Cybersécurité, Facebook, ID, Identité numérique, Particuliers, Social engineering

Photo Magic : Facebook va s’inviter dans vos photos

Un commentaire

Facebook va lancer l’application Photo Magic. Mission de l’outil, aigrener les photos de votre smartphone pour retrouver vos amis.

Photo Magic Facebook est testé, en ce moment, en Australie. Sa mission, regarder l’ensemble des photos sauvegardées dans votre téléphone portable et retrouver vos amis Facebook. Une fois trouvées, les images sont classées et l’application vous alerte qu’il vous est possible de les partager, via Messenger. David Marcus, directeur de la messagerie de Facebook, affirme qu’après la phase de test de Photo Magic, l’application sera proposée dans quelques jours aux États-Unis.

Une nouvelle « option » sécurité, qui semble dédiée à cette application, est aussi apparue dans les Facebook Français. L’application Moments, sortie en juin 2015, utilise la technologie de reconnaissance faciale avec plus de 80 % de précision. L’outil est capable de vous reconnaître, même si votre visage n’est pas complet. Les utilisateurs pourront empêcher Photo Magic de les identifier en cliquant simplement sur l’option présente dans l’administration de son compte.

Chiffrement, cryptage, Cybersécurité, Justice, Logiciels, Tor

TOR a-t-il été piraté par le FBI ?

Des documents judiciaires utilisés par le gouvernement américain à l’encontre de réseaux de BlackMarket font référence à un groupe de recherche universitaire qui aurait aidé à trouver une faille dans TOR. Le FBI réfute les accusations.

Le service de chiffrement Tor a été conçu pour garder ses utilisateurs anonymes, mais l’année dernière, une faille aurait été découverte. Il y a quelques jours, les informaticiens derrières TOR ont annoncé que cette faille était plausible. Le groupe affirme que Tor a été « infiltré » par le FBI, avec l’aide de chercheurs de l’Université Carnegie Mellon. Ces derniers auraient été payée 1 million de dollars pour leur travail. Le FBI a réfuté ces accusations.

Dans son témoignage, le Projet Tor souligne que l’attaque ayant visé son service a débuté en février 2014. Plus d’une centaine de nouveaux relais sur le réseau Tor avaient été créés à la fin du mois de janvier, et avaient été utilisés jusqu’au 4 juillet 2014. Une infiltration qui aurait permis de collecter des informations. A l’époque, le Projet TOR ne connaissait pas encore le niveau de données collectables. Seule chose certaine pour l’équipe, c’était le Computer Emergency Response Team Carnegie Mellon (CERT) qui était derrière cette « visite ».

L’année dernière, lors du Black Hat de Las Vegas, des chercheurs du Carnegie Mellon devaient expliquer comment, avec du matériel n’ayant pas coûté plus de 3.000 dollars, ils avaient réussi à pirater le réseau TOR. Une conférence annulée au dernier moment. Le projet Tor dit que les chercheurs en question ont cessé de répondre à leurs mails.

TOR accuse le FBI, à la suite de la lecture des documents utilisés par le gouvernement, et le Département de la Justice US, à l’encontre de la boutique de blackmarket Silk Road 2.0. Son créateur, Brian Richard Farrell, aka DoctorClu, avait été arrêté en janvier 2015, et jugé. Le document indique que Farrell avait été identifié grâce à une information obtenue par « un institut de recherche universitaire. » Lors de la perquisition, le mandat judiciaire indiquait, dans les mots de l’agent spécial Michael Larson, que la source du FBI avaient permis de trouver « les adresses IP fiables Tor et des services cachés tels que Silk Road 2.0 ». Des adresses collectée entre Janvier 2014 et Juillet 2014, lors de l’opération Onymous.

L’opération Onymous a été lancée, en 2014, contre des boutiques du blackmarket par Europol, Eurojust, le FBI, le département américain de la Sécurité intérieure, et plusieurs autres services de police. 17 vendeurs et administrateurs de Silk Road 2.0 seront arrêtés, 1 million de dollars US, en Bitcoin, seront saisis.

Cybersécurité, Logiciels, Microsoft, Mise à jour, OS X, Patch

Patch Tuesday – Novembre 2015

Retour à la normale pour le Patch Tuesday de Novembre 2015. Douze bulletins concernent un large éventail de produits, depuis Internet Explorer (MS15-112) jusqu’à Skype (MS15-123). Les six petits bulletins du mois dernier étaient une anomalie probablement due aux vacances d’été. La différence marquée entre les patches pour Internet Explorer et pour Edge, en revanche, n’est pas une anomalie mais le fruit d’une ingénierie sérieuse de la sécurité.

Manifestement plus sécurisé qu’Internet Explorer, Edge s’avère être un puissant choix de navigateur Internet si vos utilisateurs peuvent s’en servir pour exécuter toutes leurs applications métier.

Pour le classement des patchs, le cru de ce mois comprend un correctif pour une vulnérabilité connue fournie dans le bulletin critique MS15-115 qui résout sept vulnérabilités dans Windows. Deux des vulnérabilités se trouvent dans le sous-ensemble de polices, ce qui les rend exploitables à distance via la navigation Web et la messagerie. Elles affectent toutes les versions de Windows, y compris Windows 10 et RT. Ce mois-ci, le bulletin MS15-115 figure en haut de la liste.

Vient ensuite MS15-112 pour Internet Explorer, avec 25 correctifs dont 23 pour des vulnérabilités critiques à base d’exécution de code à distance (RCE). Le vecteur d’attaque est une page Web, très courante, malveillante. Les cybercriminels lancent les attaques en exploitant des vulnérabilités au sein de pages Web par ailleurs anodines et en prenant le contrôle du contenu des pages dans lesquelles ils insèrent des liens invisibles qui pointent vers leurs pages d’attaque basées sur des kits d’exploits commerciaux. Ces kits concernent essentiellement des vulnérabilités récentes au sein de navigateurs et de plug-ins (Flash étant choisi dans 80% des cas selon une récente enquête de Recorded Future) et s’enrichissent de nouveaux exploits quelques jours seulement après la publication d’une vulnérabilité.

Les attaques via les navigateurs et la messagerie sont si fréquentes que le Centre pour la sécurité Internet (CIS) a revu sa liste des 20 contrôles de sécurité critiques et ajouté un contrôle dédié aux navigateurs/à la messagerie ayant une priorité de niveau 7, ce qui le positionne devant les défenses classiques contre les codes malveillants concernées par le contrôle 8.

Quoi qu’il en soit, le MS15-112 doit être déployé le plus vite possible.

Le suivant sur la liste est le bulletin de sécurité MS15-116 qui résout sept failles sous Microsoft Office. Cinq de ces vulnérabilités peuvent être exploitées pour prendre le contrôle du compte de l’utilisateur qui ouvre le document malveillant et permettre ainsi une exploitation à distance. Cet accès permet de contrôler suffisamment la machine pour lancer un certain nombre d’attaques, notamment de type Ransomware. Cependant, l’attaquant peut l’associer à une vulnérabilité locale dans le noyau Windows pour compromettre totalement la machine et en prendre pleinement le contrôle afin d’y installer de nombreuses backdoors.

Les deux autres bulletins critiques concernent Edge Browser (MS15-113) et le Journal Windows (MS15-114). Ils doivent être appliqués le plus vite possible, ne serait-ce que pour votre machine bénéficie de la toute dernière mise à niveau.

Tous classés comme importants, les autres bulletins doivent être déployés dans votre cycle de patch usuel:

  • MS15-118 concerne .NET et corrige trois vulnérabilités, dont une permettant d’exécuter du code pendant que l’utilisateur visite un site Web (Cross Site Scripting). Ces vulnérabilités sont souvent exploitées pour dérober les informations de la session de l’utilisateur et se substituer à ce dernier. Selon l’application concernée, les conséquences peuvent être lourdes. En effet, l’attaquant peut ainsi accéder à un compte de niveau Administrateur associé à votre application Web.

  • MS15-119 résout une vulnérabilité d’élévation de privilèges dans la bibliothèque de sockets Windows présente dans toutes les versions dont Windows 10.

  • Quant au bulletin MS15-117, il corrige une vulnérabilité au sein du composant réseau NDIS et qui affecte uniquement les systèmes plus anciens (Vista, Windows 7 et Server 2008).

  • MS15-120, MS15-121, MS15-122 et MS15-123 corrigent des failles uniques dans IPSEC, SChannel, Kerberos et Skype pouvant être exploitées par des dénis DoS, des attaques Man In The Middle ainsi que par des contournements de chiffrement.

Dernier point et non des moindres, Adobe a également publié une mise à jour pour Adobe Flash. APSB15-28 résout plusieurs vulnérabilités critiques permettant à un attaquant d’exécuter du code dans le contexte de l’utilisateur. Sachant que Flash est cette année une cible favorite des attaquants, n’oubliez pas de le mettre à jour sur vos machines clientes. (Analyse par Wolfgang Kandek, CTO , Qualys, Inc. (wkandek)

Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données

Fuite de données : Elle est pas belle ma torpille ?

La télévision russe filme et diffuse un document top secret sur une nouvelle arme nucléaire russe, la torpille Status-6.

Les boulettes, à la télévision, il y en a souvent. Mots de passe, données sensibles. Les militaires russes viennent de faire très fort. Lors d’un reportage diffusé par les chaînes gouvernementales NTV et Pervy Kanal, un plan de coupe dans un reportage montre un amiral lire une cahier contenant des informations top secrètes sur des torpilles baptisées Status-6. Mission de ces armes marines, contaminer d’importantes zones (des ports, ndr) rendues inutilisables par les radiations.

Poutine montre les crocs ou n’est-ce qu’une « fuite » permettant une désinformation contrôlée par le gouvernement Russe ?

Pour la rédaction de Data Security Breach, nous penchons pour le second cas. Comment peut-on croire que Poutine, ancien du KGB, son service de communication et son contrôle total des medias locaux laissent passer un plan serré, fixe et net. Soit Status-6 existe vraiment (s’agit-il de la torpille drone Kanyon ? NDR), soit la blague est efficace. En attendant, le nouveau règlement du Kremlin indique que la presse n’a plus le droit de filmer autre chose que le Président Poutine lors de réunion. Un moyen de renforcer le fait qu’il s’agisse bien d’une fuite non voulue ?

Cybersécurité, Justice, loi

L’Europe veut punir le simple fait de fournir un lien vers du contenu protégé

Pour faire payer les moteurs de recherches qui diffusent des liens vers des contenus illicites ou protégés par les droits d’auteurs, l’Union Européenne souhaite sanctionner les liens vers des contrefaçons.

La député européenne Julia Reda, membre du Parti Pirate, vient d’expliquer sur son blog que l’Union Européenne serait en train de se pencher sur un nouveau moyen de faire disparaître de la toile les liens renvoyant vers des contrefaçons de films, mp3, … mais aussi d’articles de presse protégés par le droit d’auteur.

Bref, le moindre lien vers un contenu protégé par le droit d’auteur pourrait être sanctionné par la justice. Cette loi, comme le précise Huse in writting a aussi pour mission de faire payer Google et compagnie dès que les moteurs de recherche indexent des contenus protégés, comme des articles de presse. Imaginez, un blog, qui diffuse automatiquement (ou non) des liens vers des articles. Cette loi Européenne pourrait sanctionner le blogueur. « Cela ouvre la voie à une censure généralisée et sans frontières. » indique AHW.

On va rire quand Google, en réponse, ne référencera plus aucun article de presse. Cette proposition législative doit être présentée au printemps 2016. (Ipkitten)

Chiffrement, cryptage, cryptolocker, Cybersécurité, Entreprise, Fuite de données, Logiciels, Paiement en ligne

1 spam sur 4 est européen

L’entreprise Proofpoint vient de publier son rapport trimestriel sur les menaces cyber (« Quarterly Threat Report ») qui étudie les attaques, tendances et transformation aperçues dans le paysage des risques informatiques sur la période de juillet à septembre 2015.

Dans ce rapport, on apprend que l’Union européenne génère le plus de spams à travers le monde (25,75 %) et, au sein de l’UE, l’Allemagne (3,2 %). Les Etats-Unis demeurent le pire pays globalement (11,46 % du total mondial). Les auteurs d’attaques très ciblées continuent de privilégier le courriel comme vecteur mais les réseaux sociaux ne cessent de gagner en importance. Par exemple, nous avons récemment vu des cybercriminels exploiter les demandes de service client des réseaux sociaux via Twitter.

Les campagnes diffusant le cheval de Troie bancaire Dridex ont éclipsé les autres malwares en volume et innovent constamment en matière de formats de pièces jointes, de modèles de documents ou encore de techniques de dissimulation et d’infection. Même si des efforts de lutte contre Dridex ont été signalés au trimestre précédent, cela n’a guère eu pour effet un recul de son activité sur le long terme. L’arrestation, début septembre, d’un membre du groupe à l’origine de Dridex a certes causé une pause dans cette activité mais celle-ci est repartie de plus belle, accompagnée rapidement de nouvelles formes de malware, illustrant de manière éclatante la résilience et la capacité d’adaptation des menaces.

« Angler » (Axpergle/Bedep) domine la scène des kits d’exploitation des vulnérabilités, où quatre autres acteurs (Neutrino, Nuclear, Magnitude et RIG) représentent l’essentiel du reste de ce type d’activité. Angler est connu, comme le montre notre capture écran, comme étant un grand acteur des vagues de ransomware de la planète web.

Base de données, Cybersécurité, Entreprise, Fuite de données, Social engineering

L’enseigne de grande distribution Wal-Mart se fait pirater les photos de ses clients

L’enseigne de grande distribution WalMart ferme son centre de photographie en ligne après la découverte d’une violation de données. Des données clients ont bien été volées.

L’enseigne Wal-Mart, géant américain de la grande distribution, vient de confirmer une information de DataSecurityBreach.fr diffusée en juillet 2015. Le problème avait découvert dans l’une des filiales canadiennes de l’entreprise, Wal-Mart Canada’s Online Photocentre. Il aura fallu 5 mois à WalMart pour indiquer que les données de ses clients, passant par sa filiale dédiée aux développements de photographie, avaient été très certainement volés. Une attaque qui aura durée entre juin 2014 et Juillet 2015.

Dans un communiqué de presse datant du 4 novembre, WalMart a déclaré que son enquête aurait démontré qu’un tiers non autorisé avait utilisé un malware sur certains des serveurs de son partenaire pour mettre la main sur les données de ses clients. « A ce stade de l’enquête, nous ne sommes pas en mesure de confirmer si des renseignements personnels ont potentiellement été recueillies par le code malveillant« .

Se rendre compte de l’attaque un an après le début de cette dernière et mettre 5 mois pour en parler, autant dire que leur enquête n’a pas fini de faire sourire !

Chiffrement, Cybersécurité, Espionnae, Facebook, ID, Identité numérique, Justice, loi, Particuliers

Facebook ne doit plus suivre les Belges à la Trace

Un tribunal a donné 48 heures à Facebook pour arrêter le suivi de ses utilisateurs Belges.

La CNIL Belge [Commission de la vie privée belge], par le biais d’un tribunal local, vient de gagner une bataille intéressante face à Facebook. Le portail communautaire doit stopper le suivi des internautes du royaume. Fini le cookie inquisiteurs qui dure 5 ans. Facebook a interjeté l’appel de la décision.

Le tribunal belge a déclaré que le géant américain doit obtenir le consentement des internautes afin de recueillir les données collectées par le cookie. Pour les juges, ce cookie et son contenu sont considérés comme des données personnelles. Facebook risque 250.000 euros d’amende, par jour, si le problème n’est pas corrigé. Facebook a précisé qu’il « utilisait le cookie DATR pendant plus de cinq ans pour garder Facebook sécurisé pour 1,5 milliard de personnes à travers le monde« .

Les plus bidouilleurs garderont un petit sourire aux lèvres en se souvenant d’une méthode du « cookie stealing » permettant de prendre la main sur un compte Facebook en interceptant le précieux document. Il suffisait alors de Wireshark et cookie injector pour devenir Kalif à la place du Kalif. Il fallait, certes, être sur le même réseau que la cible, mais soyons honnête, un détail… que ce détail.

Android, Base de données, Cybersécurité, Entreprise, Fuite de données, ios, Mise à jour, OS X, Sécurité, Smartphone, Téléphonie, Windows phone

Une entreprise sur dix possède au moins un terminal infecté ayant accès aux données d’entreprise

Les données contenues dans le rapport « L’état de la sécurité des applis » de MobileIron révèlent également la liste des principales applis grand public blacklistées.

À l’heure où les collaborateurs choisissent les smartphones et les tablettes pour travailler, les applis mobiles deviennent des outils professionnels indispensables. Suite aux récentes attaques mobiles telles que XcodeGhost, Stagefright, Key Raider et YiSpecter, une quantité sans précédent de données professionnelles mobiles s’est vue menacée. MobileIron a publié aujourd’hui de nouvelles statistiques relatives à l’«état de la sécurité des applis», qui comprennent des informations concernant la manière dont les entreprises utilisent et protègent leurs applis mobiles.

« Dans la mesure où de plus en plus de processus commerciaux sont mobilisés, les hackers s’intéressent aux applis mobiles afin de profiter de l’incapacité des entreprises à prévenir et à détecter les menaces mobiles » a déclaré à DataSecurityBreach.fr Mike Raggo, directeur de la recherche sur la sécurité chez MobileIron. « Afin de protéger les données sensibles contre les menaces de demain, les entreprises doivent repenser leur approche en matière de sécurité en adoptant une architecture mobile fondamentalement différente. »

Principales applis grand public blacklistées
Les collaborateurs sont susceptibles de stocker des documents professionnels sur des applis personnelles de synchronisation et de partage de fichiers d’entreprise (EFSS), ce qui contribue à placer des données professionnelles sensibles en dehors du cadre de la protection du service informatique. Cinq des dix premières applis grand public blacklistées par les clients de MobileIron sont des applis EFSS.

1. Dropbox (EFSS)
2. Angry Birds
3. Facebook
4. OneDrive (EFSS)
5. Google Drive (EFSS)
6. Box (EFSS)
7. Whatsapp
8. Twitter
9. Skype
10. SugarSync (EFSS)

« Les versions grand public des applis EFSS effraient les départements informatiques dans la mesure où des données professionnelles sont susceptibles d’être égarer. Heureusement, les versions d’entreprise d’un grand nombre de ces applis sont disponibles, » déclare à Data Security Breach Raggo. « Les entreprises sont en mesure d’offrir à leurs collaborateurs l’expérience qu’ils désirent tout en protégeant leurs données d’entreprise, mais ceci exige une transformation de l’état d’esprit qui consiste à passer de la restriction à l’autorisation. »

Les applis mobiles sont menacées
Dans la mesure où le travail évoluera dans le futur de plus en plus vers la mobilité, il en sera de même pour le détournement des données et la cybercriminalité. Les récentes attaques ont ciblé les applis et les systèmes d’exploitation mobiles afin d’exfiltrer des données sensibles, et de nombreuses entreprises n’étaient pas préparées. Par exemple, les applis iOS infectées par le logiciel malveillant XcodeGhost peuvent collecter des informations relatives aux terminaux puis crypter et charger ces données vers des serveurs gérés par des agresseurs. La société de détection de logiciels malveillants FireEye a identifié plus de 4 000 applis infectées sur l’App Store, tandis que la société de gestion des risques relatifs aux applis mobiles Appthority a révélé que la quasi-totalité des organisations détenant au moins 100 terminaux iOS possédaient au moins un terminal infecté.

Le défi relatif aux terminaux et aux applis mobiles réside dans le fait que l’utilisateur – et non l’administrateur informatique – exerce généralement le contrôle. Les terminaux deviennent non conformes pour diverses raisons. Par exemple, un terminal se révélera non conforme dès lors que l’utilisateur procédera à un jailbreak ou à un root de son terminal, si le terminal fonctionne sur une ancienne version du système d’exploitation que le département informatique ne prend plus en charge, ou dès lors que l’utilisateur aura installé une appli que le département informatique a blacklisté. MobileIron a révélé les éléments suivants :

Dans ces différents cas, bien que les technologies traditionnelles de sécurité ne soient pas en mesure d’entreprendre les actions nécessaires pour protéger les données d’entreprise, MobileIron est en mesure de le faire. Dès lors qu’un terminal se révèle non conforme, MobileIron entreprend automatiquement plusieurs actions destinées à protéger les informations d’entreprise, notamment en envoyant une alerte à l’utilisateur, en bloquant l’accès des terminaux et applis aux ressources d’entreprise, ou en supprimant tous les courriers électroniques et les applis d’entreprise.

« Les organisations d’aujourd’hui possèdent un ensemble beaucoup trop divers de technologies de sécurité, qui sont rarement pleinement intégrées entre elles. Même lorsqu’elles sont intégrées, elles incluent rarement des informations relatives aux terminaux et aux applis mobiles, » a poursuivi Raggo. « La bonne nouvelle pour les entreprises utilisant une solution de gestion de la mobilité d’entreprise c’est qu’elles disposent des informations dont elles ont besoin sur l’état des terminaux et des applis mobiles pour protéger leurs informations d’entreprise. »

Principales raisons pour lesquelles les terminaux deviennent non conformes
Les entreprises recourant à des solutions de gestion de la mobilité d’entreprise (GME) telles que MobileIron peuvent établir des politiques destinées à garantir que les collaborateurs appropriés bénéficient de l’accès mobile approprié à partir du terminal approprié. Si les administrateurs informatiques ne procèdent pas à l’automatisation de la mise en quarantaine des terminaux dès lors qu’ils se révèlent non conformes, les données d’entreprises sont susceptibles d’être menacées.

Voici les principales raisons pour lesquelles un terminal devient non conforme aux politiques d’entreprise :
Le terminal n’est pas mis en contact avec la plateforme de GME.
L’administration a été désactivée afin que la solution de GME ne puisse plus intervenir à distance sur un terminal.
Le terminal n’est pas conforme aux règles qui bloquent, exigent ou autorisent une appli particulière.

Il est temps de repenser la sécurité mobile
Dans la mesure où des cyber-agresseurs utilisent des logiciels malveillants mobiles pour voler des données professionnelles sensibles, les entreprises doivent envisager des solutions de protection contre la perte de données dans le cadre de leurs stratégies de sécurité. Un seul terminal infecté peut rendre les entreprises vulnérables à des attaques coûteuses.

Cybersécurité, Firefox, Logiciels, Microsoft, Mise à jour, Patch

Firefox et la navigation privée encore plus avancée

Mozilla a dévoilé la protection contre le pistage au sein de la Navigation privée dans Firefox. Cette fonctionnalité a été développée afin d’offrir aux utilisateurs plus de choix et de contrôle sur leur expérience du Web.

Avec la protection contre le pistage au sein de la Navigation privée, Mozilla permet de garder le contrôle sur les données de navigation récoltées par les sites tiers. Aucun autre navigateur (Chrome, Safari, Microsoft Edge ou Internet Explorer) ne propose un mode de navigation privée permettant de limiter les données que les sites tiers récupèrent.

Navigation privée avec protection contre le pistage
Le mode de navigation privée a été ajouté au navigateur Firefox pour que les internautes gardent le contrôle sur leur confidentialité, en permettant de ne pas enregistrer de données de navigation à la fermeture. Cependant, lorsque vous naviguez en ligne, vous partagez souvent sans le savoir des informations vous concernant avec des sites tiers indépendants des sites que vous visitez, et ce même en utilisant la Navigation privée, quel que soit le navigateur utilisé. Jusqu’à aujourd’hui.

La navigation privée avec protection contre le pistage au sein de Firefox pour Windows, Mac, Android et Linux bloque les contenus tels que les publicités, les outils analytiques et autres boutons de partage sur les réseaux sociaux, pouvant enregistrer votre comportement en ligne à votre insu. Cette nouvelle version de Firefox inclut également un nouveau centre de contrôle rassemblant dans la barre d’adresse les paramètres de sécurité et de confidentialité. Étant donné que les pages web peuvent subir quelques dysfonctionnements lorsque vous bloquez des éléments de pistage, il est possible de désactiver facilement la protection contre le pistage dans la navigation privée pour un site particulier, en passant par le centre de contrôle.

Nouvelle version de Firefox Developer Edition
Mozilla a dévoilé également de nouvelles fonctionnalités au sein de Firefox Developer Edition, telles que des outils avancés pour l’édition d’animations. Mozilla présente DevTools Challengers, un tutoriel qui repose sur la pratique et qui aidera les designers à pleinement tirer parti de ces nouveaux outils d’édition. Grâce à ces outils, les développeurs auront moins l’impression d’écrire un script et plus de créer un film.

Petites entreprises, grandes menaces : restez informés, restez protégés

Quitter la version mobile