Archives de catégorie : Particuliers

Actualités liées à la sécurité informatique des particuliers et à la vie privée.

Argent, Cyber-attaque, Cybersécurité

Cyber criminels se penchent sur Bitcoin

2 commentaires

Comment les cybercriminels exploitent les monnaies virtuelles comme Bitcoin. D’abord, petit rappel de DataSecurityBreach.fr sur ce qu’est le Bitcoin. Bitcoin est une monnaie virtuelle décentralisée en ligne basée sur une source ouverte, le protocole P2P. Les Bitcoins peuvent être transférés sur un ordinateur sans avoir recours à une institution financière. La création et le transfert Bitcoin est effectué par des ordinateurs appelés «mineurs» qui confirment la création du bitcoin en ajoutant les informations dans une base de données décentralisée. Les Bitcoins deviennent plus difficiles à produire. Il n’y a plus « que » 10 millions de bitcoins en circulation aujourd’hui. La conception Bitcoin permet uniquement de créer 21 millions de pièces virtuelles. Cette limite sera atteinte au cours de l’année 2140. Le portefeuille Bitcoin est ce qui vous donne la propriété d’une ou plusieurs adresses Bitcoin. Vous pouvez utiliser ces adresses pour envoyer et recevoir des pièces provenant d’autres utilisateurs/internautes. Il existe les « piscines ». Espace qui permet à plusieurs internautes de « fabriquer » des Bitcoins. L’idée, travailler ensemble pour faire des bitcoins et partager les bénéfices de manière équitable. Enfin, vous pouvez acheter et vendre des bitcoins en utilisant plusieurs monnaies du monde réel (Euro, Dollar, …) à l’aide de plusieurs espaces d’échanges tels que MtGox, BTC-E ou encore Virtex.

En raison de la popularité croissante du Bitcoin, cette monnaie est devenue une cible intéressante et rentable pour les cybercriminels. Au cours des dernières années, DataSecurityBreach.fr vous a relayé d’une augmentation du nombre d’attaques et de menaces impliquant la monnaie virtuelle. Les « vilains » ont adapté leurs outils afin de voler des bitcoins à leurs victimes, utiliser des systèmes compromis pour exploiter des bitcoins et, bien évidement, traduire la monnaie virtuelle en billets biens réels. D’autre part les échanges virtuels sont également des victimes potentielles : phishing, déni de service. Dans ce dernier cas, la mission est clairement la déstabilisation du taux de change et des profits.

Au cours des dernières années, la capacité de voler le fichier wallet.dat (Le portefeuille Bitcoin, ndlr Data Security Breach) a été ajoutée à plusieurs familles de logiciels malveillants. En outre, de nouvelles familles de logiciels malveillants sont apparus dans le but de voler ce fichier à partir des machines infectées. Par exemple, une version du malware Khelios a été utilisée pour envoyer de faux courriels et inciter le téléchargement du malveillant. Mission finale, voler des données provenant des systèmes infectés. En conséquence, si un utilisateur du Bitcoin est infecté, le keylogger intercepte les frappes claviers dédiés aux Bitcoins. Le fichier porte-monnaie peut être protégé par un mot de passe… sauf que la majorité des logiciels pirates dédiés aux vols de données bancaires ont intégré le moyen de cracker le mot de passe du portefeuille. A noter que des botnets IRC s’exécutent sur la base du « AthenaIRCBot », un code source qui a la capacité de voler le fichier portefeuille (exemple : 928296a933c8eac9282955d47a811aa2759282973b8789bcfd567fb79282908ea).

En plus de voler le porte-monnaie Bitcoin, le nombre de logiciels malveillants qui permettent aux pirates d’utiliser la puissance de l’ordinateur des victimes est grandissante. Il permet aux escrocs numériques de générer des Bitcoins. Des variantes de Zeus/Zbot utilisent des « plugin » qui visent BitCoin.  L’année dernière, zataz.com vous parlait d’attaques de sites web, avec l’installation d’iframe « bizarres » dans les sites infectés. Les iframes dirigés les internautes vers le site anshaa[*]com. L’attaque visait Bitcoin. Au cours des derniers mois, plusieurs variantes de Dorkbot, y compris celui qui visait Skype, était exploité pour ajouter la capacité mining pool dans les ordinateurs infectés. Une fois que le système compromis, une version de la Ufasoft mining pool est lancée. Le pirate produit du Bitcoin sans se fatiguer. Derrière ce botnet, le même groupe. Il exploit(ait)e : cantvenlinea[*]biz, revisiondelpc[*]ru, cantvenlinea[*]ru, hustling4life[*]biz.

Alors que ce premier groupe a fait tourner son arnaque durant près de 6 mois, un autre groupe de pirates exploite, depuis 1 an, Dorkbot. Si le premier gang semble être des pays de l’Est, le second passe par l’Asie pour agir. Ce groupe exploite aussi une autre monnaie virtuelle, Litecoins. Dans ces cas, les pirates exploitent de faux logiciels diffusés via le P2P et les fameux iFrames installés dans des sites compromis via des kits Exploits de type  Blackhole. Comme vous pouvez le voir dans notre capture écran de comptes pirates, plusieurs escrocs utilisent des adresses Bitcoin. Bilan, il est possible de voir  les transactions effectuées par ces comptes. Certains affichent plus de 38.000 dollars de recettes ! Pas mal pour un petit Botnet !

Mtgox est le plus grand lieu d’échange Bitcoin. Il est possible de transformer ses Bitcoins en Euros ou Dollars. Ces dernières semaines, la popularité croissante de Bitcoin et Mtgox a attiré les pirates. Début avril, le site mtgox-chat[*]info ciblait les utilisateurs Mtgox. Mission de ce piège, inciter l’internaute à télécharger une applet Java malveillante. Marrant, le serveur pirate de gestion (C&C) se nommait « tamere123 ». Il faut dire aussi qu’avec 20.000 comptes Mtgox créé par jour (le nombre de comptes pirates n’est pas connu, ndlr DataSecuritybreach.fr), l’intérêt des escrocs ne fait que suivre le mouvement.

Vous commencez à comprendre pourquoi le Bitcoin a plongé de 50% la semaine dernière, passant de 36 euros le 16 mars pour atteindre 200 euros, 1 mois plus tard. Le Bitcoin se stabilise autour de 75 euros. Jusqu’au prochain problème, comme celui vécu début avril, chez Bitcoin central !

Argent, Banque, Particuliers

Problème pour la Banque ING

Intéressant bug, ces dernières heures, dans le système Internet de la banque ING. La banque néerlandaise a subi une défaillance majeure dans son système bancaire. Des dizaines de clients ont rapporté que leurs comptes en banque affichaient de mauvais soldes. Certains de ces clients se sont retrouvés avec des débits de plusieurs centaines d’euros. Bilan du « bug », les systèmes ont été coupés. Trop de visiteurs et, ce qui semble être une roue de secours, la coupure pure et simple des connexions à la page d’administration des comptes.

Au moment de l’écriture de cet article, Data Security Breach pouvait lire sur le site d’ING : «  Drukte op Mijn ING. Op dit moment zijn er zeer veel bezoekers op Mijn ING. Hierdoor is het nu helaas niet mogelijk om in te loggen. Probeert u het over enkele minuten nogmaals. Onze excuses voor het ongemak. » traduisez : « À l’heure actuelle, il y a de très nombreux visiteurs qui tente de joindre mon ING (l’espace privé des clients, ndlr DataSecurityBreach.fr). Il n’est malheureusement pas possible de se connecter. S’il vous plaît, essayez de nouveau dans quelques minutes. Nous nous excusons pour la gêne occasionnée. »

D’après les premières constatations, le problème viendrait de la société Rabobank. Certains services ne sont d’ailleurs plus disponibles. Les banques indiquent que cela est dû à un problème technique et pas un « hack ». En attendant, des clients ont cru au jackpot en étant crédités de plusieurs millions d’euros, pendant que d’autres perdaient l’ensemble de leurs économies !

D’après notre expérience, une mise à jour qui a du mal tourner. En France, en 2011, le Crédit Agricole avait connu le même yoyo bancaire. Après avoir été débités deux fois, des clients s’étaient vus crédités de l’argent trop perçu par la banque … deux fois ! Une coquille numérique qui avait prélevé deux fois le même montant lors d’un achat par carte bancaire. La banque avait été rapide à répondre à ses clients et à corriger le « bug ». Sauf que certains clients avaient été correctement remboursés… deux fois.

Argent

Faille pour BitCoin Central

Un commentaire

Une faille découverte dans le service BitCoin oblige BitCoin Central à fermer pour maintenance. Comme l’annonçait, en début de soirée, le twitter officiel de @zataz, un problème est survenu pour le système monétique Bitcoin. Dans la nuit de dimanche à lundi, le site BitCoin Central à confirmer les informations que possédait la rédaction de zataz.com, un problème de sécurité est intervenu dans les bits des Bitcoins. « Nous avons détecté une faille de sécurité, indique l’équipe de BitCoin Central. Les services sont temporairement suspendus jusqu’à ce que nous ayons soigneusement étudié la situation. Nous allons reprendre les services dans les plus brefs délais. » Datasecuritybreach.fr vous conseille de ne SURTOUT PAS envoyer d’argent avec votre adresse, du moins pour le moment. A noter que les bitcoins des clients (en euros) sont en sécurité et ne sont pas affectés par la brèche de sécurité découverte. L’adresse 1LrPYjto3hsLzWJNstghuwdrQXB96KbrCy est sous le contrôle de Bitcoin-Central et Paytunia. « Nous nous engageons à reprendre du service dès que possible, termine BitCoin Central. Attendez-vous à une reprise normale du service dans les 48 heures. »

Particuliers

Les failles fatales de la neutralité du Net selon le CNNum

Un commentaire

Dans son avis [1] rendu le 12 mars 2013, le Conseil National du Numérique (CNNum) invite le gouvernement à faire reconnaître le principe de neutralité du Net « comme un principe fondamental nécessaire à l’exercice de la liberté de communication et de la liberté d’expression ». Que les autorités publiques semblent prendre conscience de la nécessité de consacrer ce principe essentiel apparait comme une bonne nouvelle, toutefois la proposition de mise en œuvre formulée par le CNNum, via la loi de 1986 concernant la télévision, semble vouée à l’échec. ***

La neutralité du Net « au plus haut niveau de la hiérarchie des normes » ?

Afin de protéger la neutralité du Net, le CNNum propose d’intégrer un « principe de neutralité » dans la loi de 1986, ce qui le placerait, prétend-il, « au plus haut niveau de la hiérarchie des normes ». Une telle proposition se fonde sur le postulat selon lequel « la liberté d’expression n’est pas suffisamment protégée dans la loi française ». En se focalisant sur l’édifice législatif, le CNNum semble oublier l’article 11 [2] de la Déclaration des droits de l’homme et du citoyen, tout comme son appartenance au bloc de constitutionnalité. Le CNNum semble oublier aussi que la liberté d’expression est d’ores et déjà sollicitée par le juge, qu’il soit européen, administratif, judiciaire ou constitutionnel, notamment pour faire contrepoids à des mesures disproportionnées visant à la protection de la propriété intellectuelle.

La loi de 1986 [3] est une loi ordinaire qui n’a jamais fait partie du bloc de constitutionnalité [4] – le seul et unique « plus haut niveau de la hiérarchie des normes ». Il est donc faux de prétendre qu’y inscrire le principe de neutralité du Net suffise à hisser ce dernier au dessus des lois. Le législateur ne pourrait parvenir à ce résultat qu’en enclenchant la lourde procédure de révision de la Constitution, ce qui serait peu probable en la matière, et ce que l’avis n’envisage de toute façon pas.

Chercher à introduire un principe général de neutralité dans une loi ne suffit pas à répondre au problème posé, qui est celui de la sanction des atteintes à la liberté d’expression. C’est avant tout en établissant une définition claire d’infractions et de sanctions dissuasives que la neutralité du Net pourrait être garantie, ce que le CNNum s’abstient de proposer [5], préférant placer ce principe au sein d’une loi datée qui n’a pas été conçue pour le recevoir.

La neutralité du Net bridée par les règles inadaptées taillées pour la télévision

Dans son avis, le CNNum propose d’insérer le principe de neutralité dans le premier article [6] de la loi de 1986. Si le CNNum a précisément choisi cet article de cette loi, c’est parce qu’il y est établi que « la communication au public par voie électronique est libre », et que la neutralité du Net devrait devenir une composante de cette liberté. Or, dans sa conception, l’objet de la loi de 1986 ne fut pas de garantir cette liberté mais, au contraire, d’encadrer le secteur de l’audiovisuel qu’elle libéralisait en le soumettant à des règles strictes et en le plaçant sous le contrôle du CSA. Ainsi, dès son premier article et à peine le principe de liberté de communication proclamé, la loi s’empresse de dresser la liste exhaustive des valeurs pouvant justifier qu’elle soit limitée.

Parmi ces exceptions, on retrouve « le respect de la dignité de la personne humaine, […] de la propriété d’autrui [et] la protection de l’enfance », autant de valeurs qui, bien qu’exigeant une attention certaine, sont constamment invoquées afin de justifier toutes les atteintes portées aux libertés fondamentales sur Internet. Et la loi de 1986 les définit si largement que les opérateurs télécom et autre acteurs industriels n’auraient aucun mal à les exploiter devant le juge, afin de justifier n’importe quelle restriction d’accès à Internet. Ainsi, l’exception pour « protection de la propriété d’autrui » sera inévitablement utilisée par les industries du divertissement, au nom de leurs droits d’auteur, pour déroger à la neutralité du Net.

Plus grave encore, l’article prévoit que la liberté de communication peut être limitée par « les contraintes techniques inhérentes aux moyens de communication ». Nul doute que les opérateurs sauraient parfaitement se saisir de ce concept particulièrement flou, qu’ils sont les premiers à pouvoir définir, afin de porter atteinte à la neutralité des réseaux, à la liberté d’expression, à l’innovation et à l’équité au nom de contraintes techniques et économiques. Bref, tout est déjà dans la loi de 1986 pour permettre aux opérateurs de maintenir le statu quo actuel justifiant toutes les restrictions d’accès par de plus ou moins fumeuses raisons techniques.

Et il n’est en rien surprenant que cette loi soit parfaitement inadaptée à accueillir le principe de neutralité lorsque l’on sait combien le secteur auquel elle est destinée – la télévision – se distingue, par sa nature centralisée et par la rareté des canaux de communication, du fonctionnement même de l’Internet – ce que le CNNum reconnaît [7] lui-même dans son rapport.

L’audiovisuel ne se compose que de communications unilatérales en nombre fini, auxquelles le concept de neutralité n’a pas lieu de s’appliquer, quand Internet est la somme de communications multilatérales et illimitées. Imposer les règles de la gestion de la rareté des communications télévisuelles comme limitation de l’organisation de l’abondance des communications Internet serait un contre-sens historique.

La définition de la mise en œuvre de la neutralité du Net abandonnée au pouvoir judiciaire

L’inscription de la neutralité du Net dans une loi pré-existante souligne la volonté du CNNum de ne pas créer un cadre juridique nouveau, spécifique et adapté, afin de protéger la neutralité du Net. L’avis l’explique d’ailleurs clairement : « le principe de neutralité doit venir compléter et éclairer les dispositions juridiques existantes » et n’a donc pas vocation à être protégé en tant que tel.

Or, la neutralité du Net est un enjeu majeur pour notre société, un enjeu politique, qui dépasse de loin le cadre des procédures judiciaires, individuelles et isolées. C’est au législateur seul de définir les infractions et sanctions – avant tout dissuasives -, en fonction d’exceptions précises et limitées permettant de déroger à la neutralité du Net et de rendre légitime une restriction d’accès à Internet.

En abandonnant ces choix politiques au pouvoir judiciaire, une mise en œuvre des proposition du CNNum laisserait les puissants avocats des opérateurs obtenir par la jurisprudence la liberté de s’engouffrer dans les larges exceptions que leur offre la loi de 1986 et de justifier tous les abus. D’ailleurs, le CNNum ne laisse encore une fois pas de place au doute. Pour lui, « il convient de mettre en place des indicateurs pour mesurer le niveau de neutralité des réseaux et des services ouverts au public ». Que l’on ne s’y trompe pas. Un opérateur s’abstient ou non de contrôler et de prioriser le contenu qu’il véhicule. Il ne peut s’abstenir à moitié. L’idée qu’il y aurait une échelle de neutralité est inconciliable avec l’idée même de neutralité.

Il faut espérer que le gouvernement fasse preuve de courage en allant plus loin que le Conseil national du numérique ne l’y invite : qu’il ne se contente pas d’inscrire le principe de neutralité dans une loi inadaptée qui le priverait de tout effet, mais propose un cadre juridique nouveau qui le protégerait spécifiquement, en sanctionnant sévèrement les entorses [8].

Si cet avis marque le début d’une prise en compte des enjeux de la neutralité du Net par les pouvoirs publics, les citoyens doivent plus que jamais rester vigilants, pour que ce principe essentiel ne soit pas vidé de sa substance par le législateur, résultat qui serait bien pire que de n’avoir aucune loi sur la question. Les travaux à venir entre les différents ministères (Ayrault, Pellerin, Taubira, Valls), et l’examen d’un éventuel projet de loi au Parlement devront faire l’objet d’une attention toute particulière, afin que nos libertés en ligne soient efficacement protégées.

Références

1. https://www.laquadrature.net/files/CNNum-avis-sur-la-neutralite-du-net.pdf

2. Article XI de la Déclaration universelle des droits de l’homme : « La libre communication des pensées et des opinions est un des droits les plus précieux de l’Homme : tout Citoyen peut donc parler, écrire, imprimer librement, sauf à répondre de l’abus de cette liberté, dans les cas déterminés par la Loi. »

3. La « loi du 30 septembre 1986 relative à la liberté de communication », dite « loi Léotard », libéralisa le secteur de la téléphonie mobile et de la télévision par câble, ce qui permit notamment la privatisation de TF1 l’année suivante. Afin d’encadrer ce nouveau secteur privé, elle institua une Commission nationale de la communication et des libertés, qui deviendra rapidement le Conseil supérieur de l’audiovisuel (CSA).

Dans son premier article, la loi proclame que « la communication au public par voie électronique est libre », reprenant la jurisprudence du Conseil constitutionnel qui reconnaissait, dès 1982, la valeur constitutionnelle du principe de « liberté de communication des pensées et des opinions par les moyens audiovisuels », directement tiré de l’article 11 de la Déclaration universelle des droits de l’homme et du citoyen.

4. Le bloc de constitutionnalité réunit l’ensemble des normes placées au sommet de l’ordre juridique français – auxquelles aucune loi ni traité international ne peut déroger. Ces normes sont celles de la Constitution de 1958, de son préambule, du préambule de la Constitution de 1946, de la Déclaration des droits de l’homme et du citoyen de 1789 et de la charte de l’environnement, ainsi que les « principes fondamentaux reconnus par les lois de la République » dégagés par le Conseil constitutionnel et le Conseil d’État et les principes et objectifs reconnus de valeur constitutionnelle par le Conseil constitutionnel.

5. Le CNNum s’abstient de proposer toute sanction alors même qu’il regrette, dans son rapport, que la résolution du Parlement européen adoptée en 2011 en faveur du principe de neutralité « se refus[e] à demander une action législative immédiate ou des sanctions à l’encontre des opérateurs qui restreignent l’accès à Internet de leurs abonnés ».

6. Article 1 de la loi de 1986 : « La communication au public par voie électronique est libre.

L’exercice de cette liberté ne peut être limité que dans la mesure requise, d’une part, par le respect de la dignité de la personne humaine, de la liberté et de la propriété d’autrui, du caractère pluraliste de l’expression des courants de pensée et d’opinion et, d’autre part, par la protection de l’enfance et de l’adolescence, par la sauvegarde de l’ordre public, par les besoins de la défense nationale, par les exigences de service public, par les contraintes techniques inhérentes aux moyens de communication, ainsi que par la nécessité, pour les services audiovisuels, de développer la production audiovisuelle.

Les services audiovisuels comprennent les services de communication audiovisuelle telle que définie à l’article 2 ainsi que l’ensemble des services mettant à disposition du public ou d’une catégorie de public des œuvres audiovisuelles, cinématographiques ou sonores, quelles que soient les modalités techniques de cette mise à disposition. »

7. Le CNNum reconnaît dans son rapport que « en matière de droit de la communication et de l’expression sur les réseaux numériques[,] la bidirectionnalité intrinsèque diffère radicalement des réseaux de communication analogiques que régule, entre autres, la loi de 1986 sur la liberté de communication ».

8. Paradoxalement, le rapport admet que, quant à la définition du principe de neutralité, « l’objectif à atteindre est toujours clairement décrit comme le contrôle des pratiques de filtrage, de blocage, de censure ou de ralentissement de l’accès à l’information par le public », mais que cet objectif « implique toujours un grand nombre d’exceptions tels quel l’intérêt économique des acteurs, la lutte contre le spam ou le maintien de la qualité du réseau ».

Pour échapper à cette approche qui, bien qu’ayant « l’avantage de la simplicité,[…] a l’inconvénient d’être pratiquement inopérante », le rapport reconnaît qu’il faut « définir le principe de neutralité de façon positive ». Or, il ne propose aucune mesure pour y parvenir : l’insertion du principe dans la loi de 1986 est l’approche simple et inefficace, et la définition positive aurait été la création d’un cadre nouveau, accompagné de sanctions efficaces.

Assez étrangement, le CNNum semble inviter le gouvernement à aller plus loin que ce qu’il ne lui propose, et intitule l’un des titres de son rapport « Un cadre juridique nouveau posant un principe fort de neutralité […] » alors qu’il ne propose, dans son avis, que d’inscrire ce principe dans un cadre juridique ancien et inadaptée.

Arnaque, escroquerie, Particuliers, Scam

Les scammeurs lancent leurs campagnes de malwares sur le thème des vacances

Le secteur du tourisme ayant déjà commencé à communiquer sur leurs offres d’été, les scammeurs suivent la tendance et mettent en place des campagnes de spam contenant des malwares sur le thème des vacances. Ce sont les e-mails de confirmation de vol qui sont les plus utilisés cette année, suivis des offres d’hôtel, des offres de croisières somptueuses et de prêts divers pour les vacances. BitDefender s’en fait l’écho auprès de DataSecurityBreach.fr et alerte les internautes.

Pendant la saison, 6% de l’ensemble du spam concerne le thème des vacances. Et si l’on comptabilise 1.8 million de spams standards par jour, environ 108 000 messages sont sur le thème des vacances au plus fort de la saison, parmi lesquels les fausses confirmations de vol qui sont les plus répandues. Les e-mails de confirmation ou les reçus issus de compagnies aériennes constituent environ 60% de l’ensemble du spam sur le thème des vacances d’été cette année. Ces messages délivrent généralement des malwares dans une pièce jointe ou comportent un lien vers des pages Web malveillantes.

Le second type de scam saisonnier le plus fréquent est la fausse newsletter présentant de fausses bonnes affaires pour les réservations à l’avance de séjours de luxe dans le monde entier. Ces messages sont rédigés dans différentes langues selon les destinations qu’ils proposent. Les croisières, les offres d’assurance de voyage et les prêts vacances sont également utilisés pour séduire tous ceux qui préparent la parfaite escapade estivale.

Bitdefender a également découvert que Delta Air Lines et US Airways étaient les entreprises les plus ciblées, puisqu’elles comptent parmi les plus grandes compagnies aériennes aux États-Unis, offrant leurs services à des millions de clients à travers le monde. Il est en effet logique que plus les clients sont nombreux à utiliser un service, plus il y a de chances que les scams fonctionnent. Pour vous protéger, suivez les conseils de DataSecurityBreach.fr qui vous permettront d’organiser et de profiter de vos vacances en toute sécurité :

Renseignez-vous sur le site Web que vous utilisez avant de réserver un vol ou un hôtel.

Consultez les opinions des autres utilisateurs sur les sites Web de vente de billets/de réservation. Lisez leurs commentaires et leurs avis au sujet des services de ces sites.

Essayez d’entrer en contact avec un représentant de l’entreprise afin d’obtenir autant d’informations que possible sur le lieu de vacances.

Ne cliquez pas sur les liens inclus dans les e-mails, surtout si vous n’avez pas expressément demandé des renseignements sur des offres de voyage ou réalisé des réservations de vol/hôtel et n’ouvrez jamais les fichiers joints à ce type d’e-mails.

Lorsque vous partez en vacances, ne l’annoncez pas sur les réseaux sociaux. Une maison vide peut être extrêmement tentante pour des cambrioleurs. En effet, sécuriser les informations que vous mettez en ligne  peut aussi contribuer à protéger votre environnement physique.

Évitez de réaliser des achats en ligne ou de consulter des comptes bancaires lorsque vous utilisez des hotspots Wifi tels que ceux des aéroports, des cafés ou des centres commerciaux. Ne le faites pas non plus dans un hôtel.

Cyber-attaque, Particuliers

Attaque de masse : des milliers de données de Français piratées

6 commentaires

Un fichier malveillant réussi, en quelques heures, à voler des milliers de logins et mots de passe de Français crédules. Un pirate informatique a diffusé un fichier malveillant, en multi-urls, proposant de télécharger un logiciel de création de code StarPass. Bien évidemment, derrière ce pseudo programme, promu par des vidéos sur Youtube, ce cache un logiciel d’espionnage. Mission du « malveillant », intercepter les logins et mots de passe pouvant trainer sur les ordinateurs des victimes.

Le « fouineur », il utilise un email dixi7z@xxxx.ch a mis la main sur plusieurs milliers d’informations de Français : sites web, logins, emails, mots de passe. Par un tour de magie, la rédaction de Data Security Breach a pu mettre la main sur les données volées.

Zataz.com, via son protocole d’alerte, a  alerté l’ensemble des internautes touchés par cette infiltration malveillante. Plus de 700 personnes sont concernées avec des accès à des boutiques en ligne, des comptes Googles, Facebook, sites Internet, forums, accès wifi (SFR, FREE, …), clés Windows.

Cybersécurité, Entreprise, Hacking, Particuliers

Laisserez-vous disparaitre la protection de vos données ?

La commission des « affaires juridiques » (JURI), menée par Marielle Gallo (France – EPP), vient de voter son avis sur la nouvelle législation relative à la protection des données proposée par la Commission européenne. Avec ce dernier vote pour avis, légèrement moins catastrophique que les précédents, le Parlement européen affaiblit une fois encore la protection des données personnelles des citoyens européens. Les membres des quatre commissions ayant exprimé leur avis ont choisi de se ranger aux côtés des multinationales américaines qui, comme Facebook et Google, collectent, traitent et vendent des données concernant nos vies quotidiennes. La mobilisation citoyenne commence doucement à porter ses fruits, mais doit encore s’intensifier avant le vote crucial de la commission principale « libertés civiles » (LIBE) – actuellement prévu pour les 24-25 April, mais probablement reporté.  ***

Une fois encore, Marielle Gallo (France – PPE) a choisi de protéger les intérêts de l’industrie plutôt que les droits des citoyens, et a conduit la commission « affaires juridiques » (JURI) à voter un avis appelant à affaiblir la protection de la vie privée des citoyens dans la proposition de règlement de la Commission européenne. Des amendements déposés par Marielle Gallo et ses collègues conservateurs (soutenus par les membres du groupe libéral (ALDE)) proposent par exemple d’autoriser les entreprises à traiter les données personnelles des citoyens et à les transmettre à des tiers qui pourront ensuite en faire ce qu’ils voudront, dès lors qu’ils invoqueront un « intérêt légitime » [1]. D’autres amendements adoptés aujourd’hui introduisent toutes sortes de failles juridiques, et invitent par exemple le Parlement européen à autoriser le traitement des données personnelles même lorsque l’objectif de ce traitement est incompatible avec celui décrit lors de la collecte des données [2].

Ainsi, ce vote s’inscrit dans la lignée de ceux des commissions « consommateurs » (IMCO) de janvier [3], et de ceux des commissions « industrie » (ITRE) et « emploi » (EMPL) de février [4], qui reprenaient un grand nombre des demandes des lobbies de l’industrie, et menaçaient les protections proposées par la Commission européenne.

Cependant, ce vote, au même titre que les trois précédents, n’a pas de portée législative. Le prochain vote à en avoir un sera celui de la commission principale « libertés civiles » (LIBE), prévu pour fin avril mais probablement reporté, et qui déterminera réellement si l’Union européenne choisira de laisser à ses citoyens le contrôle de leurs données, ou si elle choisira de copier le modèle américain dans lequel les sociétés peuvent collecter, traiter, stocker et vendre les données personnelles des citoyens sans aucune contrainte.

Le vote d’aujourd’hui a pourtant été légèrement moins catastrophique que les précédents, et démontre que les membres du Parlement européen sont sensibles à la mobilisation citoyenne et à la pression médiatique, et qu’ils protégeraient notre droit à la vie privée si nous les y poussions. Avant le vote de la commission LIBE, les citoyens doivent donc renforcer la mobilisation et continuer à contacter leurs députés européens.

« Les enjeux cruciaux liés à notre vie privée et à l’économie numérique se joueront au sein de la commission principale « libertés civiles ». Les citoyens peuvent mettre leurs élus face à leurs responsabilités en se mobilisant et en exigeant que Facebook, Google et les autres géants du Net n’aient pas un accès « Open Bar » à nos données personnelles. Nous devons garder le contrôle de nos données, afin de garder le contrôle de notre vie en ligne. Tout se jouera à partir de maintenant et jusqu’aux élections européennes. » déclare Jérémie Zimmermann, porte-parole de l’association La Quadrature du Net.

* Références * 1. Am. 24 déposé par Marielle Gallo (France – EPP)

2. Am. 144 déposé par Klaus-Heiner Lehne (Allemagne – EPP)

3. https://www.laquadrature.net/fr/vie-privee-les-entreprises-us-gagnent-en-commission-consommateurs-au-parlement-europeen

4. https://www.laquadrature.net/fr/la-vie-privee-des-citoyens-menacee-dans-les-commissions-parlementaires-europeennes

Cybersécurité, Entreprise, Logiciels, Particuliers

Smartphone quasi indestructible

La perte de données peut aussi se dérouler après la chute de son portable. Imaginez, sur les pistes, et … paf! … e portable termine sa course contre un sapin. Cet hiver, la neige était au rendez-vous et bon nombre d’utilisateurs de smatphones sont encore sur les pistes à profiter du sport de glisse préféré des français. Avec la croissance effrénée des nouvelles technologies, rester connecter même sur les pistes, devient un jeu d’enfant. Mais qu’en est-il des chutes à grande vitesse lorsque son smartphone dernier cri est dans la poche de sa combinaison ? Températures extrêmes, chutes ou encore neige qui s’insinue partout, beaucoup de smartphones ne tiennent pas le choc face aux conditions hivernales. Caterpillar lève le voile sur son nouveau mobile idéal pour la saison du ski : le Cat B15.

A toutes épreuves

• Protéger des chutes : L’appareil est protégé par de l’aluminium anodisé argent et un caoutchouc absorbant les chocs.

• Waterproof : Le Cat B15 est certifié IP67. Ce standard industriel signifie que le dispositif est étanche, capable de résister à l’immersion dans un mètre d’eau pendant 30 minutes. Pas de problème d’utilisation lorsque les mains sont mouillées.

• Résistance aux températures extrêmes : Le Cat B15 fonctionne par des températures allant de -20º C à +55º C. Il est donc protégé de la neige mais également du sable pour les vacances d’été !

Cybersécurité, Entreprise, Logiciels, Particuliers, Piratage, Virus

Qui connaît son ennemi comme il se connaît…

Cette citation de Sun Tzu, issue de l’Art de la Guerre et écrite dès le Vème siècle avant Jésus-Christ, continue d’inspirer nombre de stratégies militaires ou commerciales, mais ne vaut que si l’on considère l’ensemble du constat : « Qui se connaît mais ne connaît pas l’ennemi sera victorieux une fois sur deux. Que dire de ceux qui ne se connaissent pas plus que leurs ennemis ? ». Par Eric Soares, Vice-président France de Symantec pour Data Security Breach.

Les entreprises et les gouvernements ont-ils conscience de la multiplication des cyber-menaces ? Les plus connues d’entre elles  ne cessent de baisser : seules 4 % d’entre elles sont des virus ; le taux de spam a baissé de plus de 30 % sur les douze dernier mois. Ces « vieilles » menaces sont connues des individus, des entreprises et des gouvernements, qui se sont, au cours des années équipés pour les contrer. Néanmoins, les attaques malveillantes avaient augmenté de 81 % en 2011, les attaques web de 36 % et le nombre de variantes uniques de code malveillant atteignait les 403 millions, des tendances qui n’ont cessé de s’affirmer depuis, avec le succès dont on entend trop souvent parler hélas. Les entreprises et gouvernements doivent en outre faire face à l’augmentation des attaques ciblées, qui touchent non seulement les dirigeants, mais également les différentes fonctions de l’organisation ouvertes sur l’extérieur. Il convient également de tenir compte des attaques visant la production-même des entreprises ou leur fonctionnement, telles que le désormais très connu Stuxnet ou la plus discrète Narilam, qui modifiait des bases de données comptables. Enfin, à ces menaces externes viennent s’ajouter les risques internes : selon une étude récente menée avec le Ponemon Institute, 60 % des employés ont déclaré prendre des données appartenant à leur employeur lorsqu’ils le quittent.

Qu’elles soient internes ou externes, les entreprises tout comme les gouvernements doivent non seulement avoir conscience mais également la connaissance des cyber-menaces qu’elles doivent affronter.

Le périmètre des risques doit également être réévalué. Il y a encore quelques années, les systèmes d’information étaient limités aux ordinateurs et serveurs se trouvant dans les murs des organisations. La moitié de leurs données se trouvent désormais en dehors de leur pare-feu. Aujourd’hui le développement du cloud et celui de la mobilité, séparément et conjointement, sont certes porteurs de nouvelles opportunités pour les entreprises et les gouvernements, mais signifient également  une multiplication des points d’entrée pour les menaces et nécessite une approche in-extenso de la sécurité.  Celle-ci est en effet l’une des premières préoccupations des entreprises qui transfèrent tout ou partie de leur capital informationnel vers le cloud. C’est également une opportunité majeure de sécurité accrue… à condition de s’être assuré que ce même cloud, qu’il soit privé, public ou hybride, répond aux exigences de sécurité et aux obligations réglementaires les plus rigoureuses.

Le développement des terminaux mobiles à usage professionnel n’est évidemment pas un phénomène que l’on peut contrer, mais qu’il convient d’accompagner, là encore, afin de protéger au mieux les informations de l’entreprise. Aujourd’hui, 23 % des collaborateurs accèdent aux informations de l’entreprise via un appareil mobile. Il s’avère donc nécessaire de renforcer les politiques de sécurité, dont les niveaux doivent varier selon le propriétaire du terminal, et bien sûr de son utilisation.

Les organisations doivent donc tenir compte de ces nouveaux développements dans leur approche de la sécurité de leurs données, ou d’intégrer cette dernière dès la phase initiale de leurs projets de cloud et de mobilité la dimension sécurité. Mais est-ce toujours le cas ?

Les défis à relever sont particulièrement nombreux pour être « cyber-ready » et assurer la cyber résilience d’une organisation. Le risque 0 n’existe certes pas, mais il convient  d’apprendre et de comprendre la multiplication et les différents types de cyber-menaces ainsi que les nouveaux périmètres à considérer, pour assurer une protection optimale et maximale des informations.

Cybersécurité, Entreprise, Hacking, Logiciels, Particuliers, Piratage, Virus

Astuces pour protéger les données de votre entreprise

Soyez attentifs ! Quelques astuces pour garder les données de votre entreprise à l’abri de l’intérêt de personnes mal intentionnées. Par Wieland Alge, pour Data Security Breach, Vice président Europe – Barracuda Networks.

Pour les informations importantes, n’utilisez que des sources que vous savez être sûres. De manière générale, ne faites pas confiance à un tiers si vous n’avez pas été l’auteur du premier contact. Si votre banque vous téléphone et vous demande des informations spécifiques, évitez de les donner. À la place, il vaut mieux que vous contactiez vous-même votre banque en utilisant les numéros de contact que vous savez être sûrs. Ils sont généralement inscrits au dos de votre carte bancaire ou sur le site internet de votre banque.

Ayez le même réflexe avec vos emails.

Au lieu d’utiliser les URL contenues dans vos emails pour vous assurer qu’elles renvoient bien aux bonnes adresses, il est préférable de ne pas cliquer sur ces liens, car il est toujours possible de tomber dans un piège. Les emails provenant de Paypal ou d’organismes similaires doivent être ignorés. À la place, rendez-vous sur le site internet de l’organisme en question en tapant manuellement l’URL dans votre navigateur, puis connectez-vous à votre compte. S’il y a réellement quelque chose que vous devez savoir, cela sera très clairement indiqué après votre connexion.

Mettez au point une technique d’interrogatoire.

La mise en place de ce genre de technique au sein d’une entreprise est contre nature et peut demander des efforts, mais elle permet également de stopper une grande partie des attaques et de résoudre certains problèmes organisationnels. Il faut régulièrement demander à tous les employés, nouveaux comme anciens, de présenter un badge lorsqu’ils souhaitent accéder à une zone sensible ou à des données importantes. Ils doivent savoir qu’ils sont responsables de leur badge et de l’utilisation qu’ils en font. Cette technique permet également de stopper les employés qui s’accordent plus de permissions sans y être autorisés. Félicitez publiquement ceux qui signalent les problèmes éventuels et qui prennent des mesures pour les corriger, et récompensez-les si possible.

Gardez des rapports d’entrée et de sortie pour les zones sensibles.

Assurez-vous que les employés comprennent que ce n’est pas parce qu’une personne est haut placée dans la hiérarchie de l’entreprise qu’elle peut transgresser les règles.

Méfiez-vous de ceux qui s’intéressent trop à votre entreprise.

si vous les avez rencontrés dans le bar ou le café du coin : ce ne sont probablement que des commerciaux, mais il pourrait aussi s’agir d’escrocs. Vous ne perdrez généralement pas grand-chose à éviter ces deux types de personnes.

Ayez conscience que la technologie et la nature humaine ont leurs limites.

Malheureusement, les configurations techniques en matière de sécurité ont toujours des limites. Une fois que vous l’aurez compris, cela pourra vous aider à prévenir les attaques. Dans le meilleur des cas, les paramètres ne sont juste pas assez suffisants, et même avec des programmes adéquats et des contrôles d’accès, la sécurité est à la merci de l’utilisateur : intermédiaire à la fois le plus fort et le plus faible.

Quelques conseils de Datasecuritybreach.fr pour les entreprises afin d’éviter les vols de données sur les différents réseaux de communication :

Téléphone :

1.   Ne donnez jamais à personne vos mots de passe de sécurité.

2.   Ne divulguez jamais les informations sensibles de votre entreprise, à moins que ce ne soit à une personne que vous connaissez dans la vraie vie et qu’il ou elle ait une autorisation. Même pour les appels des personnes qui déclarent vouloir joindre le patron de votre entreprise, il vous faut vérifier l’identité de l’appelant avec les protocoles de sécurité de l’entreprise.

3.   Donnez l’alerte si vous entendez un de vos collègues transgresser les règles précédentes.

Internet :

4.   Soyez toujours prudents avec les URL des pages internet et des emails. Avant de cliquer sur un lien, passez votre souris dessus pour vous assurer qu’il renvoie à la bonne adresse, ou tapez l’URL manuellement dans votre navigateur.

5.   Soyez vigilants face aux emails inhabituels dans votre boite de réception. Si vous y répondez, revérifiez le contenu de votre email et de votre liste de destinataires CC.

En personne :

6.   Demandez toujours aux employés de présenter leur badge d’identité lorsqu’ils entrent sur le lieu de travail.

7.   Utilisez des badges d’identité temporaires pour les visiteurs, les amis, le personnel de service et de distribution ; et raccompagnez-les à chaque fois.

8.   Formez vos employés afin qu’ils aient les connaissances appropriées en matière de sécurité, et plus particulièrement ceux qui sont les cibles les plus faciles à atteindre comme le personnel de l’accueil, du service client ou du service commercial.