Archives par mot-clé : fuite de données

BYOD, Cloud, Cyber-attaque, Cybersécurité, Entreprise, escroquerie, Fuite de données, ID, Identité numérique, Leak, Mise à jour, Particuliers, Patch, Piratage, Social engineering, Vie privée

Piratage dans le petit monde de la TV connectée

Le service PLEX, spécialisé dans la diffusion de films dans les télévisions connectées, piraté. Les clients sont invités à changer leur mot de passe.

Des pirates informatiques ont réussi à prendre la main sur le forum et le blog du serveur de l’entreprise Plex. La société, dont le logiciel éponyme permet de diffuser des films, photos et vidéo sur sa télévision connectée, vient d’avertir ses clients et propose de changer le mot de passe utilisé pour accéder à ses services. Le pirate aurait eu accès aux adresses IP, messages privés, courriels et aux mots de passe (chiffrés MD5, NDR) du forum.

Dans un message, la société a attribué le problème à une vulnérabilité PHP/IPB qui a permis au pirate de mettre la main sur les données. DataSecurityBreach.fr peut confirmer qu’un pirate, du nom de Savaka, a réclamé 1500 £ pour ne pas diffuser les informations volées. Il a prouvé son passage en modifiant la page index de l’administration du site.

Dear Plex User,

Sadly, we became aware this afternoon that the server which hosts our forums and blog was compromised. We are still investigating, but as far as we know, the attacker only gained access to these parts of our systems. Rest assured that credit card and other payment data are not stored on our servers at all.

If you are receiving this email, you have a forum account which is linked to a plex.tv account. The attacker was able to gain access to IP addresses, private messages, email addresses and encrypted forum passwords (in technical terms, they are hashed and salted). Despite the password encryption measures, we take your privacy and security very seriously, so as a precaution, we’re requiring that you change your password.

Be sure to choose a strong password, never share it, and never re-use passwords for different accounts! Even better, use a password manager (1Password, for example) to manage a unique password for you. Access to your Plex account will be blocked until you do so.

Please follow this link to choose a new password.
We’re sorry for the inconvenience, but both your privacy and security are very important to us and we’d rather be safe than sorry!
We will post more detailed information on our blog shortly. Thanks for using Plex!

The Plex Team

Entreprise, Fuite de données, Identité numérique, Leak, loi, Vie privée

Besoin urgent d’étendre les lois obligatoires sur les fuites de données

Le distributeur en ligne américain eBay a annoncé avoir été victime d’une cyber-attaque et a recommandé à tous ses utilisateurs de changer leur mot de passe. Dans un bulletin émis le mercredi 21 mai, l’entreprise a indiqué que certains identifiants appartenant à des employés avaient été volés, donnant aux pirates l’accès à son réseau interne. Le piratage s’est concentré sur une base de données contenant des noms de clients d’eBay, des mots de passe encryptés, des adresses e-mails et des dates de naissance, et ne concerne donc – à priori – pas les informations financières. Selon eBay, l’attaque a eu lieu entre fin février et début mars et aucune activité anormale de la part des utilisateurs ne semble avoir été détectée depuis.

Nous faisons face à un déluge de données volées, et avec un nombre si important de victimes touchées, souvent des millions de clients, il est grand temps d’étendre les lois relatives à la déclaration obligatoire de divulgations de données à tous les secteurs d’activité – et pas seulement pour les fournisseurs d’accès internet ou les opérateurs télécoms. En dépit des recommandations qui sont faites, de nombreuses personnes continuent d’utiliser le même mot de passe pour plusieurs comptes et avec le temps qu’il a fallu pour avertir les clients de l’existence de cette faille, ces derniers ont été exposés à d’importants risques durant toute cette période. En outre, les dommages pourraient continuer de s’étendre. Avec plus 128 millions d’utilisateurs actifs sur le site d’eBay dans le monde, s’il existe ne serait-ce qu’un pourcent d’entre eux qui utilisent le même mot de passe pour différents comptes professionnels, cela signifie que plus de 1 280 000 millions de réseaux d’entreprises sont potentiellement menacés. « Les hackers n’auront pas de mal à identifier les organismes dans lesquels travaillent toutes ces personnes via des sites comme LinkedIn et détermineront leurs prochaines cibles en fonction de leur importance. Il devient donc urgent d’accélérer la mise en place de lois pour que les clients puissent être confiants et assurés que si leurs données tombent entre de mauvaises mains, des mesures seront prises très rapidement pour en limiter l’accès. » explique Jean-Pierre Carlin de chez LogRhythm.

Avec un tel volume de données traitées chaque jour par les entreprises, il est évident qu’il ne s’agit pas une tâche facile. Cela nécessite une surveillance permanente de la moindre activité sur le réseau ainsi que la capacité à comprendre et à considérer ce qu’est une activité « normale ». Un tel niveau d’information permet aux organismes de détecter les menaces en temps réel et d’y remédier en conséquence – non seulement en accélérant le temps nécessaire pour détecter une faille mais aussi celui qu’il faut pour avertir les clients. « Toutes les entreprises ont la responsabilité de protéger les données personnelles de leurs clients autant que possible et c’est seulement grâce à cette capacité à alerter rapidement les utilisateurs d’une éventuelle menace qu’ils pourront à nouveau accorder leur confiance. » termine Jean-Pierre Carlin.

Selon deux enquêtes commandées par IBM auprès de l’institut Ponemon, le coût moyen de la violation des données a augmenté de 15%, pour atteindre une moyenne de 3,5 millions de dollars. Les études indiquent également que les attaques ciblées sont considérées comme la plus grande menace par la majorité des entreprises. Leur coût est estimé à 9,4 millions de $ de perte en valeur intrinsèque pour la marque. Pour la France, le coût d’une violation de données est en moyenne de 4,19$ (2.88€). La France est le pays où la proportion des attaques ciblées est la plus forte. Des attaques qui sont les plus graves. Le taux d’érosion de clients suite à un incident de violation de données serait, toujours selon IBM, très fort en France.

Pour finir, DataSecurityBreach.rf rappelle l’article 34 de la loi Informatique et Libertés qui impose au responsable de traitement de prendre les mesures nécessaires pour sécuriser les données à caractère personnel. Le responsable de traitement doit se tenir informé et réagir lorsqu’une faille d’une telle ampleur est découverte. Ne pas corriger une faille de sécurité connue et pour laquelle des correctifs sont proposés est susceptible de constituer un manquement à l’obligation de sécurisation imposée aux responsables de traitement.

Fuite de données, Justice, Leak, Particuliers

La justice protège l’inventeur d’une fuite de données

Si un administrateur d’un système informatique ne protège pas ses données, le « découvreur » de la fuite ne risque plus d’être poursuivi pour piratage. Voilà qui devient intéressant. Legalis annonce un jugement qui va attirer l’œil de plus d’un internaute. Si le responsable d’un système d’information ne sécurise pas son réseau, serveur, … contre les intrusions, la justice ne poursuivra pas l’Internaute qui aura pu accéder aux dites données.

Pour le tribunal correctionnel de Créteil, via son jugement du 23 avril, le délit d’accès et de maintien frauduleux n’est pas constitué. Un jugement rendu après la relaxe d’un internaute qui s’était « introduit » dans l’extranet de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail. Le surfeur, un internaute journaliste, y avait récupéré des documents accessibles, car non protégés par un code d’accès et un mot de passe.

Ce jugement va dans le sens de la jurisprudence Kitetoa de 2002 et impose ‘enfin » au responsable d’un traitement d’information une obligation de sécurité. L’internaute poursuivi avait découvert les fichiers via Google. Google ayant aspiré liens et les données (dans son cache, ndlr), considérant ces derniers comme une source ouverte. Le tribunal indique que s’il n’y pas eu soustraction matérielle des documents, que ces derniers sont toujours à disposition du propriétaire, il n’y a pas « piratage ».

Un détail, de taille, surtout pour les amateurs de logiciels d’injections SQL : ne pensez pas que cette décision vous protège, bien au contraire. Le tribunal correctionnel de Créteil protège les personnes qui cliquent sur des documents, via Google, pendant pouvoir le faire, pas des pirates qui utilisent un logiciel Internet, via une action clairement illicites, et qui tombe sous le coup de la loi Godfrain. (Legalis)