Un botnet de 777.000 PC démantelé

Encore une fois, l’opération a été menée conjointement par Interpol et des acteurs privés de la sécurité informatique comme Kaspersky Lab et Trend Micro. Simda était présent dans plus de 770.000 PC dans 190 pays. Dix serveurs de commande et contrôle ont été saisis aux Pays-Bas, mais des équipements contrôlant ce botnet ont été démantelés aux États-Unis, en Russie, au Luxembourg et en Pologne.

Kaspersky explique que Simda était actif depuis fin 2012 et utilisé pour distribuer de manière décentralisée des malwares divers et variés notamment destinés à détourner (c’est original) des données bancaires. Il s’incrustait dans Windows via une modification des fichiers HOSTS permettant de faire passer pour légitimes des sites Web qui ne l’étaient pas.

Afin de vérifier si votre PC fait ou faisait partie du botnet Simda, Kaspersky a mis en ligne cette page : http://www.generation-nt.com/simda-botnet-malware-interpol-microsoft-kaspersky-trend-micro-actualite-1914093.html

Cette nouvelle victoire illustre l’efficacité des actions internationales et coordonnées public/privé. D’ailleurs dès 2010, le Clusif faisait état des progrès accomplis dans la lutte contre les botnets, grâce notamment à l’implication de différents acteurs clés de l’Internet, et notamment des opérateurs télécoms.. [Lire la suite]

Réagissez à cet article

Et si le Sénat obligeait Le Bon Coin à déclarer au fisc les produits vendus

Les vives protestations d’Axelle Lemaire n’y auront rien changé. Vendredi matin, les sénateurs ont refusé de supprimer l’article 23 quater du projet de loi numérique qui avait été ajouté en commission des finances du Sénat, qui obligera toutes les plateformes web à déclarer au fisc l’ensemble des « revenus bruts » perçus par un utilisateur à travers les servives qui y sont offerts.

Cela vise par exemple les petites annonces intégrées à Facebook, les chambres louées sur AirBnb, ou les vélos revendus sur Le Bon Coin.

leboncoin

Le texte, qui devra être confirmé en commission mixte paritaire (CMP), impose que tout « opérateur de plateforme en ligne », qu’il serve ou non d’intermédiaire pour le paiement, devra transmettre annuellement à l’administration fiscale toute une série d’informations sur les activités de chacun de ses utilisateurs « présumés redevables de l’impôt en France » :

1° Pour une personne physique, le nom, le prénom et la date de naissance de l’utilisateur ;
2° Pour une personne morale, la dénomination, l’adresse et le numéro Siren de l’utilisateur ;
3° L’adresse électronique de l’utilisateur ;
4° Le statut de particulier ou de professionnel caractérisant l’utilisateur sur la plateforme ;
5° Le montant total des revenus bruts perçus par l’utilisateur au cours de l’année civile au titre de ses activités sur la plateforme en ligne, ou versés par l’intermédiaire de celle-ci ;
6° La catégorie à laquelle se rattachent les revenus bruts perçus ;
7° Toute autre information définie par décret, à titre facultatif ou obligatoire.
L’obligation est sans exceptions et commence donc dès le premier euro reçu, voire même dès l’inscription sur n’importe quelle plateforme. Il ne précise pas non plus que ces données ne doivent être transmises que si la plateforme en a connaissance, ce qui laisse un flou sur l’éventuelle obligation des plateformes web de collecter toutes les données qu’elles n’ont pas actuellement. Faudra-t-il qu’elles s’assurent de l’identité des utilisateurs pour transmettre les bonnes informations ou fisc, ou que Le Bon Coin, par exemple, se mette à vérifier si un objet mis en vente a bien été vendu au prix annoncé ?

L’amendement vise tout « opérateur de plateforme en ligne », défini comme :

Toute personne physique ou morale proposant, à titre professionnel, de manière rémunérée ou non, un service de communication en ligne reposant sur :

1° Le classement ou le référencement, au moyen d’algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers ;

2° Ou la mise en relation de plusieurs parties en vue de la vente d’un bien, de la fourniture d’un service ou de l’échange ou du partage d’un contenu, d’un bien ou d’un service.

C’EST PAS PARCE QU’ON VEND UNE POUSSETTE QU’IL FAUT LE DÉCLARER
La secrétaire d’État au numérique Axelle Lemaire a tenté de faire entendre raison au Sénat, qui est aux mains de l’opposition, mais en vain. Les sénateurs sont apparus obsédés par l’idée de tout savoir sur les revenus obtenus par les internautes à travers le Web (peu importe qu’il y ait bénéfice ou non), pour s’assurer qu’ils soient bien déclarés en bonne et due forme à la fin de l’année.

senat-lemaire-2

« L’objectif est louable », a admis Axelle Lemaire, en pointant toutefois du doigt une série de problèmes, en particulier pour la vie privée. « C’est irréaliste et dangereux », a-t-elle lancé, en s’insurgeant contre l’idée que tout ce qui est fait en ligne devrait être connu de l’État. « Ce n’est pas parce que c’est du numérique qu’il faut tout déclarer ! C’est pas parce qu’on vend une poussette qu’il faut la déclarer ».

« Ce que vous proposez est trop complexe, ça ne pourra pas être mis en œuvre », a-t-elle de toute façon prévenu. Les modalités d’application étant laissées à un décret, il est fort probable que même s’il était confirmé en CMP, un tel décret ne verra jamais le jour.

« À l’heure actuelle, il n’y a que deux catégories d’organisations ou d’entités qui ont une obligation de transmission à l’administration : les banques, et les employeurs. Étendre une telle obligation à des plateformes pour tous les secteurs, dans tous les cas de figure, risque de mettre un véritable coup de frein à l’économie collaborative »… [Lire la suite]

Réagissez à cet article

Peut-on s’attendre à la fin de la loi Hadopi ?

Il ne faut pas confondre l’Hadopi et la loi Hadopi

Victimes d’un excès d’optimisme, certains imaginent que la riposte graduée elle-même disparaîtra en 2022. Mais il n’en est rien. Si les quatre députés qui ont fait majorité ont bien voté une mise à mort de l’institution Hadopi, il n’en va pas de même pour la riposte graduée.

Plusieurs raisons invitent donc à ne pas sauter trop vite aux conclusions :

Sur l’ensemble des quatre sous-sections du code de la propriété intellectuelle dédiées à la riposte graduée, seule la première intitulée « Compétences, composition et organisation » sera supprimée le 4 février 2022. Les autres, notamment la troisième relative à la riposte graduée, est conservée.
Il sera donc facile pour le législateur de pérenniser la riposte graduée en confiant simplement la riposte graduée à une autre autorité administrative. Comme nous l’expliquions hier, c’est ce qui est proposé dans le rapport Warsmann qui accompagne la proposition de loi examiné par les députés, sur les autorités publiques ou administratives indépendantes : « les compétences (de l’Hadopi) pourraient être transférées soit au CSA, soit à l’ARCEP, soit à une nouvelle AAI ayant une compétence élargie en ces matières ».
Avant cela, le Sénat pourra faire sauter la disposition lorsqu’il examinera lui-même la proposition de loi. Lui qui et traditionnellement attaché à la protection des droits d’auteur devrait y être sensible, même s’il ne sera sans doute pas fâché de se débarrasser d’une patate chaude à quelques mois de la campagne présidentielle.
Enfin, quand bien même le texte serait-il adopté et promulgué, il restera cinq ans à la prochaine majorité, pour glisser dans un projet de loi un amendement qui supprimera l’article qui supprime l’Hadopi. Une seule ligne suffira.
Pour toutes ces raisons, aucun cri d’orfraie n’a été entendu ce vendredi du côté des ayants droit, d’habitude très prompts à publier des communiqués rageurs dès que leurs intérêts sont bousculés. Ils savent que l’affaire est plus anecdotique qu’autre chose, et que le bug législatif sera vite réparé. Voire, que l’amendement adopté leur rend service, puisqu’il précipitera un éventuel transfert des compétences de l’Hadopi vers le CSA, qu’ils appellent de leurs vœux depuis plusieurs années… [Lire la suite]

Réagissez à cet article

La France largement ciblée par les attaques DDoS au premier trimestre 2016

Dans le précédent rapport, de la société Incapsula, l’attention sur un nombre croissant d’attaques DDoS de type « flood » à très haut débit lancées contre les clients de l’entreprise au niveau de la couche réseau. Dans ce type d’attaques, des paquets de données de petite taille, ne dépassant généralement pas 100 octets, sont émis à un rythme extrêmement élevé de façon à saturer la capacité des commutateurs réseau, ce qui aboutit à un déni de service pour les utilisateurs légitimes.

La vitesse d’émission des paquets est mesurée en Mpps (millions de paquets par seconde). Au 1^er trimestre 2016, la fréquence de ces attaques présentant un nombre élevé de Mpps a été sans précédent. En moyenne, nous avons neutralisé une attaque de plus de 50 Mpps tous le quatre jours et une de plus de 80 Mpps tous les huit jours. Plusieurs de ces attaques ont franchi le cap des 100 Mpps, la plus intense culminant à plus de 120 Mpps.

Nous pensons que ces attaques à très haut débit sont une tentative pour mettre en échec les solutions de neutralisation DDoS de la génération actuelle.

A l’heure actuelle, la majorité des services et appliances de neutralisation sont d’une grande efficacité face aux assauts présentant un nombre élevé de Gbit/s. Cependant, comme les auteurs des attaques s’en rendent compte, bon nombre de ces mêmes solutions n’offrent pas une capacité identique contre les très hauts débits de paquets, car elles n’ont pas été conçues pour en traiter un volume aussi important.

Fait intéressant, nous avons également observé dans le nouveau rapport d’incapsula, l’emploi fréquent d’une combinaison de différents vecteurs pour constituer des assauts plus complexes, avec un débit élevé à la fois en Mpps et en Gbit/s.

Le scénario le plus courant ici est la combinaison d’une attaque de type UDP Flood à très haut débit et d’une attaque par amplification DNS, grosse consommatrice de bande passante. En conséquence, au 1^er trimestre 2016, la fréquence des attaques par amplification DNS a augmenté de 6,3 % par rapport au trimestre précédent.

En outre, nous avons également constaté un accroissement notable du nombre d’attaques multivecteurs. Globalement, celles-ci ont représenté 33,9 % de l’ensemble des assauts sur la couche réseau, soit une hausse de 9,5 % par rapport au trimestre précédent. En termes absolus, le nombre d’attaques multivecteurs est passé de 1326 au 4^ème trimestre 2015 à 1785 au 1^er trimestre 2016.

Couche application : des robots DDoS plus malins

Les attaques DDoS sur la couche réseau, nous avons vu au premier trimestre 2016 les auteurs d’attaques passer à la vitesse supérieure et se concentrer sur des méthodes susceptibles de contourner les mesures de sécurité. La meilleure illustration en est une augmentation du nombre de robots DDoS capables de se glisser au travers des mailles du filet, à savoir les tests couramment utilisés pour filtrer le trafic d’attaque.

Au 1^er trimestre 2016, le nombre de ces robots a explosé pour atteindre 36,6 % du trafic total des botnets, contre 6,1 % au trimestre précédent. Dans le détail, 18,9 % étaient capables d’accepter et de conserver des cookies, tandis que les 17,7 % restants pouvaient également interpréter du code JavaScript.

De telles capacités, combinées à une empreinte HTTP d’apparence authentique, rendent les robots malveillants indétectables par la plupart des méthodes. Les attaques DDoS se démultiplient !

En dehors de l’utilisation de robots plus sophistiqués, les assaillants explorent de nouvelles méthodes d’exécution des attaques sur la couche application. Les plus notables d’entre elles sont de type HTTP/S POST flood, employant des requêtes très longues pour tenter de saturer la connexion réseau de la cible.

Enfin, nous avons également observé un accroissement continu de la fréquence des assauts. Au premier trimestre 2016, un site sur deux victime d’une attaque a été ciblé plusieurs fois. Le nombre de sites attaqués entre deux et cinq fois est passé de 26,7 % à 31,8 %.

Les attaques DDoS : la Corée du Sud en tête des pays à l’origine des attaques

A partir du deuxième trimestre 2015, nous avons enregistré une forte recrudescence de l’activité des botnets DDoS provenant de Corée du Sud, une tendance qui s’est poursuivie ce trimestre. Cette fois, étant à l’origine de 29,5 % de l’ensemble du trafic DDoS sur la couche application, le pays s’est hissé en tête de liste des attaquants.

Un examen plus approfondi des données concernant les attaques DDoS révèle que la majorité du trafic d’attaque émanant de Corée du Sud provient de botnets Nitol (52,9 %) et PCRat (38,2 %). Plus de 38,6 % de ces attaques ont été lancées contre des sites web japonais et 30,3 % contre des cibles hébergées aux Etats-Unis.

Il est intéressant de noter, au cours de ce trimestre, une forte augmentation de l’utilisation de Generic!BT bot, un chevalde Troie connu pour infecter les ordinateurs Windows. Celui-ci a été identifié pour la première fois en 2010 et nous voyons aujourd’hui ses variantes employées pour pirater des machines dans le monde entier.

Au 1^er trimestre 2016, des variantes de Generic!BT ont ainsi été utilisées dans des attaques DDoS issues de 7756 adresses IP distinctes réparties dans 52 pays, principalement en Europe de l’Est. La majorité de cette activité a été tracée jusqu’en Russie (52,6 %) et en Ukraine (26,6 %).

Conclusion : les attaques DDoS conçues contre les solutions de neutralisation

Les années précédentes, la plupart des attaques observées avaient pour but de causer un maximum de dommages aux infrastructures ciblées. Il s’agissait typiquement d’assauts de force brute, de type « flood », frappant avec une grande capacité et sans faire de détail. Les attaques plus sophistiquées étaient alors rares.

Cependant, au cours des derniers mois, nous avons enregistré un nombre croissant d’attaques orchestrées par rapport aux solutions de neutralisation DDoS. La diversité des méthodes d’attaque ainsi que l’expérimentation de nouveaux vecteurs semblent indiquer un changement de priorité, les assauts étant de plus en plus conçus pour paralyser les solutions de neutralisation, et non plus uniquement la cible.

D’une part, cela dénote l’omniprésence des services et appliances de protection DDoS, qui sont appelés à devenir partie intégrante de la majorité des périmètres de sécurité pour espérer contrer les attaques DDoS. D’autre part, cela illustre également le défi auquel le secteur de la neutralisation DDoS va être confronté : des attaques de plus en plus élaborées qui exploitent les points faibles de ses propres technologies… [Lire la suite]

Réagissez à cet article

Forum TAC « Technologies Against Crime » : LYON, les 28 et 29 avril 2016

Cette année, le thème est :

 
Les principaux partenaires de l’événement

Tout au long de ces 2 jours, nous allons assister aux présentation des sujets suivants :

Réagissez à cet article

Une faille du Login de Facebook corrigée

Les Bitdefender Labs ont révélé une vulnérabilité  lors de l’authentification en ligne sur des sites Web tiers via Facebook. Un manque de mesure de sécurité lors de la validation permet aux pirates d’usurper l’identité des internautes et d’accéder, sans mot de passe, à leurs comptes en ligne.

Les social logins sont une alternative à l’authentification traditionnelle et un mode apprécié par les utilisateurs pour leur côté pratique : ils permettent aux utilisateurs de se connecter à leurs comptes Web sans saisir leur nom d’utilisateur ni leur mot de passe. La plupart des sites offrent des social logins via Facebook, LinkedIn, Twitter ou Google Plus.

Les chercheurs des Bitdefender Labs ont trouvé un moyen d’usurper l’identité de l’utilisateur et d’avoir accès à ses comptes Web en utilisant le plug-in Facebook Login.

« Il s’agit d’une vulnérabilité grave qui permet aux pirates de créer un compte avec une adresse e-mail ne leur appartenant pas et de changer l’adresse e-mail liée au compte d’un site par une autre adresse non vérifiée », prévient Ionut Cernica, chercheur spécialiste des vulnérabilités chez Bitdefender. « Cela signifie qu’un pirate peut effectuer des paiements en ligne au nom de l’utilisateur, arrêter son moteur antivirus pour infecter ses périphériques, propager des malwares à ses contacts et bien plus encore. »

Pour que l’attaque réussisse, l’adresse e-mail de la victime ne doit pas déjà être enregistrée sur Facebook. La plupart des internautes ont plus d’une adresse e-mail publiée sur différents sites Web, accessibles à tout le monde. Il est donc assez simple pour le pirate d’obtenir une de ces adresses et de créer un compte Facebook avec cette dernière.

Pour vérifier l’identité d’un utilisateur sans exposer ses identifiants d’authentification, Facebook Login utilise le protocole OAuth. Grâce à OAuth, Facebook est autorisé à partager certaines informations de l’utilisateur avec le site Web tiers… [Lire la suite]

Réagissez à cet article

Les cybercriminels profitent des failles de la nature humaine 

Plusieurs tendances remarquées les années précédentes se stabilisent et restent valables, parmi lesquelles :

On retrouve des motivations financières ou d’espionnage dans 89% de toutes les attaques
Dans la plupart des cas, ce sont des vulnérabilités connues et non corrigées qui sont exploitées, alors que des correctifs existent et sont disponibles depuis des mois voire des années. Les 10 vulnérabilités connues les plus fréquentes se retrouvent dans 85% des cas de compromissions réussies.

• 63% des compromissions de données avérées sont imputables à l’utilisation de mots de passe volés, faciles à deviner ou de mots de passe par défaut qui n’ont pas été modifiés ;
• 95% des cas de compromissions et 86% des incidents de sécurité ont été perpétrés en suivant l’un ou l’autre des neuf scénarios recensés comme les plus fréquents;
• Les attaques par ransomware augmentent de 16% par rapport à 2015.

Il est navrant de constater que des mesures de défense pourtant basiques font toujours défaut dans de nombreuses entreprises

« Les entreprises, forces de sécurité et organisations gouvernementales font preuve d’une volonté forte de devancer les cybercriminels, et le Data Breach Investigations Report revêt pour cela une importance croissante », commente Chris Formant, président de Verizon Enterprise Solutions. « Les contributions et collaborations rassemblées au sein du DBIR, apportées par des organisations du monde entier, sont plus que jamais nécessaires pour bien appréhender l’état des menaces. Et la compréhension est la première étape de l’action. »

Les pratiques de phishing de plus en plus préoccupantes

Les pratiques de phishing, qui font qu’un utilisateur reçoit un e-mail qui lui apparaît légitime de la part d’une source frauduleuse, se sont nettement intensifiées par rapport à l’an dernier. Ce qui est alarmant, c’est que les messages de phishing ont été ouverts dans 30% des cas, contre 23% dans le rapport 2015, et que dans 13% de ces cas le destinataire a aussi ouvert la pièce jointe ou cliqué sur le lien délétère, provoquant l’activation du malware et ouvrant ainsi les portes aux cybercriminels.

Ces dernières années, le phishing était le scénario d’attaque privilégié du cyber-espionnage. Il s’est maintenant généralisé, au point d’entrer dans la composition de 7 des 9 scénarios d’incidents les plus fréquents recensés dans l’édition 2016 du rapport. Cette technique d’une grande efficacité présente de nombreux avantages, dont un délai de compromission très court et la possibilité de cibler des individus et des entreprises spécifiques.

A la liste des erreurs humaines s’ajoutent celles commises par les entreprises elles-mêmes. Ces erreurs, labellisées dans la catégorie « Erreurs diverses », constituent le scénario n°1 des incidents de sécurité dans le rapport de cette année. Dans 26% des cas, ces erreurs impliquent l’envoi d’informations sensibles à la mauvaise personne. Mais on trouve aussi d’autres types d’erreurs de la même catégorie : pratiques inappropriées de destruction des informations internes, mauvaise configuration des systèmes IT, et perte ou vol d’actifs de la société, comme les PC portables et smartphones.

La nature humaine : la base d’une attaque informatique

« On peut dire qu’un sujet central est commun aux constatations de ce rapport : l’élément humain », déclare Bryan Sartin, directeur exécutif de l’équipe Verizon RISK à DataSecurityBreach.fr. « Malgré les avancées de la recherche en sécurité informatique et la disponibilité d’outils et de solutions de cyber détection, nous continuons de déplorer les mêmes erreurs depuis plus de dix ans. Alors que faire ? »

Les chercheurs spécialistes de la sécurité de Verizon soulignent aussi la grande rapidité avec laquelle les cybercriminels perpétuent leurs attaques. Dans 93% des cas, il faut à peine quelques minutes à des hackers pour compromettre des systèmes, et dans 28% des cas ils parviennent à exfiltrer des données en quelques minutes seulement.

Comme pour l’édition 2015 du rapport DBIR, les compromissions de terminaux mobiles et d’objets de l’Internet des objets (IoT) ne sont pas très représentées. Mais le rapport signale qu’il existe bien des tentatives visant à démontrer la faisabilité de ces compromissions (proof of concept), et que ce n’est qu’une question de temps avant qu’une compromission à grande échelle se produise qui impacte les mobiles et terminaux IoT, ce qui signifie que les entreprises ne doivent pas relâcher leur vigilance en termes de protection des smartphones et des objets de l’IoT.

Il est important de noter également que les attaques d’applications Web sont devenues le vecteur n°1 des cas de compromissions de données, et que 95% des compromissions d’applis Web avaient des motivations financières.

Progression de l’attaque en trois volets

L’édition 2016 du rapport alerte sur le risque d’être victime d’un nouveau type d’attaque en trois volets qui se répète avec une grande régularité. De nombreuses entreprises ont fait les frais de telles attaques :

1. La nature humaine – Envoi d’un e-mail de phishing avec un lien pointant vers un site web malveillant ou une pièce jointe infectée ;
2. Un malware est téléchargé sur le PC de la victime et il ouvre la voie à d’autres malwares utilisés pour rechercher des informations secrètes et confidentielles à usurper (cyber espionnage) ou pour chiffrer des fichiers en vue de demander une rançon. Très souvent, le malware vole les identifiants d’accès à diverses applications au moyen d’enregistreurs de frappe ;
3. Les droits d’accès dérobés servent à s’infiltrer davantage et perpétrer de nouvelles attaques : se connecter à des sites web de tiers, de banque en ligne ou de e-commerce, par exemple.

« L’objectif est de comprendre le mode opératoire des cybercriminels », déclare Bryan Sartin à datasecuritybreach.fr. « C’est en maîtrisant les scénarios des attaques que nous pourrons mieux les détecter, les prévenir et y répondre. »… [Lire la suite]

Téléchargez le rapport

Réagissez à cet article

Quels sont les dangers des points d’accès Wifi gratuits ?

De plus en plus nombreux, les points d’accès Wi-Fi ouverts et gratuits (dans les rues, les parcs, les gares…) sont bien pratiques pour se connecter en mobilité, notamment pour les salariés nomades. Mais ces hotspots ne brillent pas toujours par leur sécurité. D’ailleurs, les entreprises s’inquiètent de plus en plus des risques liés à leur utilisation par leurs employés. La possibilité de voir des données sensibles détournées est forte, du coup, de plus en plus d’entreprises optent pour une solution radicale : interdire leur usage.

C’est la conclusion d’une étude iPass (un spécialiste des accès Wi-Fi pour les pros) menée par Vanson Bourne au mois de mars 2016 auprès de 500 directeurs informatiques et décideurs informatiques aux États-Unis (200), au Royaume-Uni (100), en Allemagne (100) et en France (100).

Ainsi, près des deux tiers (62%) des entreprises interdisent à leurs employés mobiles d’utiliser les points d’accès Wi-Fi gratuits, 20% ont déclaré qu’elles envisageaient d’interdire cet accès dans un avenir proche et 94% des entreprises interrogées considèrent les points d’accès Wi-Fi gratuits comme une source importante de menaces pour la sécurité mobile.

En France, 29% des directions interrogées interdisent systématiquement cet accès, 44% parfois, soit un total de 73%. Et 17% pensent le faire dans le futur. Les interdictions concernent avant tout le secteur de la finances où l’interdiction totale et temporaire atteint 85%, devant l’IT (80%).

VPN

« La méthode consistant à leur empêcher tout accès à ces points de connectivité est aussi maladroite qu’inadaptée. Dans le monde actuel, où le Wi-Fi occupe la première place, les entreprises doivent impérativement informer leurs employés mobiles des dangers du Wi-Fi gratuit et non sécurisé, et leur donner les outils adéquats pour sécuriser leur connexion à Internet et rester productifs. », souligne iPass qui rappelons-le fournit des solutions de sécurisation dédiées…

« Le Wi-Fi est une technologie révolutionnaire qui a bouleversé le mode de travail des utilisateurs dans le monde », explique Keith Waldorf, Vice-président du département d’ingénierie chez iPass. « Cependant, elle est à l’origine de problèmes colossaux en termes de sécurité mobile. Le fait de rester connecté est un besoin de base pour tout employé mobile. Toutefois, comme le nombre d’entreprises victimes d’atteintes à la sécurité ne cesse de croître, la question de la sécurité mobile devient un sujet brûlant pour un grand nombre de sociétés. En particulier, le recours à des points d’accès Wi-Fi gratuits, non sécurisés, inquiète de plus en plus les entreprises, qui essaient de trouver un équilibre entre les coûts et la convivialité d’une solution de connectivité et les menaces éventuelles des pirates informatiques ».

Pour 37% des participants interrogés, les points d’accès Wi-Fi gratuits représentent la plus grande menace à gérer en termes de sécurité mobile, d’abord à cause du manque de précautions prises par les employés (36%) et pour 27%, des appareils qu’ils utilisent. Du coup, 88% des entreprises (94% en France) ont beaucoup de difficultés à appliquer à une stratégie standardisée.

Pour autant, des solutions simples existent : d’abord la pédagogie auprès des salariés nomades puis la technique avec la mise en place d’un VPN (Virtual Private Technology), qui crée une connexion chiffrée. Toutefois, seuls 26 % des participants à l’étude sont certains que ses employés utilisent uniquement les réseaux VPN pour accéder aux systèmes professionnels… [Lire la suite]

Réagissez à cet article

Le protocole bancaire SWIFT victime de cyber fraude

SWIFT (Society for Worldwide Interbank Financial Telecommunication), le réseau financier mondial que les banques utilisent pour transférer des milliards de dollars chaque jour, vient d’avertir ses clients « d’un certain nombre de récents incidents de cybersécurité » sur son réseau : les attaquants ont utilisé son système pour envoyer des messages frauduleux.

Cette révélation intervient alors que les autorités du Bangladesh continuent leur enquête sur le vol de 81 millions de dollars en février dernier. Le transfert litigieux a transité d’un compte de la Banque du Bangladesh vers la New York Federal Reserve Bank. Un des enquêteurs, Mohammad Shah Alam, du Forensic Training Institute du Bangladesh, a déclaré à Reuters que la Banque du Bangladesh était une cible facile pour les cybercriminels car il n’y avait pas de pare-feu et que par ailleurs des commutateurs d’entrée de gamme étaient utilisés pour connecter les systèmes informatiques de la banque à SWIFT.

5 paiements frauduleux sur 35 ont été autorisés

Les chercheurs en cyber-sécurité qui travaillent sur ce hold-up ont expliqué le mois dernier qu’un logiciel malveillant avait été installé sur les systèmes informatiques de la Banque du Bangladesh. Ce malware a permis aux attaquants de se dissimuler avant de prendre l’argent. Un rapport interne de la Banque du Bangladesh mentionne que la Réserve Fédérale a été négligente : elle a validé les fausses transactions. Le rapport parle de «faute majeure». Il indique également que 5 paiements frauduleux sur 35 ont été autorisés (pour un total de 951 millions de dollars), et que des entités situées aux Philippines et au Sri Lanka ont reçu une partie des fonds volés. Et c’est une faute d’orthographe commise par les cybercriminels qui a empêché 20 autres millions de dollars de disparaître en plus des comptes de la Banque du Bangladesh.

Ce vol a provoqué la démission du responsable de la Banque du Bangladesh, Atiur Rahman, 64 ans. Il n’avait pas jugé bon d’informer le ministre des finances du Bangladesh, A M A Muhith, de l’incident. Ce dernier avait appris cet évènement dans la presse étrangère.

SWIFT a reconnu que l’attaque incluait la modification des logiciels SWIFT sur les ordinateurs de la banque pour dissimuler les preuves de transferts frauduleux. « SWIFT est au courant d’un certain nombre d’incidents de cyber récents dans lesquels des personnes malveillantes dans l’entreprise, ou des pirates externes, ont réussi à envoyer des messages SWIFT depuis les back-offices, PC ou postes de travail des institutions financières connectées au réseau SWIFT » avertit l’organisme dans une message d’avertissement à ses clients.

L’avertissement, émit par SWIFT via une alerte confidentielle envoyée sur son réseau lundi, ne donne ni le nom des victimes ou le montant des sommes dérobées. SWIFT a également publié une mise à jour de sécurité pour le logiciel que les banques utilisent pour accéder à son réseau.

SWIFT : 3 000 institutions financières, 11 000 banques

Cette mise à jour doit sécuriser son système vis à vis du malware que les chercheurs de BAE Systems soupçonnent avoir été utilisé dans le hold-up de la Banque du Bangladesh. Les preuves collectées par BAE suggèrent que les pirates ont manipulé le logiciel Alliance Access de SWIFT, que les banques utilisent pour s’interfacer avec la plate-forme de messagerie de SWIFT, afin de brouiller les pistes. BAE a cependant mentionné ne pas pouvoir expliquer comment les commandes frauduleuses ont été créés et poussés à travers le système. SWIFT a cependant fourni des éléments sur la façon dont tout cela est arrivé. L’organisme explique que le modus operandi était similaire dans toutes les opérations frauduleuses. Les agresseurs ont obtenu des informations d’identification valides et ont pu créer et approuver des messages SWIFT.

SWIFT (Society for Worldwide Interbank Financial Telecommunication) est une coopérative détenue par 3 000 institutions financières. Sa plate-forme de messagerie est utilisé par 11 000 banques et autres institutions à travers le monde et est considéré comme un pilier du système financier mondial. SWIFT a dit aux clients que la mise à jour de sécurité doit être installée avant le 12 mai… [Lire la suite]

Réagissez à cet article

Fuite, perte, piratage de données ? Entreprise, il va falloir communiquer !

En 1995, l’Europe s’équipait de la directive européenne de protection des données personnelles. Mission, protéger les informations des utilisateurs d’informatique. 21 ans plus tard, voici venir le règlement général sur la protection des données (GDPR). La Commission européenne avait proposé en 2012 un nouveau règlement portant sur un ensemble de règles unique pour toutes les données collectées en ligne afin de garantir qu’elles soient conservées de manière sûre et de fournir aux entreprises un cadre clair sur la façon dont les traiter.

Mercredi 13 avril 2016, le paquet législatif a été formellement approuvé par le Parlement dans son ensemble. Le GDPR impose aux entreprises (petites ou grandes) détenant des données à caractère personnel d’alerter les personnes touchées par une fuite, une perte, un piratage de la dire informations privée.

Grand groupe, PME, TPE doivent informer les autorités de contrôle nationales (CNIL) en cas de violation importante de ces données.

Comme je pouvais déjà vous en parler en 2014, il faut alerter les autorités dans les 72 heures après avoir découvert le problème. Les entreprises risquent une grosse amende en cas de non respect : jusqu’à 4% de son chiffre d’affaire. Les informations que nous fournissons doivent être protégées par défaut (Art. 19). A noter que cette régle est déjà applicable en France, il suffit de lire le règlement de la CNIL à ce sujet. Faut-il maintenant que tout cela soit véritablement appliqué.

Fuite, perte, piratage de données

Parmi les autres articles, le « 7 » indique que les entreprises ont l’obligation de demander l’accord « clair et explicite » avant tout traitement de données personnelles. Adieu la case par défaut imposée, en bas de page. De l’opt-in (consentement préalable clair et précis) uniquement. Plus compliqué à mettre en place, l’article 8. Je le vois dans les ateliers que je mets en place pour les écoles primaires et collèges. Les parents devront donner leur autorisation pour toutes inscriptions et collectes de données. Comme indiqué plus haut, les informations que nous allons fournir devront être protégées par défaut (Art. 19). Intéressant à suivre aussi, l’article 20. Comme pour sa ligne téléphonique, le numéro peut dorénavant vous suivre si vous changez d’opérateur, cet article annonce un droit à la portabilité des données. Bilan, si vous changez de Fournisseur d’Accès à Internet par exemple, mails et contacts doivent pouvoir vous suivre. L’histoire ne dit pas si on va pouvoir, du coup, garder son adresse mail. 92829@orange.fr fonctionnera-t-il si je passe chez Free ?

La limitation du profilage par algorithmes n’a pas été oublié. En gros, votre box TV Canal +, Orange ou Netflix (pour ne citer que le plus simple) utilisent des algorithmes pour vous fournir ce qu’ils considèrent comme les films, séries, émissions qui vous conviennent le mieux. L’article 21 annonce que l’algorithme seul ne sera plus toléré, surtout si l’utilisateur n’a pas donné son accord.

Enfin, notre vie numérique est prise en compte. Les articles 33 et 34 s’annoncent comme les défenseurs de notre identité numérique, mais aussi notre réputation numérique. L’affaire Ashley Madisson est un des exemples. Votre identité numérique est volée. L’entreprise ne le dit pas. Votre identité numérique est diffusée sur Internet. Vous ne la maîtrisez plus.

Bref, 33 et 34 annonce clairement que les internautes ont le droit d’être informé en cas de piratage des données. La CNIL sera le récipiendaire des alertes communiquées par les entreprises piratées. Bref, fuite, perte, piratage de données ? Entreprise, il va falloir communiquer !

Les entreprises ont jusqu’au 1er janvier 2018 pour se mettre en conformité. Les 28 pays membres doivent maintenant harmoniser leurs lois sur le sujet. Je me tiens à la disposition des entreprises, associations, particuliers qui souhaiteraient réfléchir à leur hygiène informatique.

Police : nouvelles règles sur les transferts de données

Le paquet sur la protection des données inclut par ailleurs une directive relative aux transferts de données à des fins policières et judiciaires. La directive s’appliquera aux transferts de données à travers les frontières de l’UE et fixera, pour la première fois, des normes minimales pour le traitement des données à des fins policières au sein de chaque État membre.

Les nouvelles règles ont pour but de protéger les individus, qu’il s’agisse de la victime, du criminel ou du témoin, en prévoyant des droits et limites clairs en matière de transferts de données à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales – incluant des garanties et des mesures de prévention contre les menaces à la sécurité publique, tout en facilitant une coopération plus aisée et plus efficace entre les autorités répressives.

« Le principal problème concernant les attentats terroristes et d’autres crimes transnationaux est que les autorités répressives des États membres sont réticentes à échanger des informations précieuses », a affirmé Marju Lauristin (S&D, ET), députée responsable du dossier au Parlement.

« En fixant des normes européennes sur l’échange d’informations entre les autorités répressives, la directive sur la protection des données deviendra un instrument puissant et utile pour aider les autorités à transférer facilement et efficacement des données à caractère personnel tout en respectant le droit fondamental à la vie privée« , a-t-elle conclu… [Lire la suite]

Réagissez à cet article