BYOD, Chiffrement, cryptage, Entreprise, Fuite de données, RFID, Téléphonie, VPN

Vous voyagez avec vos appareils connectés ? N’oubliez pas de penser à leur/et votre sécurité.

17 août 2013 Damien Bancal Un commentaire

Vous partez en vacances ? Une enquête reçue à la rédaction de DataSecurityBreach.fr, menée par F-Secure, met le doigt sur les moments de vos vies digitales qui nécessitent une attention particulière lors de vos déplacements.

Lorsque l’on voyage, il est pratique d’utiliser les réseaux Wifi public des aéroports ou encore des restaurants. Pourtant, 52% des sondés sont inquiets de la sécurité et la confidentialité de ces réseaux, et avec raison. Sean Sullivan, Security Advisor chez F-Secure Labs, affirme qu’il ne faut pas oublier que ces réseaux Wifi portent bien leurs noms : ils sont publics. Vous partagez ces réseaux avec des inconnus, et il y a toujours le risque qu’ils puissent utiliser un logiciel pour regarder ce que vous faites en ligne.

Selon Sean Sullivan, « Il est naturel de penser qu’il y a de la confidentialité parce que nous utilisons un appareil personnel… mais en réalité ce n’est pas du tout le cas ». Il conseille de ne pas faire ce que l’on souhaite laisser à l’abri des regards indiscrets, comme des connections à des comptes protégés par des mots de passe. Il ajoute : « J’utilise les réseaux de Wifi public pour des choses dont je parlerais avec un ami dans le métro. Les opérations bancaires, je les fais chez moi ».

Le même raisonnement vaut pour l’utilisation des ordinateurs publics dans les bibliothèques ou les cybercafés. Sean Sullivan conseille une utilisation réfléchie et limitée (par exemple, lire les actualités), parce que des logiciels espions pourraient être installés sur l’ordinateur… et voler vos mots de passe.

Si vous devez utiliser des réseaux publics pour communiquer avec vos proches, M. Sullivan recommande la création d’une adresse mail que vous n’utiliseriez que lorsque vous êtes en vacances, et qui n’a rien à voir avec votre adresse mail habituelle. « De cette façon, si quelqu’un pirate votre adresse mail de vacances, il ne pourra que voir des mails de votre mère ou de la gardienne de votre chat, mais ils n’auront pas accès aux données sensibles qui seraient en mémoire dans votre compte de messagerie principal », dit-il.

Une opération bancaire à faire ? Les précautions à prendre lorsque vous êtes loin de chez vous. 85% des gens disent qu’ils se connectent à leur banque via leurs ordinateurs, et 24% à partir de leurs smartphones. Comment procéder si vous deviez absolument faire une transaction lorsque vous êtes en vacances ? Il est probablement préférable d’utiliser votre forfait data mobile avec l’application mobile de votre banque, même si cela signifie faire du roaming. Cela peut coûter un peu cher, mais c’est toujours moins onéreux que de se faire vider votre compte. Les banques utilisent des connections HTTPS. Sont-elles pour autant sécurisées quand vous y accédez via les réseaux Wifi publics ? 39% des gens utilisent très peu de mots de passe différents pour leurs différents comptes. Et si vous utilisez le même mot de passe sur un site non sécurisé et sur un site sécurisé (comme celui de votre banque), cela signifie qu’un « fouineur » pourrait facilement accéder à votre compte bancaire. Les « fouineurs » utilisent parfois des méthodes plus rudimentaires : jeter discrètement un coup d’œil par-dessus votre épaule quand vous entrez votre mot de passe peut leur suffire pour vous le dérober !

Gardez votre contenu en toute sécurité lorsque vous êtes sur la route des vacances 67% des sondés accordent plus de valeur aux contenus d’un appareil plutôt qu’à l’appareil lui-même, d’un point de vue matériel. Cela illustre l’importance des sauvegardes avant le départ en vacances. Par exemple, en utilisant un service de synchronisation de contenu comme Content Anywhere de F-Secure. Fourni par les opérateurs, il permet aux utilisateurs d’avoir accès aux contenus de l’appareil automatiquement synchronisés sur leur cloud personnel. Grâce à ces services, nous ne somme plus obligés de voyager avec des périphériques de stockage encombrants (comme des disques durs), et il est facile de partager nos photos de vacances, en toute confidentialité et en toute sécurité. Les données que vous mettez dans le « Content Cloud » de F-Secure sont entièrement chiffrées pendant le transfert et le stockage.

La localisation d’un appareil perdu ou volé Perdre ou se faire voler un téléphone portable peut gâcher les vacances. DataSecurityBreach.fr a pu lire qu’avec 61% des personnes qui ont une double utilisation pro/perso de leurs appareils, il y a de bonnes raisons d’être prudent. Un téléphone perdu pourrait avoir un impact non seulement sur vos propres données, mais aussi sur celles de votre entreprise. L’application gratuite Anti-Theft de F-Secure pour smartphones et tablettes vous permet de verrouiller à distance et de localiser votre appareil, et si nécessaire, en effacer toutes les données. Autre recommandation : assurez-vous que le mot de passe de votre téléphone portable verrouillant votre écran se mette en place après un court laps de temps, comme une minute.

D’autres conseils si vous utilisez les Wifi public:

· Ne laissez pas votre appareil se connecter automatiquement à des réseaux publics.

· Effacez les points d’accès Wifi que vous avez utilisé lorsque vous rentrez chez vous.

· Ne soyez pas connecté aux applications dont vous n’avez pas besoin lorsque vous vous déplacez.

· Vérifiez auprès de l’établissement que le réseau Wifi auquel vous vous connectez est vraiment le leur, et non pas celui qu’un « fouineur » aurait mis en place pour vous tromper.

· Soyez conscient de votre environnement et de toute personne qui pourrait être en train de jeter un regard par – dessus votre épaule.

· Utilisez un mot de passe différent pour chaque compte.

· Pour les ordinateurs portables, désactiver le partage de fichiers, activez le pare-feu et configurer le de sorte qu’il bloque les connexions entrantes.

· Si possible, utilisez un réseau privé virtuel (Virtual Private Network en anglais, abrégé en VPN) qui sécurise votre connexion même sur le Wifi public.

· Utilisez un routeur de voyage avec une carte SIM prépayée pour créer votre propre réseau Wifi.

· A minima, vérifiez la présence du cadenas et du « https » dans la barre d’adresse pour n’importe quel site contenant vos informations personnelles. S’ils ne sont pas là, il est préférable d’éviter le site.

· En règle générale : considérez que tout ce que vous faites sur un réseau Wifi public est comme une conversation publique.

Apache, Cyber-attaque, Cybersécurité, Patch

Outil pirate pour compromettre le Framework Web Apache Struts

17 août 2013 Damien Bancal 3 commentaires

Un outil pirate Chinois, datasecuritybreach.fr a appris qu’il était vendu dans le black market, permet d’automatiser une attaque à l’encontre du Framework Web Apache Struts. Les chercheurs de l’éditeur de solutions de sécurité informatique Trend Micro confirme que cet outil était capable de compromettre le Framework Web Apache Struts en exploitant une faille qui vient d’être bouchée par l’Apache Software Foundation. L’outil pirate contient un Web Shell, un outil qui permet au pirate de se promener dans la machine piégée via cette porte cachée. Une sorte de Shell99 bien connu chez les pirates. Une version java de la bestiole (JspWebShell) permet d’utiliser les technologies JavaServer Pages (JSP) pour les faciliter les actions du pirate.

Un « couteau Suisse » gênant. Même si un rustine existe, peu de mises à jour semblent avoir été effectuées par les utilisateurs de l’outil de développement d’applications web Java. Il faut dire aussi qu’en pleine périodes de vacances, ça n’aide pas. Comme le précise Trend Micro, l’outil pirate exploite les récentes failles CVE-2013-2251 et CVE-2013-1966, ainsi que de vieilles dames, toujours actives, datant de 2010 et 2011 : CVE-2011-3923, et CVE-2010-1870.

Bref, la mise à jour vers la version 2.3.15.1 d’Apache Struts est plus que conseillée : http://struts.apache.org/download.cgi#struts23151. DataSecurityBreach.fr a pu constater sur le blog du groupe de hackers chinois que les premières infos sur la faille ont commencé à pointer le bout de leurs bits en mai 2013. Le 19 Juillet sortait l’exploit. Le 20 juillet, l’outil K-eight, signé par B.L.Brother, était diffusé. Soit trois jours après la diffusion du patch de sécurité d’Apache.

Chiffrement, cryptage, Cybersécurité, Justice, RFID

Le code de sécurité de Porsche piraté

17 août 2013 Damien Bancal 4 commentaires

Flavio Garcia, maître de conférences en informatique à l’université de Birmingham, a découvert comment passer outre le système numérique permettant de faire démarrer les Porsches, Audis, Bentleys et autres Lamborghini. La faille se trouve dans l’algorithme qui permet la vérification de la clé de contact.

Le chercheur devait présenter sa trouvaille lors d’une conférence dédiée à la sécurité informatique, à Washington (Symposium Usenix Security – 14/15 août, ndlr). Une injonction de la justice britannique à interdit à l’universitaire de présenter son travail. Volkswagen, propriétaire des quatre marques de luxe citées, s’attaque aux travaux de Garcia et deux autres experts néerlandais en cryptographie de l’Université Raboud, Baris Ege et Roel Verdult.

La vulnérabilité se situerait dans le RFID de la puce Megamos Crypto, une « bestiole » qui n’a pas évolué depuis plus de 20 ans. Un algorithme trop léger et la clé devient aussi bavarde qu’une mouette.

La justice explique sa décision par le fait que cette publication pourrait permettre de cracker la sécurité des clés et voler les voitures. Le calcule mathématique complexe, qui a permis aux chercheurs de trouver la faille, est sur le web depuis… 2009. Les scientifiques ont utilisé une technique appelée « chip slicing » qui consiste à analyser une puce sous un microscope et lancer un processus d’analyse qui coûte plus de 50,000 euros. Dommage que le juge n’a pas imposé dans la foulée à VW de mettre de l’ordre dans ses bits.

Entreprise

Envoyez vos campagnes emailing tout simplement

16 août 2013 Damien Bancal

Le logiciel Sarbacane est proposé en téléchargement gratuit : l’occasion pour vous de tester la diffusion facile et rapide de vos newsletters. Fidéliser vos lecteurs, clients, visiteurs sur Internet ? Et si vous tentiez l’emailing. Ici, pas question de parler de spam, de pourriel, mais bien d’une gestion efficace et rapide de votre base de données. Sarbacane est la solution d’emailing de référence.

Ce logiciel, en téléchargement gratuit pour tester ses capacités, permet de gérer vos campagnes d’emailing et de newsletter. Importez vos contacts, créez vos mails personnalisés en HTML, et envoyez vos mails à vos lecteurs, clients, visiteurs en toute facilité. Nous vous proposons de tester gratuitement ce logiciel d’emailing pour que vous puissiez découvrir sa simplicité d’utilisation et son efficacité.

Créé par une société du Nord de la France, située à quelques kilomètres de zataz.com, Sarbacane a reçu le label qualité d’Ekomi avec une note loin d’être négligeable : 4.4 sur 5. La Poste, Toshiba, Universal Music ou encore le CIC utilisent Sarbacane : testez gratuitement Sarbacane et laissez-vous convaincre par son utilité et son efficacité.

Sarbacane Téléchargement Gratuit

cryptage, Cybersécurité, Espionnae, Facebook, Fuite de données, Vie privée

Espionner via l’API d’un HTML5

7 août 2013 Damien Bancal 2 commentaires

Une vulnérabilité découverte dans un API d’HTML5 permet de connaitre l’historique de navigation d’un internaute. Cette possibilité a été annoncée dans un document diffusé par le Context Information Security sous le titre de « Pixel Perfect Timing Attacks with HTML5« . Le problème se situe dans l’API requestAnimationFrame.

Cet API consulte l’historique de votre navigateur pour différencier un site web que vous avez visité et celui qui vous aller visiter. Seulement, il a été découvert qu’il était aussi possible, pour un site malveillant, de mettre la main sur l’historique de navigation de chaque visiteur. Si vous couplez requestAnimationFrame à une interception d’ip et quelques informations privées, vous voilà avec la vie privée numérique de l’internaute bien mal en point. Côté conseil, utilisez le monde « Navigation privée » de votre navigateur.

Facebook, Twitter, Google, Linkedin, Bong, Amazon, Mozilla, Reddit, souffrent de cette potentialité malveillante. Cette technique s’est avérées très efficaces, permettant à un site malveillant de contrôler des milliers d’URL par seconde pour voir si un utilisateur a visité les principaux portails du web. En 2010, David Baron a publié une proposition pour prévenir de telles attaques, en limitant les styles (css) qui peuvent être appliquées aux liens visités et veiller à ce que l’API JavaScript appelle que les styles des éléments à visiter. Les correctifs avaient été mis en œuvre dans tous les principaux navigateurs. Sauf que la faille découverte permet aussi de lire, à distance, les pixels et, avec un peu de malice, permettre à un pirate de lire ce qui s’affiche dans le navigateur. Le White paper de CIS.

Argent, Arnaque, Banque, Cybersécurité, escroquerie, Paiement en ligne

Piratage d’un compte bancaire, les indices qui mettent la puce à l’oreille

5 août 2013 Damien Bancal 3 commentaires

La plupart des utilisateurs jugent important de protéger leurs informations personnelles stockées sur leurs ordinateurs. Et selon une récente enquête consultée par DataSecurityBreach.fr, réalisée pour Kaspersky Lab, aussi incroyable que cela puisse paraître un participant sur trois (33%) conserve ses coordonnées bancaires sur son ordinateur domestique. A noter que 62 % des utilisateurs considèrent la fuite de données financières comme la menace la plus dangereuse ; 47 % estiment que le vol d’informations bancaires lors d’achat en ligne est le problème le plus préoccupant lorsque l’on se rend sur internet. 57 % des français estiment qu’ils ne sont pas suffisamment outillés pour faire face aux menaces de sécurité sur internet.

Les cybercriminels multiplient les tentatives pour pirater les sites de banque et de commerce en ligne. C’est pourquoi, surveiller ses comptes de paiement en ligne (PayPal, Amazon, Google Checkout, etc.) de près peut éviter des mauvaises surprises à la fin du mois. Comme le rappelle ZATAZWeb.tv, s’informer, c’est déjà se sécuriser. Voici les six « alertes » qui doivent vous faire tendre l’oreille.

1. Surveiller les activités non autorisées : savoir toujours quelles opérations sont prévues. Tout montant débité sans l’autorisation du détenteur du compte, aussi faible soit-il, doit constituer un signal d’alerte.

2. Attention aux notifications : Le fait de recevoir un e-mail informant que les informations de son compte ont changé alors que rien n’a été modifié peut être un signe que le compte a été piraté.

3. Attention aux faux appels : si un interlocuteur se présente comme travaillant pour un établissement bancaire ou prestataire de paiement au téléphone, ne pas hésiter à rappeler le service client pour vérifier l’authenticité de l’appel.

4. Se méfier des textos : si l’utilisateur reçoit soudainement des SMS ou des appels provenant d’un numéro de mobile habituellement non utilisé par son prestataire, il faut être extrêmement prudent quant à son origine.

5. Vérifier chaque e-mail : si un e-mail ou une autre forme de communication en ligne ne paraît pas authentique, ne pas y répondre sans avoir vérifié son authenticité auprès de son prestataire.

6. Attention aux faux liens : si des activités inhabituelles sont observées sur son compte, il faut vérifier si aucun lien suspect dans un e-mail n’a été ouvert.

Ainsi, il est bien sûr recommandé aux utilisateurs d’adopter les bons réflexes de sécurité lors des achats en ligne. En outre, l’installation d’un logiciel efficace de sécurisation d’Internet, et notamment des fonctions de banque en ligne, permet d’éviter les attaques de type « man in the browser » qui interceptent les données normalement sécurisées transitant dans un navigateur Web. Dans ce type d’attaque, un malware implanté sur l’ordinateur infecté modifie de manière invisible des pages Web légitimes afin de prendre le contrôle des activités de banque en ligne. L’internaute est bien connecté au site Web authentique de la banque, l’adresse affichée (URL) est la bonne mais des cybercriminels peuvent intercepter la transaction pour dérober les informations financières et, plus grave, de l’argent.

Argent, Arnaque, escroquerie, Particuliers, Pinterest

La méthode miracle anti-cellulite… des pirates

5 août 2013 Damien Bancal

Bitdefender, éditeur de solutions de sécurité, a informé DataSecurityBreach.fr que les utilisateurs de Pinterest étaient visés par la propagation d’une arnaque publicitaire sur ce réseau social qui permet d’épingler ses photos préférées. Ce scam publicitaire concerne une solution « miracle » pour se débarrasser de la cellulite et perdre du poids, une arnaque qui apparaît bien souvent en cette saison estivale. Les scammeurs voient en Pinterest l’endroit idéal pour diffuser ce type d’arnaque puisque parmi les 49 millions d’utilisateurs du réseau social, 80 % sont des femmes. Ce scam n’est pas malveillant mais vise à tirer profit des utilisatrices qui, tombées dans le piège, achèteront le ‘pack beauté’ ou ‘l’offre du jour’.

Cette arnaque, qui a envahi Pinterest en quelques semaines, utilise le tableau d’utilisatrices pour s’y afficher en tant que ‘pin’. Ainsi, de nombreuses femmes ont épinglé malgré elles, sur leur tableau, des dizaines de photos d’un corps exhibant de la cellulite et d’une personne « avant/après » le test de cette solution miraculeuse.

Scam anti-cellulite

L’interface de Pinterest se prête particulièrement à la mise en avant de ce genre de produits. Les images utilisées sont efficaces et le slogan optimiste, ce qui pousse les utilisatrices à cliquer afin de recevoir des « informations auxquelles seulement quelques personnes privilégiées ont accès ». En cliquant sur la photo, l’utilisatrice est redirigée vers plusieurs sites qui affichent tous la même vidéo : quelques exercices basiques qui permettraient de faire fondre les excès de graisse à vitesse grand V. Après ce teasing attrayant, la visiteuse est invitée à s’offrir le pack beauté, sans oublier l’offre du jour, elle aussi à ne pas manquer.

Certains noms de domaines de ces sites sont enregistrés anonymement afin de ne pas révéler l’identité de « l’entreprise » qui fournit les produits en question. Cependant, Pinterest et Google parviennent à bloquer quelques-uns de ces sites, signalés comme dangereux. Afin de se prémunir des arnaques en ligne, Bitdefender préconise aux internautes de toujours utiliser une solution de sécurité à jour et de vérifier sur Internet les informations relatives à la société qui commercialise les produits désirés. Les internautes peuvent aussi bénéficier d’éventuels avertissements ou de l’expérience d’autres acheteurs, grâce à de simples recherches sur le Web.

Virus, Wordpress

PlugIn de sécurité pour WordPress

5 août 2013 Damien Bancal 3 commentaires

Kévin FALCOZ, alias 0pc0deFR, chercheur français en sécurité informatique propose un outil fort intéressant permettant de tester la sécurité des plugins WordPress que DataSecuritybreach.fr vous conseille fortement. L’outil disponible sous le repository Bulk Tools permet actuellement de chercher des vulnérabilités de type SQL ou CSRF. Un outil d’audit ingénieux. « Je travaille dessus, souligne à la rédaction de Data Security Breach 0pc0deFR. Je vais le rendre encore plus puissant dans le but de détecter plus de vulnérabilités ». Bref, un excellent projet qui mérite d’être suivi et encouragé. A noter quelques règles Yara, pour les amateurs d’analyses de malwares.

Cybersécurité, Patch

Faille pour le site du Ministère de la Défense du Koweït

4 août 2013 Damien Bancal Un commentaire

Le chercheur en sécurité informatique Ben Khlifa Fahmi a alerté la rédaction de Data Security Breach après la découverte d’une faille, de type XSS (Cross Site Scripting, ndlr datasecuritybreach.fr) visant le site Internet du Ministère de la Défense du Koweït. Ce type de faille, classé troisième par l’Owasp, permet d’intercepter les cookies générés par le site (gestion de l’accès à l’administration par exemple, ndlr datasecuritybreach.fr), afficher un faux espace d’accès (Phishing) ou diffuser un code malveillant dans la machine d’un visiteur. Le pirate doit générer un url particulier, à partir de l’adresse officielle du Kuwait Ministry of Defense et l’envoyer à sa cible. Ben a alerté l’administrateur du site pour permettre sa correction.

Arnaque, Cyber-attaque, Entreprise, Fuite de données, Leak

Les menaces et la sécurité des centres d’assistance technique

4 août 2013 Damien Bancal Un commentaire

Le SANS Institute of Research a dévoilé les résultats d’une étude sponsorisée par RSA, la division sécurité de EMC, portant sur les menaces et la sécurité des centres d’assistance technique (Les help desks, ndlr datasecuritybreach.fr).

Les help desks sont le point d’entrée des employés pour la résolution des problèmes informatiques. Pourtant on constate que la sécurité informatique reste encore assez à améliorer ; les téléassistants étant mesurés à la rapidité de résolution des problèmes. Ainsi ces centres sont aujourd’hui une voie facile pour les hackers de mettre un pied dans l’entreprise. L’étude réalisée auprès de 900 professionnels de l’informatique dans le monde, tous secteurs confondus, souligne les menaces et le niveau de sécurité des centres d’assistance technique :

– Pour 69% des répondants, l’ingénierie sociale est le premier moyen pour les hackers d’entrer dans les entreprises via les help desks. L’ingénierie sociale étant une forme d’acquisition déloyale d’information : les informations basiques et accessibles à tous comme le nom, prénom et numéro d’employé sont souvent le seul moyen d’identifier les collaborateurs.

– Un tiers des professionnels interrogés atteste que la sécurité de leur help desk reste très faible.

– 43% ne prennent pas en compte le paramètre sécurité lorsqu’ils calculent le budget de leur help desk.

Data Security Breach rappelle qu’afin de prévenir les attaques, les entreprises doivent protéger leurs données tout en répondant aux attentes des employés et ainsi revoir la sécurité de leur help desk. Pour cela RSA recommande :

– L’automatisation et la mise en libre-service des options pour les questions courantes de l’utilisateur telles que la réinitialisation du mot de passe afin de réduire les erreurs et les vulnérabilités qui conduisent à des failles informatiques et le vol de données

– Des formations solides et continues du personnel pour apprendre à repérer et réagir à d’éventuelles attaques

– Des outils avancés qui permettent des méthodes d’authentification plus solides en utilisant des ressources de données dynamiques. (SANS Institut)

DATA SECURITY BREACH