Chiffrement, cryptage, Cybersécurité, Emploi, Fuite de données, Vie privée

Fuite de données : dîner de cons dans les ordinateurs des Hôtels

22 commentaires

Durant mes différents déplacements à l’étranger, j’aime me promener dans les espaces informatiques mis à disposition par les hôtels. De beaux ordinateurs des hôtels connectés à Internet, gratuitement. Si l’idée est intéressante, elle permet de rester connecter avec la famille, ses emails, la dangerosité de l’occasion offerte est à rappeler. Depuis le mois de juin, j’ai eu la chance de me promener par « monts et par vaux » pour zataz.com, zatazweb.tv, datasecuritybreach.fr ou mes employeurs, de l’Espagne au Maroc en passant par la Tunisie, l’Angleterre, la Belgique ou encore l’Île Maurice et le Québec. Dans les hôtels qui ont pu m’accueillir, des connexions web (payantes et/ou gratuites) et des machines mises à disposition. PC ou Mac, bref, des liens de connexion avec son monde familial… ou professionnel. Aussi paranoïaque que je puisse éviter de l’être, il ne me viendrait pas à l’idée de me connecter à ces machines pour le travail. A première vue, beaucoup de « vacanciers » ou « d’employés » n’ont pas mes craintes.

Il est mignon Monsieur Pignon…

Du 1er juin 2013 au 24 octobre 2013 j’ai pu étudier 107 ordinateurs en accès libres. 37 Mac et 70 PC. J’ai pu mettre la main sur 25.811 documents que je considère comme sensibles. Sensibles car ils auraient pu permettre à un pirate informatique, je ne parle même pas de l’ambiance « Les services secrets étrangers nous surveillent », d’identifier et usurper une identité, une fonction, des projets professionnels.

Ci-dessous, quelques documents que j’ai pu croiser. Il s’agit, ici, de captures d’écrans effectuées avec mon appareil photo. L’ensemble des fichiers ont été effacés après mes découvertes et les directions des hôtels alertées, histoire de coller quelques affiches, ici et là, sur les mesures que les clients devraient prendre lors de leurs pérégrinations informatiques.

En déplacement, sortez armés lors de l’utilisation des ordinateurs des Hôtels

Je peux comprendre, je suis le premier concerné, qu’en déplacement, le besoin de rester connecter se fait rapidement sentir. Un petit coucou à la famille restée à la maison, aux courriels du patron ou quelques mises à jour sur son site web et autres blogs. Seulement, il n’est pas toujours évident de se promener avec son ordinateur portable sous le bras. Si c’est le cas, voyez nos méthodes de sécurisation physiques et numériques de votre – Précieux -. Prudence, aussi, aux connexions wifi offertes dans les hôtels. Dans la foulée de mes voyages, se promènent toujours avec moi, mes Pirates Box @zataz. Pourtant baptisées PirateBox, donc de quoi inquiéter ceux qui ne connaissent pas cette merveilleuse petite amie numérique, j’ai pu découvrir pas moins de 54.291 fichiers privés (80% de photos, ndlr) téléchargés par des inconnus. Je vous passe la possibilité malveillante d’une PirateBox Man-in-the-middle s’annonçant comme un « Hotel-Free-Wifi » ou « Starbux-Wifi-Free« . Il ne reste plus qu’à collecter les données sensibles transitant entre le « touriste » et le site qu’il visite. Pour éviter de se voir gober comme un gros Ananas, la sécurisation de vos connexions est une obligation. Un service VPN est indispensable en déplacement.

Nous utilisons pour ZATAZ, DataSecurityBreach ou pour mes autres employeurs l’excellent VyprVPN, ainsi que de nombreux systèmes d’anonymisation et chiffrement de données. Présent sur les 5 continents, plus de 200.000 IP et un pare-feu NAT loin d’être négligeable. Les pirates et les bots malveillants cherchent sur Internet les appareils non protégés qu’ils peuvent utiliser pour le vol d’identité et les messages indésirables. Ils accèdent à votre système par les connexions Internet qui sont ouvertes sur vos applications. En utilisant ces connexions, ils peuvent installer des malwares et voler vos informations personnelles. Le pare-feu NAT empêche leur recherche d’atteindre votre appareil ou ordinateur quand vous vous connectez avec VyprVPN. Autre service, celui-ci est Français, ActiVPN.

Ordinateurs des Hôtels

Autres solutions, chiffrer vos informations communiquées. OpenPGP, GPG, … sont d’excellents outils qui en cas d’oubli de fichiers dans une machine étrangère (chose impensable, mais bon, ndlr datasecuritybreach.fr) évitera qu’un inconnu puisse y accéder. Nous finirons avec l’outil de la société française Gith Security Systems. Elle tente d’offrir une réponse en proposant «Gith», la première plateforme gratuite de communications sécurisées sur Internet, destinée au grand public, PME et professions libérales. Pour simplifier le processus, Gith se présente sous la forme d’une application à installer, disponible sous Windows, Mac OS, Linux et prochainement iPhone/Android. Gith permet d’échanger des Emails, partager des documents («Cloud sécurisé») et faire du chat avec les autres utilisateurs. Une sécurité bien présente, mais totalement invisible. Toutes les données sont chiffrées de bout en bout, avec les meilleurs algorithmes actuels (RSA 2048, AES 256). Même en cas de vol de votre ordinateur ou infection par un virus, vos données sont inaccessibles : elles sont stockées chiffrées sur votre machine. La sauvegarde de votre clef secrète de chiffrement sous forme de QRCode vous permet facilement d’importer votre compte sur un autre ordinateur ou votre smartphone ! Nous utilisons cette solution. Elle mérite clairement d’être découverte et exploitée. A noter que Gith a été sélectionné pour l’opération 101 projets de Xavier Niel, Marc Simoncini et Jacques-Antoine Granjon. Le 18 novembre, présentation de Gith, en 1 minute, et tenter de décrocher 25k € de financement.

Bref, mes solutions de protection de vos données, en déplacement, ne sont pas infaillibles, mais devraient vous rappeler que le libre accès n’est pas la meilleure idée pour vos données privées. Et les ordinateurs des Hôtels font parti de ces fuites potentielles.

Fuites de données : la réputation des entreprises en danger via les ordinateurs des Hôtels

La grande majorité des entreprises qui doivent faire face à un problème de sécurité sont contraintes de révéler publiquement cette information, comme le révèle l’étude Global Corporate IT Security Risks 2013 menée par Kaspersky Lab auprès de 2 895 organisations à travers le monde. Les résultats sont sans appel. 44% des entreprises ayant été victime d’une fuite de données sont dans l’obligation d’informer leurs clients de l’incident, 34% informent leurs partenaires, 33% informent leurs fournisseurs, 27% remontent les fais à un organisme de contrôle ou de régulation, 15% doivent en informer les médias. A l’échelle mondiale, les grandes entreprises seraient les plus touchées. La législation change en faveur des internautes comme nous la nouvelle directive européenne votée le 12 août dernier.

spam

Spam : une rentrée très agressive !

En septembre, 89 % du flux email sont des spams et 9 % des emails sont des publicités. Ce mois-ci, près de 90% d’e-mails sont des e-mails non prioritaires et non souhaités. Sans la partie analyse heuristique du filtre de Vade Retro, seuls 56 % des mails auraient été triés au lieu de 89 %. L’intérêt du filtrage protocolaire est d’optimiser les performances des relais filtrant en rejetant les connexions des spammeurs, sans analyser le contenu du message. En septembre, le nombre total de spams filtrés2 (filtrage protocolaire et heuristique) a été multiplié par 1,84 par rapport au mois d’août 2013. Le volume d’attaque a donc presque été doublé en seulement un mois.

Cela s’explique par une très forte reprise de l’activité des botnets (voir explication ci-dessous) avec l’activation de nouveaux réseaux jusqu’ici inconnus. Et cela s’explique également par l’actualité de la rentrée : reprise de l’activité professionnelle suite aux congés d’été, rentrée scolaire, paiement des impôts, versements de la CAF… autant de sources d’arnaques potentielles pour les spammeurs / phisheurs. Pour rappel, un botnet représente un réseau de PC zombies dont le contrôle a été pris par des cybercriminels à l’insu de l’utilisateur. Ce réseau est ensuite utilisé pour des campagnes de spam. Le plus souvent, l’utilisateur ne se rend même pas compte que son ordinateur est infecté. Il est devient spammeur sans le savoir.

A propos de Vade Retro Technology

Avec la protection de plusieurs centaines de millions de boîtes aux lettres dans le monde, Vade Retro Technology est le spécialiste de la protection de messagerie contre tous les types de courriers indésirables et de la classification des emails non prioritaires. Outre la protection des plus grands fournisseurs d’accès Internet français et internationaux, l’éditeur protège également des milliers de PME et grandes entreprises ainsi que plusieurs millions d’indépendants et de particuliers.

Cyber-attaque, Cybersécurité, DDoS

Recrudescence des attaques de DNS

Un commentaire

Recrudescence des attaques de DNS : de la nécessité de repenser ses stratégies de sécurité par Rodolphe Moreno, Directeur Général France d’Infoblox pour DataSecurityBreach.fr.

Le DNS est un canal de communication à la fois fiable et furtif, ce qui en fait un vecteur idéal pour les programmeurs mal intentionnés. L’infrastructure DNS conditionne l’accès au Web : il est impossible d’accéder à un domaine Internet quand le serveur DNS qui l’administre est en panne. Commençant à entrevoir les opportunités potentielles de ces failles, les pirates se sont mis à concevoir des programmes malveillants qui exploitent les DNS pour communiquer avec des bot masters afin d’accomplir diverses activités frauduleuses. Une nouvelle génération de botnets et de menaces persistantes avancées (Advanced Persistent Threats, APT) est ainsi née, qui utilise les DNS pour infecter des machines et les contrôler, lancer des attaques réseau sophistiquées ou couvrir des activités criminelles.

Quantité de réseaux sont chaque jour piratés via les DNS, cibles faciles pour les cybercriminels car accessibles et très peu sécurisés. Ils figurent parmi les rares services quasi systématiquement autorisés à traverser les pare-feux, la plupart du temps par des proxies DNS locaux désignés. Par ailleurs, la moindre intensité du trafic DNS, au regard du trafic Web ou des e-mails, explique aussi qu’il est moins rigoureusement filtré.

Il est essentiel, désormais, que les entreprises intègrent la protection des systèmes de noms de domaine dans leur stratégie de sécurité.

Nous avons donc voulu consacrer cet article aux principaux vecteurs de menace des DNS et aux solutions dont disposent les décideurs IT pour renforcer la sécurité des réseaux de leur entreprise et de leurs fournisseurs de services.

On distingue généralement deux types d’attaques :

· celles qui visent à provoquer une interruption de services DNS, telles que les attaques par déni de service / déni de service distribué (Denial of Service, DOS / Distributed Denial of Service, DDOS), empoisonnement de cache, manipulation de réponses ou encore interception (Man-inthe- Middle, MITM) ;

· et celles qui exploitent indirectement les DNS, comme les attaques par botnets, détournement de noms de domaine, APT ou détournement de DNS (tunneling). Les principaux vecteurs utilisés par les cybercriminels : Empoisonnement de cache : l’attaquant envoie de fausses réponses DNS à un résolveur DNS, lequel les stocke dans le cache DNS pendant la durée de vie prédéfinie. L’ordinateur considère que le serveur DNS empoisonné est légitime et incite alors l’utilisateur à télécharger, sans le savoir, des contenus malveillants.

Exploitation d’anomalies dans le protocole DNS : l’attaquant envoie des requêtes ou réponses DNS mal formées au serveur DNS visé afin d’exploiter les anomalies d’implémentation du protocole du logiciel du serveur. Cette technique permet de déclencher des dénis de service, d’empoisonner le cache ou de compromettre les serveurs ciblés.

Redirection de DNS (MITM) : le protocole DNS sur UDP étant sans état, il est vulnérable aux attaques MITM, de type DNS Changer, DNS Replay ou redirection illégitime, principalement utilisées à des fins de hacktivisme, de phishing, de défacement de sites Web ou de vol de données.

Détournement de DNS (DNS Tunneling) : l’attaquant exploite le DNS tel un canal caché pour contourner les mécanismes de sécurité classiques. Les données sortantes et entrantes communiquées sont respectivement encapsulées dans des requêtes et réponses DNS. Le programme malveillant installé sur un hôte peut alors contacter son opérateur (le serveur de commande et de contrôle) et transférer les données dérobées ou exécuter des commandes sur l’hôte sans être détecté.

Détournement de noms de domaine : l’attaquant dirige l’utilisateur vers un domaine piraté imitant un domaine légitime, généralement celui d’une institution financière ou d’une agence de voyage, afin de recueillir frauduleusement des données sensibles, comme des identifiants et codes d’accès, des numéros de sécurité sociale, des codes PIN ou les numéros de cartes de paiement.

DOS / DDOS : ces attaques ont gagné en ampleur, en rapidité et en sophistication en 2012. Il en existe principalement deux variantes : · celles qui ciblent directement les serveurs d’infrastructure DNS, elles incluent également les attaques récursives, par falsification d’adresse source et par saturation de serveurs DNS, déclenchées par les botnets ; · celles qui utilisent un serveur DNS pour lancer des attaques de type DDOS par amplification ou par réflexion. L’attaquant transmet de fausses requêtes au serveur DNS pour qu’il envoie massivement des réponses DNS non sollicitées à la machine visée. Il peut également envoyer de petites requêtes DNS à plusieurs serveurs DNS pour lancer discrètement une attaque DDOS massive par amplification.

Fast Flux : le fast flux consiste à modifier rapidement et fréquemment l’adresse IP d’un hôte en raccourcissant la durée de vie des enregistrements DNS. Le domain fluxing consiste quant à lui à attribuer plusieurs noms de domaine complets (Fully Qualified Domain Names, FQDN) à une même adresse IP, celle du serveur de commande et de contrôle (C&C).

Menaces persistantes avancées (Advanced Persistent Threats, APT) : ces attaques consistent à accéder à un réseau sans y être autorisé et sans être détecté pendant de longues périodes. Comme leur nom l’indique, les APT sont des programmes malveillants avancés, persistants par nature, entièrement dédiés à un objectif spécifique. Parmi ceux-ci figurent Conficker A/B/C, Torpig, Kraken ou encore TDSS/TLD4, plus récent, qui exploitent des DNS pour communiquer avec des serveurs C&C distants afin de collecter des codes malveillants et instructions pour mener à bien leurs attaques.

Vous l’aurez compris : les vecteurs d’attaques de DNS sont si nombreux et variés qu’une seule technologie ne saurait les contrer tous. La protection complète de l’infrastructure et des services DNS suppose donc une stratégie de sécurité fondée sur plusieurs mécanismes de défense : des pare-feu DNS (systèmes qui analysent le trafic en quête de menaces, détectent les anomalies et protègent le réseau en temps réel contre les domaines malveillants) ; la mise en œuvre de DNSSEC (signature numérique des enregistrements DNS) ; des systèmes de protection contre les DOS/DDOS, des systèmes de prévention des fuites de données et d’autres protocoles, des systèmes dédiés de détection des APT (mécanismes heuristiques et autres techniques d’analyse comportementale permettant de déceler les programmes APT qui utilisent le DNS pour communiquer avec des serveurs C&C).

Les serveurs DNS apparaissent donc comme des cibles de choix pour les cybercriminels et programmeurs mal intentionnés, qui y voient un moyen simple de contourner les mécanismes de défense traditionnels pour satisfaire leurs ambitions de guerre virtuelle, d’espionnage industriel, de hacktivisme, de soutien ou de contestation politique, de vol de données, de distribution de spams ou encore d’attaques DDOS coordonnées. Les pare-feux de nouvelle génération n’offrent pas une sécurité suffisante. Seule une stratégie de défense multidimensionnelle permettra aux entreprises de se prémunir contre ces programmes malveillants et les techniques modernes qui contournent les dispositifs de sécurité grâce au DNS.

Chiffrement, cryptage, Cybersécurité, Espionnae, Fuite de données

Les écoutes de la NSA : rien de nouveau sous les drapeaux

Un commentaire

La NSA a toujours été à l’écoute de ses alliés et des pays non alliés dans le cadre de la lutte anti-terroriste. Rappelons que lors de la découverte du programme Echelon en 2000, la classe politique française et européenne avait été choquée par cette découverte. Voyons messieurs les politiciens ! Echelon surveillait tout et tout le monde bien avant les années 2000, entre autres : les communications téléphoniques, les fax et les communications électroniques, celles qui transitent par ondes radio, voies hertziennes, satellites, câbles, fibres optiques, sans oublier, bien sûr, les réseaux informatiques.

Et les services français ne sont pas en reste. A la même époque, ils avaient développé leur propre système d’écoute, basé également sur Echelon, mais ne disposaient pas des mêmes moyens pour avoir une panoplie d’outils aussi large. Les entreprises comme Airbus, Thomson-CSF, Siemens, Wanadoo, Alcatel-Lucent et autres, ont toujours subi ce genre d’espionnage industriel. A l’heure où la France lance rapports sur rapports, livres blancs sur la défense et la sécurité nationale (2008 et 2013), tous abordant les questions concernant notre capacité de cyber défense, notre allié a affiné son programme d’écoute Prism et s’adapte aux nouveaux outils technologiques disponibles dans le monde. Il a ainsi créé un ensemble d’outils lui permettant d’effectuer des recherches de masse avec son moteur XKeyscore, alimenté par les différents programmes développés par la NSA (FairView, Evilolive, Prism), associés à sa capacité de surveillance des câbles sous-marins grâce à Upstream.

La NSA possède cette capacité phénoménale d’enregistrer l’ensemble du trafic mondial sur ses propres data center, lui donnant la possibilité de stocker ainsi cinq zettaoctets de données dans un seul de ses centres basé dans l’Utah. Pour comparaison, cela qui équivaut à la capacité de stockage de 250 milliards de DVD. Aujourd’hui, la question n’est plus de savoir ce qui est écouté, mais de mettre en évidence l’ensemble des techniques utilisées dans le cadre de l’espionnage ; les implications réelles des constructeurs et éditeurs de solution IT, et des opérateurs de télécommunications ; l’implication des sociétés de services de type Skype, Google, Facebook, Microsoft, etc. Avec l’avènement du Cloud Computing et du Big Data, des questions doivent être posées sérieusement.

Après les révélations d’espionnage, le Parlement demande la suspension temporaire de l’accord SWIFT. Après les tergiversations du Parti Populaire Européen qui a demandé un report du vote sans l’obtenir, les eurodéputés ont finalement adopté à une courte majorité (280 pour, 254 contre) une résolution demandant la suspension de l’accord SWIFT avec les États-Unis. En vertu de l’accord UE/États-Unis sur le Programme américain de pistage des financements terroristes (TFTP), approuvé en juillet 2010 par le Parlement européen, les autorités américaines peuvent avoir accès aux données bancaires européennes stockées sur le réseau de la société SWIFT (Society for Worldwide Interbank Financial Telecommunication), aux seules fins de lutte contre le terrorisme et dans le respect de certaines exigences de protection de la vie privée des citoyens.

Les médias brésiliens ont révélé le 8 septembre dernier que la NSA est capable d’entrer dans le système SWIFT depuis 2006, malgré les cryptages et les pare-feu. À l’occasion du débat du 9 octobre dernier en plénière, la Commission avait indiqué ne pas souhaiter, à ce stade, demander la suspension de l’accord SWIFT, car elle estimait qu’elle ne disposait d’aucune preuve selon laquelle les États-Unis auraient frauduleusement accédé à ce système.

Pour Françoise Castex, c’est inacceptable: « Il existe, selon nous, des indications claires selon lesquelles la NSA pourrait récupérer des informations relatives à nos entreprises et à nos concitoyens sur le serveur SWIFT et les détourner. Nous appelons les 28 à suspendre cet accord, le temps de faire toute la lumière sur cette affaire. Nous demandons, en outre, à EUROPOL d’ouvrir une enquête sur l’accès non autorisé aux données financières de paiement. »

Pour l’eurodéputée socialiste: « A partir du moment où votre partenaire vous espionne, la confiance est rompue. » Avant d’ajouter: « Depuis avril, je demande la suspension des accords PNR et SWIFT avec les USA. L’Europe devrait aller plus loin en gelant les négociations sur l’accord de libre-échange avec les États-Unis! ». De conclure: « Le respect des droits fondamentaux des citoyens européens doit être une condition préalable à tout accord! ». (Par Jean-François Beuze, Président de Sifaris et Madame La Député Françoise Castex pour DataSecurityBreach.fr)

Espionnae, Sécurité, Smartphone

Vos doigts sont des mouchards

Une étude effectuée par des chercheurs de l’Université de Stanford indique que nos doigts et notre position de main sur nos smartphones pourraient servir à nous surveiller. Nous savions déjà que le micro et le haut-parleur d’un téléphone portable permettait d’identifier l’appareil. Voici une nouveauté dans l’identification. Le chercheur Hristo Bojinov, du Stanford Security Lab, explique à Mashable que son équipe a découvert que tous les capteurs de mouvement possèdent de petites anomalies qui pourraient être exploités pour nous espionner.

Ces anomalies permettraient de tracer nos précieux devenus uniques, et donc identifiables. « Le capteur de mouvement et le navigateur standard suffisent à identifier les appareils mobiles lorsqu’ils sont connectés à internet. Ils relient les données du capteur de mouvement au code des pages web visitées. »

Pour le chercheur, cette possibilité est infaillible et non contrôlable par les utilisateurs. Les universitaires ont réalisé un site web capable de jouer avec cette possibilité. Une annonce qui permet à Bojinov de faire causer de sa startup Anfacto, qu’il a monté avec les autres éditeurs de cette étude, Dan Boneh, Yan Michalevsky et Gabi Nakibly.

Cyber-attaque, DDoS, Espionnae, Vie privée, VPN

Google veut protéger les ONG et les droits de l’Homme des DDoS

Un commentaire

La filiale « idées » de Google, la Google Ideas, vient d’annoncer qu’une de ses nouvelles initiatives seraient à destination des ONG et autres associations de défense des Droits de l’Homme. Le géant américain annonce vouloir ainsi protéger des attaques DDoS, les sites web des défenseurs des Droits de l’Homme. L’annonce a été faite lors du « Conflict in a connected world« . Le projet, baptisé Shields, va profiter du Page Speed Service (PSS). Le PSS permet d’accélérer l’accès aux pages web. Un moyen technique qui va être utilisé, aussi, pour contrer les dénis de service distribués (DDoS) qui peuvent bloquer sites web et communication (emails, …) des serveurs visés par un afflux pirate de données. Plusieurs sites web ont été invités, ils sont basés en Iran, Syrie, Birmanie (Myanmar) et au Kenya. Arbor Network, proposera d’ici peu une carte baptisée « Digital Attack Map » qui montrera les attaques visant les sites protégés. Bilan, les DDoS seront interceptés par Google. Les DDoS et les informations transitant par PSS. A noter que d’ici quelques semaines, Google va proposer uProxy, une application pour Chrome et Firefox. Mission, créer un système de sécurisation des données.

Pendant ce temps, en Europe

Le Parlement européen a annoncé, lundi soir, un renforcement de la protection des données personnelles sur internet. La commission des libertés publiques a approuvé les propositions de sanctions et la directive destinées à renforcer la protection des données personnelles (sur Internet, dans les entreprises, …) au sein des états membres. La prochaine loi doit donner un plus grand contrôle sur leurs données personnelles. Les entreprises, mais aussi les géants du web, comme Google, auront obligation d’obtenir notre consentement préalable pour l’utilisation de nos données. Nous pourrons, mais en France cela est déjà normalement possible via la Loi Informatique et des Libertés, de demander aux entreprises de supprimer nos données. Des amendes sont annoncées. Elles pourront atteindre jusqu’à 5% du chiffre d’affaires. Le texte doit être approuvé lors d’une prochaine session du Parlement.

Après trois ans de travail parlementaire les eurodéputés de la Commission LIBE ont adopté à une forte majorité le règlement (49 +, 2- et 1 abst pour le règlement) et la directive (29+, 20, – 3 abst) sur les données personnelles et ont octroyé aux deux rapporteurs du Parlement européen, Jan-Philippe Albrecht (Verts, All), et Dimitrios Droutsas (S&D, GR) un large mandat de négociation avec le Conseil et la Commission européenne. Les socialistes Sylvie Guillaume et Françoise Castex présentes lors du vote se félicitent de ce résultat.   « Nous aurions pu souhaiter un encadrement plus strict sur l’encadrement des données pseudonymes mais ce résultat est dans l’ensemble un bon résultat qui était encore impensable il y a quelques mois », note Françoise Castex. « En Février la droite européenne majoritaire au Parlement était favorable à un allégement de la proposition de la commission européenne, allant même jusqu’à déposer des amendements proposés par les géants du Net américain. Nous ne pouvons que nous féliciter qu’ils aient fini par voter pour ce texte qui va vers une meilleure protection des consommateurs: le consentement explicite, l’encadrement des transferts de données vers un État tiers ou la possibilité de déréférencement sont des avancées réelles pour la protection de la vie privée des citoyens européens. »

Pour Sylvie Guillaume : « La protection des données est un droit fondamental pour les citoyens européens et les dernières révélations sur les écoutes de la NSA en France nous rappellent plus que tout que nous avons besoin de nous doter de règles claires. Malgré un lobbying intense, le compromis obtenu va véritablement dans le sens de règles renforcées au service des consommateurs, tout en n’accablant pas les PME de charges bureaucratiques excessives. Ainsi, grâce au vote de ce soir, un consentement explicite devra être donné librement avant tout traitement des données personnelles et toute personne pourra retirer son consentement dès qu’elle le souhaitera. Loin des contrats de confidentialité plus longs encore que le texte d’Hamlet (cf. ITunes), chacun pourra, au moyen de pictogrammes, connaître précisément et de façon claire à quelles fins ses données sont traitées, si elles sont transférées à des tiers…Enfin, des compagnies comme Google, Facebook et Skype ne pourront plus être autorisées à transférer des données à des pays tiers sans un accord européen légal sur des transferts de données. Soit autant de mesures qui doivent sonner comme un message fort à l’adresse du Conseil européen avec lequel les négociations vont s’ouvrir ».

Les députées européennes concluent: « L’affaire PRISM, et les plaintes de plus en plus nombreuses des consommateurs sur ce sujet montrent que la question de la protection des données personnelles est devenue un sujet très sensible. Après trois ans de travail parlementaire il serait bon de ne plus trop trainer et d’obtenir un texte fort avant la fin du mandat ! ».

Cybersécurité, escroquerie, Phishing, spam

Les hackers partent aussi en vacances en août

Un commentaire

Selon le « RSA Fraud Report », la France n’est plus dans le trio de tête des pays les plus attaqués par les campagnes de phishing. Dans l’édition de septembre de son Fraud Report, RSA, la division sécurité d’EMC, constate que les attaques utilisant des techniques de phishing ont diminué de 25% au mois d’août 2013 comparé au mois de juillet, passant de 45232 à 33861. De plus, la France – présente en quatrième position du classement des pays les plus attaqués en juillet – n’est plus dans la compétition au mois d’août, cédant sa place à l’Inde qui a enregistré une augmentation des attaques de 2 points. Le phishing ou hameçonnage est l’une des techniques les plus utilisées par les fraudeurs afin d’obtenir des renseignements personnels et usurper ainsi l’identité de l’internaute. Particulièrement adaptés pour obtenir des renseignements bancaires, ces trojans sont déployés pour présenter aux utilisateurs un site web généré par un programme malveillant qui les incite à rentrer leurs informations personnelles.

Cybersécurité, Espionnae, Fuite de données, Vie privée

Backdoor D-Link

Accéder, sans mot de passe, dans un routeur D Link, facile grâce à une backdoor. Craig, du blog Dev TTys 0, vient d’analyser le routeur DIR-100 REVA de D-Link. Son petit jeu, un reverse engineering, lui a donné l’occasion de découvrir qu’en quelques lignes de code, il était possible d’accéder aux commandes de la machine, en outre passant login et mot de passe.

Bilan, il semble qu’une porte cachée dans le firware permet à celui qui connait le truc de s’inviter dans le – précieux -. « On peut raisonnablement conclure que de nombreux dispositifs D-Link sont susceptibles d’être affectés par cette backdoor » souligne le chercheur. En bref, si votre navigateur est configuré avec comme User-Agent « xmlset_roodkcableoj28840ybtide », vous obtiendrez automatiquement un accès administrateur sur le panneau de contrôle web du routeur, sans la moindre demande d’autorisation.

Les machines concernées par cet étrange firware sont : DIR-100 ; DI-524 ; DI-524UP ; DI-604S ; DI-604UP ; DI-604 + et TM-G5240. « En outre, plusieurs routeurs Planex semblent également utiliser le même firware » termine Craig. Il s’agit de BRL-04UR et BRL-04CW. Une raison de plus pour commencer à adopter openwrt/ddwrt/tomato etc. D-Link n’a pas encore donnée ses explications sur ce sujet.

Cyber-attaque, Leak, Piratage

Portait de pirate : PhenomenalCrew

3 commentaires

Qui sont-ils ? Pourquoi agissent-ils ? Interview de jeunes pirates qui signent leurs actions malveillantes sur la toile sous le nom de PhenomenalCrew. Depuis plusieurs mois, le groupe de pirates francophones PhenomenalCrew fait parler de lui en s’attaquant à des dizaines de sites Internet. Ce groupe,  formé de quatre jeune internautes, se dit passionné d’informatique et avide de bases de données. Des Universités, des communes, des mutuelles ont été ciblées par ces jeunes gens. Des actes qui pourraient leur couter très cher. La loi française condamne les actes de piratage informatique de 3 à 7 ans de prison et jusqu’à 350.000€ d’amende. Rencontre avec ces bidouilleurs qui pourraient très bien être votre fils ou votre petit frère. Les propos tenus dans cette interview ne reflètent pas les idées de la rédaction mais celles de ces jeunes pirates.

[+] DataSecuriyBreach.fr –  Pourquoi PhenomenalCrew ?

Le Nom parle de lui-même, nous sommes Phénoménal, non ?

[+] DataSecuriyBreach.fr – Depuis plusieurs mois vous piratez sites et serveurs, pourquoi ?

Nous nous battons contre la corruption, les informations atténuées par les médias et le contrôle que nous subissons par certaines sociétés secrètes, la guerre en Palestine nous préoccupe aussi beaucoup.

[+] DataSecuriyBreach.fr – Dans vos piratages, des communes, des universités, des constructeurs automobiles. Pourquoi ces cibles ?

Nous visons de grands sites pour faire passer nos messages, quoi de mieux qu’un grand constructeur de voitures, la voiture est un objet que tout le monde possède, donc utile. Pour ce qui est des universités, c’est une autre histoire. Nous avions vu un reportage tantôt sur des élèves travaillant sur des tablettes numériques, pendant que nous, Français, sommes encore sur des ardoises ou support papier, le monde évolue et nous nous restons au même endroit … Les méthodes sont archaïques. Après ces fameux piratages d’Universités, les sites web visés ont mis à jour leurs sites.

[+] DataSecuriyBreach.fr – Vous avez piraté aussi des espaces de mutuelle, pourquoi ?

S’ils protègent leurs clients comme leurs sites Web, où va le monde ! Un certain laxisme a été repéré dans ce genre de système que nous, pays développé,  avons la chance d’avoir … et que nous ne sommes pas fichus de sécuriser un minimum.

[+] DataSecuriyBreach.fr – Qu’est-ce que vous aimez dans le « hack » ?

Le Hacking n’est pas un loisir, c’est un devoir pour nous.

[+] DataSecuriyBreach.fr – Y a-t-il vraiment un défi, aujourd’hui, à la vue des outils qui automatisent les attaques ?

Il faut avoir du courage, fouiner, trouver, comprendre et enfin attaquer. C’est vrai que cela efface le côté un peu « Kitch » du piratage informatique à la main ou avec le bon vieux Backtrack. Il faut savoir se modérer dans les attaques automatisées et pratiquer d’autant plus manuellement.

[+] [+] DataSecuriyBreach.fr – et les autorités ?

Nous savons que nos actions sont illégales, mais nous essayons de nous protéger au mieux contre cette justice qui s’acharne sur nous les hackers. Nous voulons faire avancer les choses. Les gouvernements ne sont pas, non plus, très en accord avec la loi, comme nous avons pu le voir très récemment dans l’affaire Snowden. Je pense que nos actions sont minimes à côté de leurs actes.

[+] DataSecuriyBreach.fr – Pourquoi diffuser les bases de données des sites piratés. Les personnes dans les BDD, comme celle de la banque européenne du sperme ne sont pas responsables des failles/bugs/…

Les webmasters prendront plus conscience de ce qu’il leur arrive si leurs utilisateurs sont mis en danger. Ils prendront cela au sérieux, ce qui fera avancer leurs corrections. Ce que nous faisons est en fait bénéfique, regardez certaines universités que nous avions piraté. Ils ont fait une « Version 2.0 » de leur site web. Ce qui montre que notre piratage a été utile. Ils ont pris conscience des choses. Des personnes mal intentionnées auraient pu faire bien pire.

[+] DataSecuriyBreach.fr – Ne pensez-vous pas qu’aujourd’hui, le web est devenu un énorme « merdier » ?

Tout tourne autour des systèmes informatiques. Tout le monde s’y met de plus en plus tôt, ce qui laisse place à des générations très jeunes, comme très âgées. Dans le web, on y met tout et n’importe quoi … et c’est vrai, surtout n’importe quoi.

[+] DataSecuriyBreach.fr – Comment voyez-vous votre avenir dans 5 ans ?

Nous ne pouvons malheureusement pas savoir de ce que demain sera fait, nous espérons tout de même avoir un rôle dans la sécurité informatique, se ranger et être au service des gens, au lieu de les traquer.

[+] DataSecuriyBreach.fr – Vous ciblez vos « hacks » comment ?

Nous décidons en équipe de ce que nous voulons pirater. Nous pesons le pour et le contre et essayons de trouver des raisons valables à ces attaques, ça ne se fait pas comme ça, un matin, en se levant du lit.

[+] DataSecuriyBreach.fr – Avez-vous déjà trouvé des choses que vous n’avez pas osé diffuser ? Oui, des coordonnées bancaires.

[+] DataSecuriyBreach.fr – Pourquoi ?

Ce sont les fichiers les plus sensibles, que l’on peut trouver dans une base de données classiques, tout tourne autour de l’argent, nous pouvons détruire une famille financièrement et nous en sommes conscients, c’est pour cela que nous évitons de les partager.

[+] DataSecuriyBreach.fr – Qu’avez-vous pu trouver d’étonnant ?

Un petit site, peu cacher de très grandes choses comme des gouvernements, une banque nationale. Il est possible de s’attaquer à petit dans la forme, mais gros dans le fond des choses essentielles. C’est cela qui nous a troublé, il y a peu. Pourquoi cacher d’aussi grandes informations, dans un site d’amusement.

[+] DataSecuriyBreach.fr – Comment voyez-vous l’avenir du web ?

Très avancé, et moins kiddies nous l’espérons, et toujours avec nous, PhenomenalCrew, pour le défendre.

Android, Sécurité, Smartphone

Androïck Ver. 2.0 reconnu par l’OWASP

Cocorico ! Androïck version 2.0 vient de sortir. L’outil a été sélectionné par l’OWASP Mobile Security Project. C’est le seul outil français a avoir été sélectionné ! Derrière cette création, Florian Pradines, 20 ans, un étudiant en deuxième année à l’IUT informatique d’Aix-en-Provence (Aix-Marseille Université). En plus de ses études, le chercheur travaille pour la société Phonesec en tant qu’expert sécurité. La rédaction de Data Security Breach a posé quelques questions au jeune informaticien pour découvrir quelques petits secrets sur son outil.

[+] Datasecuritybreach.fr – Qu’est ce qu’Androïck ?

Florian Pradines- Androïck est un outil programmé en python qui permet d’apporter une aide à l’analyse forensic des applications Android stockés sur nos appareils. L’application récupère le fichier apk (en gros, le logiciel), les données qui sont stockées sur votre ordinateur. Ensuite, l’application analyse tous les fichiers récupérés à la recherche de bases de données et lorsqu’elle en trouve, elle les extrait au format csv afin d’en faciliter l’analyse. Un autre point intéressant est le fait qu’Androïck récupère aussi les fichiers et apk stockés sur la carte SD du téléphone. Il est aussi compatible avec les applications systèmes.

[+] Datasecuritybreach.fr – Pourquoi cette idée ?

Florian Pradines – Lorsque j’analysais des applications, une étape qui pouvait être longue était celle de récupérer toutes les données (apk, fichiers, etc…) sur mon ordinateur. Ensuite, il fallait que je trouve les bases de données pour les extraire et voir leur contenu. Sans compter que parfois, je perdais un peu de temps à chercher le nom exact du package pour pouvoir le récupérer. Cette étape n’est pas particulièrement intéressante et c’est là qu’intervient Androïck.

[+] Datasecuritybreach.fr – Etre choisi par Owasp, voilà de quoi être fier ?

Florian Pradines – Bien sûr, c’est une grande satisfaction et fierté. Je consacre du temps à ce projet et être choisi par l’OWASP va me permettre de pouvoir échanger avec d’autres personnes importantes sur la scène Android.

[+] Datasecuritybreach.fr – Evolution de l’outil ?

Florian Pradines – L’outil va bien sûr évoluer encore. Les prochaines fonctionnalités seront sûrement la décompilation automatique de l’application et la conversation au format jar, afin de gagner encore plus de temps sur l’analyse. Dans le futur, si le projet fonctionne aussi bien que je l’espère, une application Android pourrait voir le jour afin de faire certaines opérations directement sur son smartphone.

[+] Datasecuritybreach.fr – Autres projets ?

Florian Pradines – La sécurité iOS et Windows phone qui sont des acteurs importants du marché m’intéressent aussi. J’ai dans l’idée de faire de la recherche sur ces systèmes.

https://www.owasp.org/index.php/OWASP_Mobile_Security_Project#tab=Mobile_Tools https://www.owasp.org/index.php/Projects/OWASP_Androick_Project

Petites entreprises, grandes menaces : restez informés, restez protégés

Quitter la version mobile