Biométrie, Fuite de données, ios, Smartphone

Biométrie… sécurité bon pied bon œil pour Apple ?

Un commentaire

Apple a présenté son nouveau smartphone équipé d’un lecteur d’empreintes digitales. « C’est un bon début pour sécuriser son mobile mais ce n’est pas suffisant », souligne à DataSecurityBreach.fr Marc Rogers, Responsable de recherches chez Lookout, leader de la sécurité pour téléphones mobiles et tablettes. Les technologies de reconnaissance d’empreintes digitales sont pratiques Elles sont en effet plus pratiques que les codes PIN, si bien que de nombreux utilisateurs n’ont recours qu’à cette méthode. Mais, utilisées seules, elles n’offrent pas beaucoup plus de sécurité que les codes à 4 chiffres.

La reconnaissance d’empreintes digitales doit être associée à d’autres méthodes d’authentification
Dans les environnements ultra sécurisés, tels que les installations militaires, les technologies de reconnaissance d’empreintes digitales sont généralement associées à d’autres solutions biométriques, de reconnaissance rétinienne ou de la géométrie de la main, par exemple. Car les empreintes digitales peuvent être relevées et reproduites. D’où l’importance d’installer un second système d’authentification, biométrique ou par code PIN. Il est toujours risqué de ne miser que sur une seule méthode de sécurité. Les technologies de reconnaissance d’empreintes digitales ont des limites, qu’il est crucial de connaître afin de les utiliser en toute connaissance de cause.

Les technologies de reconnaissance d’empreintes digitales sont vulnérables
Une empreinte digitale peut tout à fait être reproduite. Et les techniques de reproduction risquent d’ailleurs d’évoluer au gré de l’adoption des systèmes de reconnaissance d’empreintes digitales. Sans compter que les voleurs peuvent toujours forcer leurs victimes à déverrouiller un système.

Les technologies de reconnaissance d’empreintes digitales participent à lutter contre les vols de téléphones
La sécurité de terminaux mobiles est un défi particulièrement complexe. La bonne nouvelle est qu’Apple et d’autres fabricants de terminaux mobiles ont décidé de s’y atteler ensemble. Leur objectif : déterminer quels mécanismes de sécurité associer pour compliquer la tâche des voleurs. Nul doute que la reconnaissance d’empreintes digitales fera partie de l’équation. Il reste à découvrir comment Apple mettra cette technologie au service des consommateurs.

Il n’y a pas de recette miracle pour protéger les terminaux mobiles
Tout ce qui est fait par l’homme peut être défait par l’homme. Il est donc indispensable de combiner plusieurs technologies qui compliqueront la tâche des attaquants et les dissuaderont de passer à l’acte.

Entreprise, Fuite de données, Hacking

5 Etapes Importantes à la Sécurisation des Environnements SCADA

5 Etapes Importantes à la Sécurisation des Environnements SCADA. Par Eric Lemarchand, Ingénieur Système chez Fortinet, pour DataSecurityBreach.fr. L’attaque par le virus Stuxnet contre l’Iran en 2010 a fait prendre conscience de la vulnérabilité des systèmes industriels souvent connus sous le nom de SCADA (Supervisory Control And Data Acquisition ou télésurveillance et acquisition de données en français), Mis en place depuis des dizaines d’années dans de nombreuses industries, cette architecture SCADA a montré des failles sécuritaires qu’il est aujourd’hui urgent de résoudre.

Les environnements SCADA sont des systèmes de gestion et de contrôle industriel, généralement déployés à grande échelle, qui surveillent, gèrent et administrent ces infrastructures critiques dans des domaines divers et variés : transport, nucléaire, électricité, gaz, eau, etc. A la différence d’un réseau informatique d’entreprise classique, l’environnement SCADA permet d’interconnecter des systèmes propriétaires ‘métier’ : automates, vannes, capteurs thermiques ou chimiques, système de commande et contrôle, IHM (Interface Homme Machine)… plutôt que des ordinateurs de bureau. Ces infrastructures sont principalement déployées en entreprise, mais sont désormais aussi présentes chez les particuliers.

Les environnements SCADA utilisent un ensemble de protocoles de communication dédiés, tels que MODBUS, DNP3 et IEC 60870-5-101, pour établir la communication entre les différents systèmes. Ces protocoles permettent de contrôler les API (Automates Programmables Industriels) par exemple, entrainant des actions physiques telles que l’augmentation de la vitesse des moteurs, la réduction de la température… Pour cette raison, l’intégrité des messages de contrôle SCADA est primordiale et les protocoles de communication devraient être entièrement validés.

Conçus pour fonctionner des dizaines d’années, à une époque où la cybercriminalité ciblant spécifiquement le secteur industriel n’était pas répandue, ces systèmes SCADA n’ont pas été pensés en tenant compte de la sécurité réseau. Très souvent, les principes de sécurité élémentaires n’ont pas été intégrés pour deux raisons principales: d’une part, l’architecture SCADA n’était pas intégrée au système informatique classique de l’entreprise, et d’autre part, le besoin d’interconnexion avec le réseau IP n’existait pas. Le besoin de sécurité était donc alors jugé non nécessaire.

Depuis, l’architecture SCADA a évolué et les automates, systèmes de mesure, outils de commande et de contrôle, télémaintenance…, sont dorénavant interconnectés via un réseau classique IP. Ils sont également administrés par des environnements potentiellement vulnérables, comme par exemple, la plateforme interface homme-machine équipée d’un système d’exploitation Windows non patché. Jugés hautement sensibles, ces environnements n’appliquent généralement pas les patchs des systèmes d’exploitation de peur de nuire à la production. Cette crainte l’emporte d’ailleurs souvent sur celle des attaques informatiques potentielles. Les environnements SCADA, pourtant identifiés comme critiques, sont ainsi paradoxalement les moins sécurisés et devenus la cible potentielle des cybercriminels, comme nous avons pu le constater avec Stuxnet, premier ver découvert qui espionne et reprogramme des systèmes industriels. Ce virus a exploité des vulnérabilités Windows de type zero day (c’est-à-dire pour lesquelles il n’existait pas de patchs) pour compromettre des dizaines de milliers  systèmes informatiques, à la fois des ordinateurs et une centrale d’enrichissement d’uranium.

Il aura fallu le cas d’attaque de l’ampleur de Stuxnet pour que la sécurité devienne l’une des préoccupations majeures des entreprises industrielles. Alors que les attaques informatiques traditionnelles engendrent généralement des dégâts immatériels, les industriels ont, dans le cas de Stuxnet, pris conscience de la capacité destructrice et bien réelle des vers et virus avancés, affectant non seulement les données d’une entreprise mais également les systèmes de gestion des eaux, des produits chimiques, de l’énergie…

Dorénavant, les industriels cherchent à intégrer la sécurisation de leurs équipements, et ce, de façon native. Même si les moyens commencent à être mis en œuvre pour sécuriser les industries, il est aussi nécessaire que les hauts dirigeants de ces entreprises soutiennent ce besoin de sécurisation, sans quoi, bon nombre de responsables informatiques ne trouveront pas d’échos positifs à leurs initiatives, et auront des budgets et ressources limités.

De plus, à défaut d’un standard, il existe des guides de bonne conduite permettant d’appréhender les problématiques que pose ou impose SCADA, édités par exemple par NERC (North American Electric Reliability Corporation) ou l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) en France. Voici quelques étapes importantes à respecter pour appliquer une sécurité globale sur ces infrastructures jugées sensibles :   – Des mises à jour régulières Patcher régulièrement ses systèmes d’exploitation, applications et composants SCADA est une étape essentielle pour éviter les failles déjà connues par les fournisseurs de sécurité. De plus, la mise en place d’un outil de détection et d’analyse des vulnérabilités permettant d’intercepter des menaces Internet malveillantes avant qu’elles n’impactent le réseau ou le serveur cible permettra de prendre des mesures proactives pour prévenir des attaques, éviter des interruptions de services, réagir rapidement et en temps réel face aux menaces émergentes.

– Cloisonner son réseau SCADA

Il est indispensable d’isoler son réseau SCADA de tout autre réseau de l’entreprise. Pour cela, la définition de DMZ ou bastions permet de segmenter une architecture SCADA. Ainsi, le réseau de l’IHM sera dissocié des automates et dispositifs de mesures, des systèmes de supervision, des unités de contrôle à distance et des infrastructures de communications, permettant  à chaque environnement d’être confiné et d’éviter des attaques par rebond.

En quelques mots, les réseaux SCADA doivent être protégés de la même manière que les réseaux d’entreprises des logiciels malveillants et intrusions, en utilisant des systèmes de prévention d’intrusions (IPS) et des solutions anti-malware.

– Validation protocolaire

Après avoir partitionné et séparé les différents éléments d’une architecture SCADA, la prochaine étape logique est d’appliquer une validation et un contrôle protocolaire  liés aux différents composants. En d’autres termes, il est nécessaire d’inspecter le protocole MODBUS pour être certain qu’il n’est ni mal utilisé ni vecteur d’une attaque. Egalement, assurez-vous que les applications qui génèrent des demandes MODBUS sont des applications légitimes et qu’elles sont générées depuis le bon poste de travail. Ainsi, la reconnaissance des applications prend son sens.

– Contrôler et identifier les actions administrateurs-utilisateurs

En complément de la segmentation des réseaux, il devient nécessaire d’établir des règles d’accès par authentification pour que seules les personnes autorisées puissent accéder au réseau, données et applications et puissent interagir avec les systèmes SCADA, afin que ces derniers ne soient pas endommagés par un tiers. Ainsi, un administrateur sera identifié de façon différente d’un utilisateur lambda, ce qui lui permettra d’effectuer certaines configurations au travers d’IHM alors que l’utilisateur pourra uniquement avoir une visibilité sur des équipements de mesure.

– Superviser l’ensemble des réseaux

Se doter d’un outil de corrélation et de gestion d’événements est indispensable. Cela permet d’obtenir  une visibilité globale sur l’état sécuritaire de l’ensemble du réseau et permet par exemple à un administrateur de connaitre à la fois l’état d’un automate, le niveau de patch d’un IHM et sa relation avec un utilisateur ou un composant de l’architecture. La remontée d’événements de sécurité est toute aussi importante. L’administrateur ainsi informé pourra mettre en place des actions ou contre-mesures adaptées en fonction du niveau de criticité de l’événement. La mise en application de ces étapes est parfois fastidieuse mais la meilleure solution pour protéger ces systèmes critiques est d’adopter une stratégie de défense en profondeur avec une couche de sécurité à tous les niveaux, même au niveau des API,  pour un contrôle précis des échanges et communications entre les composants de l’environnement SCADA et l’infrastructure réseau.

Avec des attaques de plus en plus sophistiquées de type APT, il devient urgent que les organisations industrielles prennent conscience que la sécurité des environnements SCADA est essentielle. Il en va de leur pérennité. Un contrôle précis sur leurs réseaux, utilisateurs et applications leur permettra de se prémunir d’éventuels risques qu’il est facile d’éviter. Enfin, il est important de bénéficier d’une protection en temps réel pour identifier rapidement les menaces potentielles et mettre en place les outils de protection adéquats conçus par des équipes spécialisées.

BYOD, Cloud, Cybersécurité, Fuite de données, Leak

Perturbations et intrusions : les utilisateurs de plus en plus inquiets face à l’utilisation de multiples appareils connectés

L’augmentation des appareils technologiques et leur utilisation qui se développent progressivement, perturbent les utilisateurs et les exposent à de plus en plus d’atteintes à la vie privée. Tels sont les résultats révélés par l’étude qu’a consulté DataSecurityBreach.fr. Une étude signée par AVG Technologies N.V., fournisseur de solutions de sécurité, de protection de données et d’optimisation mobiles et internet pour plus de 155 millions d’utilisateurs actifs. L’étude se base sur un panel de 5000 consommateurs dans huit pays et démontre que malgré l’explosion des offres, des possibilités et des opportunités de connexion internet, des craintes se développent du côté des consommateurs quant à la gestion de plusieurs appareils et la multiplication des atteintes à la vie privée.

Suite à la publication récente d’articles hautement médiatisés révélant les agissements d’entreprises et d’organisations gouvernementales qui auraient recueilli via Internet, de grandes quantités de données personnelles à partir des appareils des utilisateurs, près de la moitié des personnes interrogées (46 %) ont admis être de plus en plus préoccupées quant à la protection de leur vie privée. Elles ont également exprimé une plus grande méfiance vis-à-vis des entreprises et de leur capacité à protéger les données personnelles. Judith Bitterli, Vice-Présidente en charge du marketing chez AVG Technologies, constate : « Nos recherches ont montré que si 7 personnes sur 10 (72 %) pensent que la technologie deviendra encore plus utile dans les cinq prochaines années, elles sont presque autant (69 %) à croire qu’elle va également devenir de plus en plus intrusive. C’est un décalage frappant avec la vision des créateurs d’Internet. Par ailleurs, quant aux préoccupations liées au partage de données, combien de temps les consommateurs vont encore  tolérer ce statu quo » ?

88 % des personnes interrogées rechignent à communiquer des renseignements personnels pour accéder à des services. En effet, la plupart d’entre elles acceptent la situation, à défaut d’une autre alternative (38 %), ou limitent la quantité des données qu’elles sont prêtes à fournir (36 %). De plus, près de 8 personnes sur 10 (79 %) ont déjà interrompu le téléchargement d’une application ou d’un programme demandant  l’accès à des informations, ce qui révèle un fort malaise concernant la quantité de données personnelles dont la communication est demandée aux consommateurs.

Conjuguée aux préoccupations sur la préservation de la vie privée, le développement de la connectivité ajoute un poids supplémentaire aux inquiétudes des consommateurs dans leur vie numérique. La plupart des personnes interrogées (59 %) ont admis avoir utilisé plus de trois appareils personnels et de multiples systèmes d’exploitation à la maison, et seuls 44 % prennent des mesures visant à simplifier la gestion de leurs différents appareils en les synchronisant les uns aux autres.  Il en résulte une multiplication des tâches répétitives et des problèmes techniques.

Cyber-attaque, Hacking, Leak

Informations classées secret défense piratées

3 commentaires

Des attaques informatiques lancées par la Corée du Nord auraient été découvertes. C’est ce qu’affirme plusieurs sociétés de sécurité informatique Coréennes. Les sites de plusieurs ministères et agences gouvernementales de la Corée du Sud ont été impactées. Mission des « visiteurs », tenter d’obtenir des informations secrètes du grand frêre du sud. L’information a été révélée par le fournisseur de solutions de sécurité informatique Hauri Inc. Depuis trois ans, des activités d’espionnage informatique, qui seraient orchestrées par la Corée du Nord, ont tenté plusieurs méthodes d’attaques dont l’injection de logiciels espions ayant pour mission de récupérer des informations classées secrètes.

La majorité des agressions numériques se sont faites à partir de courriels piégés (sic!) comportant des pièces jointes malveillantes. Autant dire qu’il manque une sacré formation sur le béa-ba de la sécurité d’Internet pour les élus et fonctionnaires ciblés et touchés par ces piratages. L’adresse IP utilisée par ce groupe de pirates informatiques était la même que celle à l’origine des messages qui ont glorifié la famille Kim du Nord sur des sites Internet au Sud. Autant dire que des pirates américain, russe, … par exemples, pourraient exploiter ce stratagème pour effacer leurs traces.

« Nous avons décidé de rendre publiques les activités d’espionnage menées depuis plusieurs années auprès des organes gouvernementaux par des groupes de pirates informatiques soupçonnés d’appartenir au Nord pour lancer un débat public sur cette question et pour tenter de trouver des moyens qui permettront d’y faire face de manière efficace », indique à Yonhap un responsable de Hauri.

La filiale sud-coréenne de Kaspersky Lab a annoncé de son côté avoir découvert, début avril, des activités d’espionnage ciblant des sites étatiques. Des pirates venus de la Corée du Nord sont montrés de la souris. Un code espion, baptisé KimSuky a visé le ministère de l’Unification, l’institut Sejong, l’Institut coréen pour les analyses de défense (KIDA) et la branche « Marine » de Hyundai.

Entreprise, Fuite de données, Leak, Vie privée

Vodafone piraté : 2 millions de clients en danger

3 commentaires

L’opérateur téléphonique Vodafone vient de confirmer le piratage d’une de ses bases de données. 2 millions de clients concernés. Un faille de type injection SQL, la plaie du web comme l’a baptisé DataSecurityBreach.fr, a touché, il y a quelques jours, l’opérateur de téléphonie Vodafone. Le géant des télécommunications britannique a confirmé le piratage informatique et le vol de plusieurs millions de données personnelles appartenant à, au moins, deux millions de clients allemands. Parmi les données consultées/volées/copiées : noms, adresses postales, emails, dates de naissance, téléphone et, plus grave, coordonnées bancaires. Vodafone indique avoir identifié le pirate. Espérons pour eux qu’il ne s’agisse pas d’une pauvre mémé dont le modem/box a été détourné.

Linux, Virus

Un nouveau Trojan cible Linux avec un arsenal important

3 commentaires

La société Doctor Web a annoncé, il y a quelques jours, la détection d’un nouveau programme malveillant ciblant Linux : Linux.Hanthie. Selon les résultats de l’étude, les spécialistes ont découvert que ce Trojan (aussi connu sous le nom de Hand of Thief) peut exécuter beaucoup de fonctions, ainsi que cacher sa présence dans le système. Aujourd’hui ce malware est très populaire sur les forums clandestins de hackers où les pirates le vendent souvent. Linux.Hanthie est lié aux bots des familles FormGrabber et BackDoor ciblant le système d’exploitation Linux, et dispose de mécanismes anti détection ainsi que d’un démarrage masqué qui ne nécessite pas de privilèges administrateur. Il utilise un chiffrement fort pour la communication avec l’interface de commande (256-bit). La configuration flexible du bot est possible via le fichier de configuration.

Après son lancement, le Trojan bloque l’accès aux adresses depuis lesquelles les mises à jour logicielles ou les logiciels antivirus sont téléchargés. Ce Trojan est capable de se soustraire à l’analyse antivirus et de s’exécuter dans des environnements isolés et virtuels. Cette version de Linux.Hanthie ne possède pas de mécanismes d’auto réplication, c’est pourquoi ses développeurs conseillent de le distribuer en utilisant les moyens de l’ingénierie sociale. Ce Trojan est compatible avec les distributions Linux (dont Ubuntu, Fedora et Debian) et avec huit types d’environnements de bureau, par exemple, GNOME et KDE.

Après le démarrage du Trojan, l’installateur masque sa présence dans le système et détecte les machines virtuelles. Ensuite, Linux.Hanthie s’installe dans le système en créant un fichier d’auto démarrage et en plaçant une copie de réserve de lui-même dans l’un des dossiers sur le disque. Dans le dossier des fichiers temporaires, il crée une bibliothèque exécutable, qu’il essaie d’intégrer dans tous les processus en cours. En cas d’échec, Linux.Hanthie lance un nouveau fichier exécutable depuis un dossier temporaire responsable de la connexion avec le serveur de gestion et supprime sa version originale.

Le Trojan comprend plusieurs modules fonctionnels : l’un d’eux, qui représente une bibliothèque, exécute des fonctions malveillantes. Ce module injecte un grabber dans les navigateurs Mozilla Firefox, Google Chrome, Opera, ainsi que Chromiim et Ice Weasel (développés uniquement pour Linux). Ce grabber permet d’intercepter les sessions HTTP et HTTPS et d’envoyer des données entrées par l’utilisateur aux malfaiteurs. Cette bibliothèque peut également remplir la fonction de backdoor. Le trafic, lors du transfert des données entre le logiciel et le serveur de gestion, est crypté.

Le Trojan comprend d’autres fonctions. Par exemple, via la commande socks, il lance sur la machine infectée un serveur proxy ; via la commande bind, il lance un script pour écouter le port ; par la commande bc, il se connecte à un serveur ; par la commande update, il télécharge et installe une nouvelle version ; par la commande rm, il se supprime. Un autre module permet au Trojan de réaliser des fonctionnalités limitées sans effectuer d’injections de code.

Chiffrement, cryptage, Cybersécurité, Fuite de données, Leak, Vie privée

Piratage informatique : plus de 60 millions de données personnelles divulguées en 2 ans

Un commentaire

Les actes de piratage informatique ont entraîné des fuites concernant plus de 63 millions de données personnelles en 2011 et 2012, a révélé le député du Parti démocrate (PD) Choi Jae-cheon après avoir analysé des données de la Commission coréenne des commissions (KCC) et de l’Agence de supervision financière (FSS). La plupart de ces fuites se sont produites dans le secteur non financier (61,48 mlns) et le reste dans le secteur financier (1,9 mln).

SK Communications Co., l’opérateur des sites populaires Nate et Cyworld qui ont fait l’objet d’un piratage massif l’année dernière, a affiché le plus grand nombre de fuites de données personnelles (35 mlns), devant Nexon Korea Corp., société de jeux en ligne (13 mlns), et KT Corp, le deuxième opérateur de téléphonie mobile (8,73). Dans le secteur financier, plus de 1,75 million d’informations personnelles ont été divulguées suite à un piratage informatique contre Hyundai Capital. Les attaques informatiques qui ont visé les sites Internet de ces sociétés ont été à l’origine de la majorité des fuites d’informations.

Les erreurs de programme ont été également l’une des causes principales de ces déperditions. «La discrétion excessive des entreprises face aux piratages informatiques augmente les dégâts», a noté Choi, appelant à une déclaration rapide auprès des autorités en cas d’accident pour réduire les dégâts causé par ces cyberattaques. Le député a de même exhorté les autorités de supervision à mener des enquêtes complètes pour éviter de nouveaux piratages et à renforcer les sanctions contre les fuites de données personnelles. Choi a récemment proposé une révision de la loi sur les réseaux d’information et de communication en vertu de laquelle tout piratage informatique doit être déclaré dans les 24 heures qui suivent l’incident sous peine d’amende. 63 millions connues. Zataz.com vous laisse imaginer le reste ! (Yonhap)

Cyber-attaque

McAfee implante à Dubaï son premier centre dédié à la cyber-défense

Ce centre a pour objectif d’évaluer le risque des menaces, d’éduquer les clients et d’apporter des réponses rapides aux éventuels incidents qui se produisent dans les organisations de la région (Europe, Moyen-Orient et Afrique). Ce nouveau centre arrive à point nommé pour les entreprises de la zone EMEA qui ont été les témoins de nombreuses attaques cette année. Il sera également un outil supplémentaire pour aider les économies émergentes à se protéger des menaces aussitôt qu’elles seront détectées. Les différents gouvernements de la région ont investi massivement dans de nouvelles solutions pour prévenir et minimiser l’impact des cyberattaques. Ces derniers travailleront en étroite collaboration avec le centre de cyber-défense de McAfee afin d’améliorer la protection.

Le paysage des menaces, en constante évolution, a stimulé l’émergence de services de sécurité sophistiqués alliant de solides compétences à une expérience reconnue sur le marché EMEA. Le centre fournira non seulement des services de réponses urgentes aux incidents détectés, des services de recherche et d’expertise (avec le soutien du nouveau laboratoire de recherche de McAfee récemment implanté à Dubaï), mais également des services stratégiques uniques : « Contextual Threat Intelligence », « Open Source Intelligence » enquête, évaluation des défenses contre les dénis de service distribués, recherche scientifique et analyse de la dangerosité des malware ciblés.

« La fréquence croissante des pannes dues aux activités hacktivistes, criminelles et terroristes soulève inévitablement la question de la sécurité », déclare à datasecuritybreach.fr Gert-Jan Schenk, président EMEA de McAfee. « Les organisations doivent être en mesure de faire face à ces attaques afin de minimiser leur impact. C’est dans ce contexte que le centre de cyber-défense peut jouer un rôle précieux : les entreprises pourront bénéficier du soutien expérimenté des experts du centre en tirant parti de l’écosystème McAfee »

En 2013, une augmentation considérable du nombre de logiciels malveillants et d’attaques ciblées contre les organisations présentes dans la zone EMEA a été constatée. À titre d’exemple, l’Ukraine et la Biélorussie ont toutes deux enregistré une augmentation du spam de plus de 200 % au 2ème trimestre 2013. Au Moyen-Orient, le centre de cyber-défense suit de près une famille de programmes malveillants visant à voler des données financières, type de programme très actif dans des pays comme l’Arabie saoudite, les Emirats Arabes Unis ou encore le Qatar.

Argent, Arnaque, Cyber-attaque, Cybersécurité, Espionnae, Leak

NetTraveler : code malveillant en guerre sur le web

Les experts de Kaspersky Lab ont identifié un nouveau vecteur d’attaque utilisé par NetTraveler. Datasecuritybreach.fr vous en a déjà parlé sous les noms de « Travnet », « Netfile » ou encore « Red Star APT » ; un malware ayant déjà touché plusieurs centaines de cibles dans plus de 40 pays. Les victimes de NetTraveler, identifiées à ce jour, incluent des activistes tibétains/ouïgours, des groupes pétroliers, des centres ou instituts de recherche scientifique, des universités, des entreprises privées, des gouvernements ou institutions gouvernementales, des ambassades et des partenaires militaires.

Suite aux révélations autour de la découverte de NetTraveler en juin 2013, ses auteurs avaient arrêté tous les systèmes de commande et de contrôle pour les déplacer vers de nouveaux serveurs en Chine, à Hong Kong ainsi qu’à Taiwan. Ils ont ensuite continué leurs activités sans entrave. Au cours des derniers jours, une attaque de phishing ciblée a été lancée contre plusieurs activistes ouïgours. « L’exploit » Java, utilisé pour distribuer cette nouvelle variante de l’APT Red Star, n’a bénéficié d’un patch que récemment (en juin 2013) et enregistre donc un taux de réussite très élevé.

En complément, NetTraveler adopte des nouvelles techniques pour piéger ses victimes, notamment le « watehing hole », le « drive-by downloads » et le recours à des domaines infectés. Un certain nombre d’attaques émanaient du domaine « wetstock[z]org », connu pour avoir été utilisé lors des précédentes attaques de NetTraveler. Ces redirections semblent venir d’autres sites en lien avec la communauté ouïgoure, qui ont, en réalité, été infectés. D’autres « exploits » récents pourraient être intégrés et utilisés à plus large échelle. Voici donc les règles à suivre pour se protéger de cette typologie d’attaque :

[+]  Mettre à jour Java pour utiliser la version la plus récente, où désinstaller Java si vous ne l’utilisez pas,

[+]  Mettre à jour Microsoft Windows et Office pour utiliser la version la plus récente,

[+]  Mettre à jour tous les autres logiciels tiers, comme Adobe Reader,

[+]  Utiliser un navigateur sécurisé tel que Google Chrome, dont les cycles de mise à jour et de développement des patches sont plus rapides que ceux d’Internet Explorer, installé par défaut dans Windows,

[+]  Etre attentif aux liens sur lesquels vous cliquez et aux pièces jointes que vous ouvrez dans les emails provenant de personnes inconnues.

« Jusqu’ici, aucune vulnérabilité de type zero-day ne semble avoir été exploitée par le groupe NetTraveler. Pour s’en protéger, les patches sont impuissants mais des technologies comme Automatic Exploit Prevention et DefaultDeny offrent une protection efficace contre les menaces persistantes. » explique à data security breach magazine Costin Raiu, Directeur du GReAT chez Kaspersky Lab.

Biométrie

Biométrie à la cantine : près de 500 collèges et lycées équipés en France par Alise

Un commentaire

La PME française Alise poursuit avec succès l’équipement biométrique RCM (reconnaissance du contour de la main) des restaurants scolaires des établissements du second degré. Datasecuritybreach.fr a appris que cet outil de gestion des accès utilise la technologie en 3D de la morphologie. Elle consiste à réaliser une photo numérique de la main pour en enregistrer la forme. En cette rentrée scolaire, 479 collèges et lycées en sont équipés, soit une augmentation de 17% par rapport à la même période l’année dernière !

Le contexte – La liste est longue des raisons qui poussent de plus en plus d’établissements à opter pour ce système en complément de la technologie actuelle, les cartes magnétiques. « Une main ne s’oublie pas, ne s’échange pas, ne se perd pas. Les avantages sont nombreux, disent les principaux et proviseurs eux-mêmes : des économies (le remplacement d’une carte magnétique est payant), moins d’administratif et plus de temps consacré à une organisation efficace du passage des élèves à la cantine, la tranquillité d’esprit pour les responsables de l’établissement et les parents – qui sont sûrs que c’est bien leur enfant qui s’est présenté au self – une facturation au juste prix, etc. »

Parmi les installations effectuées durant l’année écoulée, certaines sont situées dans cinq départements où la biométrie RCM Alise n’était pas encore présente : le Calvados, la Drôme, la Savoie, l’Yonne et Saint-Martin (Antilles). Notez d’ailleurs que même le Lycée français de Moscou a opté pour cette technologie ! En tête des régions les mieux équipées : la Provence-Alpes-Côte d’Azur, qui compte 122 établissements installés, et l’Île-de-France, avec 87 collèges et lycées dotés du matériel. Les régions Rhône-Alpes, Pays de la Loire et Alsace comptent, respectivement, 45, 35 et 30 établissements équipés en biométrie RCM Alise.

Comment ça marche ?

Le lecteur de biométrie RCM Alise permet l’identification des convives dans les cantines des collèges et lycées. Il suffit à l’élève de taper un code de 1 à 4 chiffres puis de poser sa main sur le lecteur. À la différence du relevé des empreintes digitales, ce système ne laisse pas de trace et rend impossible la constitution de fichiers ou l’utilisation de données personnelles à des fins abusives. Ce que dit la loi – Ces installations sont réalisées dans le strict respect des recommandations de la Cnil. En effet, la Commission nationale de l’informatique et des libertés souligne que le seul dispositif autorisé dans les établissements scolaires (AU-009) repose sur une biométrie “sans trace”, c’est-à-dire par reconnaissance du contour de la main, par opposition au relevé d’empreintes digitales, non autorisé dans les écoles. Comment Alise applique la réglementation – Toute nouvelle installation fait l’objet d’un courrier d’information adressé par le gestionnaire de l’établissement aux parents d’élèves. De plus, chaque lecteur biométrique RCM Alise est systématiquement associé à un lecteur de cartes magnétiques, une alternative qui permet de gérer le passage des convives exceptionnels ou ne souhaitant pas utiliser la borne biométrique.

Alise est spécialisée dans la gestion et le contrôle d’accès par carte et par biométrie RCM au restaurant scolaire (établissements du second degré). Basée à Venelles, près d’Aix-en-Provence, elle dispose d’une agence principale à Asnières, en région parisienne. Son succès repose, depuis sa création en 1992, sur le développement d’Arc-en-Self, logiciel permettant de gérer les aspects financiers et administratifs de l’accès à la demi-pension des restaurants scolaires. Alise propose ensuite, au rythme des développements technologiques, différents moyens de contrôle : tourniquet, barrière lumineuse, distributeur de plateaux et, depuis neuf ans, toujours avec une longueur d’avance, biométrie RCM. L’entreprise équipe près de 2 700 établissements scolaires, dont 479 en biométrie RCM, et réalisera, en 2013, un CA de près de 4 M€ HT

Petites entreprises, grandes menaces : restez informés, restez protégés

Quitter la version mobile