Archives par mot-clé : téléphone

Android, ios, Smartphone, Téléphonie

Espionnage : nouvelle méthode pour écouter sur Android

Un groupe de chercheurs a développé une attaque d’écoute pour les appareils Android qui peut reconnaître le sexe et l’identité d’un appelant, et même faire la distinction entre des propos privés.

L’attaque par canal latéral, baptisée EarSpy, vise à explorer de nouvelles possibilités d’écoute clandestine en capturant les lectures des capteurs de mouvement causées par la réverbération des haut-parleurs dans les appareils mobiles. Des chercheurs en sécurité de cinq universités américaines ont démontré comment des applications malveillantes peuvent également écouter sans avoir accès au microphone.

Comment ? Les smartphones modernes utilisent de puissants haut-parleurs stéréo qui produisent une bien meilleure qualité sonore et des vibrations plus fortes. De même, les appareils modernes utilisent des capteurs de mouvement et des gyroscopes plus sensibles, capables d’enregistrer même les plus petites résonances des haut-parleurs.

Identification à l’oreille !

L’identification du sexe de l’appelant sur le OnePlus 7T variait de 77,7 % à 98,7 %, la classification de l’identification de l’appelant variait de 63,0 % à 91,2 % et la reconnaissance vocale variait de 51,8 % à 56,4 %. Une chose qui peut réduire l’efficacité d’une attaque EarSpy est le volume que les utilisateurs choisissent pour leurs haut-parleurs. Un volume plus faible peut empêcher l’écoute clandestine par cette attaque de canal latéral.

La reconnaissance vocale – c’est-à-dire l’évaluation de ce qui a été dit – est encore trop imprécise à 56,42 % pour enregistrer complètement les conversations. Cependant, les chercheurs en sécurité supposent que cette tâche pourrait également être maîtrisée avec l’utilisation de meilleurs algorithmes – jusqu’à présent, ce sujet n’a fait qu’effleurer la surface.

Téléphonie

Pour quelques dollars des sociétés donnent accés aux données d’internautes aux services secrets US

La société Babel Street est spécialisée dans le marketing digital. Ses outils permettent de suivre les internautes afin de leur proposer des promotions ciblées. L’entreprise a vendu des  informations collectées aux services secrets américains.

Pendant que l’Oncle Sam hurle à qui veut l’entendre que la Chine, la Russie, … sont des adeptes de la surveillance numérique globalisée (ce qui n’est pas faux), la Maison Blanche n’est pas si clean qu’elle tente de le faire croire. Le journal Vice vient d’expliquer comment les services secrets des États-Unis (USSS) ont signé un accord avec la société Babel Street afin d’exploiter les données de géolocalisation proposée par son outil « Locate X« .

Babel Street est un spécialiste du marketing digital. Locate X permet de suivre les déplacements d’un téléphone, et cela de manière anonyme. Un contrat de 2 millions de dollars.

Locate X utilise les informations générées par des applications installées dans les mobiles. Le hic! est que les services secrets américains n’avaient aucune autorisation d’exploiter les données en question. Un contrat d’un an, entre septembre 2017 et septembre 2018.

D’autres agences américaines ont acquis le même type de « technologie » comme celle de la société Venntel explique le Wall Street journal.

De quoi regarder la moindre application proposant une géolocalisation d’un autre œil.

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, Mise à jour, Particuliers, RGPD, Sauvegarde, Sécurité, Securite informatique, Smartphone, Téléphonie

Des millions de SMS retrouvés dans un cloud de la société Voxox

Un chercheur en sécurité révèle que la société Voxox a exposé des dizaines de millions de SMS en le stockant sur un serveur cloud non protégé.

Voxox est une société de communication VoIP. Une sorte de Skype allemand. Voxox a oublié les bases de la sécurité du cloud. Bilan, ce fournisseur de services vocaux et SMS a exposé des données sensibles telles que les codes 2FA, les mots de passe en texte clair, les numéros de téléphone, les codes de réinitialisation de mot de passe, les notifications d’expédition et les codes de vérification à un accès public. C’est un chercheur en sécurité basé à Berlin, Sébastien Kaul, qui a découvert la faille via le moteur de recherche spécialisé dans la sécurité informatique, Shodan. La base de données de messages SMS identifiée par Kaul est facilement accessible. Elle offre une vue presque en temps réel des informations transitant par la passerelle SMS de Voxox. Comment est-ce possible ? La société américaine n’a pas protégé son serveur … avec un mot de passe. No comment !

Avant sa fermeture, plus de 26 millions de messages texte stockés dans la base de données. Cependant, il semble tout à fait probable que le chiffre soit plus important. Le volume de messages étant énorme, chaque minute. Il est à noter que chaque enregistrement a été étiqueté et détaillé avec précision. Il incluait le numéro de contact du destinataire, le client Voxox qui avait envoyé le message et le contenu du message. (TechCrunch)

Cyber-attaque, Cybersécurité, DDoS, Mise à jour, Piratage, Sécurité, Smartphone

Les Hauts de France, une région infestée de zombies ?

Un commentaire
Révélation sur les villes et régions qui concentrent le plus de botnets et donc de machines-zombies en France.

L’éditeur américain de solutions de sécurité informatique, Symantec, a publié lors du lancement des Assises de la Sécurité un rapport mettant en lumières quelles régions et quelles villes en France avaient concentré l’an passé le plus de botnets, ces réseaux de machines zombies, que celles-ci soient des PCs, des Macs, des smartphones, tablettes ou d’autres objets connectés.

Contrôlées à distance par des cybercriminels et faisant partie d’un botnet, ces machines zombies sont utilisées pour réaliser des attaques par déni de services (ou DDoS – des attaques qui ont pour objectif de rendre indisponible un site Internet), envoyer du spam, perpétrer des fraudes au clic ainsi que de nombreux actes de cyber-crime, à l’insu du propriétaire du terminal infecté. Ces botnets, disponibles à la location sur des forums spécialisés et sur le darknet, peuvent coordonner des millions de terminaux connectés pour des attaques massives et coordonnées.

La France est le 5ème pays le plus hospitalier pour les zombies de la région EMEA, représentant plus de 7 % de la totalité des bots, et le 9ème au monde. « Les Hauts de France est la troisième région française la plus infestée en zombies, représentant 7,77 % du nombre total de bots en France, avec Lille comme principal foyer de zombies (4,16 % de la population nationale) » explique Laurent Heslault de chez Norton by Symantec. L’Île-de-France reste cependant la région où l’on trouve le plus de zombies, représentant 51,7 % du nombre total de bots du pays, avec Paris comme ville la plus infectée avec 26 % du nombre total de bots du pays. Pounic, 0,829%.

Les trois autres régions françaises les plus peuplées en zombies sont le Grand Est avec 8,92 % (Strasbourg avec 4,34 %), la région PACA avec 6,42 % (Marseille avec 2,49 %) et la région Auvergne-Rhône-Alpes totalisant 6,04 % (Lyon avec 3,97 %). Si l’on ramène les chiffres régionaux à la population connectée, la France se classe en 24ème position : l’internaute français court un risque sur 3 609 d’être un zombie (ou du moins l’un de ses terminaux).

Les meilleures destinations zombies dans la région
Si, parmi les destinations de longs week-ends, Istanbul arrive en tête des destinations zombies, avec plus de 11 600 bots détectés, les villes préférées des français sont bien souvent également celles des bots : Rome arrive au 3ème rang, Budapest au 4ème et Madrid au 8ème, offrant à l’Espagne la 6ème place du pays. Chacune d’entre elles abrite par ailleurs plus de la moitié des machines zombies recensées dans leur pays respectif.

La Turquie, l’Italie et la Hongrie dans le peloton de tête
La Hongrie figure dans le top 10 de tous les classements : nombre de bots total dans le pays (3ème) et les villes (Budapest et Szeged respectivement 4ème et 5ème), et proportion de machines-zombies par internaute (1er). Les bots y sont par ailleurs géographiquement très concentrés puisque Budapest et Szeged totalisent 93 % de ces infections dans le pays. Un internaute hongrois sur 393 utilise par ailleurs un terminal qui fait partie d’un botnet.

L’Italie arrive en 2ème position en raison du nombre élevé et de la forte concentration de machines zombies à Rome, qui représente 75 % de la population de bots totale de la … Botte (!).

La Turquie, qui a été la cible de plusieurs attaques par des groupes d’hacktivistes en 2015, concentre, et de loin, le plus grand nombre de bots, avec un nombre d’infections deux fois plus élevé que le second pays. Au 4ème rang mondial pour ce type de menaces, la Turquie héberge 18,5 % des bots de la zone EMEA, et 4,5 % au niveau mondial. En ramenant ces statistiques à la taille de la population connectée (la 7ème de la région), l’étude montre qu’un internaute turc a un risque sur 1 139 d’utiliser une machine-zombie. Par ailleurs, les machines zombies sont particulièrement urbaines, avec 97 % d’entre elles se trouvant entre Istanbul et Ankara. Ces deux villes en totalisent d’ailleurs plus que l’ensemble de l’état d’Israël.

En dépit des nombreuses escroqueries dites « à la nigériane », le Nigeria ne figure qu’au 94ème rang du nombre de bots par internaute1, avec une machine-zombie pour 2,1 millions d’internautes. D’une façon générale, les pays d’Afrique concentrent moins de bots par internaute que l’Europe occidentale ou le Moyen-Orient.

Si l’on considère le nombre de bots en le comparant au nombre d’internautes de chaque pays, on détermine le risque qu’encourt chaque internaute d’utiliser une machine – zombie. Sur ce critère, c’est la Hongrie et Monaco qui occupent la tête du classement. Les Hongrois ont un risque sur 393 d’avoir un terminal utilisé par ailleurs par des cybercriminels pour lancer des attaques ou diffuser du spam et les Monégasques un sur 457.

Cybersécurité, Justice, loi, Téléphonie

Walking dead

Walking dead – Risque d’amende et de prison pour les piétons qui utilisent leur smartphone, en marchant, dans la rue.

Certaines lois américaines, celles prodiguées par les états, font parfois sourire. Certaines inquiètent. Par exemple dans l’Etat d’Alabama, il est  interdit de conduire une voiture avec les yeux bandés. Dans la ville de Glendale (Arizona), il est illégal de conduire en marche arrière. Pire, en Californie, et plus précisément à Los Angeles, un homme peut légalement frapper sa femme avec une ceinture de cuir. Attention, elle ne doit pas dépasser 2 pouces de large, sauf… avec l’autorisation de sa femme. Bref, la proposition de loi faite dans le New Jersey, il y a quelques jours, risque de rejoindre ce nid d’obligation bien difficile à tenir.

Walking dead

La député Pamela Lampitt voudrait punir les marcheurs, dans la rue, qui utilisent leur smartphone pour envoyer des textos. Elle souhaite aussi que soit interdit tout appel dans la rue, sauf si le piéton possède un kit main libre. Le contrevenant risquera 50 dollars d’amende ou 15 jours de prison. La politique explique sa proposition à la lecture du nombre croissant de décès de piéton. 11% en 2005 ; 15% en 2014. Lampitt indique que la mesure est nécessaire pour dissuader et sanctionner les « comportements à risque ». Elle cite aussi un rapport du Conseil national de sécurité qui affiche les incidents visant des piétons distraits par leur téléphone : environ 11,100 blessures de 2000 à 2011.

A Haiwaï, les piétons risqueront 250 $ si ces derniers traversent un passage clouté avec son téléphone à la main. Au cours des dernières années, des projets de loi similaires ont échoué en Arkansas, Illinois, Nevada ou encore New York.

Android, Chiffrement, Cybersécurité, Entreprise, ios, Sauvegarde, Smartphone, Téléphonie, Windows phone

Le smartphone, nouvelle identité numérique

Le smartphone pourrait-il devenir la nouvelle identité numérique permettant d’accéder à la fois aux données et aux bâtiments ? La réponse est oui : l’accès mobile est très en vogue. Plusieurs grandes entreprises sont prêtes à sauter le pas, de même pour les PME.

Le champ d’application des smartphones ne cesse de s’élargir. L’accès mobile, quoique récent, prend de plus en plus d’importance le domaine d’activité. Les smartphones peuvent ainsi servir d’identités numériques pour accéder aux bâtiments, aux systèmes informatiques et autres applications. Ce sont les nouvelles technologies d’accès mobile et les standards de communication, comme NFC et Bluetooth Smart, qui rendent cela possible. Dans ce cadre, les identités numériques de nouvelle génération offrent même une plus grande sécurité que de nombreuses cartes conventionnelles, le cryptage de leurs transmissions n’ayant pas encore été compromis. L’accès mobile signifie que les clés, les cartes et autres jetons sont intégrés dans les smartphones, les tablettes et autres objets connectés à l’instar de l’Apple Watch.

De nouvelles opportunités s’ouvrent également au sein des PME au sein desquelles l’utilisation des smartphones ne cesse de se développer. La tendance BYOD a accéléré la pénétration des smartphones dans la sphère professionnelle et lorsqu’un smartphone est utilisé au quotidien le chemin vers la solution d’accès mobile n’est pas long. Pour l’administrateur il s’agit cependant de trouver des solutions et de gérer un parc souvent hétéroclite.

Les avantages d’une stratégie d’accès mobile sont clairs. Les économies découlent de la numérisation intégrale des processus évitant la commande et l’impression des nouvelles cartes tout en rationalisant les flux. Ainsi, par exemple, il n’est plus nécessaire de disposer de différents processus pour l’émission et l’administration d’identités distinctes servant à l’accès informatique et au contrôle d’accès.

Identité numérique

Alliant sécurité et convivialité, une solution d’accès mobile peut marquer des points. La caractéristique clé des smartphones réside dans leur capacité de mise en œuvre de mesures de sécurité intégrées. Citons notamment le cryptage des données ou l’utilisation de procédures biométriques avec des empreintes digitales. L’application d’accès peut fonctionner en outre dans un sandbox dédié, ce qui permet de garantir qu’aucune autre application ne puisse accéder à des informations d’authentification ou d’accès confidentielles. Notamment en cas de perte, il doit être possible de révoquer à distance les données qu’il contient. Cette multitude de fonctions de sécurité permet d’assurer un niveau élevé de protection des données, ce qui répond justement aux exigences des entreprises de taille moyenne. Le confort des différents collaborateurs s’en trouve amélioré, ces derniers n’ayant plus à transporter de cartes et de clés, et à se souvenir de leurs nombreux codes ou mots de passe. Pour certaines applications comme le parking, il peut également bénéficier d’une distance de lecture pouvant aller jusqu’à plusieurs mètres.

La condition pour la mise en œuvre d’une solution d’accès mobile est la mise en place d’une infrastructure avec une gestion d’identité numérique et d’accès sécurisée et généralisée. Dans ce domaine, HID Global propose des lecteurs compatibles avec ces identités mobiles dont les fonctionnalités peuvent bénéficier de mises à jour et d’un portail sur le Cloud pour l’administration de ces mêmes identités numériques.

Les solutions d’accès mobiles sont clairement tendance et cette évolution n’épargnera pas les PME. En fin de compte, les solutions d’accès mobiles, et donc de l’identité numérique, ouvriront la voie à une nouvelle conception de la gestion des identités, démarche où le service sera très présent. (Par Yves Ackermann, Directeur Segments Stratégiques Europe, HID Global)

BYOD, Cybersécurité

Ecoles, iPhones et objets connectés : nouveaux territoires de chasse pour les pirates

WatchGuard Technologies, un grand spécialiste des boîtiers de sécurité réseau intégrés multifonctions, annonce une série de dix prédictions en matière de cyber sécurité en 2016, qui comprennent entre autres l’arrivée de nouveaux ‘ransomwares’ ciblant des plates-formes alternatives ; et de nouveaux territoires de chasse pour les criminels en quête de vols d’identités.  

Le panorama des menaces de sécurité est en évolution constante, les cyber criminels déployant des méthodes à la fois anciennes et nouvelles pour étendre leur emprise, contaminer les utilisateurs et avoir accès à des données de valeur,” a déclaré Corey Nachreiner, le Directeur Technique chez WatchGuard. “Pour améliorer leurs défenses, nous recommandons à nos clients de suivre les meilleures pratiques en matière de sécurité ; de former leurs employés aux menaces et aux techniques d’attaques ; et de déployer les technologies de sécurité réseau les plus récentes afin qu’ils puissent identifier en temps réel et adresser la majorité des attaques que nous anticipons en 2016.

1.      Les Ransomwares Atteignent de Nouvelles Plates-formes
Les ransomwares ont grandi, avec de nouveaux malwares d’encryptage si puissants que beaucoup de victimes ont dû payer une rançon en 2015. Jusqu’à présent, les ransomwares ciblaient principalement Windows. L’année prochaine nous prévoyons que les cyber criminels vont développer des ransomware très efficaces pour des nouvelles plates-formes, dont les terminaux mobiles sous Android et les ordinateurs portables Apple.

2.      La crédulité Humaine Reste la plus Grande Menace:
Les failles de sécurité les plus récentes ont une chose en commun, elles ont toutes commence par le harponnage d’un utilisateur. Les cyber criminels ciblent des utilisateurs spécifiques avec des techniques de persuasion étudiées pour les inciter à délivrer leurs privilèges d’accès. Nous recommandons la mise en place d’un budget dédié consacré à la formation des employés à la détection des menaces, incluant les plus récentes techniques de persuasion.

3.      Les Failles de Sécurité des PME Reviennent aux Fondamentaux
La majorité des attaques réussies – spécialement celles qui ciblent les petites entreprises – exploitent des vulnérabilités de base. Excepté quelques cyber criminels adeptes de techniques sophistiquées, la plupart des attaques dans les PME exploiteront des manquements aux bonnes pratiques de sécurité de base. C’est un aspect positif. Si les entreprises mettent un point d’honneur à respecter les meilleures pratiques de sécurité les plus basiques, elles éviteront la majorité des attaques en 2016.

4.      Les Malwares sur iOS vont Augmenter
La stratégie de plate-forme ouverte de Google s’est traduite par un plus grand nombre de menaces contre Android que contre iOS d’Apple. Mais l’année dernière, des cyber criminels ont infecté la plate-forme de développement d’Apple. Nous pensons qu’ils continueront à exploiter cette faille pour glisser des malwares dans la boutique d’applications officielle d’Apple. L’année prochaine, nous assisterons à plus de lancements d’attaques ciblant iOS.

5.      Les Publicités Malveillantes Prolifèrent grâce à l’Encryptage
Les publicités malveillantes, ou ‘malvertising’, qui combinent une annonce publicitaire et un malware, sont un nouveau type d’attaque dans lequel des cyber criminels piègent un site web de bonne réputation avec un code malicieux en le glissant dans une publicité. Certains services et produits sont mieux armés pour détecter des publicités malveillantes, mais les criminels contre attaquent. En 2016, nous prévoyons que le nombre d’attaques de ce type va tripler, et qu’elles réussiront plus souvent via l’utilisation de HTTPS. Pour les entreprises qui ne disposent pas de systèmes de sécurité capable de contrôler HTTPS, nous recommandons une mise à niveau aussi vite que possible.

6.      L’Automatisation Fait Avancer la Sécurité d’un Grand Pas
Les attaques automatisées d’aujourd’hui parviennent à esquiver les défenses traditionnelles. Les solutions basées sur des signatures ne sont plus efficaces. Des analystes sont toujours capables d’identifier de nouvelles menaces en contrôlant des comportements suspects, mais les cyber criminels diffusent un tel volume de nouvelles menaces que l’esprit humain ne peut plus suivre le rythme. La solution ? L’Intelligence Artificielle et des machines qui apprennent continuellement et peuvent reconnaître et suivre des comportements malicieux. Les entreprises doivent s’orienter vers des défenses proactives, avec des technologies telles qu’APT Blocker qui identifie automatiquement des menaces et des malwares en fonction de comportements en non plus de signatures statiques.

7.      Les Cyber Criminels Retournent à l’Ecole pour Récupérer des Données
La sécurité de l’information est entièrement consacrée à la protection des données, donc les informations d’identification personnelle, ou identifiants nécessaires pour voler des données fournissant une identité complète sont de grande valeur. La quantité de données collectées sur nos enfants alors qu’ils sont étudiants est énorme et leurs bilans de santé sont parmi les éléments les plus intéressants à détourner. Ceci, combiné avec les environnements réseau ouverts que l’on trouve généralement dans les établissements universitaires, est la raison pour laquelle nous pensons que les systèmes informatiques des écoles et universités vont devenir la cible des cyber criminels. Aux organisations dans ce secteur, nous recommandons de mieux protéger leurs serveurs de base de données et de contrôler attentivement les applications web qui sont liées aux informations personnelles des étudiants.

8.      Les Firmwares Piratés Attaquent l’Internet des Objets
Lorsqu’un hacker pirate un ordinateur, son but est de s’assurer que son code malicieux reste sur la machine. En revanche, pirater l’Internet des Objets est une tout autre chose. La plupart des objets connectés n’ont pas de système de stockage interne et ont peu de ressources, donc les contaminer suppose de modifier leur firmware. L’année prochaine, nous prévoyons l’apparition d’attaques exploratoires visant à modifier et pirater en permanence le firmware d’objets connectés. En réponse, les fabricants devraient commencer à renforcer la sécurité de leurs objets en y intégrant des mécanismes sécurisés rendant plus difficile la modification de leur firmware par des attaquants. Nous recommandons aux fabricants de s’y intéresser activement.

9.      Les Fonctions de “Simplicité d’Utilisation” des Réseaux WiFi Ouvrent la Voie à la Prochaine Grande Faille de Sécurité
La prochaine vulnérabilité majeure des réseaux sans fil profitera de leurs fonctions de « simplicité d’utilisation » allant à l’encontre de la sécurité. Par exemple, la fonction Wi-Fi Protected Setup (WPS) en fait partie, en introduisant une faiblesse permettant à des attaquants de rentrer sur des réseaux WiFi. Cette année, les équipementiers réseau vont introduire de nouvelles fonctions de ce type, telles que Wi-Fi Sense de Microsoft. Nous pensons que la prochaine grande faille de sécurité des réseaux WiFi va profiter d’une telle fonction qui permet aux utilisateurs, et aux hackers, de rentrer facilement sur un réseau sans fil.

10.  Les Hacktivistes Piratent les Médias TV
A la différence des cyber criminels, qui restent sous le radar, les hacktivistes, c’est à dire les hackers à motifs politiques, aiment communiquer des messages choc conçus pour attirer l’attention du public. L’objectif majeur du cyber activisme est d’utiliser la technologie pour faire en sorte qu’un maximum de personnes remarque leur message, quel qu’il soit. Les vidéos des Anonymous sont un très bon exemple de ce type d’action. L’année prochaine, nous prévoyons une action de grande ampleur de ce type.

Argent, Arnaque, Cybersécurité, escroquerie, Justice, loi, Particuliers, santé, Social engineering

Escroquerie à la mort

Connaître le décès d’une personne permet à des escrocs d’appeler les familles pour espérer les piéger.

Des escrocs se font passer pour des associations de généalogie afin de soutirer de l’argent aux familles d’un défunt. L’idée est malheureusement terriblement efficace. D’abord, l’escroc collecte les identités des personnes décédées. Il suffit de faire une revue de presse des quotidiens locaux, voir des journaux municipaux, pour trouver les informations de base.

Ensuite, les voleurs font un environnement de la famille. Les escrocs inscrivent toutes les informations qui serviront ensuite à convaincre l’interlocuteur qu’ils contacteront par téléphone. Ils expliquent être mandatés par un avocat, un notaire ou une association de généalogie, comme ces cas révélés en Picardie.

L’excuse des voleurs, le défunt aurait souscris une assurance vie. Bien entendu, si le cas vous touche, ne fournissez AUCUNES informations bancaires. Demandez un numéro de téléphone pour rappeler. Attention ! Les escrocs peuvent vous fournir un 0899 (numéro surtaxés). Refusez aussi !

Chiffrement, cryptage, Cybersécurité, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, Particuliers

Les espions britanniques… espionnent des ressortissants américains

Le site Cryptome annonce que les espions britanniques du GCHQ ont surveillé les américains qui venaient consulter l’ancêtre de wikileaks.

Pour faire simple, Cryptome est le papa de wikileaks. Depuis plus de 15 ans, Cryptome diffuse des informations qui lui sont transmissent et qui relatent des documents du FBI, CIA, Services secrets de la planéte et autres documentations liées aux droits de l’homme. Cryptome vient s’expliquer, dans un article baptisé « GCHQ Illegal Spying in US » que les grandes oreilles britanniques ont espionné les internautes américains venus se renseigner sur l’espionnage dans le monde, et plus précisément celui mis en place par l’Oncle Sam. Une attaque MITM, Man-In-The-Middle, qui semble avoir permis au GCHQ de tracer les internautes venus se renseigner.

Cette opération de surveillance de masse –  baptisée Karma Police – a été lancée par des espions britanniques il y a environ sept ans. Un espionnage sans aucun débat public, ni examen politique. Un espionnage de l’Internet mondial mis en place  par l’agence des écoutes électroniques du Royaume-Uni, le Government Communications Headquarters (GCHQ). De nouveaux documents tirés des fichiers volés par Edward Snowden, ancien analyste de la NSA, ont été diffusés par The Intercept.

Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Justice, Leak, loi, Mise à jour, Paiement en ligne, Piratage, Sécurité

Mot de passe inchangé : les sociétés de maintenance responsables

2 commentaires

Pour ne pas avoir formé et informé son client sur la bonne gestion de ses mots de passe, une société de maintenance condamnée en France.

Le site Legalis est revenu, dernièrement, sur l’arrêt de la cour d’appel de Versailles et du tribunal de commerce de Nanterre. Ce dernier a jugé qu’une société en charge de la maintenance informatique d’une entreprise avait pour obligation de sensibiliser son client à la sécurité informatique et à la bonne gestion de ses mots de passe. Le professionnel de l’informatique n’avait pas sensibilisé son client à la nécessité de changer le mot de passe de son PABX (Private Automatic Branch eXchange), un standard  téléphonique informatisé.

Bilan, le tribunal a considéré qu’il y avait une faute par négligence. Le client était dans une situation de grande vulnérabilité en raison d’un mot de passe faible. Tout avait débuté après le piratage d’un loueur de véhicules. Son standard avait été piraté. Le PABX avait été exploité par un pirate après avoir trouvé le mot de passe de ce dernier, un mot de passe usine (0000) qui n’avait jamais été changé. 12,208€ avaient ainsi été perdus par le loueur.

Le tribunal a obligé la société de maintenance à payer la somme. « Il revient à l’utilisateur de gérer la sécurité de son matériel, à condition toutefois qu’il ait été informé de cette nécessité et qu’on lui ait montré comment procéder » indique Legalis. Il incombait au prestataire des missions d’information, d’assistance et de formation ainsi qu’une visite annuelle de vérification de l’état de sécurisation de l’installation téléphonique, et donc de faire changer, régulièrement le dit mot de passe.

Des attaques fréquentes
Début février 2015, des pirates informatiques, spécialisés dans la téléphonie (des phreakers, NDR), avaient utilisé ce fameux mot de passe usine pour piéger le standard de la mairie de Licques. Le pirate avait ensuite permis à des tiers de téléphones vers l’île de l’Ascension, au sud de l’Équateur. En 2013, ce fût la Mairie de Pessac à se retrouver avec une facture de 15.000€. Dans le Nord de la France, l’école de musique municipale d’une ville de la banlieue de Lille se retrouvait, elle aussi, avec une fuite téléphonique dés plus couteuse. Même sanction pour une entreprise du Pays châtelleraudais. Début mars 2015, la société a découvert, via sa facture téléphonique, qu’un malveillant était passé dans ces autocommutateurs afin d’obtenir un accès gratuit au réseau téléphonique. Les Cyber Gendarmes enquêtent.

 

Banque, escroquerie, Phishing, Social engineering

Prudence au Phone phishing

Un commentaire

Des pirates informatiques, se faisant passer pour votre banque, n’hésite pas à vous appeler au téléphone pour se faire passer pour votre conseiller financier.

Deux personnes âgées, basées dans le centre-ouest de la France, viennent de faire les frais d’une technique bien rodée, le voice phishing ou phone phishing. Les deux victimes vivent à Thouars et à Nueil-les-Aubiers dans le 79. Étonnamment, les escrocs ont attaqué deux clients de la même agence bancaire. Les pirates, dans ce cas, ne se sont pas fait passer pour la banque mais pour l’opérateur Orange. L’excuse, une mise à jour des informations bancaires des interlocuteurs.

Attention, Data Security Breach des preuves de la même attaque sous forme d’appel de conseillers financiers. La technique est la suivante. Une personne vous contacte en expliquant qu’il vous reste de l’argent sur un compte bancaire. Le pirate indique alors que cet argent peut vous être transféré. Malin, l’escroc connait l’identité et le téléphone de sa victime. Si ce dernier a repéré la banque du « poisson », un jeu d’enfant pour continuer son piège. Il indique, au téléphone, les 4 chiffres qui seraient les premiers nombre de la carte bancaire de la personne contactée par téléphone. Ici, le piège se referme sur la potentielle victime.

Les 4 premiers chiffres, tout le monde peut les connaitre. D’abord, la carte, une Visa ou une MasterCard ? Si le premier chiffre est 5, vous n’avez pas le propriétaire d’une carte Visa (4), mais d’une MasterCard. Les trois chiffres suivants correspondent à la « marque » de l’entreprise bancaire éditrice de la CB : BNPParibas : 974 ; Caisse d’épargne : 978/927 ; La Poste : 970 ; Crédit lyonnais : 972 ; Sofinco : 976 ; La Bred : 975 ; Société Générale 973 ; Auchan/Accord : 032 ; Crédit Mutuel : 132. Si le premier chiffre est 5, vous n’avez pas une carte Visa (4), mais MasterCard.

Bref, vous comprenez ainsi le tour de passe-passe qui pourrait en bluffer plus d’un. Prudence donc et retenez une seule chose : On ne donne aucune information par téléphone.

 

Chiffrement, cryptage, Cybersécurité, Identité numérique, Justice

DGSI, les oreilles du coq Gaulois

Depuis vendredi 2 mai, l’Etat Français dispose d’une nouvelle arme de dissuation électronique baptisée DGSI. Le journal officiel présente la Direction Générale de la Sécurité Intérieure (DGSI) comme ayant pour mission « la surveillance des communications électroniques et radioélectriques« . Une nouvelle direction qui avait été annoncée par le Ministre de l’Intérieur Emmanuel Valls, en juin 2013.

« Les menaces auxquelles est exposé le pays nécessitent une action déterminée de l’Etat qui doit se doter de moyens performants de prévention et de répression de toute forme d’ingérence étrangère, d’actes de terrorisme, d’atteintes à la sûreté de l’Etat, à l’intégrité du territoire, à la permanence des institutions de la République et aux intérêts fondamentaux de la France. » explique le site Gouvernement.fr. C’est dans cette perspective qu’est créée la direction générale de la sécurité intérieure.

Dans son decret n° 2014-445 (du 30 avril 2014) on apprend que la DGSI est rattachée au Ministére de l’Intérieur. La DGSI remplace la DCRI, fusion de la DST et des RG. Dorénavant, la Dame est chargée « sur l’ensemble du territoire de la République, de rechercher, de centraliser et d’exploiter le renseignement intéressant la sécurité nationale ou les intérêts fondamentaux de la Nation« . Bref, nos services de renseignements intérieurs passent en mode 2.0 pour la sécurité des Français et des entreprises hexagonales. La DGSI va pouvoir, officiellement, mettre sur écoute téléphone, Internet, et les réseaux qui devront être surveillés. Bien entendu, la justice donnera son feu vert (ou non). La DGSI devra faire ses demandes auprès de la Commission nationale de contrôle des interceptions de sécurité (CNCIS).

Dans son article 2, le décret explique qu' »Au titre de ses missions, la direction générale de la sécurité intérieure pour assurer la prévention et concourt à la répression de toute forme d’ingérence étrangère ;

Concourir à la prévention et à la répression des actes de terrorisme ou portant atteinte à la sûreté de l’Etat, à l’intégrité du territoire ou à la permanence des institutions de la République ;

Participer à la surveillance des individus et groupes d’inspiration radicale susceptibles de recourir à la violence et de porter atteinte à la sécurité nationale ;

Concourir à la prévention et à la répression des actes portant atteinte au secret de la défense nationale ou à ceux portant atteinte au potentiel économique, industriel ou scientifique du pays ;

Concourir à la prévention et à la répression des activités liées à l’acquisition ou à la fabrication d’armes de destruction massive ;

Concourir à la surveillance des activités menées par des organisations criminelles internationales et susceptibles d’affecter la sécurité nationale ;

Concourir à la prévention et à la répression de la criminalité liée aux technologies de l’information et de la communication ».

432 agents devraient constituer, d’ici 2018, cette nouvelle Direction. A ce rythme là, la DGSI et la DGSE devrait fusionner d’ici quelques mois, histoire de partager les coûts, les moyens et les techniciens.

Cybersécurité, escroquerie, Fuite de données, Social engineering, Téléphonie

Vishing : un coup de fil qui ne vous veut pas du bien

Un commentaire

Les escrocs s’attaquent à notre porte-monnaie via le téléphone. La gendarmerie nationale décide de lancer l’alerte auprès des Français, cibles potentielles de cette escroquerie qui gagne du terrain. Compte tenu de la méfiance des internautes face au phishing, les cybers fraudeurs s’attaquent maintenant à des victimes par l’entremise du vishing appelé aussi hameçonnage vocal. Le vishing est l’utilisation de la technologie VoIP (voix sur IP) dans le but de duper quelqu’un en lui faisant divulguer de l’information personnelle et/ou financière.

Les fraudeurs ont plusieurs méthodes d’attaques. « Un automate téléphonique est utilisé pour contacter les victimes potentielles en composant au hasard des numéros de téléphone fixe dans une région géographique déterminée » explique la Gendarmerie Nationale. Lorsque la victime potentielle décroche, un message préenregistré supposé provenir de sa banque la prévient que des opérations inhabituelles ont été récemment effectuées sur son compte bancaire. Elle est par la suite invitée à composer un numéro de téléphone généralement surtaxé pour vérifier la situation de ce dernier. Ce numéro correspond à une boîte vocale, un message demande alors à la victime de fournir ses identifiants bancaires (les 16 chiffres et la date de validité de sa carte bancaire). Ces informations pourront ensuite être utilisées pour effectuer des achats frauduleux sur Internet.

Une autre possibilité d’attaque par le biais d’un appel vers une victime potentielle. L’escroc se fait passer pour quelqu’un du département de sécurité Visa, Master Card ou simplement de son établissement bancaire. Elle lui signale que sa carte de crédit a été utilisée pour un achat plus que douteux et lui demande si elle est à l’origine de cette opération. « Sa réponse étant négative, elle lui attribue un numéro de contrat de fraude, donnant ainsi à l’appel un aspect réaliste, puis lui demande de communiquer les coordonnées de sa carte bancaire afin de vérifier qu’elle est toujours en sa possession. Une fois la conversation terminée, la personne ajoute n’hésitez pas à nous rappeler si vous avez d’autres questions et raccroche. » explique les militaires.

Pour se protéger, comme pour les cas de phishing web, il faut juste se dire que votre banque, votre FAI, les Impôts, la CAF… ne vous réclameront jamais vos informations bancaires par téléphone. Un commerçant « légitime » vous réclame vos données par téléphone, refusez. Dans tous les cas, votre signature (et un temps de réflexion dans le cas d’un achat, ndr) pour un achat est obligatoire. Les fraudeurs jouent sur une vulnérabilité psychologique du consommateur en créant en lui un stress et un faux sentiment d’urgence lié à la possibilité d’avoir été fraudé. « Si un message vous demande de rappeler tel numéro, ne le composez pas. Prenez le temps de retrouver le véritable numéro de téléphone qui vous a été donné par l’émetteur de votre carte de crédit et utilisez le » terminent les gendarmes. En cas de fraude, il ne vous reste plus qu’à alerte votre banque et déposer plainte dans les plus brefs délais, que ce soit auprès d’un NTECH (cyber gendarme) ou un OPJ dans un commissariat central habilité à prendre une plainte liée aux fraudes aux nouvelles technologies.

Attention à vos standards téléphoniques
Certains pirates informatiques spécialisés dans la téléphonie, baptisée les phreakers, s’intéressent aux standards téléphoniques et autres PABX. Un détail juridique devrait intéresser les administrateurs. Le site Legalis revient sur un arrêt du 25 mars 2014 de la cour d’appel de Versailles. Le tribunal a condamné une société de maintenance « pour avoir manqué à ses obligations contractuelles en ne donnant pas les moyens à son client d’éviter le piratage de communications téléphoniques dont il a été victime. Un nombre élevé d’appels injustifiés à destination du Timor oriental avait été constaté« . L’installation téléphonique avait été piratée grâce au mot de passe « usine » du système, soit les mythiques 0000.

Espionnae, Sécurité, Smartphone

Vos doigts sont des mouchards

Une étude effectuée par des chercheurs de l’Université de Stanford indique que nos doigts et notre position de main sur nos smartphones pourraient servir à nous surveiller. Nous savions déjà que le micro et le haut-parleur d’un téléphone portable permettait d’identifier l’appareil. Voici une nouveauté dans l’identification. Le chercheur Hristo Bojinov, du Stanford Security Lab, explique à Mashable que son équipe a découvert que tous les capteurs de mouvement possèdent de petites anomalies qui pourraient être exploités pour nous espionner.

Ces anomalies permettraient de tracer nos précieux devenus uniques, et donc identifiables. « Le capteur de mouvement et le navigateur standard suffisent à identifier les appareils mobiles lorsqu’ils sont connectés à internet. Ils relient les données du capteur de mouvement au code des pages web visitées. »

Pour le chercheur, cette possibilité est infaillible et non contrôlable par les utilisateurs. Les universitaires ont réalisé un site web capable de jouer avec cette possibilité. Une annonce qui permet à Bojinov de faire causer de sa startup Anfacto, qu’il a monté avec les autres éditeurs de cette étude, Dan Boneh, Yan Michalevsky et Gabi Nakibly.

Cybersécurité, Téléphonie

Le piratage des réseaux téléphoniques : un réel danger pour les entreprises françaises

Les malversations téléphoniques représentent un phénomène récurrent. Le montant estimé des pertes, en 2011, liées à des piratages de PBX a été chiffré par Orange. Montant : 4,96 milliards de dollars. Les fraudes à la messagerie vocale sont lancées à partir de Cuba, Somalie, Sierra Leone, Zimbabwe, Lituanie ou encore l’Autriche.

Le montant d’un piratage télécom d’une entreprise en France peut s’élever jusqu’à 600.000 euros, et ce phénomène grandit au fil des années. Concrètement, Il s’agit pour le pirate de prendre le contrôle du serveur de téléphonie (l’autocommutateur ou PABX) de l’entreprise cible. Cette prise de contrôle à distance permettra de générer des appels vers des numéros surtaxés. Chaque appel généré par le pirate sur ses numéros surtaxés lui permettra de percevoir une rémunération. Avec Internet et les nouvelles technologies de l’information et communication, pirater est devenu beaucoup plus facile : un ordinateur simple et quelques tutos en ligne suffisent. Il existe des solutions pour se sécuriser, dont des Firewalls voix pour lignes téléphoniques et VoIP. Ils permettent la détection en temps réel des attaques relevant de la fraude téléphonique, des utilisations abusives des numéros surtaxés et payants, ainsi que les dénis de services téléphoniques.

Des attaques DDoS contre les lignes empêchant l’émission et la réception d’appels. « Toutes les semaines, nous recevons des appels d’entreprises victimes de piratage, dont les pertes atteignent plusieurs dizaines de milliers d’euros en moyenne… », déclare à Data Security Breach Stéphane Choquet, Directeur Général de Checkphone.

*Chiffres : Source Orange Business Services (http://oran.ge/14IczSy)