Archives par mot-clé : fuite

Argent, Arnaque, Banque, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, escroquerie, Fuite de données, ID, Identité numérique, Leak, Paiement en ligne, Particuliers, Phishing, Piratage, Vie privée

Piratage possible pour Walmart Canada

Le géant de la grande distribution Walmart enquête sur une possible fuite de données pour un espace web de sa filiale canadienne. Des données de cartes de crédits de clients dans les mains d’un pirate ?

60.000 clients pourraient être touchés par cette fuite potentielle. L’enquête, en cours, tente de découvrir le tuyau percé. Fuite, piratage, bug technique ? C’est un site tenu par partenaire commerciale de Walmart (www.walmartcanadaphotocentre.ca), PNI Digital Media/Staples Inc, qui aurait été la cible. « Nous avons été avertis d’un problème potentiel qui compromet les données liées aux cartes de crédit utilisées dans le site Web du Centre de la photo de Walmart Canada (…) La vie privée de nos clients est de la plus haute importance pour nous. Nous avons immédiatement entamé une enquête et nous communiquerons avec les clients qui sont concernés.« 

Le site a été coupé de l’Internet, l’application pour smartphone et tablette désactivée. A première vue, la base de données du Photo Centre de Walmart n’était pas connectée à Walmart.ca et Walmart.com. Cette enquête intervient au moment ou les groupes de grandes distributions canadiens se regroupent, se rachètent pour tuer une concurrence trop présente.

18 millions de canadiens ont utilisé le service de PNI digital pour imprimer des photos et créer des objets via leur site Internet. Le Bureau du vérificateur général du Canada a été alerté.

Argent, Banque, Chiffrement, cryptage, Cybersécurité, Emploi, Entreprise, escroquerie, Espionnae, Fuite de données, ID, Identité numérique, Particuliers, santé, Social engineering

La Garde Nationale Américaine visée par une fuite de données

Les anciens et actuels membres de la Garde nationale de l’armée américaine pourraient être affectés par une violation de leurs renseignements personnels à la suite d’une fuite informatique de leurs données.

Cet incident n’a pas de rapport avec la violation des renseignements personnels de 19,7 millions d’employés « civils » du gouvernement fédéral américain (+ 1,8 millions de personnels extérieurs) à la suite de deux piratages de l’Office of Personnel Management (OPM). La nouvelle fuite du jour vise le centre de la Garde Nationale de l’armée américaine, le National Guard Bureau. « Tous les membres de la Garde nationale de l’armée, actuels et anciens, et cela depuis 2004, pourraient être affectés par cette violation » confirme un fonctionnaire américain. Les données ont été transférées par inadvertance à un centre de données qui n’était pas accrédité par le Département de la Défense. Earl Brown, porte-parole du National Guard Bureau, indique que les données concernées comprennent les noms des soldats, les numéros complets de sécurité sociale, les dates de naissance et les adresses physiques des militaires. Le Bureau de la Garde nationale a mis en place une page Web dédiée à cette fuite.

Pour l’OPM, se sont deux piratages qui ont été découverts. En Avril 2015, l’OPM découvrait que les données personnelles de 4,2 millions d’employés du gouvernement fédéral, anciens et actuels, avaient été volées. Lors de l’enquête, il était relevé un autre vol, en juin 2015 cette fois. Les données sensibles, dont le numéro de sécurité sociale US (qui peut permettre, par exemple, d’ouvrir un compte en banque, NDR), ont été subtilisées à 21,5 millions de personnes sauvegardées dans les bases de données de l’OPM.

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données, Propriété Industrielle, Social engineering

Vos ex-collaborateurs emportent avec eux plus que vous ne croyez

Selon le Bureau des statistiques du travail des États-Unis (Bureau of Labor Statistics), 965 000 personnes ont quitté leur poste dans l’industrie des services en 2014. À l’âge des fuites de données massives, des exigences en matière de conformité et des budgets IT réduits, l’on se pose inévitablement les questions suivantes : Ces entreprises ont-elles fermé les comptes, droits de connexion et accès aux informations d’entreprise de leurs ex-collaborateurs ? Ont-elles récupéré leurs biens matériels et logiciels d’entreprise ?

Les réponses sont surprenantes. Selon une enquête menée auprès d’ex-collaborateurs par Osterman Research et Intermedia, c’est stupéfiant : 89 % des personnes interrogées ont conservé l’accès à au moins une application d’un précédent employeur et 45 % ont toujours accès à des données confidentielles. Un nombre surprenant (49 %) de ces personnes admet s’être connecté à un compte après avoir quitté l’entreprise.

Comment expliquer qu’un si grand nombre d’entreprises aient négligé de prendre des précautions simples et de bon sens concernant leurs anciens collaborateurs ? Le plus souvent, c’est dû aux processus et outils d’accueil et de départ des collaborateurs qui sont peu performants. Dans de nombreuses entreprises, ces processus et workflows sont non seulement manuels et un peu hasardeux, mais ils reposent sur de nombreux acteurs différents qui interagissent rarement.

Il est fréquent qu’un nouveau collaborateur doive s’adresser à une personne pour obtenir un téléphone, à une autre pour un ordinateur portable, et encore une autre pour avoir un compte d’e-mail et un accès réseau. Lorsque ce collaborateur quitte l’entreprise, on ne sait plus vraiment qui est responsable de la récupération de tous ces équipements et logiciels : le supérieur du collaborateur ou toutes les personnes citées plus haut. À moins qu’une seule personne ou un seul outil ne fasse le suivi de tous les biens et processus, des failles sont inévitables.

Les piètres performances des outils et processus d’accueil des nouveaux collaborateurs et de départ des anciens sont nuisibles pour de nombreuses raisons, notamment : Productivité, Finances, Sécurité et Conformité. La meilleure façon d’éviter les faiblesses dans la gestion des biens, et l’accueil ou le départ des collaborateurs, consiste à consolider et à automatiser les processus.

Commencez par regrouper tous les processus hétérogènes qui interviennent dans l’accueil ou le départ des collaborateurs pour réduire leur nombre autant que possible. Lorsqu’un nouveau collaborateur arrive, un seul processus doit lui fournir tous les biens (équipements, logiciels, accès aux e-mails, aux applications et autres comptes, etc.) nécessaires pour qu’il puisse commencer à travailler. Les départements IT ou RH doivent générer une liste unique des biens affectés, sur la base du rôle du nouveau collaborateur dans l’entreprise.

Tous les processus d’arrivée et de départ des collaborateurs doivent être aussi automatisés que possible, car des processus et workflows manuels disparates génèrent souvent des erreurs, des omissions et des non-respects (intentionnels ou non) des processus.

Un solide outil de gestion du cycle de vie des biens s’avère utile, en automatisant les workflows de processus qui accélèrent toutes les notifications, étapes et approbations nécessaires pour effectuer avec succès les opérations d’accueil ou de départ d’un collaborateur. Comme ils font le suivi de tous les biens matériels et logiciels, de l’approvisionnement à l’affectation, la réaffectation et jusqu’à la mise au rebut, les outils de cycle de vie des biens permettent de déterminer rapidement la disponibilité des biens, et de les réaffecter à d’autres rôles ou individus. Vous pouvez également récupérer et réaffecter des biens lorsqu’un collaborateur change de poste ou quitte l’entreprise, ce qui accélère l’approvisionnement en nouveaux biens si aucun n’est disponible. Vous garantissez ainsi qu’aucun bien ni accès ne quitte l’entreprise, ni ne reste inutilisé.

Les processus de gestion des biens et d’arrivée/départ de collaborateurs sont truffés d’erreurs, donc générateurs de risques et de dépenses inutiles. Vous connaissez les biens dont vous disposez, leur emplacement et leurs performances. Ainsi, les nouveaux collaborateurs sont plus rapidement productifs et les entreprises évitent les failles de sécurité, les dépenses inutiles et les amendes pour non-conformité. (Par Jacob Christensen, pour DataSecurityBreach.fr, Marketing Product Manager chez LANDESK)

Android, backdoor, Chiffrement, cryptage, Cybersécurité, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, Particuliers, Patch, Sécurité, Smartphone, Téléphonie, Vie privée, VPN

600 millions d’utilisateurs d’un téléphone Samsung en danger ?

Un commentaire

Plus de 600 millions d’utilisateurs de téléphones portables Samsung ont été touchés par un risque de sécurité important. Samsung S3, S4, S5 et S6 touchés par une vulnérabilité dans un clavier pré-installé qui permet à un pirate d’exécuter du code à distance.

Intéressant ! Après la diffusion de faille et bug visant le téléphone portable d’Apple, l’iPhone, voici venir la faille pour le concurrent direct de la grosse pomme, la famille des Samsung S. Cette faille a été découverte par le chercheur Ryan Welton de la société américaine de NowSecure. Samsung a été alerté en décembre 2014.

Compte tenu de l’ampleur du problème, NowSecure a aussi notifié le CERT américain afin de faire corriger le problème rapidement (CVE-2015-2865). L’équipe de sécurité de Google Android a elle aussi été mise dans la boucle. L’attaque permet de récupérer la connexion GPS, brancher caméra et micro, installer en cachette des applications malveillantes, lire les messages (SMS, MMS, Mails, …). Bref, une petite cochonnerie.

Samsung n’a rien dit, mais propose depuis début de 2015 un correctif. Impossible de savoir si les opérateurs ont suivi la même mouvance sécuritaire… mais particulièrement pratique pour espionner une cible précise. A la lecture de la liste ci-dessous, qui ne concerne que des opérateurs américains, il y a de forte chance que votre téléphone soit toujours un espion en puissance dans votre poche.

Malheureusement, l’application du clavier défectueux ne peut pas être désinstallé. Côté solution : ne pas utiliser de wifi non sécurisé (utilisez un VPN, INDISPENSABLE NDLR)… ou changez de téléphone.

Galaxy S6      Verizon  Non corrigée
Galaxy S6       AT & T   Inconnu
Galaxy S6       Sprint   Non corrigée
Galaxy S6       T Mobile Inconnu
Galaxy S5       Verizon  Inc9nnu
Galaxy S5       AT & T   Inconnu
Galaxy S5       Sprint   Inconnu
Galaxy S5       T Mobile N8n c2rrigée
Galaxie S4       Verizon  Inconnu
Galaxie S4       AT & T   Inconnu
Galaxie S4       Sprint   Inconnu
Galaxie S4       T Mobile Inc8nnu
Galaxy S4 Mini  Verizon  Inconnu
Galaxy S4 Mini  AT & T   Non corrigée
Galaxy S4 Mini  Sprint   Inconnu
Galaxy S4 Mini  T Mobile Inc9nnu

Merci à @dodutils pour l’alerte.

Android, BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, ios, Mise à jour, OS X, Sauvegarde, Sécurité, Smartphone, Social engineering, Windows phone

56 millions de données exposées par des applications de smartphones

Des chercheurs de l’Université Allemande de Darmstadt annoncent que les développeurs d’applications prennent la sécurité des données par dessus la jambe.

Leurs applications auraient exposé 56 millions de données en utilisant les services de Google, Amazon et Facebook. L’équipe de chercheurs a testé 750.000 applications Android et iOS. Ils ont utilisé les services d’identité « fédérés » afin de s’authentifier plus simplement, plus rapidement, entre leurs différents appareils. Sauf qu’il semble y avoir un gros problème. L’équipe a trouvé des données, y compris les adresses mails, mots de passe, et les dossiers de santé, se promenant entre les connexions. Autant de données qui pourraient être exposées à des yeux indiscrets, et les comptes respectifs compromis si les jetons d’authentifications étaient  capturés. « Les développeurs d’applications utilisent des bases de données dans le cloud, explique les étudiants. Ils stockent  les données des utilisateurs, mais apparemment ignorent les recommandations de sécurité des données que recommandent pourtant les fournisseurs cloud

Les pirates ont besoin, cependant, d’extraire la clé de l’application et/ou exploiter une connexion sans fil non sécurisée, pour agir. Les sociétés qui hébergent ont besoin de beaucoup moins ! (The Register)

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données, Leak, loi, Mise à jour, Piratage, Propriété Industrielle, ransomware, Sauvegarde

Secteur médical : la prochaine cible des cybercriminels ?

Le système d’informations de santé, qui regroupe les dossiers électroniques des patients jusqu’aux dispositifs médicaux, est plus vulnérable qu’on ne l’imagine. Et les enjeux sont bien trop importants pour fermer les yeux sur cette problématique épineuse.

Aujourd’hui, sur le marché noir, les données de patients se monnayent jusqu’à 20 fois plus cher que les données de cartes de paiement récupérées, par exemple, à l’issue d’un piratage visant un acteur de la grande distribution. Les données médicales sont en effet détaillées, riches et regorgent d’informations que recherchent les cybercriminels pour perpétrer leurs détournements d’identité et autres fraudes. De plus, les patients prennent bien plus de temps à se rendre compte du détournement de leurs informations de santé, jusqu’à près d’un an pour certains patients. En effet, pour identifier
une utilisation frauduleuse des cartes de paiement, les banques disposent d’algorithmes qui repèrent rapidement les activités suspectes et prennent souvent automatiquement les mesures de sécurité qui s’imposent. Ces mesures de sécurité n’existent pas dans le domaine médical. Les acteurs de santé, eux-mêmes, ne se rendent pas toujours compte de la vulnérabilité des nombreux systèmes qu’ils utilisent face aux cyber-attaques:

Cyber-attaques traditionnelles
Ces attaques, qui s’en prennent à tous les profils d’organisations, sont véhiculées par des logiciels malveillants, phishing, chevaux de Troie ou encore des ransomware. Par rapport aux autres secteurs d’activité, celui de la santé est particulièrement vulnérable en l’absence de mesures de protection
intégrées et compte tenu d’une priorité moindre accordée à la sécurité. Ces logiciels malveillants, qu’ils soient déployés via des attaques ciblées, des sites Web piratés ou des dispositifs mobiles infectés, entraînent une divulgation de données confidentielles et aboutissent à des coûts importants et à
des tâches de restauration post-incident particulièrement chronophages. Ces attaques ne sont pas vraiment nouvelles, mais elles gagnent en sophistication et la perte de données de patients est une vraie problématique. Les cybercriminels ont d’ailleurs conçu des plateformes entières de logiciels malveillants qui peuvent être personnalisées pour attaquer les acteurs de santé.

Dispositifs médicaux connectés
Aujourd’hui, des moniteurs cardiaques aux pompes à perfusion, tous les équipements peuvent être connectés à un réseau et s’interfacer avec les dossiers électroniques de patient, permettant ainsi d’activer des alertes en temps réel à l’intention du personnel soignant. Cette interactivité est, dans la
perspective du patient, une bonne nouvelle. Mais au niveau sécurité, il s’agit plutôt d’un cauchemar.

La majorité de ces équipements, et notamment les IRM, les scanners et autres équipements de diagnostic n’ont pas été conçus en faisant de la sécurité une priorité. Ils sont nombreux à utiliser des systèmes d’exploitation comme Microsoft Windows et des logiciels conçus pour collecter les données… Et pas forcément les garder en sécurité. Le piratage de ces appareils est donc possible et une fois compromis, les cybercriminels peuvent accéder directement aux systèmes de données cliniques avec lesquels ces équipements sont interfacés.

Les données de patients ne constituent pas les seules ressources pouvant être piratées via des dispositifs connectés. Les cyber-terroristes pourraient potentiellement manipuler les machines et porter atteinte aux patients. D’ailleurs, dès 2011, un chercheur en sécurité a su démontrer qu’une pompe à insuline pouvait être piratée et utilisée pour injecter une dose mortelle d’insuline[1].

Les équipements de santé personnels et résidentiels
Les dispositifs de santé prolifèrent bien au-delà des murs des hôpitaux. Les équipements de santé personnels, les applications de santé et autres coachs de fitness sont de plus en plus nombreux à recueillir et à transmettre des données. Ces systèmes peuvent potentiellement mettre les données de patients en péril (ou du moins ne pas assurer leur parfaite protection), et ils s’interfacent aussi souvent avec des dossiers électroniques de patients ou des systèmes hébergeant des données cliniques. Si un dispositif de contrôle du taux de glucose ou une application de santé sur iPhone peuvent être la cible
d’attaques, ces vulnérabilités s’appliquent également aux institutions de soins de santé. Les dispositifs cliniques ont, en effet, pour priorité d’offrir de nouvelles modalités pour une prise en charge pratique, innovante et performante des patients. La sécurité, elle, est moins prioritaire.

La sécurité des soins de santé ne doit pas attendre que les piratages de données de patients aient réussi pour devenir prioritaire. Il faut s’en préoccuper dès aujourd’hui. Le secteur de soins de santé, dans sa globalité, doit engager des actions proactives et privilégier les équipements qui
intègrent la sécurité en natif, mais aussi déployer une protection active au niveau du réseau et des applications. Les enjeux sont tout simplement trop critiques pour s’offrir le luxe d’attendre.  (Par Christophe Auberger, Responsable Technique France, Fortinet)

Argent, Arnaque, Banque, Cybersécurité, Entreprise, escroquerie, Fuite de données, Identité numérique, Leak, Paiement en ligne, Particuliers, Phishing, Piratage, Propriété Industrielle, Scam, Social engineering

La fraude à la carte bancaire représente 544 millions d’euros de perte en France

Un commentaire

D’après Check Point Software Technologies Ltd, spécialiste de solutions en sécurité informatique, les Européens perdent chaque année plus de 1,7 milliards d’euros dû aux vols des données présentent sur les cartes bancaires. La France, avec 544 millions de perte en 2013 se positionne au 3ème rang derrière le Royaume-Uni et les Etats-Unis (Le Royaume-Uni et la France représentent 62% de la fraude à la carte bancaire en Europe).

La situation la plus critique en matière de sécurité bancaire est aux États-Unis. Chaque année, l’économie américaine perd environ 5 milliards de dollars. L’année dernière, une seule attaque menée contre Home Depot a permis de compromettre 56 millions de cartes bancaires, un nombre record. L’année précédente, en 2013, des pirates ont compromis plus de 40 millions de cartes bancaires en dérobant des données bancaires à la chaîne de supermarchés Target.

Les consommateurs anglais et français sont parmi les plus vulnérables. En 2013, ces deux pays ont perdu respectivement 674 millions et 544 millions d’euros. Additionnées ensemble, ces pertes représentent plus de 62% de la fraude à la carte bancaire en Europe. Cependant, la France enregistre une des plus faibles progressions du taux de vol parmi tous les pays d’Europe. D’importantes pertes ont également été relevées en Allemagne (147 millions d’euros) et en Espagne (116 millions d’euros), mais ces chiffres sont en baisse depuis quelques années. La Russie se détache du lot avec des pertes en 2013 (131 millions d’euros) qui représentaient une augmentation de 28% par rapport à l’année précédente.

Les terminaux de paiement sont menacés

La menace la plus importante pour la sécurité des cartes bancaires réside dans les attaques menées contre les terminaux de paiement. En exploitant des vulnérabilités logicielles et en utilisant des logiciels malveillants, les pirates sont en mesure d’utiliser des accès à distance pour dérober des données lues par les terminaux durant les transactions. Ce type d’attaque a été utilisé contre les réseaux de Home Depot et de Target aux États-Unis. Il convient de noter que les clients aux États-Unis sont particulièrement vulnérables à ces menaces en raison des systèmes de paiement obsolètes qui y sont utilisés. Selon des études récentes, près d’un tiers des attaques de logiciels malveillants menées contre des terminaux de paiement dans le monde se sont déroulées aux États-Unis !

Les experts soulignent également que les systèmes de sécurité des cartes bancaires à puce sont d’une importance secondaire contre les attaques de logiciels malveillants. Les pirates peuvent utiliser partout dans le monde les numéros de cartes bancaires dérobés aux États-Unis. Les cartes bancaires européennes, bien qu’équipées de technologies de sécurité plus avancées (puces et codes PIN), sont facilement utilisées aux États-Unis où la protection est uniquement limitée à la bande magnétique des cartes.

Les Européens sont de plus en plus préoccupés par les vols de cartes bancaires, d’autant plus depuis que les prix des cartes bancaires dérobées ne cessent d’augmenter chaque année sur le marché noir. Les experts de Check Point estiment le prix d’une carte Visa ou MasterCard dérobée aux États-Unis est d’environ 4 dollars, tandis que les données d’une carte bancaire européenne peuvent valoir jusqu’à cinq fois plus, soit 20 dollars !

Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données

Des passwords du contrôle ferroviaire de la gare de Londres à la TV

Un documentaire de la BBC révèle dans ses images les mots de passe utilisés dans le centre de contrôle ferroviaire de la gare de Londres Waterloo. ZATAZ se demande s’il faut rire des images ou pleurer de la faiblesse des mots de passe ?

Dans le documentaire « Nick and Margaret: The Trouble with Our Trains » de cette fin avril, la BBC propose de visiter les petits secrets des transports ferroviaires du Royaume de sa Gracieuse Majesté. Vers la 43ème minute du reportage, le Centre de contrôle intégré du Wessex. Une zone sensible de la SNCF britannique située au-dessus de la plateforme de la gare de Londres Waterloo. Une « base » ouverte 24 heures sur 24 qui permet de contrôler les trains et les embranchements ferroviaires. ZATAZ.COM montre que des mots de passe sont collés sur les écrans. Au moins 3 sont parfaitement visibles à l’écran ! Des « Password » très faibles ne comportant que des lettres et quelques chiffres. Comme l’indique zataz, les leçons de TV5, de la Coupe du Monde de Football 2014 ; de TF1 et de beaucoup d’autres ne semblent pas encore bien intégrées par les utilisateurs !

backdoor, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Social engineering

Spy in the sandbox : espionner un ordinateur en quelques clics

Décidément, espionner les ordinateurs serait un véritable jeu d’enfant. Aujourd’hui, il suffit d’un navigateur compatible HTML5 pour espionner huit ordinateurs sur 10 de par le monde.

Prenez un ordinateur récent, fonctionnant avec un processeur Intel. A cela rajoutez un navigateur Internet compatible html5, une page malveillante et un peu de Javascript et vous voilà la technique du Spy in the sandbox.

Des chercheurs en sécurité de l’université américaine de Cornell (Yossef Oren , Vasileios P. Kemerlis , Simha Sethumadhavan , Angelos D. Keromytis) ont annoncé avoir découvert comment il était (trop, ndr) simple d’espionner huit ordinateurs sur dix de par le Monde. L’ordinateur n’a besoin que d’être motivé par une puce Intel. Une page d’hameçonnage piégée permet d’actionner un ensemble d’actions malveillantes que les chercheurs ont baptisé exploit « micro architectural« .

Un code Javascript dans la page pirate va ensuite collecter les données qui passent (entrantes et sortantes, ndr). La mémoire « tampon » du processeur est trop rapide. Bilan, les informations en caches peuvent être aspirées. Le processeur est rapide, la mémoire vive beaucoup moins. « Se défendre contre cette attaque est possible, mais les contre-mesures nécessaires peuvent exiger un coût loin d’être négligeable » précise les chercheurs dans le document qu’ils ont diffusé.

backdoor, BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, Identité numérique, Sauvegarde, Vie privée

1 milliard de données personnelles identifiables divulguées en 2014

L’équipe de recherche et développement IBM X-force vient de publier son rapport trimestriel sur son analyse des menaces avancées. Ce rapport dévoile qu’au moins 1 milliard de données personnelles identifiables (PII) ont été divulguées en 2014.

Le rapport 2015, qui met également en évidence les résultats du dernier trimestre 2014, a recensé plus de 9 200 nouvelles failles de sécurité affectant plus de 2 600 fournisseurs, ce qui représente une augmentation de 9,8% par rapport à 2013 et constitue l’augmentation la plus importante en une seule année depuis que le rapport X-Force a été créé il y a 18 ans.

Selon ce rapport (qui ne prend en compte que les informations d’IBM, NDR), le nombre total de failles enregistrées en 2014 était de près de 20% plus élevé qu’en 2013 (où l’on enregistrait 800 millions de données divulguées). 74,5%, le nombre d’incidents enregistrés aux Etats-Unis, ce qui est beaucoup plus élevé que dans les autres pays. Une majorité (40,2%) des types d’attaques les plus courants n’ont pas été identifiés. Les logiciels malveillants (malwares) et les DDoS (déni de service distribué) arrivent en seconde position avec un taux de 17,2% chacun. La divulgation par l’US-CERT d’une classe de vulnérabilités affectant des milliers d’applications Android qui mettent à mal les certificats SSL représentent 15% du total pour l’année, portant peu à peu le décompte final à un nouveau sommet historique.

Les chercheurs attribuent largement ces chiffres croissants à l’augmentation de l’indifférence des développeurs en matière de sécurité. Ces derniers ont été lents à mettre en œuvre des « patches » en dépit des avertissements et de la sensibilisation accrue aux vulnérabilités. En fait, 10 des 17 (59%) applications bancaires utilisant Apache Cordova qui ont été initialement divulguées en octobre 2014 étaient encore vulnérables en janvier de cette année.

Le rapport montre également une augmentation des vulnérabilités de « conception », qui sont de plus en plus meurtrières, très reconnaissables, ayant des noms et logos accrocheurs (par exemple : Heartbleed et Shellshock) et qui devraient désormais être prises en compte dans la conception et le développement. Ces vulnérabilités ont révélé des failles facilement exploitables dans les systèmes de base et les bibliothèques sous-jacentes qui supportent presque toutes plateformes web et les systèmes de gestion de contenu habituels.