP d’une autre machine en achetant ses ressources est un moyen de contourner cela, jusqu’à ce que la/les machine(s) piratée(s) soit elle aussi considérée comme malveillante

Si cela vous arrive, vous ne pourrez plus envoyer aucun e-mail depuis votre nom de domaine ou votre adresse IP. Votre hébergeur aura également la possibilité de clôturer votre compte.

De plus, légalement, le spamming peut être puni de 5 ans d’emprisonnement et de 300 000 euros d’amende (Article 226-18-1 du Code Pénal).

  • Les DoS

Dans le cas des DoS, l’utilisation d’une machine infectée permet l’anonymat de la personne ayant commandé une attaque DoS vers une cible tierce, ou de multiplier la puissance de l’attaque en y ajoutant les ressources d’un ou plusieurs autres ordinateurs. Ici, le but est purement lucratif. Là encore, les sanctions légales sont importantes : selon l’article 323-2 du Code Pénal, « le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données est puni de 5 ans d’emprisonnement et de 75 000 euros d’amende ».

  • Le déchiffrement de données ou mots de passe

Il est également possible d’utiliser les ressources du serveur infecté comme puissance de calcul afin de deviner des mots de passe ou déchiffrer des données, via la méthode bruteforce. Il s’agit de faire tester à une machine toutes les combinaisons possibles jusqu’à tomber sur la bonne. Plus le nombre de machines utilisées augmente, plus les ressources sont importantes, et donc plus le temps de résolution sera court. Ici, le but est majoritairement la récupération de données, pour les utiliser ou les revendre (ce type d’attaque sera traité plus tard dans l’article).

Dans les trois cas cités, le but du pirate est de prendre le contrôle d’un maximum de machines pour monnayer ces ressources.

Partie II : La sécurité informatique : un enjeu méconnu et sous-estimé.

 

Argent, Arnaque, Cyber-attaque, Cybersécurité, Entreprise, escroquerie, Fuite de données, Leak, Logiciels, Microsoft, Mise à jour, Particuliers, Patch, Piratage, Social engineering

Faille de taille pour Internet Explorer 11

3 commentaires

Une faille vise le navigateur de Microsoft, Internet Explorer 11. Un XSS qui permet d’injecter des cochonneries numériques lors de votre visite d’un site piégé.

Les Cross-sites scripting, le site zataz.com vous en parle malheureusement très souvent. Cette vulnérabilité, baptisée XSS, permet de modifier une page d’un site web lors de la visite de ce dernier via un url particulièrement formulé, d’injecter un code malveillant dans l’ordinateur d’un internaute et de nombreuses autres possibilités aussi malveillantes les unes que les autres.

Aujourd’hui, c’est au tour du navigateur de Microsoft, Internet Explorer 11, de souffrir du problème. Un pirate peut contourner le « same-origin » du navigateur. Bilan, comme l’explique sur SecList l’inventeur de la faille, David Leo, un pirate peut diffuser ce qu’il veut dans le navigateur d’un visiteur ainsi piégé. Une démonstration a été faite dans les pages du journal britannique Daily Mail. Microsoft a confirmé la faille.

Pour « corriger » ce problème, il suffit aux webmasteurs de modifier leurs pages web, et de passer l’en-tête X-Frame-Options avec la valeur ‘deny’ ou ‘same-origin’. Bilan, plus aucune possibilité de CSS. A noter que la firme de Redmond a été alertée en octobre 2014 et n’a toujours pas patché son navigateur.