Archives de catégorie : Particuliers

Actualités liées à la sécurité informatique des particuliers et à la vie privée.

Argent, Banque, Chiffrement, cryptage, Cybersécurité, Identité numérique

Le paiement biométrique bientôt possible dans le système CB

Le Groupement des Cartes Bancaires CB évalue actuellement le principe de la biométrie appliquée au paiement et devrait d’ici la fin de cette année octroyer un agrément au standard d’authentification forte défini par Natural Security Alliance pour autoriser son utilisation dans le système CB.

Le premier agrément CB portera sur l’association de la biométrie avec une puce insérée dans un porte-clefs. L’intégration de cette puce dans la carte micro-SD d’un téléphone est également étudiée. Très pratique, l’utilisateur gardera sur lui ce porte-clefs ou ce téléphone (dans une poche, dans un sac) et n’aura pas besoin de le rechercher ou de le présenter pour effectuer un paiement ou un retrait. Outre le fait que la biométrie simplifie l’acte d’authentification avec juste un doigt à poser et plus de code confidentiel à saisir, elle renforce également la sécurité en garantissant la présence du porteur au moment de la transaction.

De plus, la mise en oeuvre de cette solution garantit le respect de la vie privée et des données personnelles de l’utilisateur puisqu’aucune base de données ne centralise les données biométriques de l’utilisateur, celles-ci restant dans la puce intégrée dans le porte-clefs ou le téléphone. Gilbert Arira, Directeur Général du Groupement des Cartes Bancaires CB : « on accorde aux produits CB. ici la fin de cette année 2014 ».

Pour Cédric Hozanne, CEO de Natural Security Alliance : « Les travaux d’agrément engagés par le Groupement des Cartes Bancaires CB constituent une étape très importante pour l’adoption de notre technologie dans le domaine du paiement puis du retrait. Cet agrément permettra aux banques françaises de proposer à leurs clients une nouvelle manière de payer qui tout en renforçant la sécurité, apportera simplicité, sérénité et praticité. CB a été le premier à adopter et à promouvoir la technologie de la carte à puce dès 1992 adoptée depuis par l’ensemble des autres pays. Avec le standard Natural Security, CB montre à nouveau la voie à suivre pour le monde de l’industrie des paiements sécurisés ».

Argent, Banque, Chiffrement, cryptage

Les banques peuvent désactiver le paiement sans contact

La France compte, depuis avril 2014, pas moins de 21 millions de cartes bancaires permettant le paiement sans contact. Des CB imposées par les banques. Elles embarquent la technologie NFC qui permet, en plaçant sa CB à quelques centimètres d’un lecteur dédié, de payer sans être obligé de taper son mot de passe. Une possibilité qui inquiètent depuis 2012, quand un chercheur Français, Renaud Lifchitz, a présenté lors de feu HES 2012 la faille qui permet de lire les données « cachées » dans le précieux bout de plastique.

Il faut dire aussi que les banques ont lancé un service qui n’est ni chiffré, ni contrôlé par un quelconque moyen d’identification. 01net (le site web), revient sur cette technologie en indiquant que les banques auraient fait un stock de protection anti-NFC (Voir l’utilité de ce genre de protection dans ZATAZ WEB TV, ndlr).

Pourquoi cette faille n’est toujours pas corrigée ? « c’est impossible à moins de changer l’architecture technique sous-jacente, ce qui serait beaucoup trop cher » dixit les chercheurs. 01net explique aussi que La Banque de France a demandé aux sociétés financières de fournir un anti-NFC dés que le client en fait la demande.

La Banque de France oblige également les banques à mettre en place la désactivation du NFC à la demande des clients. Le coût de l’opération serait de 10€ par carte indique un expert en sécurité. Après renseignements de DataSecuritybreach.fr auprès de plusieurs banques, les sociétés renvoient les CB pour modification. Autant dire que cela coûte plus de 10 euros !

Il aura fallu une plainte de la CNIL pour que certaines informations disparaissent des communications NFC : nom du client, historique des transactions.

Chiffrement, Cybersécurité, Espionnae, Fuite de données, Identité numérique, Vie privée

Un Monsieur sécurité pour protéger les données des électeurs

Le gouvernement Canadien a décidé, voilà quelques jours, de mandater une équipe de sécurité informatique qui aura comme mission de trouver la moindre faille et fuite de données concernant les électeurs du pays. Une décision politique qui fait suite au jugement d’une entreprise de généalogie qui a commercialisé durant 6 ans les données de plusieurs millions d’élécteurs via ses services oueb.

L’Institut Drouin, spécialisé dans la généalogie, avait copié une liste électorale datant de 2003. Le jugement de cour du Québec a ordonné à Drouin de détruire les données appartenant à 5,5 millions de Québécois : nom, adresse, sexe et date de naissance. « L’État a le droit d’en interdire la diffusion pour protéger la vie privée des électeurs », a indiqué le tribunal.

En France, il suffit de regarder les seconds tours d’éléctions pour appercevoir les candidats et leurs équipes décortiquer les listes électorales afin d’inciter les abstansionnistes à voter, voir certains élus analyser les employés municipaux n’ayant pas pris le temps de voter !

Identité numérique, Particuliers, Phishing, Vie privée

Identity Leak Checker

Est-ce que des cybercriminels ont volé mes données personnelles et les ont rendues librement disponibles en ligne de sorte que d’autres personnes puissent également y accéder et les utiliser de manière abusive ?

Les utilisateurs d’Internet du monde entier peuvent désormais répondre à cette question en utilisant un service gratuit de l’Institut Hasso Plattner pour l’ingénierie des systèmes informatiques de l’université de Potsdam, en Allemagne. Pour cela, il leur suffit de consulter le site sec.hpi.de et de saisir leur adresse e-mail. Le système recherche alors sur Internet les données personnelles librement disponibles qui leur sont associées.

Si des noms, des mots de passe, des détails de compte ou d’autres données personnelles associées à l’adresse e-mail s’avèrent circuler sur la toile, l’institut HPI avertit l’utilisateur par e-mail et lui donne des conseils sur la façon de procéder. Pour des raisons de sécurité, l’institut ne divulguera pas la nature précise des données.

Les informaticiens qui ont développé ce service ont baptisé leur innovation  » Identity Leak Checker « . À ce jour, les chercheurs de cet institut universitaire, qui est financé par Hasso Plattner, le cofondateur de SAP, ont identifié et analysé plus de 170 millions d’ensembles de données personnelles sur Internet. Quelque 667 000 vérifications gratuites ont été effectuées depuis le lancement du service en Allemagne. Dans 80 000 de ces cas, les utilisateurs ont dû être informés qu’ils avaient été victimes d’un vol d’identité.

« Ce type de système d’avertissement pour les données personnelles volées circulant sur Internet vise à permettre aux utilisateurs de comprendre comment ils traitent leurs données personnelles « , a déclaré le Prof. Christoph Meinel, directeur de l’institut HPI. Son département a également mis au point une base de données pour l’analyse des vulnérabilités informatiques (https://hpi-vdb.de). Cette dernière intègre et combine de grandes quantités de données déjà disponibles en ligne à propos des vulnérabilités de logiciels et d’autres problèmes de sécurité. La base de données contient actuellement pas moins de 61 000 éléments d’information concernant des points faibles qui existent dans près de 160 000 programmes logiciels de plus de 13 000 fabricants.

La base de données de l’institut HPI a récemment commencé à aider les utilisateurs à effectuer des vérifications gratuites de leurs ordinateurs à la recherche de points faibles identifiables qui sont souvent exploités habilement par les cybercriminels pour leurs attaques. Le système reconnaît le navigateur de l’utilisateur – y compris les plugins fréquemment utilisés – et affiche une liste de vulnérabilités connues. Des plans visant à étendre le système d’auto-diagnostic pour couvrir d’autres logiciels installés sur un ordinateur sont en cours de préparation.

ID, Identité numérique, Vie privée

FriendOrFoe, application pour contrôler son identité Facebook

Kaspersky Lab présente FriendOrFoe (littéralement « ami ou ennemi »), une application gratuite pour Facebook qui permet aux utilisateurs d’évaluer la fréquence de leurs interactions avec leurs amis, et ce que ces derniers pensent d’eux. L’application révèle lesquels de ces centaines d’abonnés sont d’authentiques fans, qui partagent et commentent des contenus essentiellement au sein d’un cercle d’amis. Elle met aussi en évidence les menaces pour les utilisateurs du réseau social et leur explique comment protéger leurs informations personnelles.

Pour ceux qui utilisent diverses applications d’analyse Facebook, Kaspersky Lab a créé un outil destiné à collecter des statistiques sur l’activité enregistrée. FriendOrFoe indique ainsi le nombre de vidéos et de photos publiées par un utilisateur, le nombre de « J’aime » reçus et une multitude d’autres statistiques susceptibles d’intéresser les aficionados du réseau social. FriendOrFoe est aujourd’hui disponible en différentes langues (anglais, français, russe, allemand, italien, espagnol, brésilien, mexicain, arabe, japonais). Cette liste sera complétée dans un proche avenir.

« Le plus vaste réseau social au monde ne peut qu’attirer l’attention des cybercriminels. Le plus souvent, ils sont à la recherche de données personnelles et d’identifiants qu’ils pourront ensuite exploiter pour accéder, par exemple, à des comptes bancaires via les sites de banque en ligne. Il n’est donc pas surprenant que Facebook soit la cible la plus prisée des auteurs d’attaques de phishing : au cours du premier trimestre 2014, 79,5 % des activités de phishing enregistrées sur les réseaux sociaux touchaient Facebook. En plus de proposer des statistiques amusantes, FriendOrFoe apporte des informations simples et claires concernant les dangers qui menacent un utilisateur» commente Evgeny Chereshnev, Head of Global Mobile Business Development chez Kaspersky Lab.

Les fonctionnalités de FriendOrFoe :
–       Contrôle des “tag” sur les photos : l’utilisateur Facebook peut consulter toutes les photos dans lesquelles il est “tagué” et repérer ainsi potentiellement les photos compromettantes.

–       Contrôle de la géolocalisation : il est possible pour un utilisateur de voir s’il a été géolocalisé par une tierce personne sans sa permission et le cas échéant d’opérer un nettoyage des activités non-approuvés.

–       Maitrise des applications : FriendOrFoe examine les applications Facebook utilisées et la liste des tâches autorisées par l’utilisateur.

–       Maitrise de l’historique : il n’est pas possible d’empêcher Facebook de stocker l’historique de recherche mais il est possible de l’effacer du profil.

Les développeurs de Kaspersky Lab continueront d’améliorer les fonctionnalités de l’application suite aux retours des utilisateurs. Cependant, attention, en utilisant ce service vous fournissez votre accès à Kaspersky !

Argent, Banque, Cybersécurité, Paiement en ligne

Livre Blanc Certissim : la fraude identitaire prend de l’ampleur

Un commentaire

Depuis 2000, le Livre Blanc Certissim apporte sa vision de la fraude sur le marché du e-commerce français. Document de référence pour les e-marchands souhaitant optimiser leur gestion de la fraude, le Livre Blanc Certissim présente les grands indicateurs de la fraude dans le e-commerce ainsi que les nouveaux enjeux de la lutte contre la fraude.

L’expertise de Certissim et son implication dans la lutte contre la fraude lui permettent également de décrire les nouvelles techniques des cybercriminels. Les données du Livre Blanc Certissim proviennent des fraudes détectées par son système ainsi que des déclarations d’incidents de paiement de ses 900 sites marchands partenaires.

L’édition 2014 de cette étude met en avant une augmentation et une diversification des méthodes d’usurpation des données personnelles ainsi qu’une généralisation de la fraude sur l’ensemble du territoire. Les tentatives de fraude s’élèvent à près de 2 milliards d’euros en 2013, contre 1,7 milliards une année plus tôt. La projection des taux de Certissim sur l’ensemble du e-commerce français, soit 51,1 milliards d’euros de chiffre d’affaires(1), indique que l’ensemble des tentatives de fraude se chiffrerait a minima à 1,9 milliard d’euros en 2013. Les enjeux financiers sont par conséquent significatifs à l’échelle de l’économie numérique nationale. Sur le périmètre étudié par Certissim, le taux de tentatives de fraude dans le e-commerce s’est stabilisé à 3,83 % (3,91 % en 2012). Le taux d’impayés frauduleux est en baisse à 0,14 % (0,18 % en 2012)(2) . Le panier moyen des impayés est de 243 €. Si le risque reste important, la fraude dans le e-commerce est mieux maîtrisée.

Fraude identitaire : croissance des usurpations de comptes clients
Certissim alerte les particuliers et les professionnels sur l’évolution des méthodes de phishing(3) observée en 2013. Les auteurs de phishing ne se contentent plus d’essayer de récupérer des coordonnées bancaires. Désormais, ils cherchent à récolter tous types de données personnelles : état civil, coordonnées (postales, bancaires, téléphoniques), mots de passe, réponses aux questions secrètes, etc. L’objectif pour eux est d’utiliser une identité « propre » et crédible pour commander en ligne.

En cumulant les informations issues de phishing et des réseaux sociaux, DataSecurityBreach.fr a pu lire que les fraudeurs parviennent à prendre possession de comptes clients de e-acheteurs honnêtes connus des e-commerçants. Ces usurpations sont possibles notamment à cause de la négligence des particuliers quant à la écurisation de leurs mots de passe. Une fois connecté, les fraudeurs s’approprient le compte client, en modifiant l’adresse e-mail et le numéro de téléphone, et commandent avec des numéros de cartes bancaires volés. En outre, le fraudeur n’est pas inquiété mais le vrai détenteur du compte client doit prouver qu’il n’est pas à l’origine des commandes frauduleuses.

Aucune région française n’est épargnée par la fraude
Certissim dresse un double constat à partir des adresses de livraison des commandes frauduleuses (tentatives de fraude et impayés). Le phénomène de concentration de la fraude en zones urbaines se confirme. Les fraudeurs utilisent des adresses de livraison situées dans les grands centres urbains afin de se fondre dans la masse des commandes en ligne effectuées quotidiennement. Ils disposent alors d’un important marché de revente à proximité de leurs lieux de livraison. Les cas de fraudes en zones rurales augmentent. En province, les fraudeurs  privilégient la livraison en point relais. Pour ne pas être repérés, ils comptent sur la méconnaissance de leurs procédés de la part d’autorités locales peu confrontées à la fraude.

(1) Données Fevad, janvier 2014
(2)Taux de tentatives de fraude et d’impayés en valeur
(3) Hameçonnage

Identité numérique, Particuliers, Vie privée

Pornographie, violence ou drogue, quels contenus Internet consultent les enfants ?

Chaque année, les enfants sont de plus en plus nombreux à aller sur Internet. La plupart des parents ont parfaitement conscience de l’existence de sites à caractère pornographique, présentant des images violentes, faisant l’apologie de la drogue ou comportant d’autres contenus indésirables.

Cependant, tous ne sauraient imaginer quelles sont les catégories particulières de ces sites inappropriés que les enfants tendent à visiter le plus ou à quelle fréquence ils les consultent. C’est pourquoi Kaspersky Lab a décidé d’apporter une réponse à ces questions en analysant les recherches[1] effectuées par les jeunes internautes. Dix catégories de contenus indésirables sur le Web ont été choisies pour faire l’objet de cette étude : pornographie et érotisme, logiciels illégaux, drogues, cruauté et violence, propos grossiers, armes, jeux d’argent, serveurs proxy anonymes, systèmes de paiement, jeux en ligne.

Les 10 interdits
Les parents jugent traditionnellement trois types de contenus particulièrement indésirables pour leurs enfants. Il s’agit des contenus pornographiques et érotiques, cruels et violents ou encore en rapport avec la drogue. Concernant ces trois catégories, l’étude donne les résultats suivants :

·        Dans la quasi-totalité des pays, la catégorie « pornographie et érotisme » vient – de loin – en tête des statistiques de consultation issues des notifications du module de contrôle parental de Kaspersky Lab. Les pourcentages les plus élevés de visites [2] sur des sites à caractère pornographique ou érotique ont été relevés au Japon (74,9 %) et en France (68,9 %), suivis au troisième rang par le Mexique (56,3 %).

·        Les sites relevant de la catégorie « cruauté et violence » sont consultés le plus souvent au Mexique (8,6 %) et aux Etats-Unis (7 %), puis en Europe – notamment au Royaume-Uni et en Espagne (4,8 % chacun). D’après les statistiques du contrôle parental, la popularité des sites de cette catégorie est relativement faible. Néanmoins, il est à noter qu’il est pratiquement impossible d’y aboutir par accident : seule une recherche délibérée peut y mener. Par conséquent, même faibles, les pourcentages de visites de ce type de sites doivent constituer pour les parents un signal d’alerte et une source de préoccupation.

·        Les sites de la catégorie « drogues », tout comme ceux de la catégorie « cruauté et violence », reçoivent le plus de visites au Mexique (1,8 %) et aux Etats-Unis (1,4 %). Le Royaume-Uni se classe en troisième position (0,9 %).

Les logiciels illégaux sont particulièrement prisés en Chine et c’est donc dans ce pays que cette catégorie se détache largement (69,4 %, contre 24 % pour le « concurrent » le plus proche, l’Espagne, et 10.6 % pour le Japon).

Résultats pour les autres catégories
·        Propos grossiers : Russie (10,7 %), Italie (9 %), Mexique (7,7 %).
·        Armes : Russie (26,4 %), Italie (13,7 %), Etats-Unis (12 %).
·        Jeux d’argent : Italie (15,7 %) Etats-Unis (15,4 %), Royaume-Uni (13,5 %).
·        Serveurs proxy anonymes : Mexique (2,1 %), Royaume-Uni (1,2 %), Italie (0,8 %).
·        Systèmes de paiement : Italie (8,5 %), France (5,5 %), Allemagne (2 %).
·        Jeux en ligne : Allemagne (41,1 %), Australie (13,4 %), Etats-Unis (11,2 %).

« En dehors des contenus indésirables, Internet s’accompagne d’autres dangers non moins préjudiciables pour les enfants, à l’exemple du cyberharcèlement. Les agresseurs peuvent exploiter tous les canaux possibles d’interaction en ligne – réseaux sociaux, forums, chats, messageries – qui, lorsqu’ils sont combinés peuvent causer chez les victimes une souffrance mentale dont celles-ci n’osent pas parler. Du point de vue technique, le cyberharcèlement n’est pas si simple à combattre, de sorte que le contrôle parental n’est guère efficace en la matière. En règle générale, les enfants ne sont pas de taille à faire face seuls à des agresseurs : les parents ont donc un rôle important à jouer dans la protection des plus jeunes contre ce fléau. Dans l’idéal, ils doivent prêter attention aux activités de leurs enfants sur Internet. » commente Anna Larkina, analyste senior chez Kaspersky Lab.

Internet oblige les parents à parler plus tôt des « choses de la vie »
Pour AVG Technologies, une étude montre que pour 68% des parents en France, la technologie accélère la fin de l’innocence de l’enfance et les oblige à aborder plus tôt des sujets délicats avec leurs enfants. Des enfants âgés de 10 ans, soit 5 ans plus tôt que leurs parents, dont la majorité (50%) ne se souviennent pas d’avoir eu cette conversation avant l’âge de 15 ans – et parfois pas du tout (42% global, 37% en France).

Concernant les thèmes tels que la pornographie, le sexe et la puberté – sujets de conversation les plus gênants pour les parents interrogés – Internet ressort nettement comme la raison principale d’avoir à avancer cette discussion (76% global, 68% en France). Les inquiétudes liées au temps passé en ligne par leurs enfants (une préoccupation pour 42% des parents globalement, 43% en France) et la facilité avec laquelle ils peuvent accéder à des contenus inappropriés (47% global et 50% en France) se dégagent très clairement.

Alors que l’étude fait état d’une certaine confusion chez les parents quant au meilleur moyen d’assurer la sécurité en ligne de leurs enfants, la série de livres numériques interactifs « Magda and Mo » propose des conseils clairs et simples pour trouver les mesures les plus efficaces. Parmi les méthodes le plus souvent utilisées par les parents figurent l’interdiction pour les enfants de visiter des sites inconnus sans demander la permission (53% global et 47% en France) ; l’interdiction de « chatter » avec des inconnus ou de faire des achats en ligne (51% chacun globalement et 45% et 44% respectivement pour la France) ; et la limitation du temps que les enfants sont autorisés à passer sur Internet (44% globalement, 42% en France) – en revanche, aucune mesure n’a recueilli à elle seule la préférence d’une écrasante majorité.

Bien que plus de huit parents sur dix (81%) imposent une ou plusieurs restrictions, seulement un tiers des enfants (35% globalement, 38% en France), interrogés avec leurs parents, considèrent qu’Internet présente des dangers. La plupart des parents estiment que leurs enfants connaissent mieux Internet qu’eux-mêmes avant l’âge de 12 ans, et un parent sur cinq (19%) pense que ce sera déjà le cas avant l’âge de 9 ans.

« Ces résultats illustrent la nécessité d’initier très tôt le processus d’apprentissage des règles de sécurité en ligne, et le besoin pour les parents et les enfants d’en faire une activité partagée. Dans un contexte d’utilisation croissante d’appareils connectés, on ne peut pas sous-estimer l’importance d’aborder le sujet très tôt et correctement. » explique Judith Bitterli, Directrice marketing chez AVG Technologies.

Android, Fuite de données, Identité numérique, Sécurité, Smartphone, Social engineering, Vie privée

Heartbleed, de retour dans nos smartphones

2 commentaires

Nous vous en parlions à l’époque, la faille heartbleed a été découverte/exploitée aussi dans les smartphones. Des millions d’appareils sous Android, non mis à jour (4.1.1 et antérieur), le sont encore. Un chercheur vient de lancer une alerte indiquant que des millions de smartphones sont tributaires des mises à jour des opérateurs, constructeurs. Bref, la faille OpenSSL fait encore des dégâts.

Luis Grangela, scientifiques portuguais, indique qu’une méthode de piratage exploitant Heartbleed peut être exploitée par des pitrates. Sa méthode utilise le Wi-Fi et des smartphones Android. Son attaque, baptisée Cupidon, est basée au niveau des tunnels TLS. Pour le chercheur, iOS d’Apple ne serait pas épargné.

Entreprise, Identité numérique, Justice, Propriété Industrielle

Val Thorens, une marque protégée sur Internet

Comme l’explique le site Legalis, la station de ski Val Thorens est une marque qu’il vaut mieux éviter de détourner sur Internet.

Par un arrêt du 28 mai 2014, la cour d’appel de Lyon a estimé que les noms de domaine val-thorens.net et val-thorens.org appartenaient à la station de ski éponyme et non pas à l’internaute qui avait mis la main de ces adresses web. Pour la justice, il y a violation du droit d’auteur, même si la Ville et son office de tourisme n’avaient pas enregistré les noms de domaine.

Arnaque, escroquerie, Facebook, Piratage

Un malware trop poli pour être honnête

Un code malveillant s’adresse aux utilisateurs de manière courtoise et crypte une partie de son code avec des versets de la Bible, pour être le plus indétectable possible par les antivirus. Les Laboratoires antivirus Bitdefender mettent en garde les utilisateurs de Facebook et de Yahoo qu’un cheval de Troie se diffuse actuellement via les messageries instantanées. Le malware est détecté par Bitdefender sous le nom Gen:Variant.Downloader.167 et sévit déjà en France, aux États-Unis, au Royaume-Uni, en Allemagne, au Canada, au Danemark et en Roumanie.

Sa méthode d’action est peu banale : il s’adresse aux utilisateurs de Facebook et Yahoo de manière extrêmement polie (« I want to post these pictures on Facebook, do you think it’s ok ? » – j’aimerais poster ces photos sur Facebook, tu penses que c’est ok ?) et ajoute une URL vers les photos en question, sous forme de liens Dropbox ou Fileswap, des plateformes populaires pour l’échange de photos et vidéos.

Une fois le malware exécuté sur la machine, où il crée un dossier avec un nom aléatoire se terminant par .exe, il se propage sur Facebook et Yahoo! via la liste des contacts, et affiche une boite de dialogue sur l’écran de la victime lors de son installation : « Cette application n’est pas compatible avec votre version de Windows. Vérifiez les informations système de votre ordinateur pour déterminer si vous avez besoin du programme en version 32-bits ou 64-bits, puis contactez l’éditeur du logiciel ».

Un autre piège concernant Facebook remonte au mois de mars 2014, où l’on proposait de voir des vidéos de ses amis nus qui résultait en téléchargement d’un faux player Flash et infectait votre ordinateur.