La 13ème édition de la Nuit du Hack s’est tenue les 22 et 23 juin, l’Hôtel New-York de Disney Land Paris. 48 heures devenues LA référence Française en matière de sécurité informatique, hacking et chouette ambiance. Conférences dédiées à la sécurité/hacking bancaire, CTF, concours divers, crochetage de serrures, workshops, hack de consoles avec la team de XavBox, radio, robotique, …
Jeudi, de 02h20 à 06h16, le réseau social Linkedin n’était plus dans son état normal. Durant quatre heure, les internautes qui rentraient leur login et mot de passe pour s’identifier se retrouvaient à fournir leur précieux sésame à un site qui n’avait rien à voir avec Linkedin. Le réseau social professionnel indique ne pas avoir subit de piratage mais un « problème » technique qui aurait été occasionné par son prestataire de service.
Un vrai faux site ? A première vue, un DNS capricieux et les internautes se sont retrouvés à fournir leurs identifiants à un inconnu. Ca montre aussi le niveau des utilisateurs. C’est un peu si vous fournissiez les données de votre carte bancaire dans une boite en carton posée à côté du distributeur de billets. Ca n’a pas le gout d’un distributeur, ca n’a pas la couleur d’un distributeur… mais c’est pas grave ! L’hébergeur a reconnu une erreur technique.
L’histoire ne dit pas ce qu’a bien pu récupérer le site Internet mis à la place de Linkedin durant ces 4 heures de « bug ».
Le piratage informatique d’un site web cache très souvent des actions biens plus malveillantes qu’un simple barbouillage. Pour preuve, le cas vécu, ce jeudi, par le site Internet du groupe Volkswagen France. Datasecuritybreach.fr et ZATAZ.COM ont pu constater qu’un pirate informatique avait réussi à s’inviter dans le serveur de la marque automobile Allemande afin d’y cacher une redirection malveillante vers une fausse page d’administration à Skype.
Le voleur a lancé son hameçonnage Skype (comme pour iTunes) via un courriel électronique contenant ce type de message (exemple pour skype, ndlr datasecuritybreach.fr) « Chère/Cher client Nous vous informons que votre compte Skype arrive a l’expiration dans moins de 48H. Cliquez simplement sur le lien suivant et ouvrez une session a l’aide de votre Skype ID et Mot de passe. Vérifiez maintenant. Cordialement L’assistance a la clientèle Skype 2013« .
Les pirates expliquent agir pour manifester la hausse de l’essence. Certains groupes mettent en avant des motifs plus « politique » et « religieux » reprochant à L’Arabie Saoudite de vendre son pétrole en dollars.
Les données des présumés employés de Total, que DataSecurityBreach.fr a pu consulter, comprennent emails et mots de passe non chiffrés. A noter que zataz.com revient sur cette opération d’envergure d’Anonymous qui aurait fait plusieurs milliers de victimes numériques (entreprises et particuliers).
Le Président de la République, François Hollande, et les Chefs d’Etat du G8 réunis les 17 et 18 juin 2013 au Sommet de Lough Erne, en Irelande du Nord, ont signé aujourd’hui une Charte du G8 pour l’Ouverture des Données Publiques. Cette Charte Open Data du G8 marque l’ambition collective des Etats Membres de promouvoir une gouvernance plus ouverte et plus transparente : en établissant un principe d’ouverture par défaut des données publiques, en affirmant le principe de gratuité de leur réutilisation et en privilégiant les formats ouverts et non-propriétaires, elle encourage l’accès de tous à l’information et promeut l’innovation entrepreneuriale, citoyenne et sociale.
Chaque Etat membre du G8 développera un plan d’action d’ici fin 2013, visant à respecter les principes de la Charte en mettant en oeuvre les meilleures pratiques et les engagements collectifs détaillés dans son annexe technique d’ici fin 2015. La France a par ailleurs contribué à dresser la cartographie des métadonnées du G8, consultable sur GitHub. Elle présente un index collectif des métadonnées des plateformes Open Data de chaque Etat Membre du G8, ainsi qu’une cartographie analytique de ces métadonnées.
Le Communiqué des Chefs d’Etat (paragraphes 46 à 50) affirme que « cette Charte contribuera à accroître la quantité de données publiques ouvertes dans les secteurs essentiels de l’action publique, comme la santé, l’environnement ou les transports ; à soutenir le débat démocratique ; et à faire en sorte de faciliter la réutilisation des données publiées ». Pour les Etats Membres du G8, « l’ouverture des données publiques est une ressource essentielle à l’âge de l’information. »
Charte du G8 pour l’Ouverture des Données Publiques (Français)
Annexe de la Charte du G8 pour l’Ouverture des Données Publiques (Français)
Le Pablo Escobar 2.0 vient d’être mis à jour, en Belgique. Data Security Breach vient d’apprendre que les policiers ont mis la main sur 1,099 tonne d’héroïne, 1,044 tonne de cocaïne, des armes et 1,3 million d’euros en liquide. Une saisie lors d’une opération d’envergure dans le port d’Anvers. Tout a débuté au Pays-Bas. Les douaniers néerlandais mettaient la main, en avril dans le port d’Amsterdam, sur plus de 110 kilos de drogue, cachée dans des poutres de bois. L’enquête va remonter chez le voisin Belge. Originalité de cette opération, deux informaticiens d’une trentaine d’années ont été arrêtés (sur les 23 perquisitions et 7 interpellations). Ils avaient orchestrés des piratages informatiques des ordinateurs du port belge, mais aussi de plusieurs transporteurs de marchandise passant par l’imposant port belge. Mission des piratages, repérer les conteneurs dans lesquels avaient été cachés la drogue. (GT)
Le Ponemon Institute et FireEye ®, Inc., spécialiste de la lutte contre les cyber-attaques de nouvelle génération, datasecuritybreach.fr vous en parle souvent avec le top 10 des failles du web, viennent de publier les résultats d’une enquête sur la perception de la CyberSecurité dans les entreprises françaises et internationales.
Les directions informatiques des entreprises françaises s’accordent sur le type de données qui doit être protégé en priorité. Une décision qui rejoint la prise de position du centre d’analyse stratégique (CAS) dans sa dernière note publiée en mars 2013. En effet, le CAS constate que les grandes entreprises ont une prise de conscience très variable du danger que représentent les cyber-attaques et n’accordent encore qu’une priorité secondaire à la protection des données. Ainsi, 63 % des entreprises de plus de 200 salariés[1] auraient mis en place une politique de sécurité de l’information, et ne seraient que 14 % à 25 % à évaluer les conséquences financières des attaques subies. De plus, le niveau de connaissance et la perception du niveau de sécurité au sein de l’entreprise font débat : les opinions divergent entre dirigeants et collaborateurs sur ce sujet.
datasecuritybreach.fr a pu constater que l’enquête souligne que le détournement d’éléments de propriété intellectuelle représente une source d’inquiétude importante pour une majorité de dirigeants (77 %) et de collaborateurs techniques (74 %), qui se disent « très préoccupés » par la protection de ces données. Viennent ensuite les réserves relatives aux données clients (49 et 50 % respectivement).
Mais lorsqu’il s’agit du niveau de sécurité de leur organisation, les dirigeants et techniciens ne partagent plus la même opinion : 53 % des dirigeants considèrent leur positionnement en matière de sécurité comme excellent ou quasi-excellent. Les techniciens, en revanche, sont plus pessimistes : plus de la moitié d’entre eux considèrent le niveau de sécurité de leur entreprise comme étant « moyen ». Cet écart s’explique sans doute en raison du manque d’information concernant les récents piratages : si 47 % des techniciens affirment que leur organisation a été la cible d’une cyber-attaque au cours des 12 derniers mois, les dirigeants sont 65 % à affirmer le contraire ou à ne pas savoir.
Malgré leurs désaccords, les deux parties affichent une méconnaissance quasi-similaire des risques que comportent les cyber-attaques de nouvelle génération. En effet, 33 % des décideurs et 31 % des techniciens estiment toujours que ce type d’attaques ne représente pas une menace importante.
Au niveau international data security breach a pu constater que l’ensemble des pays s’accorde toutefois à penser que la principale cause des piratages de données relève davantage de la négligence du personnel externe ou des collaborateurs (47 % des piratages de données contre 45 % au niveau global) que d’un acte malveillant ou d’une attaque criminelle (36 % contre 37 %).
« Cette enquête donne un nouvel éclairage sur l’état de la cyber-sécurité en France”, constate Denis Gadonnet, Directeur Commercial pour l’Europe du Sud chez FireEye, « Elle indique que les entreprises françaises valorisent leurs éléments de propriété intellectuelle en tant que ressource la plus importante pour leur métier. Cependant, il existe un véritable fossé entre ce qui est perçu par les dirigeants en matière de sécurité et la réalité telle que vécu par ceux qui sont aux avant-postes de cette sécurité. »
« Parmi les pays interrogés, la France ressort parmi les plus concernés par la protection de la propriété intellectuelle, explique Larry Ponemon, Chairman du Ponemon Institute. Bien qu’ils estiment que leurs systèmes de sécurité soient opérationnels et efficaces, ils sont conscients d’un manque de formation sur les règles de sécurité en vigueur dans leur entreprise et souhaitent vivement y remédier. »
431 dirigeants et techniciens ont été interrogés en France, issus d’organisations allant de moins de 1 000 à plus de 75 000 collaborateurs (effectif mondial) et représentatifs de différents secteurs d’activité : finance, enseignement, recherche, etc.
Par Jean-Philippe Sanchez, pour DataSecurityBreach.fr, Consultant chez NetIQ France – Chaque professionnel de l’informatique consacre beaucoup de temps et d’argent à s’équiper de pare-feux dernier-cri pour protéger ses informations contre toutes sortes d’agressions extérieures. C’est une situation pour le moins ironique car dans le même temps, les entreprises migrent leurs applications vers le Cloud, casse-tête auquel il faut ajouter la vague d’employés qui utilisent leurs propres appareils au bureau (BYOD – Bring your own device)…
Traditionnellement, les pare-feux constituent la pierre angulaire des stratégies pour protéger leurs actifs numériques. Il y aura toujours des pare-feux, les attaques par déni de service justifiant à elles seules leur existence. Mais l’argument selon lequel le pare-feu est le « meilleur moyen de défense » perd chaque jour de sa crédibilité. C’est pourquoi il est temps de revoir le rôle qu’il joue dans un contexte où les applications et les informations résident dans de multiples sources d’hébergement et prolifèrent sur de nombreux types de périphériques.
L’exercice est simple, datasecuritybreach.fr l’a testé pour vous : sur une feuille, indiquez l’emplacement actuel de vos actifs numériques, et d’ici trois ans. Ensuite, procédez de même pour les besoins d’accès. Vous serez étonné par l’afflux de périphériques personnels appartenant à des employés et d’autres personnes qui comptent les utiliser dans l’environnement professionnel.
De toute façon, si vous leur dites « non », ils trouveront le moyen de vous contourner et d’emporter quand même des données professionnelles ! En mettant ces renseignements à plat, vous allez rapidement vous rendre compte qu’il ne sera pas si simple de tracer un nouveau périmètre et des définir les limites à ne pas franchir. Est-ce un point de routage spécifique, un proxy ou un serveur ?
En réalité, même avant l’apparition du BYOD et des logiciels SaaS, les directions informatiques étaient probablement déjà trop dépendantes des pare-feux. Une étude récente montre que la source la plus courante de fuites de données réside à l’intérieur de l’entreprise. Les fuites de données proviennent habituellement d’utilisateurs lambda, peu qualifiés, et non de pirates sophistiqués.
Pourtant, malgré cette tendance, de nombreux services informatiques continuent de renforcer leur périmètre tout en généralisant les règles de contrôle d’accès applicables aux utilisateurs internes.
Venant s’ajouter aux variables habituelles que sont les périphériques et les lieux, la base des utilisateurs gagne elle aussi en diversité. Les exigences professionnelles obligent de plus en plus les services informatiques à ouvrir leurs pare-feux et à laisser entrer davantage d’utilisateurs ; après tout, le but est de permettre aux utilisateurs de faire leur travail. Et bien que BYOD et le Cloud fassent tout pour réduire le rôle des pare-feux, la nécessité de partager des quantités d’informations de plus en plus importantes avec des sous-traitants, des consultants et même des partenaires distants implique une protection plus robuste et un contrôle granulaire au sein de l’intranet. Et votre pare-feu ne peut certainement pas répondre facilement à cette exigence, voire pas du tout.
Ainsi, l’ère « post-pare-feu » se dessine. Bien sûr, il y aura toujours un certain type de protection, mais la nouvelle norme en matière de contrôle d’accès sera incarnée par l’utilisation à grande échelle de passerelles au niveau des applications et des informations, et non plus par votre pare-feu.
Le Critical Patch Update (CPU) publié par Oracle, fixe 40 nouveaux problèmes de sécurité dans Java SE. Datasecuritybreach.fr rappelle que toutes les vulnérabilités, exceptées trois, peuvent être exploitées à distance par un attaquant, et dans la plupart des cas, celui-ci peut prendre le contrôle intégral du système. Pour atteindre son objectif, l’attaquant utilise une variété de techniques « drive-by », laissant une applet Java exécuter un code arbitraire en contournant la sécurité du sandbox Java. Ce CPU affecte les versions 5, 6 et 7 de Java Development Kit (JDK) et Java Runtime Environement (JRE). Nous recommandons vivement l’application de ces correctifs dès que possible. DataSecurityBreach.fr a récemment constaté de nombreux problèmes de sécurité dans Java.
Cette année, nous recensons 137 vulnérabilités contre seulement 28 et 38 au cours de la même période pour les deux dernières années. En coopération avec Oracle, Apple a également publié une mise à jour de sécurité Apple-SA-2013-06-18-1 afin de protéger les utilisateurs de Mac OS X contre ces vulnérabilités Java. Nous encourageons vivement les utilisateurs à appliquer ces correctifs dès que possible. (Qualys)
Ce livre s’adresse à toute personne souhaitant s’initier ou se perfectionner dans le domaine de la sécurité informatique et du hacking, et désireuse de faire un point sur ses compétences. Quand une entreprise, un particulier, une association souhaite mettre en place un système d’information, comment vérifier, avant la mise en production, qu’il n’existe pas de faille de sécurité ? Comment tester l’efficacité des protections mises en place ? Ce livre est conçu pour répondre à ces attentes en guidant le lecteur dans la conception d’un laboratoire virtualisé complet dans lequel de nombreux services seront implémentés.
Après cette première phase de création, le laboratoire virtualisé accueillera le système d’information et le lecteur pourra alors attaquer celui-ci afin d’en détecter les failles. Pour s’entraîner à cette phase d’attaque, les auteurs proposent de mettre en place dans le laboratoire un ensemble d’éléments faillibles. Ceux-ci sont présentés sous forme d’un challenge de sécurité dédié à l’entraînement. Le lecteur pourra ainsi vérifier ses compétences et évaluer la qualité des outils d’audit qu’il souhaite utiliser.
Les auteurs ont cherché à couvrir le domaine de manière large avec un coût très raisonnable en investissement matériel. Ainsi, l’apprenti hacker sera confronté à des failles applicatives, des failles Web, des failles systèmes, etc. Une correction des différentes épreuves lui est proposée. Pour terminer, les solutions pour se protéger et mettre en place les contre-mesures adaptées sont présentées.
Les chapitres du livre : Introduction – Proxmox – Machines virtuelles et services – Mise en place des épreuves – Plateformes d’entraînement – Le matériel indispensable – Sécurisation du PC. Un labo virtuel pour auditer et mettre en place des contre-mesures, par Franck Ebel et Jérôme Hennecart.
Franck Ebel est Enseignant à l’université de Valenciennes, commandant de gendarmerie réserviste et spécialiste de la lutte anticybercriminalité, Franck EBEL est expert en failles applicatives. Il a créé la licence professionnelle «ethical hacking» appelée CDAISI, la seule en France en sécurité dite offensive. Il est certifié CEH, OSCP et Wifu. Il forme les Ntech de la gendarmerie de la région Nord-Pas de Calais et le CICERT de Côte d’Ivoire. Il est aussi Président de l’associationACISSI et organise chaque année les RSSIL et le challenge de hacking « Hacknowledge ». Il est aussi membre de l’AFPY, association francophone pour Python. Il donne des conférences en Europe et en Afrique sur Python, les logiciels libres et la sécurité informatique.
Jérôme Hennecart Ancien chef de département Mesures physiques de l’IUT de Valenciennes, enseignant, formateur en sécurité informatique. Le Web et ses faiblesses constituent sa spécialisation.
Editions ENI – 381 pages – 54€. datasecuritybreach.fr vous le propose à 51€ via Amazon (voir ci-dessus).
