Patch Tuesday d’avril

Comme chaque premier jeudi du mois, Microsoft a publié sa notification avancée du Patch Tuesday de ce mois d’avril. Il compte neuf bulletins affectant toutes les versions de Windows, certains composants Office et serveur ainsi que Windows Defender sur Windows 8 et RT. Cependant seuls deux bulletins sont jugés « critiques ».

Le bulletin 1 est destiné à toutes les versions d’Internet Explorer (IE), y compris la plus récente IE 10 sur Windows 8 et RT, et devrait être la priorité ce mois-ci. Il est classé « critique » et permet l’exécution de code à distance par le biais du vecteur d’attaque aujourd’hui le plus commun : l’un des utilisateurs de l’entreprise accédant à un site Web malveillant. Le bulletin 2 est la seconde vulnérabilité classée « critique » et affecte le système d’exploitation Windows, à l’exception des versions les plus récentes, Windows 8, Server 2012 et Windows RT (la version tablette).

Les bulletins restants sont tous évalués «importants» et affectent Windows, le serveur Sharepoint ainsi que, il est intéressant de le noter, un produit de sécurité. Il s’agit du scanner de malware de Microsoft, Windows Defender sur Windows 8 et Windows RT. Les vulnérabilités corrigées dans ces bulletins permettent généralement à l’attaquant l’escalade de privilèges. Il accède ainsi du niveau de privilège d’un utilisateur normal à celui d’un utilisateur de niveau administrateur. Il peut également tromper l’utilisateur en l’incitant à ouvrir un fichier spécialement conçu.

Parmi les autres annonces auxquelles il faut prêter attention, le projet source PostGreSQL Open a publié une nouvelle version de son produit de base de données corrigeant cinq failles de sécurité. L’une d’elles, CVE-2013-1899 permet à l’attaquant de supprimer des fichiers de base de données sans authentification, ce qui conduit à la perte de données et au déni de service. PostGreSQL a jugé cette faille suffisamment importante pour justifier la semaine dernière une pré-annonce de la publication d’un correctif cette semaine.

Il faut également garder à l’esprit que Oracle a prévu une publication supplémentaire pour Java ce mois-ci. Normalement, Java bénéficie d’une nouvelle version tous les quatre mois : février, juin et octobre de chaque année. En raison de la quantité et de la gravité des vulnérabilités récemment découvertes, il y aura une nouvelle version qui sera mise en ligne le 16 avril. (Wolfgang Kandek, CTO de Qualys pour DataSecurityBreach.fr)

Vers une Union européenne de la Sécurité Informatique …

Est-il temps d’inventer une « échelle de Richter » des incidents de sécurité ? Alors qu’un projet de Directive a été présenté par Neelie Kroes, commissaire européenne chargée de la société numérique et au moment où le Conseil et le Parlement européens doivent discuter de ce nouveau texte, François Lavaste, Président de NETASQ, acteur de la sécurité informatique revient pour DataSecurityBreach.fr sur cette nouvelle directive.

L’objectif de cette nouvelle Directive européenne vise à renforcer le niveau de sécurité des systèmes d’information européens et ce, de façon homogène. Au programme, la mise en place, dans chaque état membre, d’une infrastructure complète en matière de cybersécurité et une obligation de notification des violations de la sécurité des données personnelles sur 6 secteurs « cibles » qui sont les services financiers, les services internet clés, l’énergie, la santé, les transports et les administrations publiques.   Alors que l’on pouvait s’attendre, par exemple, à une obligation visant à inciter les éditeurs de logiciels à « patcher» les codes défectueux, ou à des obligations pour les acteurs de la filières de mettre en place des mesures de prévention ou de sensibilisation en matière de sécurité des données et des systèmes, le texte ne prévoit, a priori, rien sur ces sujets pour le moment. « Les États membres veillent à ce que les administrations publiques et les acteurs du marché notifient à l’autorité compétente les incidents qui ont un impact significatif sur la sécurité des services essentiels qu’ils fournissent ».

Que recouvre exactement cette notion d’incidents ayant “un impact significatif” sur la SSI ?

La sécurité informatique est, de manière assez surprenante, un domaine qui n’a pas encore inventé ou imposé son « échelle de Richter ». Il existe des indices de gravité pour les vulnérabilités (faible, modéré, important, critique) mais ceux-ci sont assez basiques. Certaines entreprises de sécurité, inspirées probablement par les niveaux d’alerte du plan VIGIPIRATE en France ou par ceux du NTAS (National Terrorism  Advisory System) aux Etats-Unis, publient leur propre échelle de menace (basse, medium, élevée, extrême par exemple). Ces indicateurs sont souvent subjectifs et précèdent les incidents potentiels. Cependant après un incident, aucune « échelle » de gravité n’est véritablement communément admise et utilisée. On pourrait imaginer qu’une telle échelle « a posteriori » de la gravité d’un incident de sécurité serait utile pour rapidement mettre en place, pour les victimes prévenues, les mesures à prendre et pour que les médias positionnent ces évènements de manière la plus objective possible.

L’encadrement juridique de l’utilisation de leurs équipements personnels par les salariés

Le BYOD (« Bring your own device »), ou l’utilisation par les employés de leurs équipements personnels (smartphone, pc portable, tablette tactile…) dans un contexte professionnel, est aujourd’hui une pratique courante en entreprise, qui demeure pourtant peu encadrée juridiquement. Donatienne Blin, avocat au sein du département Informatique & Réseaux du cabinet Courtois Lebel, passe en revue, pour Data Security Breach,  les points de vigilance. L’accès immédiat et en toutes circonstances au système d’information de l’entreprise grâce aux BYOD améliore la réactivité et la productivité des employés.

Pourtant cette pratique souvent tolérée par les entreprises présente, en l’absence d’encadrement spécifique, des risques substantiels pesant sur la sécurité du système d’information, précisément sur la confidentialité et l’intégrité des données de l’entreprise : négligence de l’utilisateur (prêt ou perte du terminal), applications malveillantes téléchargées, virus ou failles de sécurité de l’OS (operating system) rendent possibles les accès frauduleux au système d’information par des tiers non autorisés. Chaque type de BYOD présente des risques particuliers qui devront être traités différemment.

L’utilisation des équipements personnels et l’anticipation des risques est donc une problématique majeure au sein de l’entreprise et précisément des directions juridiques et des directions des systèmes d’information. Toute perte ou altération des données personnelles peut provoquer des dommages économiques à l’entreprise, mais peut également engager sa responsabilité : l’article 34 de la loi n°78-17 Informatique, fichiers et libertés du 6 janvier 1978 impose au responsable de traitement de données personnelles de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement pour « préserver la sécurité des données et notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Ainsi, dans le prolongement de la politique de sécurité mise en œuvre par les DSI (directions des systèmes d’information), les entreprises doivent encadrer l’utilisation des BYOD et garder en toutes circonstances le contrôle de l’accès au réseau et des données y étant accessibles. Cet encadrement devra se matérialiser par la mise en place d’une charte informatique, ou la mise à jour de celle-ci dès lors qu’elle serait existante, en vue d’y inclure les mesures propres à leur utilisation, applicables à l’ensemble des salariés.

Les problématiques suivantes devront y être abordées :

L’accès au système d’information de l’entreprise Compte tenu des risques (introduction de virus, fuite, perte, altération de données personnelles ou sensibles et confidentielles…) pesant notamment sur les données de l’entreprise, des règles d’accès au système d’information de l’entreprise via un équipement personnel devront être adaptées. On pourra prévoir que le salarié utilisant un équipement personnel soit obligé, préalablement à la connexion de son terminal au réseau de l’entreprise, d’avertir le DSI et de faire contrôler son équipement afin de s’assurer de sa conformité en termes de sécurité. De même, le salarié devra toujours disposer d’un équipement en état de fonctionnement, et systématiquement, télécharger les mises à jour proposées par les éditeurs (du système d’exploitation, des logiciels et des applications utilisés).

Il pourra également être imposé au salarié de protéger son équipement par mot de passe afin d’en interdire l’accès aux tiers. L’obligation de faire l’acquisition d’outils permettant de limiter les risques de sécurité pourra également être imposée au salarié : logiciel antivirus, de cryptage des données, ou encore dispositif permettant de supprimer les données à distance dès lors que les données seraient directement stockées sur l’équipement personnel du salarié. Afin d’éviter la perte définitive des données (les applications cloud le permettent, ndlr Datasecuritybreach.fr), il peut également être imposé au salarié d’installer des outils de sauvegardes journalières ou de synchronisation des données avec un autre appareil. En cas de vol, perte, ou constat quelconque d’intrusion frauduleuse sur l’équipement personnel, le salarié devra immédiatement prévenir le DSI afin qu’il prenne toutes mesures nécessaires pour protéger le système d’information de l’entreprise et les données y étant stockées.

La propriété et le contrôle des données accessibles via l’équipement personnel Il devra être précisé que toutes données professionnelles stockées ou accessibles via un équipement personnel demeureront la propriété exclusive de l’employeur. Les cas d’accès et de contrôle aux données stockées sur l’équipement personnel du salarié par l’employeur devront être précisément définis dans la charte.

Pour rappel, Data Security Breach vous énumère les règles à retenir : le salarié utilisant un équipement professionnel doit expressément identifier les éléments personnels comme tels ; à défaut d’identification explicite contraire, le contenu est considéré comme ayant un caractère professionnel et son employeur peut dès lors y accéder.

L’employeur ne peut accéder aux fichiers personnels expressément identifiés comme tels par son salarié hors la présence de ce dernier, et ce sauf risque ou évènement particulier. Il devra être imposé au salarié, en cas de départ de l’entreprise, de transférer à son supérieur hiérarchique l’ensemble des données professionnelles éventuellement stockées sur son équipement personnel. En cas d’application cloud, l’accès doit être coupé au jour du départ.

La problématique du coût ou la participation de l’entreprise aux frais payés par les salariés Dans le cas des BYOD, le coût des équipements personnels utilisés à des fins professionnelles et les éventuels frais annexes (assurance, maintenance, anti-virus, forfait téléphone/internet, logiciels indispensables à l’activité, tel que le Pack Office de Microsoft) sont de fait déportés chez les salariés. Certains coûts pourraient être partiellement pris en charge par les entreprises, dès lors qu’il est raisonnable de considérer que le salarié n’aurait pas fait l’acquisition de ces différents outils, imposés par l’entreprise, dans le cadre d’une utilisation strictement personnelle. Ces règles liées à la prise en charge totale ou partielle des coûts devront être définies et portées à la connaissance des employés. Cette problématique rejoint celle de la discrimination entre les salariés : certains salariés pourront se procurer eux-mêmes leur propre équipement tandis que d’autres ne le pourront pas pour des raisons exclusivement financières.

La durée légale du travail En utilisant son équipement personnel, notamment pour recevoir ses mails professionnels, le salarié reste connecté en permanence avec le réseau de son entreprise.Cela a pour conséquence d’augmenter la durée du travail. Or les entreprises doivent respecter la durée légale du temps de travail sous peine de sanction. La charte devra donc tenir compte du fait que l’utilisation de l’équipement personnel ne doit en aucun cas porter atteinte à la durée légale du travail applicable à chaque salarié concerné. Au même titre, aucune sanction ne devrait découler d’une absence de réactivité d’un salarié en dehors de ses horaires de travail.

Les accès aux applications ou plus généralement au réseau de l’entreprise en dehors des horaires de travail peuvent être directement bloqués à distance par la direction des systèmes d’information. Ce système impose de créer des groupes d’utilisateurs autorisés, en fonction des horaires de travail qui leur sont applicables, du poste ou encore du rang hiérarchique occupé.

La responsabilité en cas de vol ou de dommages matériels causés à l’équipement personnel La question des éventuels dommages causés à l’équipement personnel de l’employé sur le lieu de travail sans aucune faute de sa part devra être tranchée dans la charte. Par exemple un virus pourrait être transmis sur l’équipement personnel du salarié qui se serait connecté au réseau de l’entreprise. Dès lors que l’équipement du salarié serait endommagé par la faute ou la négligence de l’entreprise, celle-ci devrait, dans ces conditions, être responsable des réparations.Les conditions de responsabilité et de réparation totale ou partielle en cas de dommages matériels doivent donc être précisément définies, dans le respect des règles du code du travail applicables.

La redéfinition des règles d’utilisation prohibées Il conviendra d’élargir les règles d’utilisation prohibées des ressources de l’entreprise aux ressources personnelles, dès lors que le réseau internet de l’entreprise devient accessible via un équipement personnel. Ainsi, il faudra rappeler au salarié que les règles d’utilisation prohibées des ressources de l’entreprise s’étendent à son équipement personnel (faits d’atteinte à la vie privée ou à l’image d’un tiers, diffamation, injure, discrimination, dénigrement de l’entreprise, l’atteinte à l’image de marque, à sa réputation ou à ses droits). De même, devront être prohibés les téléchargements de contenus portant atteinte au droit de la propriété intellectuelle qui seraient effectués par le salarié via le réseau de l’entreprise avec son équipement personnel. Enfin, il devra être interdit au salarié de se connecter via des réseaux wifi non sécurisés mais également de télécharger des applications ou logiciels non sécurisés sur son équipement personnel. La DSI pourrait préalablement établir une liste d’applications ou d’éditeurs interdits car présentant des risques en termes de sécurité, et mettre à jour cette liste.

L’opposabilité des règles L’opposabilité de ces règles devra être assurée afin de pouvoir engager la responsabilité disciplinaire ou judiciaire du salarié qui ne les aurait pas respectées et qui aurait été responsable du dommage causé à l’entreprise par sa faute. Ces règles peuvent donc figurer dans la charte informatique de l’entreprise, laquelle sera elle-même annexée au règlement intérieur. Les instances  représentatives du personnel devront être consultées.

Pour finir, DataSecurityBreach.fr vous rappelle que dans son arrêt du 12 février 2013, la Cour de cassation a jugé qu’un employeur pouvait contrôler une clé USB d’un employé connectée à son ordinateur professionnel alors même que celle-ci était personnelle et sans la présence de l’employé. En l’espèce, les fichiers contenus n’étaient pas identifiés comme personnels, pas plus que la clé en question. Malheureusement pour l’employé, la clé contenait des informations confidentielles, ce qui a justifié son licenciement. (par Courtois Lebel, pour DataSecurityBreach.fr – PL est membre de deux réseaux de cabinets d’avocats : AEL, réseau européen, et ALFA.)

Impression des documents : un faux sentiment de sécurité ?

Quant à l’exposition des entreprises et des administrations aux risques de pertes de données confidentielles via les documents imprimés. Il repose sur l’étude menée par le cabinet d’analyses Quorcica sur 150 entreprises de plus de 1000 salariés, au Royaume-Uni, en France et en Allemagne. Selon Quocirca, à peine 22 % des entreprises ont mis en place un environnement d’impression sécurisé et 63 % des entreprises déclarent avoir subi des fuites de données dues à des documents imprimés, les entreprises s’exposent à de sérieux problèmes de confidentialité. Le livre blanc de Nuance présente les avantages d’une technologie d’impression sécurisée en matière d’authentification, d’autorisation et de suivi, et explique comment les entreprises peuvent améliorer la sécurité de leurs documents et se conformer aux exigences réglementaires.

Les entreprises qui consolident leur parc d’imprimantes optent très souvent pour des environnements partagés. Inévitablement, le risque de voir des documents tomber entre de mauvaises mains s’accroît. Dans le cadre d’une stratégie de sécurité des impressions, les entreprises doivent pouvoir contrôler l’accès à leurs multifonctions et disposer de fonctionnalités de contrôle et d’audit permettant un suivi des activités par périphérique et par utilisateur. L’efficacité d’une stratégie de protection des informations est toujours limitée à son maillon le plus faible. L’impression de documents demeure une pratique courante pour de nombreuses entreprises, mais celles-ci ne peuvent plus se permettre la moindre négligence en matière de sécurité. Même si l’impression en mode « pull » offre un moyen efficace pour lutter contre la perte de données, elle doit s’inscrire dans une stratégie globale, intégrant formation des utilisateurs, définition de règles et intégration de technologies complémentaires. Ce rapport comporte aussi deux études de cas d’ent solutions Equitrac et SafeCom de Nuance pour mieux protéger leurs impressions.

Renault fait appel à AVG Technologies pour sécuriser son nouvel app store embarqué

Renault, l’un des principaux constructeurs automobiles, a choisi AVG Technologies N.V. pour renforcer la sécurité de son système révolutionnaire de navigation multimédia intégré et connecté, Renault R-Link. AVG, fournisseur de solutions de sécurité mobile et Internet pour plus de 146 millions d’utilisateurs actifs dans le monde, vient de mettre au point une architecture de WebScanning assurant la protection de toutes les applications du Renault R-Link app store contre les logiciels malveillants recensés.

Développé en collaboration avec des spécialistes de la navigation par satellite, le système embarqué Renault R-Link associe un dispositif multimédia tactile d’un prix abordable à un kiosque d’applications ergonomique. Lors de son lancement, celui-ci comptera déjà plus de 50 applications disponibles, voyages, loisirs, actualité, réseaux sociaux… De nouvelles applications s’ajouteront à cette liste. Le système, déjà disponible sur la nouvelle Renault Clio, devrait équiper d’autres modèles du constructeur d’ici fin 2013, dont la très attendue voiture électrique ZOE, le Kangoo Express et la Captur.

Le logo AVG s’affiche sur le kiosque de l’ordinateur de bord avec la mention « Protégé par AVG ». Toutes les évaluations de sécurité s’effectuent en ligne, avant téléchargement des applications sur le système R-Link.

Selon John Giamatteo, Directeur des Opérations d’AVG Technologies explique à Data Security Breach  : « Chaque jour, AVG assure la tranquillité d’esprit de millions de personnes dans leur vie numérique. Avec l’avènement de la « voiture connectée », conducteurs et passagers doivent pouvoir bénéficier du même degré de sérénité vis-à-vis de leurs appareils embarqués. Pour nous, ce partenariat avec Renault constitue une étape logique et naturelle. Nous espérons prolonger cette collaboration et accompagner le développement de la plateforme R-Link. »

« Renault R-Link permet aux conducteurs des véhicules Renault et à leurs passagers de profiter d’une connectivité multimédia et d’avoir accès à des loisirs en ligne en continu, le tout dans un environnement sécurisé, déclare Jean-François Martin, Directeur du service international de Renault, à datasecuritybreach.fr. En tant que support de téléchargement conçu pour un usage embarqué, R-Link se doit d’offrir une sécurité absolue à ses utilisateurs. C’est pourquoi nous avons choisi de nous associer à AVG Technologies, dont la réputation en matière de solutions de sécurité aussi innovantes que performantes n’est plus à faire. »

En France, de nombreux appareils mobiles ne sont ni verrouillés ni protégés

En France, deux tiers des utilisateurs de mobiles stockent ou accèdent à des informations sensibles depuis leur appareil. Trois Français sur dix ont déjà été victimes du vol ou de la perte d’un appareil mobile. Norton a dévoilé à DataSecurityBreach.fr de nouveaux éclaircissements sur les usages et les comportements des Français, et plus largement des Européens, en matière de mobilité. Il en ressort que si les adultes accordent plus d’importance que jamais à leurs appareils mobiles, peu sont ceux qui prennent les mesures nécessaires pour sécuriser ces derniers ainsi que leur contenu.

Selon le rapport, les Français utilisent leurs appareils mobiles de multiples façons, que ce soit dans le cadre de leur activité professionnelle, de leur vie sociale ou numérique. De la navigation au téléchargement d’applications en passant par les achats en ligne, un tiers (33 %) des utilisateurs en France déclare ne pas pouvoir se passer de leur appareil mobile et près d’un quart  (21 %) indique que ce serait l’un des deux objets personnels qu’ils sauveraient en cas d’incendie chez eux.

« Dans un monde connecté, les appareils mobiles sont de plus en plus utilisés pour naviguer, partager, communiquer et effectuer des achats », déclare à DataSecurityBreach.fr Laurent Heslault, expert en cybercriminalité chez Norton. « Mais peu d’utilisateurs ont conscience que l’intégrité des données personnelles et privées est menacée si la sécurité de leur appareil mobile est compromise, ou s’il est perdu ou volé. Compte tenu de la sensibilité des données accessibles à partir des appareils mobiles, les utilisateurs ont tout intérêt à prendre les précautions élémentaires pour éviter qu’elles ne tombent entre de mauvaises mains  », ajoute-t-il à Data Security Breach.

Appareils mobiles : une mine d’informations personnelles et sensibles Bon nombre des utilisateurs d’appareils mobiles ne prennent pas les mesures nécessaires pour sécuriser leurs  appareils et leur contenu. Tandis qu’une majorité (65 %) des utilisateurs français déclare stocker des informations sensibles sur leurs appareils mobiles, plus d’un tiers (36 %) ne les protège pas avec un mot de passe. En cas de perte ou de vol, de nombreuses informations personnelles stockées sur l’appareil peuvent être compromises et potentiellement exploitées, dont des e-mails personnels, l’accès potentiel à d’autres informations sensibles telles que des correspondances et des documents professionnels, des mots de passe pour d’autres comptes en ligne ou des relevés bancaires.

L’étude montre également que la perte d’un appareil mobile est courante, coûteuse et stressante pour un utilisateur. Trois Français sur dix ont perdu ou se sont déjà fait voler un appareil mobile, ce qui leur a coûté en moyenne 79 € pour l’acquisition ou l’utilisation temporaire d’un autre téléphone mobile et plus du triple (243 €) pour le remplacement d’une tablette[2]. En cas de perte ou de vol de leur téléphone mobile, les Français craignent surtout que quelqu’un passe de nombreux appels téléphoniques coûteux à leur charge (40 %), effectue des achats avec leur téléphone (30 %) ou utilise les données confidentielles que contient le téléphone pour usurper leur identité (25 %).

Au-delà du cas Français, DataSecurityBreach.fr a pu apprendre de cette étude révèle également quelques différences surprenantes entre les pays européens en ce qui concerne l’usage  des appareils mobiles et les informations stockées ou accessibles par ce biais : Seulement 13 % des Allemands et 15 % des Russes déclarent se sentir en sécurité lorsqu’ils effectuent des achats à partir de leur appareil mobile, contre 32 % des Polonais et 24 % des Italiens ; Les Danois sont plus enclins à stocker des informations bancaires sur leur appareil mobile (13 %) que leurs homologues allemands (4 %).

Activités à risque sur les appareils mobiles et réseaux Wi-Fi non sécurisés De manière générale, l’utilisateur Français ne protège pas correctement son appareil mobile : près de la moitié d’entre eux (47 %) indique ne pas systématiquement télécharger des applications provenant de sources fiables et près de trois sur cinq (59 %) effectuent des achats à partir de leur appareil mobile sans mode de paiement sécurisé, exposant ainsi leurs informations sensibles telles que le numéro de leur carte bancaire. En fait, selon l’enquête, un Français sur vingt a déjà été victime de la cybercriminalité mobile.

Cependant, ce type de comportement à risque ne se limite pas aux smartphones et tablettes. Près de deux tiers des Français adultes utilisent des points d’accès Wi-Fi publics gratuits ou non sécurisés, alors même que plus de la moitié d’entre eux est préoccupée par les risques liés à leur utilisation. 49 % les utilisent pour consulter des emails personnels et près d’un sur cinq (19 %) pour accéder à un compte bancaire en ligne, ce qui expose les informations financières sensibles de ces utilisateurs aux « renifleurs – Keyllogueur » (personnes malintentionnées qui capturent et enregistrent les données de leurs victimes depuis cette même connexion Wi-Fi non-sécurisée).

« Les utilisateurs savent à quel point il est important de protéger leur ordinateur contre le large éventail de menaces qu’ils peuvent rencontrer en ligne ou hors ligne », déclare à DataSecurityBreach.fr Laurent Heslault. « Cependant, des mesures doivent également être prises pour sécuriser les appareils mobiles connectés à Internet, qui sont tout aussi vulnérables aux attaques de cybercriminels cherchant à gagner de l’argent rapidement ou à voler des informations personnelles. En cas de perte ou de vol, vos données sont entre les mains de quelqu’un d’autre. En installant un logiciel de sécurité mobile qui vous protège contre les menaces en ligne et vous permet de verrouiller votre appareil, de le localiser et d’effacer son contenu à distance, vous sécurisez votre vie personnelle et la protégez contre les intrus potentiels », conclut-il.

Problème de sécurité pour un espace Google

Un bug aux potentialités malveillantes découvert dans un espace googlecode.com. Découverte d’un problème de sécurité qui pourrait, entre de mauvaises mains, nuire aux potentiels visiteurs du site GoogleCode.com. Cet espace, dédié aux développeurs, recèle des pages pouvant être exploitées de biens mauvaises façons. Dans l’un de ses espaces, une faille de type XSS. Un Cross Site Scripting qui pourrait permettre, comme le montre dans son émission du mois d’avril de ZATAZWeb.tv, d’afficher un message, diffuser un code malveillant, de mettre en place un espace phishing, …

L’entreprise a été alertée [#1254414323] mais a expliqué que ce problème n’était pas de son ressort (sic!). En attendant une correction, il est fortement conseillé de ne cliquer sur aucun lien renvoyant vers GoogleCode.com. DataSecuritybreach.fr vous conseille de taper, par vous même, l’url dans la barre de navigation de votre butineur préféré.

Problème pour la Banque ING

Intéressant bug, ces dernières heures, dans le système Internet de la banque ING. La banque néerlandaise a subi une défaillance majeure dans son système bancaire. Des dizaines de clients ont rapporté que leurs comptes en banque affichaient de mauvais soldes. Certains de ces clients se sont retrouvés avec des débits de plusieurs centaines d’euros. Bilan du « bug », les systèmes ont été coupés. Trop de visiteurs et, ce qui semble être une roue de secours, la coupure pure et simple des connexions à la page d’administration des comptes.

Au moment de l’écriture de cet article, Data Security Breach pouvait lire sur le site d’ING : «  Drukte op Mijn ING. Op dit moment zijn er zeer veel bezoekers op Mijn ING. Hierdoor is het nu helaas niet mogelijk om in te loggen. Probeert u het over enkele minuten nogmaals. Onze excuses voor het ongemak. » traduisez : « À l’heure actuelle, il y a de très nombreux visiteurs qui tente de joindre mon ING (l’espace privé des clients, ndlr DataSecurityBreach.fr). Il n’est malheureusement pas possible de se connecter. S’il vous plaît, essayez de nouveau dans quelques minutes. Nous nous excusons pour la gêne occasionnée. »

D’après les premières constatations, le problème viendrait de la société Rabobank. Certains services ne sont d’ailleurs plus disponibles. Les banques indiquent que cela est dû à un problème technique et pas un « hack ». En attendant, des clients ont cru au jackpot en étant crédités de plusieurs millions d’euros, pendant que d’autres perdaient l’ensemble de leurs économies !

D’après notre expérience, une mise à jour qui a du mal tourner. En France, en 2011, le Crédit Agricole avait connu le même yoyo bancaire. Après avoir été débités deux fois, des clients s’étaient vus crédités de l’argent trop perçu par la banque … deux fois ! Une coquille numérique qui avait prélevé deux fois le même montant lors d’un achat par carte bancaire. La banque avait été rapide à répondre à ses clients et à corriger le « bug ». Sauf que certains clients avaient été correctement remboursés… deux fois.

Mise à jour de sécurité Postgres

Le projet PostgreSQL a informé ses utilisateurs de la publication d’un correctif de sécurité pour une vulnérabilité critique dans leur logiciel de serveur de base de données. Toutes les versions actuellement supportées sont touchées et le correctif sera publié le jeudi 4 avril.

The PostgreSQL Project will be releasing a security update for all
supported versions on Thursday April 4th, 2013. This release will include a
fix for a high-exposure security vulnerability. All users are strongly
urged to apply the update as soon as it is available.

We are providing this advance notice so that users may schedule an update
of their production systems on or shortly after April 4th.

As always, update releases only require installation of packages and a
database system restart. You do not need to dump/restore or use pg_upgrade
for this update release.

À notre connaissance, c’est la première fois qu’un projet Open Source annonce en amont de sa sortie un correctif de sécurité. Nous nous attendons à ce que le correctif corrige une vulnérabilité permettant l’exécution de code à distance dans ce moteur de base de données. Nous recommandons à tous les utilisateurs de PostgreSQL d’effectuer cette mise à jour dès que possible, spécialement si leur serveur de base de données est connecté directement à Internet. Le moteur de recherche Shodan répertorie actuellement plus de 30.000 systèmes ayant un serveur PostgreSQL accessible depuis Internet. Soulignant la gravité de la vulnérabilité, la plate-forme cloud Heroku a annoncé avoir débuté la mise à jour de toutes les installations PostgreSQL de ses clients.

Piratage des données du Boss de la CIA et des Services Secrets

Nouvelles fuites de données bancaires appartenant au patron de la CIA, de la directrice des Services Secrets, ainsi que d’Angelina Jolie, Hillary Clinton, ou encore Lady gaga.

Il y a 15 jours, un pirate informatique diffusait sur le site Exposed.su (fermé depuis, ndlr Data Security Breach) des informations sensibles et confidentielles appartenant à de nombreuses stars américaines (politiques, sportives ou culturelles). Deux semaines plus tard, retour des pirates avec cette fois, un nouveau site (plusieurs domaines ont été enregistrés, ndlr datasecuritybreach.fr) avec de nouvelles données dont celles de Michelle Obama, Beyonce, Hillary Clinton, Angelina Jolie, Lady Gaga. Dans les fichiers mis en ligne Tom Cruise, John Brennan (le directeur de la CIA), Dennis Rodman (boxeur), P. Diddy (rappeur), Robert De Niro ou encore Julia Pierson (Directrice du Secret Service).

Mi-mars, Britney Spears, Mel Gibson, Arnold Schwarzeneger, Beyonce, Jay Z, Hulk Hogan étaient piratés via l’infiltration de serveurs de sociétés de crédit : Equifax et, d’après les informations collectées par DSB et zataz.com, TransUnion. Nous avons retrouvé ce qui semble être un des instigateurs de cette grande fuite. Nous le baptiserons « Nippon ». Cet informaticien nous a confié ne pas être seul dans ce piratage. « La vulnérabilité est Cookie Logged, après nous n’avons eu qu’à jouer au DOM pour bypasser le Pop-uP » explique  le présumé pirate.

Nous avons donc tenté d’en savoir plus. Usurpateur, mythomane, … « J’ai la femme et les trois enfants du patron de la CIA, va nous confirmer Nippon, mais je préserve l’anonymat de la famille. Ce serait un déshonneur de s’attaquer à eux. » Il semble, à l’analyse de notre discussion, que l’équipe derrière cette diffusion ne soit pas particulièrement raccord sur la méthode à employer pour parler de cette infiltration. Certains ayant décidé de diffuser sans l’accord global du groupe.

Pour finir, nous avons demandé à notre interlocuteur de prouver les données qu’il annonçait avoir piraté avec ses « amis ». Il nous a communiqué un document comprenant l’intégralité des données appartenant au patron de la CIA. Autant dire totalement invérifiable… à moins de savoir nager dans le béton ! Les derniers documents volés, dont plusieurs à la société Credit Sesame et Credit Karma, datent du 31 mars, preuve que les pirates ont encore des accès.

Petites entreprises, grandes menaces : restez informés, restez protégés

Quitter la version mobile