Logiciels

Renault fait appel à AVG Technologies pour sécuriser son nouvel app store embarqué

Renault, l’un des principaux constructeurs automobiles, a choisi AVG Technologies N.V. pour renforcer la sécurité de son système révolutionnaire de navigation multimédia intégré et connecté, Renault R-Link. AVG, fournisseur de solutions de sécurité mobile et Internet pour plus de 146 millions d’utilisateurs actifs dans le monde, vient de mettre au point une architecture de WebScanning assurant la protection de toutes les applications du Renault R-Link app store contre les logiciels malveillants recensés.

Développé en collaboration avec des spécialistes de la navigation par satellite, le système embarqué Renault R-Link associe un dispositif multimédia tactile d’un prix abordable à un kiosque d’applications ergonomique. Lors de son lancement, celui-ci comptera déjà plus de 50 applications disponibles, voyages, loisirs, actualité, réseaux sociaux… De nouvelles applications s’ajouteront à cette liste. Le système, déjà disponible sur la nouvelle Renault Clio, devrait équiper d’autres modèles du constructeur d’ici fin 2013, dont la très attendue voiture électrique ZOE, le Kangoo Express et la Captur.

Le logo AVG s’affiche sur le kiosque de l’ordinateur de bord avec la mention « Protégé par AVG ». Toutes les évaluations de sécurité s’effectuent en ligne, avant téléchargement des applications sur le système R-Link.

Selon John Giamatteo, Directeur des Opérations d’AVG Technologies explique à Data Security Breach  : « Chaque jour, AVG assure la tranquillité d’esprit de millions de personnes dans leur vie numérique. Avec l’avènement de la « voiture connectée », conducteurs et passagers doivent pouvoir bénéficier du même degré de sérénité vis-à-vis de leurs appareils embarqués. Pour nous, ce partenariat avec Renault constitue une étape logique et naturelle. Nous espérons prolonger cette collaboration et accompagner le développement de la plateforme R-Link. »

« Renault R-Link permet aux conducteurs des véhicules Renault et à leurs passagers de profiter d’une connectivité multimédia et d’avoir accès à des loisirs en ligne en continu, le tout dans un environnement sécurisé, déclare Jean-François Martin, Directeur du service international de Renault, à datasecuritybreach.fr. En tant que support de téléchargement conçu pour un usage embarqué, R-Link se doit d’offrir une sécurité absolue à ses utilisateurs. C’est pourquoi nous avons choisi de nous associer à AVG Technologies, dont la réputation en matière de solutions de sécurité aussi innovantes que performantes n’est plus à faire. »

Smartphone

En France, de nombreux appareils mobiles ne sont ni verrouillés ni protégés

Un commentaire

En France, deux tiers des utilisateurs de mobiles stockent ou accèdent à des informations sensibles depuis leur appareil. Trois Français sur dix ont déjà été victimes du vol ou de la perte d’un appareil mobile. Norton a dévoilé à DataSecurityBreach.fr de nouveaux éclaircissements sur les usages et les comportements des Français, et plus largement des Européens, en matière de mobilité. Il en ressort que si les adultes accordent plus d’importance que jamais à leurs appareils mobiles, peu sont ceux qui prennent les mesures nécessaires pour sécuriser ces derniers ainsi que leur contenu.

Selon le rapport, les Français utilisent leurs appareils mobiles de multiples façons, que ce soit dans le cadre de leur activité professionnelle, de leur vie sociale ou numérique. De la navigation au téléchargement d’applications en passant par les achats en ligne, un tiers (33 %) des utilisateurs en France déclare ne pas pouvoir se passer de leur appareil mobile et près d’un quart  (21 %) indique que ce serait l’un des deux objets personnels qu’ils sauveraient en cas d’incendie chez eux.

« Dans un monde connecté, les appareils mobiles sont de plus en plus utilisés pour naviguer, partager, communiquer et effectuer des achats », déclare à DataSecurityBreach.fr Laurent Heslault, expert en cybercriminalité chez Norton. « Mais peu d’utilisateurs ont conscience que l’intégrité des données personnelles et privées est menacée si la sécurité de leur appareil mobile est compromise, ou s’il est perdu ou volé. Compte tenu de la sensibilité des données accessibles à partir des appareils mobiles, les utilisateurs ont tout intérêt à prendre les précautions élémentaires pour éviter qu’elles ne tombent entre de mauvaises mains  », ajoute-t-il à Data Security Breach.

Appareils mobiles : une mine d’informations personnelles et sensibles Bon nombre des utilisateurs d’appareils mobiles ne prennent pas les mesures nécessaires pour sécuriser leurs  appareils et leur contenu. Tandis qu’une majorité (65 %) des utilisateurs français déclare stocker des informations sensibles sur leurs appareils mobiles, plus d’un tiers (36 %) ne les protège pas avec un mot de passe. En cas de perte ou de vol, de nombreuses informations personnelles stockées sur l’appareil peuvent être compromises et potentiellement exploitées, dont des e-mails personnels, l’accès potentiel à d’autres informations sensibles telles que des correspondances et des documents professionnels, des mots de passe pour d’autres comptes en ligne ou des relevés bancaires.

L’étude montre également que la perte d’un appareil mobile est courante, coûteuse et stressante pour un utilisateur. Trois Français sur dix ont perdu ou se sont déjà fait voler un appareil mobile, ce qui leur a coûté en moyenne 79 € pour l’acquisition ou l’utilisation temporaire d’un autre téléphone mobile et plus du triple (243 €) pour le remplacement d’une tablette[2]. En cas de perte ou de vol de leur téléphone mobile, les Français craignent surtout que quelqu’un passe de nombreux appels téléphoniques coûteux à leur charge (40 %), effectue des achats avec leur téléphone (30 %) ou utilise les données confidentielles que contient le téléphone pour usurper leur identité (25 %).

Au-delà du cas Français, DataSecurityBreach.fr a pu apprendre de cette étude révèle également quelques différences surprenantes entre les pays européens en ce qui concerne l’usage  des appareils mobiles et les informations stockées ou accessibles par ce biais : Seulement 13 % des Allemands et 15 % des Russes déclarent se sentir en sécurité lorsqu’ils effectuent des achats à partir de leur appareil mobile, contre 32 % des Polonais et 24 % des Italiens ; Les Danois sont plus enclins à stocker des informations bancaires sur leur appareil mobile (13 %) que leurs homologues allemands (4 %).

Activités à risque sur les appareils mobiles et réseaux Wi-Fi non sécurisés De manière générale, l’utilisateur Français ne protège pas correctement son appareil mobile : près de la moitié d’entre eux (47 %) indique ne pas systématiquement télécharger des applications provenant de sources fiables et près de trois sur cinq (59 %) effectuent des achats à partir de leur appareil mobile sans mode de paiement sécurisé, exposant ainsi leurs informations sensibles telles que le numéro de leur carte bancaire. En fait, selon l’enquête, un Français sur vingt a déjà été victime de la cybercriminalité mobile.

Cependant, ce type de comportement à risque ne se limite pas aux smartphones et tablettes. Près de deux tiers des Français adultes utilisent des points d’accès Wi-Fi publics gratuits ou non sécurisés, alors même que plus de la moitié d’entre eux est préoccupée par les risques liés à leur utilisation. 49 % les utilisent pour consulter des emails personnels et près d’un sur cinq (19 %) pour accéder à un compte bancaire en ligne, ce qui expose les informations financières sensibles de ces utilisateurs aux « renifleurs – Keyllogueur » (personnes malintentionnées qui capturent et enregistrent les données de leurs victimes depuis cette même connexion Wi-Fi non-sécurisée).

« Les utilisateurs savent à quel point il est important de protéger leur ordinateur contre le large éventail de menaces qu’ils peuvent rencontrer en ligne ou hors ligne », déclare à DataSecurityBreach.fr Laurent Heslault. « Cependant, des mesures doivent également être prises pour sécuriser les appareils mobiles connectés à Internet, qui sont tout aussi vulnérables aux attaques de cybercriminels cherchant à gagner de l’argent rapidement ou à voler des informations personnelles. En cas de perte ou de vol, vos données sont entre les mains de quelqu’un d’autre. En installant un logiciel de sécurité mobile qui vous protège contre les menaces en ligne et vous permet de verrouiller votre appareil, de le localiser et d’effacer son contenu à distance, vous sécurisez votre vie personnelle et la protégez contre les intrus potentiels », conclut-il.

Cybersécurité

Problème de sécurité pour un espace Google

Un commentaire

Un bug aux potentialités malveillantes découvert dans un espace googlecode.com. Découverte d’un problème de sécurité qui pourrait, entre de mauvaises mains, nuire aux potentiels visiteurs du site GoogleCode.com. Cet espace, dédié aux développeurs, recèle des pages pouvant être exploitées de biens mauvaises façons. Dans l’un de ses espaces, une faille de type XSS. Un Cross Site Scripting qui pourrait permettre, comme le montre dans son émission du mois d’avril de ZATAZWeb.tv, d’afficher un message, diffuser un code malveillant, de mettre en place un espace phishing, …

L’entreprise a été alertée [#1254414323] mais a expliqué que ce problème n’était pas de son ressort (sic!). En attendant une correction, il est fortement conseillé de ne cliquer sur aucun lien renvoyant vers GoogleCode.com. DataSecuritybreach.fr vous conseille de taper, par vous même, l’url dans la barre de navigation de votre butineur préféré.

Argent, Banque, Particuliers

Problème pour la Banque ING

Intéressant bug, ces dernières heures, dans le système Internet de la banque ING. La banque néerlandaise a subi une défaillance majeure dans son système bancaire. Des dizaines de clients ont rapporté que leurs comptes en banque affichaient de mauvais soldes. Certains de ces clients se sont retrouvés avec des débits de plusieurs centaines d’euros. Bilan du « bug », les systèmes ont été coupés. Trop de visiteurs et, ce qui semble être une roue de secours, la coupure pure et simple des connexions à la page d’administration des comptes.

Au moment de l’écriture de cet article, Data Security Breach pouvait lire sur le site d’ING : «  Drukte op Mijn ING. Op dit moment zijn er zeer veel bezoekers op Mijn ING. Hierdoor is het nu helaas niet mogelijk om in te loggen. Probeert u het over enkele minuten nogmaals. Onze excuses voor het ongemak. » traduisez : « À l’heure actuelle, il y a de très nombreux visiteurs qui tente de joindre mon ING (l’espace privé des clients, ndlr DataSecurityBreach.fr). Il n’est malheureusement pas possible de se connecter. S’il vous plaît, essayez de nouveau dans quelques minutes. Nous nous excusons pour la gêne occasionnée. »

D’après les premières constatations, le problème viendrait de la société Rabobank. Certains services ne sont d’ailleurs plus disponibles. Les banques indiquent que cela est dû à un problème technique et pas un « hack ». En attendant, des clients ont cru au jackpot en étant crédités de plusieurs millions d’euros, pendant que d’autres perdaient l’ensemble de leurs économies !

D’après notre expérience, une mise à jour qui a du mal tourner. En France, en 2011, le Crédit Agricole avait connu le même yoyo bancaire. Après avoir été débités deux fois, des clients s’étaient vus crédités de l’argent trop perçu par la banque … deux fois ! Une coquille numérique qui avait prélevé deux fois le même montant lors d’un achat par carte bancaire. La banque avait été rapide à répondre à ses clients et à corriger le « bug ». Sauf que certains clients avaient été correctement remboursés… deux fois.

Entreprise, Fuite de données, Leak

Mise à jour de sécurité Postgres

Le projet PostgreSQL a informé ses utilisateurs de la publication d’un correctif de sécurité pour une vulnérabilité critique dans leur logiciel de serveur de base de données. Toutes les versions actuellement supportées sont touchées et le correctif sera publié le jeudi 4 avril.

The PostgreSQL Project will be releasing a security update for all
supported versions on Thursday April 4th, 2013. This release will include a
fix for a high-exposure security vulnerability. All users are strongly
urged to apply the update as soon as it is available.

We are providing this advance notice so that users may schedule an update
of their production systems on or shortly after April 4th.

As always, update releases only require installation of packages and a
database system restart. You do not need to dump/restore or use pg_upgrade
for this update release.

À notre connaissance, c’est la première fois qu’un projet Open Source annonce en amont de sa sortie un correctif de sécurité. Nous nous attendons à ce que le correctif corrige une vulnérabilité permettant l’exécution de code à distance dans ce moteur de base de données. Nous recommandons à tous les utilisateurs de PostgreSQL d’effectuer cette mise à jour dès que possible, spécialement si leur serveur de base de données est connecté directement à Internet. Le moteur de recherche Shodan répertorie actuellement plus de 30.000 systèmes ayant un serveur PostgreSQL accessible depuis Internet. Soulignant la gravité de la vulnérabilité, la plate-forme cloud Heroku a annoncé avoir débuté la mise à jour de toutes les installations PostgreSQL de ses clients.

Leak

Piratage des données du Boss de la CIA et des Services Secrets

Un commentaire

Nouvelles fuites de données bancaires appartenant au patron de la CIA, de la directrice des Services Secrets, ainsi que d’Angelina Jolie, Hillary Clinton, ou encore Lady gaga.

Il y a 15 jours, un pirate informatique diffusait sur le site Exposed.su (fermé depuis, ndlr Data Security Breach) des informations sensibles et confidentielles appartenant à de nombreuses stars américaines (politiques, sportives ou culturelles). Deux semaines plus tard, retour des pirates avec cette fois, un nouveau site (plusieurs domaines ont été enregistrés, ndlr datasecuritybreach.fr) avec de nouvelles données dont celles de Michelle Obama, Beyonce, Hillary Clinton, Angelina Jolie, Lady Gaga. Dans les fichiers mis en ligne Tom Cruise, John Brennan (le directeur de la CIA), Dennis Rodman (boxeur), P. Diddy (rappeur), Robert De Niro ou encore Julia Pierson (Directrice du Secret Service).

Mi-mars, Britney Spears, Mel Gibson, Arnold Schwarzeneger, Beyonce, Jay Z, Hulk Hogan étaient piratés via l’infiltration de serveurs de sociétés de crédit : Equifax et, d’après les informations collectées par DSB et zataz.com, TransUnion. Nous avons retrouvé ce qui semble être un des instigateurs de cette grande fuite. Nous le baptiserons « Nippon ». Cet informaticien nous a confié ne pas être seul dans ce piratage. « La vulnérabilité est Cookie Logged, après nous n’avons eu qu’à jouer au DOM pour bypasser le Pop-uP » explique  le présumé pirate.

Nous avons donc tenté d’en savoir plus. Usurpateur, mythomane, … « J’ai la femme et les trois enfants du patron de la CIA, va nous confirmer Nippon, mais je préserve l’anonymat de la famille. Ce serait un déshonneur de s’attaquer à eux. » Il semble, à l’analyse de notre discussion, que l’équipe derrière cette diffusion ne soit pas particulièrement raccord sur la méthode à employer pour parler de cette infiltration. Certains ayant décidé de diffuser sans l’accord global du groupe.

Pour finir, nous avons demandé à notre interlocuteur de prouver les données qu’il annonçait avoir piraté avec ses « amis ». Il nous a communiqué un document comprenant l’intégralité des données appartenant au patron de la CIA. Autant dire totalement invérifiable… à moins de savoir nager dans le béton ! Les derniers documents volés, dont plusieurs à la société Credit Sesame et Credit Karma, datent du 31 mars, preuve que les pirates ont encore des accès.

Argent

Faille pour BitCoin Central

Un commentaire

Une faille découverte dans le service BitCoin oblige BitCoin Central à fermer pour maintenance. Comme l’annonçait, en début de soirée, le twitter officiel de @zataz, un problème est survenu pour le système monétique Bitcoin. Dans la nuit de dimanche à lundi, le site BitCoin Central à confirmer les informations que possédait la rédaction de zataz.com, un problème de sécurité est intervenu dans les bits des Bitcoins. « Nous avons détecté une faille de sécurité, indique l’équipe de BitCoin Central. Les services sont temporairement suspendus jusqu’à ce que nous ayons soigneusement étudié la situation. Nous allons reprendre les services dans les plus brefs délais. » Datasecuritybreach.fr vous conseille de ne SURTOUT PAS envoyer d’argent avec votre adresse, du moins pour le moment. A noter que les bitcoins des clients (en euros) sont en sécurité et ne sont pas affectés par la brèche de sécurité découverte. L’adresse 1LrPYjto3hsLzWJNstghuwdrQXB96KbrCy est sous le contrôle de Bitcoin-Central et Paytunia. « Nous nous engageons à reprendre du service dès que possible, termine BitCoin Central. Attendez-vous à une reprise normale du service dans les 48 heures. »

Piratage

Darkode infiltré, secrets révélés

L’un des espaces les plus confidentiel du web piraté. Les secrets du business de ce black market space révélés. Le moins que l’on puisse dire est que ce 1er avril 2013 aura un goût amère pour les administrateurs de l’espace Darkode. Darkode, en quelques mots, est un espace « très » privé dédié au black market, au business du piratage (données bancaires, failles, …). il est possible d’y croiser de nombreuses « stars » du milieu « black hat », qu’elles soient aujourd’hui en prison (bx1, TinKode) ou encore en activité, sans parler d’informations et vendeurs d’outils pirates comme Zeus ; numéros de cartes bancaires dérobées, …

L’activité de cet espace risque de prendre un sérieux coût dans l’aile. Xylitol, un internaute francophone connu pour son talent numérique, vient de démonter ce black space. Premier élément, le « hacker » semble persuadé que la page d’accès à Darkode sniffe les mots de passe. Autant dire que les visiteurs, triés sur le volet, ont leurs identifiants dans les mains de l’administrateur. Lors de ce piratage en règle, il a été découvert qu’un des membres de cette famille underground s’était fait, excusé du peu, plus de 11 000 $ en commercialisant les actions du bot SpyEye.

Parmi les révélation réalisées après le passage de Xylitol, la page dédiée à la naissance d’un « exploit kit » du nom d’EgyPack. Couteau Suisse pirate apparu en 2011. Autre détail révélé, plusieurs administrateurs de Hack Forum, un autre espace pirate moins privé que Darkode, seraient aussi admins sur ce dernier.

Un « leak », une diffusion loin d’être négligeable. Xylitol, sur son blog Xylibox, annonce avoir réalisé 4 500 captures écrans. « ma version privée, explique l’hacktiviste à zataz.com, c’est une version complète de la base de données, avec en plus une copie sql qui date de 2009« . L’auteur nous explique garder la chose pour les représentants de la loi qui lui en feraient la demande. Bref, poisson d’avril ou pas ?

Hacking

Votre enfant confronté à du porno, sur le web ?

Un sondage réalisé par Profil Technology et Mafamillezen, que Data Security Breach a pu consulter, révèle que les parents ont conscience des dangers d’Internet, mais ne protègent pas pour autant leurs enfants. Profil Technology, division de la société française Editions Profil, spécialisée en filtrage de contenus numériques, a effectué un sondage en partenariat avec Mafamillezen auprès de 300 parents. Les résultats de ce sondage confirment les craintes de DataSecurityBreach.fr.

Votre enfant a-t-il été confronté à des contenus inappropriés sur Internet (pornographie, violence, piratage, drogue…) ?

Selon vous, pour votre enfant, surfer sur Internet est :

Avez-vous discuté avec votre enfant des dangers d’Internet ?

Utilisez-vous un logiciel de contrôle parental ?

 

« Ce sondage révèle qu’une majorité de parents (71%) est consciente des dangers qui circulent sur Internet et en parle avec leurs enfants (80%). En revanche, on peut se demander s’ils posent les bonnes questions, car seulement 38% des parents interrogés savent si leurs enfants ont été confrontés à des contenus inappropriés. Ce sondage nous confirme malheureusement, malgré les recommandations de nombreuses associations de protection des enfants, que les parents ne sont pas à proximité des jeunes enfants lorsque ces derniers surfent sur Internet alors même que les médias relaient régulièrement des histoires sordides où tout commence avec un enfant laissé sans surveillance devant un ordinateur », déclare à DataSecurityBreach.fr Nicolas Lacourte, Chef de produits Profil Technology.

Si les parents sont conscients des risques engendrés par Internet, ils semblent ne pas s’astreindre à faire le minimum requis pour s’assurer de la bonne utilisation d’Internet par leurs enfants. Y-aurait-il une forme de découragement voire de renoncement de la part des parents face à la multiplication des sources d’accès à Internet ? Voici donc trois recommandations essentielles, faciles à appliquer et évidemment très efficaces pour accompagner les parents et protéger leurs enfants : Placer l’ordinateur de la maison dans un lieu de passage, de manière à garder un œil sur l’écran ; discuter ouvertement avec les enfants des rencontres mal intentionnées que l’on peut faire sur la toile et les accompagner dans leurs premiers surfs sur Internet ; installer sur les ordinateurs de la maison accessibles aux enfants, une solution de contrôle parental capable de filtrer les sites Internet par catégorie de contenus et de personnaliser le niveau de filtrage par enfant sans omettre de leur expliquer l’objectif de ce filtrage. Ne pas oublier les smartphones et les tablettes qui facilitent l’accès à Internet, mais qui rendent la tâche des parents encore plus difficile en raison de la transportabilité aisée de ces appareils.

Petites entreprises, grandes menaces : restez informés, restez protégés

Quitter la version mobile