La National Security Agency aurait utilisé les cookies de Google pour infiltrer des ordinateurs ciblés. Décidément, Google et la NSA, une grande histoire d’amour. Le Washington Post explique, via les documents d’Edward Snowden, que la NSA, les grandes oreilles de l’Oncle Sam, ont mis en place un système de collecte de données étonnants.
La NSA aurait exploité les cookies de Google pour infiltrer des machines et suivre à la trace des cibles précises. Nous savions que le cookies permettaient aux annonceurs de tracer nos désirs via les sites visités, voilà que la NSA en profite pour y rajouter l’option espionnage et infiltration.
Le mécanisme de suivi Google, le « PERF », permettrait donc à la NSA d’identifier un navigateur, pour ensuite suivre son utilisateur. Le journal américain montre un document volé par Snowden qui montre une mission de la NSA, en partenariat que les grandes oreilles britanniques GCHQ anglaises, pour examiner 900 antennes GSM, afin de mettre la main sur des « terroristes ».
La NSA indique que cette collecte est effectuée pour « pour protéger les Etats-Unis« . Autant dire que le GPS des smartphones, couplés avec les cookies et autres applications « vulnérables » n’ont pas fini de parler sur notre dos !
Une fuite Internet peut rapidement intervenir si on n’y prend pas garde. Un fichier mal maîtrisé, sauvegardé n’importe comment, et c’est rapidement la catastrophe. Google, ainsi que d’autres moteurs de recherche, ne font pas la différence entre le document Excel en libre accès reprenant les recettes de Tata Jeannette, et le fichier regroupant plusieurs dizaines de Centres Hospitaliers Français, avec logins et mots de passe, permettant d’accéder à un espace informatique sensible, celui des patients reçus par les Urgences. Google les voit, donc pour lui, ils sont « libres » d’être référencés, sauvegardés en cache.
Voilà la mésaventure qui vient de toucher une société Française spécialisée dans la création de solutions informatiques de gestion des dossiers patients dédiée aux urgences. Un lecteur, Kyle, nous a alerté de cette fuite complétement folle. Lors d’une cherche d’informations qu’elle ne fût pas son étonnement de se retrouver nez-à-nez face à un fichier Excel intitulé InfosEtContacts.xls.
Google avait sauvegardé les données.
Chaque CH avait son dossier.
Plusieurs moteurs de recherche avaient accès aux données.
Si les premières lignes ne m’ont pas paru des plus perturbantes, les suivantes auraient eu de quoi faire tomber en syncope le premier SAMU/SMUR qui passait par là. Dans ce fichier, une liste de Centres Hospitaliers (Régionaux/Universitaires/…) : Saône, Brive, Besançon, Belfort, Beauvais, Amiens, R/Yon, La Rochelle, Gueret, Gentilly, St Ame, Blanc Mesnil, Forbach, Epinal, Dole, Senlis, Rennes, Provins, Guadeloupe, Neuilly, Nancy, Lille, Montpellier, Metz ou encore Lunéville.
Ce fichier relatait, avant d’être effacé du web (et de la cache Google, Ndr), les accès à distance (avec login et mot de passe en clairs) ; la prise de contrôle des serveurs (ip, vnc, accès, …), ouverture de session (avec ip et identifiants de connexion). Dans certains cas, l’accès à des bases de données avec ip, login et mot de passe. Bref, des centaines d’informations qui auraient pu faire de gros dégâts dans les mains d’internautes malveillants. Heureusement, du moins nous l’espérons, aucun pirate n’est passé par là.
Dès la découverte de la « chose », nous avons alerté le CERT A, l’ANSSI et la CNIL via le protocole d’alerte de ZATAZ.COM. Comme à son habitude, le Centre d’Expertise gouvernemental de Réponse et de Traitement des Attaques informatiques a répondu à notre alerte au quart de tour. Nous avons attendu que la fuite soit colmatée afin de vous relater ce gros, très gros problème.
Comment une telle fuite peut-elle être possible ?
Un dossier, sur le site internet officiel de cette entreprise, non protégé par un login et mot de passe. Un simple htaccess aurait suffi à réclamer les précieux identifiants de connexion. Un contrôle d’accès très simple à mettre en place pourtant. Cela aurait empêché Google, et la planète web entière, d’accéder aux informations.
Autre possibilité de sécurisation, qui nous semble la plus efficace chez DataSecuritybreach.fr : ne pas sauvegarder ce genre de données sur un espace connecté à Internet, et encore moins quand ce dernier est … le site web lui-même.C’est un peu comme si la Banque de France déposait des lingots d’or sur une table, dans la rue, à l’entrée de son bâtiment. Pas évident que les petits blocs jaunes restent sur place bien longtemps.
Pour finir, il est fortement conseillé, c’est la CNIL qui l’écrit, de chiffrer ce genre de contenu et de le sauvegarder dans un espace non disponible/accessible d’un simple clic de souris.
Les actes de piratage informatique ont entraîné des fuites concernant plus de 63 millions de données personnelles en 2011 et 2012, a révélé le député du Parti démocrate (PD) Choi Jae-cheon après avoir analysé des données de la Commission coréenne des commissions (KCC) et de l’Agence de supervision financière (FSS). La plupart de ces fuites se sont produites dans le secteur non financier (61,48 mlns) et le reste dans le secteur financier (1,9 mln).
SK Communications Co., l’opérateur des sites populaires Nate et Cyworld qui ont fait l’objet d’un piratage massif l’année dernière, a affiché le plus grand nombre de fuites de données personnelles (35 mlns), devant Nexon Korea Corp., société de jeux en ligne (13 mlns), et KT Corp, le deuxième opérateur de téléphonie mobile (8,73). Dans le secteur financier, plus de 1,75 million d’informations personnelles ont été divulguées suite à un piratage informatique contre Hyundai Capital. Les attaques informatiques qui ont visé les sites Internet de ces sociétés ont été à l’origine de la majorité des fuites d’informations.
Les erreurs de programme ont été également l’une des causes principales de ces déperditions. «La discrétion excessive des entreprises face aux piratages informatiques augmente les dégâts», a noté Choi, appelant à une déclaration rapide auprès des autorités en cas d’accident pour réduire les dégâts causé par ces cyberattaques. Le député a de même exhorté les autorités de supervision à mener des enquêtes complètes pour éviter de nouveaux piratages et à renforcer les sanctions contre les fuites de données personnelles. Choi a récemment proposé une révision de la loi sur les réseaux d’information et de communication en vertu de laquelle tout piratage informatique doit être déclaré dans les 24 heures qui suivent l’incident sous peine d’amende. 63 millions connues. Zataz.com vous laisse imaginer le reste ! (Yonhap)
Voilà le genre de boulette qui aurait pu faire mal entre de mauvaises mains, heureusement pour Pacific Host, la fuite n’a été vue, à première vue, que par la rédaction de DataSecuriyBreach.fr. Lors d’une mise à jour vers MySQL 5.5, vendredi 19 juillet, un paramètre incorrect dans la configuration a fait planter un des serveurs de l’hébergeur. Une « boite » numérique comprenant pas moins de 1.500 sites Internet.
La société d’hébergement s’est expliquée sur cette porte ouverte. « Nous avons dû supprimer certains de nos logiciels de sécurité pour permettre l’accès à la prise mysqld. » Bilan, une erreur MySQL (111) s’affichait et le fichier localhost.sql pouvait se copier comme pour rire.
Le problème a été corrigé. La rédaction de Data Security Breach pense être l’unique entité à avoir vu le contenu de la BDD ouverte (emails, sites, logins, mots de passe, clé d’activation, IP, identifiant de smartphone, navigateurs utilisés, …) ou pas !
Aujourd’hui, de nombreuses entreprises migrent vers des plates-formes de cloud computing pour bénéficier des avantages concurrentiels inhérents aux gains qui en découlent en matière de vitesse, d’agilité et de flexibilité. Selon l’enquête Avoiding the Hidden Costs of the Cloud – 2013 publiée en janvier 2013 par Symantec, Datasecuritybreach.fr vous en parlait à l’époque, 86 % des entreprises françaises en sont au moins à discuter de cloud computing, 79 % pour les PME.
Une mauvaise utilisation du cloud computing peut en revanche se révéler désastreuse pour les entreprises qui peuvent voir leurs coûts augmenter ou observer des pertes d’informations ou de données. En France, 33 % des entreprises ont perdu des données stockées dans des clouds et 70 % ont été confrontées à des échecs de restauration. C’est du moins ce qu’indique ce rapport. 70 % des entreprises françaises ont expérimenté des déploiements non-autorisés et non-gérés d’applications de cloud computing ; parmi elles, 40 % ont été confrontées à des problèmes de divulgation d’informations confidentielles et plus d’un quart à des problèmes de prise de contrôle de comptes, de dégradation de ressources Web ou de vols de produits ou de services.
Jeudi, de 02h20 à 06h16, le réseau social Linkedin n’était plus dans son état normal. Durant quatre heure, les internautes qui rentraient leur login et mot de passe pour s’identifier se retrouvaient à fournir leur précieux sésame à un site qui n’avait rien à voir avec Linkedin. Le réseau social professionnel indique ne pas avoir subit de piratage mais un « problème » technique qui aurait été occasionné par son prestataire de service.
Un vrai faux site ? A première vue, un DNS capricieux et les internautes se sont retrouvés à fournir leurs identifiants à un inconnu. Ca montre aussi le niveau des utilisateurs. C’est un peu si vous fournissiez les données de votre carte bancaire dans une boite en carton posée à côté du distributeur de billets. Ca n’a pas le gout d’un distributeur, ca n’a pas la couleur d’un distributeur… mais c’est pas grave ! L’hébergeur a reconnu une erreur technique.
L’histoire ne dit pas ce qu’a bien pu récupérer le site Internet mis à la place de Linkedin durant ces 4 heures de « bug ».
Les entreprises sont souvent impuissantes face à la protection de leur bien le plus précieux : les données stockées dans leurs réseaux. Alors que les services concernés ont souvent une bonne vue d’ensemble des données conservées au sein de la société et peuvent très facilement évaluer les dommages éventuels, une nouvelle étude commanditée par Kaspersky Lab, que datasecuritybreach.fr a pu consulter, révèle que la plupart des entreprises ont une idée peu précise des données de l’entreprise que les employés stockent sur leurs propres terminaux mobiles. Ceux-ci étant de plus en plus nombreux à utiliser des équipements personnels à des fins professionnelles, une telle méconnaissance pose des problèmes inédits.
Cette enquête, menée par TNS Infratest, révèle que, parmi les sondés en France, : seuls 33% des responsables informatique ont mis en place des règles suffisamment strictes pour disposer d’une vision complète et précise des informations stockées sur ces terminaux mobiles. 45% indiquent ne pas savoir où se trouvent toutes les données, mais avoir un aperçu raisonnable de la situation. 17% reconnaissent n’en avoir aucune idée.
Globalement, il ressort que ce sont les entreprises britanniques et espagnoles qui ont mis en place les règles les plus complètes en matière de protection des données. Ainsi : 57% des responsables interrogés au Royaume-Uni et 54% en Espagne déclarent avoir une vision complète de l’emplacement de leurs données. En Suède; ce chiffre descend à 19%. L’Espagne est également le pays présentant le plus faible nombre de responsables informatiques admettant n’avoir aucune idée à ce sujet (5%). Les entreprises scandinaves, à titre de comparaison, sont, soit très honnêtes, soit font implicitement confiance à leurs employés. En Suède (26%) et au Danemark (22%), soit un nombre exceptionnellement élevé de responsables informatiques reconnaissent ne pas avoir une idée claire des données présentes sur les terminaux mobiles.
« En cas de perte ou de vol d’un appareil mobile d’un employé, il est crucial de savoir ce qu’il contenait en termes de données et surtout de pouvoir mettre en œuvre rapidement les mesures nécessaires pour réagir efficacement», commente à datasecuritybreach.fr Tanguy de Coatpont, directeur général de Kaspersky Lab France. « Si, pour une raison ou pour une autre, il n’est pas possible de savoir où se trouvent les informations de l’entreprise, il convient au moins de pouvoir les crypter afin de les rendre inaccessibles à toute personne malveillante.»
Communiquer sur la disparition d’un équipement informatique ne semble pas une priorité pour tous les employés européens. Une nouvelle étude révèle que les employés belges (dont 19% attendent au moins trois ou quatre jours), néerlandais (17%) et allemands (16%) sont les plus lents à signaler la disparition d’un équipement. Leurs homologues portugais et danois sont les plus rapides (30% et 31% d’entre eux, respectivement, effectuent le signalement dans l’heure qui suit).
Seul un employé sur cinq, au sein des petites et moyennes entreprises, informe son service informatique dans l’heure qui suit la perte d’un équipement appartenant à la société, selon une enquête que Data Security Breach a pu consulter, et réalisée par TNS Infratest auprès d’un échantillon de PME européennes. Ce chiffre est encore plus alarmant sachant que la majorité des responsables informatiques sont convaincus qu’un mot de passe suffit à protéger les données sensibles stockées sur les terminaux mobiles.
En cas de vol d’un ordinateur portable, d’une tablette ou d’un smartphone d’entreprise, les malfaiteurs disposent d’au moins plusieurs heures devant eux pour tenter d’accéder à son contenu avant que le service informatique ne puisse prendre des mesures préventives ou réactives. Seuls 21% des responsables informatiques, interrogés sur le laps de temps qui s’écoule avant que leurs employés signalent la perte d’un tel équipement, pensent être informés dans l’heure qui suit. 12% estiment ce délai supérieur à une journée, ce qui laisse le temps à un cybercriminel d’extraire des données sensibles de l’entreprise stockées sur l’appareil (contacts, e-mails professionnels…), voire d’accéder à des comptes personnels en ligne (sur Twitter ou Facebook, par exemple) et de modifier les mots de passe de l’utilisateur.
« Un cybercriminel chevronné n’a besoin que de quelques minutes pour contourner une protection par mot de passe à 4 chiffres telle que celle utilisée sur la plupart des appareils, notamment les smartphones », souligne à Data Security Breach David Emm, chercheur senior en sécurité chez Kaspersky Lab. « C’est pourquoi, en cas de perte ou de vol de votre mobile, il est essentiel d’en informer votre service informatique le plus vite possible. Celui-ci pourra alors bloquer l’accès de l’appareil au réseau de l’entreprise et, dans le meilleur des cas, en effacer toutes les données.»
A cet égard, il est plutôt alarmant de constater que seulement 39% des responsables informatiques interrogés admettent que, pour la protection des terminaux mobiles, le chiffrement des données constitue une méthode bien plus efficace qu’un simple mot de passe. « Malheureusement, trop souvent, les utilisateurs n’emploient même pas de mot de passe du tout. Ou, dans le cas contraire, ils ont tendance à se servir d’un simple code PIN de quatre chiffres au lieu d’un mot de passe complexe, c’est-à-dire composé d’au moins douze signes combinant des lettres, des chiffres et des caractères spéciaux», ajoute à datasecuritybreach.fr David Emm. « L’utilisation d’un tel mot de passe fait gagner un temps précieux à l’entreprise après la perte ou le vol d’un appareil : les données professionnelles demeurent en effet protégées jusqu’à ce que l’employé signale la disparition de l’équipement et que le service informatique efface son contenu. »
L’étude européenne menée par Quocirca, société de recherche et d’édition, à la demande de Nuance, révèle que, malgré l’importance croissante que les entreprises accordent aux systèmes d’impression multifonctions dans le cycle de vie des documents, elles restent exposées à des risques de fuites des données confidentielles. En effet, Data Security Breach a pu découvrir que seules 22 % des entreprises interrogées par Quocirca ont sécurisé leur environnement d’impression et 63 % d’entre elles reconnaissent avoir subi un ou plusieurs cas de pertes de données, alors même qu’elles sont sans cesse plus nombreuses à mesurer les dommages potentiels de l’utilisation abusive ou du vol de données sensibles pour leur réputation et la confiance de leurs clients.
Les résultats de cette étude sont consultables dans le dernier livre blanc de Nuance, intitulé Impression de documents : un faux sentiment de sécurité ?, qui explique aux entreprises et administrations pourquoi et comment s’assurer que leurs activités d’impression sont sécurisées afin de protéger leurs informations confidentielles et celles de leurs clients. Le livre blanc rend également compte que de simples pratiques de sécurisation de l’impression permettent de réduire l’exposition aux risques de fuites de données et de satisfaire aux exigences réglementaires en matière de protection des informations. Nuance recommande même aux entreprises d’inscrire la sécurité des impressions dans sa stratégie plus globale de sécurité de l’information. Afin d’illustrer ces recommandations, le livre blanc comporte deux études de cas d’entreprises du secteur public (le conseil du Comté du Lancashire au Royaume-Uni) et du secteur financier (la banque suisse Graubündner Kantonalbank) utilisant les solutions Equitrac et SafeCom de Nuance pour mieux protéger leurs impressions.
Ce document intervient alors que les entreprises s’efforcent de rationaliser leurs flux de gestion des documents papier (pour gagner en efficacité ou pour se conformer aux obligations légales ou environnementales) et qu’elles se dotent de plus en plus d’imprimantes multifonctions (MFP) et en réseau.
Petites entreprises, grandes menaces : restez informés, restez protégés
