Securite informatique, Social engineering

Fraude aux adresses IPv4

À mesure que les adresses IPv4 deviennent des produits de valeur, des systèmes de fraude élaborés apparaissent. Les propriétaires d’entreprise ont besoin de partenaires industriels experts pour optimiser et protéger leurs actifs d’adresses IP

 

Début du mois de septembre, les médias sud-africains ont révélé un système de fraude complexe dans lequel les adresses IPv4 d’une valeur d’au moins 30 millions de dollars sur le marché de l’occasion avaient été volées ou détournées par de grandes sociétés multinationales basées en Afrique du Sud.

La plupart des propriétaires enregistrés n’étaient pas au courant de cette violation de leurs propriétés.  Les « pirates » exploitant des structures de propriété complexes. De plus, les propriétaires légitimes peu familiarisés avec la valeur des actifs considérables de leurs stocks d’adresses IPv4.

Parmi les ensembles d’adresses, il y avait un certain nombre de «blocs hérités» particulièrement précieux. Des ensembles d’adresses IP mises en place avant la création de registres Internet régionaux (RIR). Donc totalement libres d’utilisation.

« Nous remarquons souvent que les entreprises qui ont obtenu d’importants groupes d’IPv4 alors qu’ils étaient encore disponibles n’ont pas conscience de leur valeur. Auparavant, des milliers d’adresses étaient gratuites. Aujourd’hui, une adresse unique peut valoir jusqu’à 30 dollars », commente Vincentas Grinius, PDG de Heficed, une société proposant des solutions d’infrastructure réseau centrées sur la fourniture et la gestion des adresses IP.

Fraude IPv4

Comme pour les VPN, les adresses numériques sont devenues des contenus très courus.

La fraude IPv4 est devenue un problème de plus en plus urgent au cours de la dernière décennie. En effet, les adresses IP omniprésentes sont en réalité une ressource limitée. Leurs sources initiales, les RIR desservant chacune une région continentale, sont presque épuisées, et AFRINIC est la seule à les attribuer avec une relative facilité.

Les adresses IP étant toutefois localisées, les adresses africaines ne servent qu’à un usage limité – pour exploiter un serveur en Europe ou en Amérique, un utilisateur a besoin d’une adresse IP européenne ou américaine. Ceci est particulièrement pertinent pour les clients dépendant de la latence, comme ceux qui opèrent dans des domaines où la concurrence est rude.

Business de l’IPv4

Quiconque a besoin d’adresses IPv4 doit donc les obtenir sur le marché de l’occasion. Comme dans tout marché de produits de base, la fraude constitue également un problème.

Même dans les pays hautement réglementés comme les États-Unis, les fraudeurs s’attaquent toujours aux ressources de grande valeur.

Les adresses se récupérent. Mais cela prend souvent un temps considérable et beaucoup d’investissements.

Il est souvent impossible pour les grandes entreprises de suivre correctement les droits de propriété sur IPv4.

« Comme pour tous les biens immatériels complexes, tels que les stocks ou les actifs virtuels, les fournisseurs d’infrastructure de réseau intermédiaire remplissent plus que la fonction de commerçant. Ils commercialisent, gèrent et gèrent les ressources de leurs clients », explique Grinius.

Traiter des détails techniques tels que les adresses IP est souvent laissé de côté par les entreprises. Encore faut-il qu’elles sont au courant du problème.

Pour le moment, le seul moyen d’éviter des violations de la sécurité potentiellement dommageables est de travailler avec des partenaires de confiance dans la recherche et la gestion d’adresses IPv4. Avec une forte demande encourageant la fraude, les autorités existantes sont tout simplement surmenées.

Cybersécurité, Mise à jour, Patch

Microsoft et navigateurs : 79 vulnérabilités corrigées

Ce mois-ci, le Patch Tuesday de septembre 2019 traite de 79 vulnérabilités dont 17 classées critiques. Parmi ces dernières, 8 affectent les moteurs de scripts et les navigateurs, 4 la connexion Bureau à distance et 3 SharePoint. En outre, Microsoft a publié un nouveau patch pour une vulnérabilité critique au sein des fichiers LNK et pour une vulnérabilité dans Azure DevOps/TFS. Adobe a également publié des correctifs pour Flash et Application Manager.

 

Le déploiement de patches pour les moteurs de script, les navigateurs et les fichiers LNK est une priorité pour les équipements de type poste de travail, c’est-à-dire tout système permettant d’accéder à la messagerie ou à Internet depuis un navigateur. Concernés les serveurs multi-utilisateurs faisant office de postes de travail distants.

Connexion Bureau à distance et navigateurs

Microsoft a corrigé quatre vulnérabilités par exécution de code à distance au sein de la fonctionnalité Connexion Bureau à distance : CVE-2019-0787, CVE-2019-0788, CVE-2019-1290 et CVE-2019-1291. Pour exploiter ces vulnérabilités, un attaquant aura besoin qu’un utilisateur se connecte à un serveur RDP malveillant ou compromis. Les vulnérabilités découvertes par Microsoft suite à un test interne sur la fonction Connexion Bureau à distance. Des patchs prioritaires sur tous les systèmes qui utilisent la fonction de connexion Bureau à distance.

SharePoint

En outre, Microsoft a publié des correctifs pour résoudre trois vulnérabilités RCE dans SharePoint : CVE-2019-1257, CVE-2019-1295 et CVE-2019-1296. L’une d’entre elles implique de télécharger une application malveillante tandis que les deux autres sont des vulnérabilités au niveau de la désérialisation dans l’API SharePoint.

Des correctifs à déployer en priorité pour tous les serveurs SharePoint.

Azure DevOps Server (anciennement Team Foundation Server)

Azure DevOps Server et Team Foundations Server (TFS) sont affectés par une vulnérabilité par exécution de code à distance (CVE-2019-1306) qui est exploitée via des téléchargements de fichiers malveillants. En effet, quiconque télécharge un fichier vers un serveur peut exécuter du code via un compte Azure DevOps/TFS. Aussi concernés les utilisateurs anonymes via des serveurs configurés pour les valider.

Un correctif prioritaire pour toutes les installations Azure DevOps ou TFS.

Attaques actives sur des vulnérabilités facilitant une élévation de privilèges

Microsoft corrige deux vulnérabilités facilitant une élévation des privilèges exploitées en aveugle.

CVE-2019-1214 est une faille dans le pilote Common Log File System (CLFS), tandis que CVE-2019-1215 concerne le pilote Winsock.

Ces deux problèmes impactent toutes les versions Windows. Corrections prioritaires. Les vulnérabilités facilitant une élévation des privilèges sont généralement utilisées avec une exécution de code à distance où cette dernière n’accorde pas de droits administratifs

Adobe

Ce mois-ci, peu de publications d’Adobe. L’éditeur a publié des correctifs pour deux vulnérabilités critiques dans le Flash Player, correctifs qui doivent être déployés de manière prioritaire sur tous les systèmes de type poste de travail Adobe a également corrigé une vulnérabilité classée comme importante concernant le chargement de DLL non sécurisé dans Application Manager.

Communiqué de presse, Fuite de données

Un tiers des Français seraient prêts à vendre leurs données personnelles à un inconnu

vendre ou être vendu ! Au cours des derniers mois, les fuites de données massives ou les scandales liés aux abus des grandes sociétés technologiques se sont multipliés, à l’image de cette révélation concernant Facebook et l’accès privilégié de certaines entreprises comme Netflix et Spotify aux données personnelles des utilisateurs. Il n’y a donc rien de surprenant à ce que 60% des internautes français perçoivent la confidentialité absolue comme une chimère à l’ère du tout-numérique. Résignés, 34% seraient prêts à accorder à un inconnu l’accès sans limite à leurs données personnelles contre de l’argent. C’est ce que révèle une étude sur la confidentialité menée par Kaspersky auprès de 11 887 consommateurs dans 21 pays.  Il en ressort qu’en matière de confidentialité et de protection de leurs données personnelles, les Français vont de paradoxe en paradoxe.

Vendre ou être vendu ! 62% des Français se déclarent très ou relativement inquiets par la collecte des informations utilisateurs faite par les éditeurs d’applications mobiles. Cette inquiétude se traduit par une attention particulière portée aux permissions : plus de 73% des répondants contrôlent les autorisations (74% pour les utilisateurs Android et 73% pour les utilisateurs d’iPhone et d’iPad).

L’opacité de la collecte d’information sur le Web est aujourd’hui source d’une perte de confiance, qui se concentre en particulier contre les entreprises qui opèrent les grands réseaux sociaux actuelles. Lorsqu’on leur demande avec qui ils ont le plus peur de partager leurs données, les Français placent les réseaux sociaux (Facebook, Twitter, etc.) en 3ème position, derrière les cybercriminels et Internet en général. Ils sont suivis par les grandes entreprises technologiques (Google, Microsoft, Apple, etc.).

C’est pourquoi il est surprenant de noter que 67% des sondés disent se moquer de partager leurs activités sur les réseaux sociaux avec quiconque.

A noter que le blog de référence ZATAZ permet aux internautes de fouilles le black market, le darknet à la recherche de données qui auraient pu leur être volées.

Données personnelles : rien à cacher, rien à craindre ?

38% des Français accepteraient de partager leur historique de recherche avec un tiers et autant partageraient leurs achats. Viennent ensuite l’historique de navigation (30%) et les informations liées à l’identité (27%). Seules les données financières se distinguent (7%).

Pourtant, seuls 7% des Français reconnaissent ne pas s’inquiéter pour la protection de leur vie privée, en ou hors ligne et 85% souhaiteraient en savoir plus sur la manière dont ils peuvent protéger leur vie privée sur le Web.

Dans les faits, l’application des bonnes pratiques est très variable. En ce qui concerne la protection des équipements, 59% des Français protègent tous leurs appareils avec un mot de passe, 43% utilisent des logiciels de nettoyage (type CCleaner), 27% vérifient systématiquement les paramètres de confidentialité et 24% couvrent leur webcam (contre 62% à l’international).

Exception française concernant le téléchargement de logiciels ou d’applications piratés : 62% des répondants n’y renoncent pas malgré les risques, contre 52% à l’international.

En matière de protection des comptes en ligne, les résultats sont tout aussi mitigés. 56% des sondés français essaient de toujours utiliser des mots de passe complexes mais seuls 38% changent régulièrement de mot de passe. Ils sont 27% à utiliser une adresse email dédiée plutôt que leur adresse email principale pour s’inscrire à des services considérés comme non prioritaires.

Les raisons qui peuvent expliquer ces disparités sont multiples, mais la résignation et l’ignorance jouent sans aucun doute un rôle majeur. 60% des Français pensent qu’il est impossible de profiter d’une confidentialité absolue et 35% reconnaissent ne pas savoir comment protéger complètement leur vie privée.

Navigation Internet : vous reprendrez bien un cookie ?

En avril 2019, la 3ème édition du baromètre DIMENSION[2] de Kantar Media témoignait d’un rejet massif de la publicité ciblée en France : 61% des consommateurs refusent d’être suivis à la trace sur la base de leurs précédentes navigations (vs 54% au niveau global).

Ce rejet se traduit-il par une adoption massive des bonnes pratiques liées à l’usage des cookies ? Pas forcément, selon l’étude de Kaspersky. Seuls 42% des Français nettoient régulièrement leur historique de navigation. Ils sont encore moins nombreux (16%) à utiliser des outils logiciels ou modules de navigateurs dédiés pour bloquer le pistage. Au total, ce sont 21,5% des français qui admettent ne jamais effacer leurs traces sur Internet. C’est très loin de nos voisins allemands, champions européens de la confidentialité : 57% nettoient régulièrement leur historique et 25% utilisent des outils adaptés.

Les modes de navigation privée n’ont pas vraiment la cote et il semble que des efforts de sensibilisation restent nécessaires pour accélérer leur adoption : 16% seulement des Français les utilisent, contre 24% à l’international.

Cybersécurité : qui a laissé la porte ouverte ?

 17% des Français reconnaissent avoir dû faire face à une compromission de leurs données personnelles. Le plus souvent, il s’agit d’un accès non autorisé à un compte en ligne (41%) ou à un appareil (28%). Dans 18% des cas, les victimes se sont fait voler leurs données et ces dernières ont ensuite été exploitées.

Ces fuites de données n’ont pas toujours des conséquences dramatiques mais elles peuvent également influer sur le moral des consommateurs. 34% des victimes rapportent avoir été stressées. En outre, elles peuvent 17% ont observé une augmentation du nombre de spams reçus et 17% ont perdu de l’argent.

Bertrand Trastour, Head of B2B sales France termine ainsi : Pas besoin d’être un expert informatique pour comprendre comment les données peuvent être détournées et exploitées contre les consommateurs. Les exemples ne manquent pas. On se souvient par exemple de la fuite de données du Marriott[3] en 2018 qui a touché plus de 500 millions de clients dont certains ont ensuite été les victims de fraudes. Ou encore le cas plus personnel d’un musicien[4] dont la petite-amie a utilisé le compte email pour refuser une bourse d’étude qui l’aurait obligé à déménager. Cela semble parfois difficile à croire mais la protection de la vie privée est encore possible sur Internet, à condition d’avoir une bonne hygiène numérique et d’appliquer quelques bonnes pratiques.

1 https://www.nytimes.com/2018/12/18/technology/facebook-privacy.html

2 https://www.kantarmedia.com/dimension/fr

3 https://www.travelandleisure.com/travel-news/marriott-paying-new-passports-after-data-breach

4 https://www.telegraph.co.uk/news/2018/06/15/clarinetist-awarded-214000-damages-girlfriend-faked-rejection/

Communiqué de presse, Securite informatique

Des failles de sécurité dans des traceurs GPS

Des failles de sécurité dans des traceurs GPS, plus d’un demi-million d’enfants et de personnes âgées concernés.

a découvert de sérieuses failles de sécurité dans le T8 Mini GPS tracker et dans près de 30 autres modèles du même fabricant, Shenzhen i365 Tech. Commercialisés pour garantir la sécurité des enfants, des personnes âgées, des animaux domestiques et même des biens personnels, ces appareils dévoilent toutes les données envoyées dans le cloud, y compris les coordonnées GPS exactes en temps réel. De plus, des défauts de conception peuvent permettre à des tiers indésirables d’usurper la localisation ou d’accéder au microphone à des fins d’écoute illicite. Les chercheurs du Threat Labs d’Avast estiment à 600 000 le nombre de traceurs non protégés utilisés dans le monde, mais ils soulignent que ces problèmes de sécurité de l’IoT dépassent largement le cadre d’un seul fournisseur.

Martin Hron, Senior Researcher, chez Avast, qui est à l’origine de cette étude, conseille aux acheteurs de ces produits de choisir une solution alternative auprès d’une marque plus fiable intégrant une la sécurité dès la conception du produit : connexion sécurisée, un chiffrement des informations.

Comme pour tout appareil prêt à l’emploi, modifier les mots de passe par défaut de l’administrateur. En choisir un complexe.

Cependant, dans ce cas précis, cela n’empêchera pas une personne motivée d’intercepter le trafic non chiffré. « Nous avons fait preuve de toute la diligence voulue en communiquant ces vulnérabilités au fabricant, mais comme nous n’avons pas eu de réponse dans le délai habituel, nous publions ce message d’intérêt public à l’attention des consommateurs et vous recommandons fortement de cesser d’utiliser ces appareils », explique Martin Hron.

Signaux d’alerte dès la sortie de l’emballage

Le Threat Labs d’Avast a d’abord analysé la procédure de démarrage du T8 Mini, en suivant les instructions pour télécharger l’application mobile à partir du site http://en.i365gps.com — en l’occurrence, un site Web desservi par le protocole HTTP plutôt que par celui du HTTPS, plus sécurisé. Les utilisateurs peuvent alors se connecter à leur compte avec le numéro d’identification attribué. Le mot de passe par défaut très générique « 123456 ».

Ces informations sont transmises via un protocole HTTP non « secure ».

Le numéro d’identification dérivé de l’International Mobile Equipment Identity (IMEI) de l’appareil ; les chercheurs ont donc pu facilement prédire et répertorier les numéros d’identification possibles d’autres traceurs de ce fabricant.

En combinaison avec le mot de passe fixe, pratiquement n’importe quel appareil suivant cette séquence de numéros IMEI étaient piratables sans le moindre effort.

Rien n’est chiffré

À l’aide d’un simple outil de recherche de commandes, les chercheurs découvrent les informations en texte brut. Sans chiffrement.

Il est encore plus inquiétant de constater que l’appareil peut envoyer des commandes qui vont au-delà de l’usage prévu de suivi GPS, telles que :

  • appeler un numéro de téléphone, permettant ainsi à un tiers d’écouter les conversations à travers le microphone du traceur ;
  • envoyer un SMS qui pourrait permettre au hackers d’identifier le numéro de téléphone de l’appareil et donc d’utiliser le SMS entrant comme vecteur d’attaque ;
  • utiliser les SMS pour rediriger la communication de l’appareil vers un autre serveur afin d’obtenir le total contrôle de cet appareil ou de fausses informations envoyées vers le cloud ;
  • partager une URL vers le traceur, permettant à un attaquant à distance de placer un nouveau firmware sur l’appareil sans même y toucher, qui pourrait remplacer complètement la fonctionnalité ou implanter un backdoor.

Sans surprise, les chercheurs ont également découvert que l’application mobile AIBEILE (disponible sur Google Play et iOS App Store) communiquait avec le cloud via un port HTTP non standard, TCP:8018, envoyant du texte brut non chiffré au terminal. Après avoir examiné minutieusement l’appareil lui-même pour analyser la façon dont il communique avec le cloud, le Threat Labs d’Avast a confirmé que les données transitent à nouveau sans être chiffrées, du réseau GSM au serveur, sans aucune autorisation.

Ce que les consommateurs devraient retirer de cette étude

Outre l’appareil qui fait l’objet de cette étude, 29 autres modèles de traceurs GPS présentant ces vulnérabilités. La plupart des fournisseurs mentionnés ci-dessus.  50 applications mobiles différentes utilisent la même plateforme non « secure ».

Les chercheurs estiment qu’il existe plus de 600 000 appareils dans la nature dont les mots de passe par défaut sont « 123456 ».

Des applications mobiles  téléchargées près de 500 000 fois. Le fabricant n’a donné aucune réponse aux avertissements.

En tant que parents, nous sommes enclins à adopter les technologies qui nous promettent de protéger nos enfants. Se renseigner sur les produits que nous achetons est indispensable.

Méfiez-vous des fabricants qui ne respectent pas les normes minimales de sécurité. Qui n’ont pas de certification ou homologation par des tiers.

Choisissez uniquement des marques en qui vous avez confiance pour protéger vos informations.

Android, backdoor, Sécurité

Nouvelle tactique furtive de faux-clics publicitaires dans des apps du Google Play Store

Une étude révèle une nouvelle tactique furtive utilisée par des applications malveillantes sur le Google Play Store consistant à cliquer automatiquement et sournoisement sur les annonces publicitaires pour générer du profit.

Cette technique furtive récemment découverte utilise des publicités intégrées – stratégiquement positionnées au-delà de la zone d’écran visible d’un appareil mobile – pour lancer un processus automatisé de clic publicitaire qui génère furtivement des revenus pour des acteurs à risque.

Deux applications populaires (IDEO Note et Beauty Fitness) présentes sur le Google Play Store.

Elle compte plus de 1,5 million de téléchargements à elles deux. Elles ont un comportement trompeur découvert par Symantec.

Les utilisateurs de téléphones mobiles affectés peuvent voir leur batterie s’épuiser. Les performances ralenties. Une augmentation de l’utilisation des données mobiles en raison de visites fréquentes sur les sites publicitaires.

L’application bloc-notes et l’app de mise en forme sont codées avec l’outil légitime développé à l’origine pour protéger la propriété intellectuelle des créations sous Android.

Cela explique également la capacité du développeur à rester sur le Play Store. Sous le radar pendant près d’un an avant détection. (étude)

Cyber-attaque, Securite informatique

Hausse de 265 % des événements liés aux attaques sans fichiers !

Échappant aux mesures de sécurité traditionnelles, les menaces 2019 mettent les systèmes de défense à rude épreuve.

Un rapport publié met en évidence une recrudescence des attaques sans fichiers (fileless) visant à masquer des activités malveillantes. En comparaison avec le premier semestre 2018, les détections de cette menace spécifique ont augmenté de 265 %. Des analyses courant sur le premier semestre 2019.

Jusqu’à présent, les constatations réalisées en 2019 confirment bon nombre des prévisions faites par Trend Micro en fin d’année dernière. Les attaquants redoublent notamment d’efforts pour cibler les entreprises et les environnements offrant le plus grand retour sur investissement.

« Sophistication et discrétion sont aujourd’hui les maîtres mots en matière de cybersécurité, à mesure que les technologies au sein des entreprises et que les attaques des cybercriminels deviennent plus connectées et intelligentes », souligne Renaud Bidou, Directeur Technique Europe du Sud, Trend Micro. « Nous avons pu constater que les hackers ont des objectifs précis, avec des attaques ciblées et ingénieuses qui exploitent de manière furtive le facteur humain, les processus et la technologie. Cependant du côté des entreprises, avec la transformation numérique et les migrations vers le Cloud, la surface d’attaque s’est considérablement élargie. Pour faire face à cette évolution, les organisations ont besoin d’un partenaire technologique capable de combiner l’expertise humaine à des technologies de sécurité avancées afin de mieux détecter, corréler, traiter et contrecarrer les menaces. »

Parallèlement à la prolifération des attaques sans fichiers, les cybercriminels déploient de plus en plus de menaces non détectables via les filtres de sécurité classiques, car elles peuvent être exécutées en mémoire d’un système, résider dans la base de registre ou usurper des outils légitimes. Les kits d’exploits reviennent également en force, avec une augmentation de 136 % en comparaison de la même période en 2018.

Attaque Fileless

Les malwares destinés au minage de cryptomonnaies demeurent la menace la plus détectée au premier semestre 2019 et touchent de plus en plus les serveurs et les environnements Cloud. Autre prévision corroborée : le nombre de routeurs impliqués dans de potentielles attaques entrantes a bondi de 64 % comparé au premier semestre 2018, avec davantage de variantes de Mirai recherchant des appareils vulnérables.
 En outre, le nombre de stratagèmes d’extorsion numérique connaît une hausse de 319 % par rapport au second semestre 2018, ce qui concorde avec les projections précédentes. Les attaques de type BEC (Business Email Compromise) constituent toujours une menace substantielle, avec une augmentation de 52 % des cas détectés comparativement aux six derniers mois. Les fichiers, e-mails et URL liés aux ransomwares continuent également de se multiplier (+77 % au cours de la même période).
Au total, 26,8 milliards de menaces au cours du premier semestre 2019 ont été bloquées, soit 6 milliards de plus qu’à la même période l’année dernière. À noter que, dans 91 % des cas, l’e-mail a été le vecteur d’infection des réseaux d’entreprises. (Rapport)
double authentification, Securite informatique

Testé pour vous, la clé double authentification SoloKeys

Après vous avoir proposé de découvrir les méthodes de double authentification offertes sur le web, Google ou encore la Yubico, voici la présentation de la Solo Tap Hacker de chez Solokeys !

Les tests que nous vous proposons sur les matériels de cybersécurité vous plaisent. Vos messages nous font plaisir et nous incitent à vous en proposer d’autres. Après vous avoir fait découvrir la double authentification de Google, Facebook, Linkedin, de l’administration d’un site web sous WordPress. Après la découverte des clés 2FA/FIDO de chez Yubico ou encore la Titan Security Key de chez Google. Voici le test de la Solokeys.

Solokeys, kesako

La solution de cybersécurité Solokeys à le goût de la clé de chez Google ; la couleur de la clé de chez Yubiko mais sa force se cache ailleurs. Cette double authentification physique tire sa force de sa communauté. C’est la première Fido Security Key open source. Bilan, les « codeurs » qui veulent mettre leur nez dans l’objet et sa programmation sont attendus les bras ouverts. Plusieurs versions sont proposées. J’ai testé la SOLO (USB) et la SOLO TAP (USB et le sans contact). Il est possible de recevoir la clé en mode « développeur ». Compter 20€ pour la SOLO ; 35€ pour la TAP. La version « je mets mes doigts dedans » coûte 20euros.

Test de la Solokeys

Le packaging arrive par la poste dans une enveloppe à bulle. J’avoue que pour avoir eu des colis de ce type arriver dans le même type d’enveloppe me laisse des sueurs froides sur le front. Je me souviens encore de cette enveloppe à bulle… et les traces de roues de ce qui semblait être une moto. L’objet à l’intérieur était littéralement DÉFONCÉ !

En ce qui concerne la SoloKeys, pas de problème. Le colis est arrivé en 20 jours après le paiement.

Les clés sont dans une seconde enveloppe métallisée, celle qui protègent les appareils électroniques de l’électricité statique. Selon la clé, vous recevrez dans votre colis la clé nue et deux protections en caoutchouc. A noter que j’ai cassé une des clés commandées rien qu’en tentant de mettre la protection noire. La clé à fait… crick, crack. Je mettrais cela sur mon petit côté « gros doigts de bourrin ». Une fois la seconde clé protégée par sa ganse rouge, son utilisation est fort simple. D’ailleurs, la page proposant sa mise en route est l’une des plus claire rencontrée. Pour authentifier la clé, il suffit de se rendre dans les espaces de Validation en deux étapes et activer la clé. Google c’est par ici ; Facebook c’est par .

La SoloKeys est très simple d’utilisation… et modifiable. Son code est open source.

Résistance et confiance ?

La force de la Solo keys réside dans son code source ouvert. Son matériel (fabrication) l’est tout autant. Autre détail loin d’être négligeable, surtout pour ceux qui craignent les Américains, les Russes, la Corée du Nord et les extraterrestres, le processeur et le circuit imprimé sont fabriqués et programmés en Europe. Côté résistance physique. Comme déjà indiqué, j’ai « cassé » une clé en voulant la placer dans son étui en latex. J’en ai cassé une autre en voulant l’accrocher à un porte clé. Côté étanchéité. Un passage en machine à laver n’a pas altérée le fonctionnement de la clé.

En conclusion. La Solokeys Une excellente alternative pour ceux qui ne souhaitent pas passer par les géants du secteur. La double authentification étant un outil indispensable dans votre panoplie cybersécurité.

backdoor, Cybersécurité

La Gendarmerie Nationale coupe l’infiltration de Retadup

7 commentaires

960 000 ordinateurs de part le monde désinfectés du code malveillant Retadup par le centre de lutte contre les criminalités numériques de la Gendarmerie Nationale.

Les militaires du centre de lutte contre les criminalités numériques (C3N) ont frappé fort en faisant taire le code malveillant Retadup. Après une prise de contrôle du serveur permettant de contrôler plus de 960 000 machines de part le monde, les cyber gendarmes ont désinfectés les machines zombies.

Un sacré coup de frein aux actions malveillantes d’un groupe de pirates connus pour agir de Palestine.

Retadup est un cheval de Troie permettant de surveiller un ordinateur, intercepter les frappes claviers. Il peut aussi mettre la main sur les données financières, dont des cryptomonnaies. ZATAZ explique que la furtivité du logiciel pirate fait de lui un code malveillant redoutable.

ID, Mise à jour

Infiltration de votre agenda Google

Un commentaire

Retour en force du spam via l’agenda Google. Une attaque que les malveillants ressortent de leur tiroir.

Plusieurs lecteurs de Data Security Breach se sont étonnés de mystérieux messages apparus dans leur agenda Google. Des rendez-vous proposant des rencontres via des sites pour adultes.

Bref, un spam et des publicités non sollicités via ce support.

La technique est assez simple, elle permet des phishings efficace.

L’interlocuteur malveillant annonce un rendez-vous avec vous. Si vous avez mal configuré votre compte Agenda, le rendez-vous s’affiche dans votre agenda. J’avoue profiter de cette option chez des potes qui utilisent l’enceinte connectée Google et l’Agenda. Cela permet d’énoncer des rendez-vous… particuliers !

Ce qui est intéressant est que l’alerte mail termine dans les spams. Mais l’Agenda valide l’invitation. En juin 2019, Kaspersky se faisait l’écho de ce spam.

Originalité des pirates

Les menaces de spam et de phishing qui exploitent des vecteurs d’attaque non traditionnels peuvent être lucratives pour les criminels, car elles peuvent souvent tromper avec succès des utilisateurs qui pourraient ne pas craindre une attaque plus évidente.

Cela est particulièrement vrai en ce qui concerne les services légitimes de confiance, tels que les fonctionnalités de calendrier de messagerie, qui peuvent être exploitées via ce qu’on appelle le « phishing de calendrier« .

Dans cette attaque, les agenda se retrouvent avec des rendez-vous qui se répètent sur 7 jours.

La force de Google étant aussi la géolocalisation. Les spammeurs intègrent des invitations personnalisées selon votre localisation. Bilan, les annonces affichent l’Apple Store le plus proche de chez vous pour être plus convaincant.

Pour vous protéger, rien de plus simple.

Désactivez l’ajout automatique d’invitations à votre calendrier. Pour ce faire, ouvrez Google Agenda, cliquez sur les paramètres, puis sur Paramètres d’événement.

Pour l’option « ajouter automatiquement des invitations« , cliquez sur le menu déroulant et sélectionnez « Non, ne montrer que les invitations auxquelles j’ai répondu« .

En dessous, dans la section Options d’affichage, assurez-vous que la case « Afficher les événements refusés » ne soit PAS cochée, à moins que vous ne souhaitiez spécifiquement les afficher.

Chiffrement, Sauvegarde

Protéger ses transferts de fichiers avec castrum.io

Castrum.io, une jeune pousse de la cybersécurité Française propose une solution pour sécuriser vos transferts de fichiers. Découverte !

Castrum est un projet 100% Français. Mission, permettre une sécurité optimale dans le transfert de fichier.

L’idée est apparue en 2016 via la SSII Ex Algebra. Depuis, la jeune pousse de la cybersécurité a mûri son projet au point que des cabinets d’avocats utilisent ce service.

Castrum.io se veut un projet permettant de proposer un système de gestion de fichier, un peu à la Dropbox. Mission, partager des fichiers, tout en gardant le contrôle total sur le partage.

« Nous sommes parti d’un constat simple, explique Michel Gashet, les partages de fichiers débutent très souvent par un mail, non chiffré. Perte complète du contrôle, l’information reste dans la boite électronique du destinataire« . Bilan, Castrum se propose de servir d’espace de stockage sécurisé afin de partager vos fichiers.

Il est possible de paramétrer un mot de passe pour accéder au fichier (Il n’est pas envoyé dans le mail qui communique le lien d’accès). Le diffuseur doit partager le mot de passe par un autre moyen de contact de confiance : téléphone, remise en main propre.

Une durée d’expiration du lien (valide un mois, par exemple); un nombre d’accès autorisé (pas plus d’un certain nombre). Et même la possibilité d’autodétruire le fichier quand son partage a expiré.

L’hébergement se fait uniquement en France. Chaque client à son propre serveur. Les disques sont chiffrés.

Comment ça marche ?

Après la connexion, vous choisissez le fichier à partager. Taille maximale de ce dernier, 1Go (dans la version démo). Une taille qui pourra évoluer selon les besoins. Un studio de création graphique utilisateur diffuse du 8Go sans problème.

Vous l’envoyez sur votre serveur sécurisé Castrum.

Il ne reste plus qu’à envoyer un mail ou de récupérer le lien de téléchargement. Une adresse web codée à communiquer à votre contact.

Les actions s’affichent dans votre administration. « Le fichier « 92829 », partagé le 27/08/2019, n’a pas encore été chargé. Quand ce dernier a été vu, votre admin l’affiche avec le nombre de téléchargement. J’avoue que rajouter l’heure et la zone géographique du téléchargement pourrait rassurer. En cas d’interception, cela pourrait être un détail important d’action rapide. L’heure est cependant disponible dans l’espace « fichier partagé ».

Côté coût, 38 euros HT/mois pour 500 fichiers partagés par jour, maximum 2 Go par fichier. Parfait pour une PME/PMI qui souhaite utiliser un canal chiffré et contrôlé de bout en bout (exemple d’utilisation moyen pour une PME). « Un nombre de fichier qui peut évoluer sans surcoût« .

Bref, une idée qui germe de manière fort sympathique. Castrum est RGPD-ready. Le site vous simplifie toutes les étapes pour le respect des données personnelles. Parmi les projets à venir, l’accès aux logs plus poussés des fichiers partagés comme permettre d’avoir des preuves d’accès aux fichiers et de la moindre action sur le compte.

Petites entreprises, grandes menaces : restez informés, restez protégés

Quitter la version mobile