Piratages de sites Internet de Mairies – Sensibilisez vos agents et prestataires !

Je vous racontais, il y a quelques mois, les mésaventures vécues par des dizaines de mairies Françaises visées par des pirates informatiques. Des attaques sous la forme de defacagz (Barbouillage – remplacer ou rajouter une page, une image, un texte dans un site). Des attaques restées « secrètes » aux yeux des administrés. Personne n’a jamais su si des données privées et sensibles (mails, données des habitants, …) avaient été collectées lors de ces attaques. Nous aurions pu penser, aussi, que les Directeurs des Services (DGS) et autres services des Ressources Humaines territoriales avaient profité des formations proposées par l’ANSSI. Des rendez-vous orchestrés pour les fonctionnaires territoriaux désireux de s’informer. A première vue, le « Cela n’arrive qu’aux autres » semble être incrusté dans les esprits. Pour preuve, les attaques ayant visé des dizaines de mairies, en cette période estivale.

Deface – Tunisien, Albanais, Algérien, Indonésien…

Depuis quelques jours, plusieurs pirates informatiques venus des quatre coins du globe se sont attaqués aux sites Internet de communes Françaises. Des Communautés de Communes (Canton Ossun, Lunevillois …) ont aussi été visées. Les motifs sont aussi variés que futiles. La grande majorité de ces pirates ont entendu parler de la France en raison de l’Euro 2016. Le plus inquiétant dans cette histoire : le silence total des municipalités. Le pirate du site de la Ville de Béthune a-t-il mis la main sur des données sensibles ?

Celui de Sedan, Briançon, Sainte-Maxime a-t-il sauvegardé une porte cachée (Shell, Backdoor) dans les serveurs ? Les courriers que j’ai envoyé afin d’avoir une réponse à ces questions ne sont jamais revenus. L’ANSSI et la CNIL ont été saisies du sujet. Espérons qu’il ne s’agissait que de « simples » barbouillages de sites web. Mon expérience sur le sujet (30 ans) me laisse malheureusement penser le contraire. Les pirates ne se contentent plus, aujourd’hui, que d’une simple odeur numérique sur un mur 2.0.

Les villes touchées ces derniers jours par un deface

D’abord, le pirate Tunisien HUNT3RXM, membre de la team Fallaga, s’est affiché sur les sites des villes de Morez et Mezy. Un exemple de son passage se trouve en ce moment sur un site d’Aviron (avec musique irlandaise !). Deux autres Tunisiens, M.R ZAHER et Dark Shadow, ont laissé leurs « traces » sur l’Internet des Villes de Gueret et Bazas.

Ensuite, le pirate Algérien MCA-CRB a caché son message dans un dossier de l’espace territorial de Bagnere-de-Bigorre.

L’Indonésien Walkers404 affiche ses étoiles sur le web de la commune de Mezeray. On le retrouve aussi dans les pages de la Roche fort du Gard.

L’Albanais Nofawkx, qui semble converser avec des « piratins » Francophones s’est payé les sites des villes de Béthune, Du Pré Saint-Gervais, Bellerive-sur-allier, Rixheim, Sedan, Briançon, Montataire, Sainte-Maxime et Badonviller.

Enfin, l’Iranien aHor4 s’est épanché sur les Mairies de Bonson et Varengeville-sur-mer. Il aime laisser sa page Security.html dans les serveurs infiltrés. Il annonce être contre Daesh.

Par ailleurs, cette liste est loin d’être exhaustive. Partant de ce fait, il est difficile de connaître l’ensemble des sites victimes. Le Cache de Google et d’autres sources (Iran Cyber, Zone H, defaceX, Twitter, Facebook…) n’affichent pas l’intégralité des passages malveillants. Le point commun de ces tagueurs numériques est l’envie de s’afficher sur le site des autres. Ils exploitent des failles connues, sur des serveurs, CMS non mis à jour. Certains de ces pirates se retrouvent aussi dans le blackmarket. Dans des boutiques numériques qui permettent de vendre et acheter des bases de données piratées.

Mise à jour : La ville de Béthune m’a répondu, sur Twitter. Du moins, la commune a confirmé le piratage. Elle n’a pas communiqué sur les potentielles données que le pirate a pu manipuler.

Article original de Damien Bancal

Nous prodiguons une multitude d’autres conseils durant les formations que nous animons à destination des élus, chef d’entreprises, agents publics et salariés. [Consultez la liste de nos formations]

Réagissez à cet article

Cybersécurité : Aller plus loin dans la formation des salariés

• Le chiffrement : toutes les données, qu’elles soient stockées ou en transmission, doivent être protégées, les premières avec au minimum un chiffrement AES 128 bits et les secondes en ajoutant au moins le protocole TLS. Point important : il faut bien évidemment que les messages de tous les interlocuteurs, externes compris, soient cryptés.

• Le pare-feu : attention à ne pas tomber dans le piège d’une solution qui exposent des applications, des serveurs ou des équipements hors du pare-feu. De plus, il faut s’assurer que les solutions gèrent correctement le parcours des données au travers des serveurs d’authentification déjà en place.

• Les mises à jour : puisque les mises à jour de firmwares et autres logicielles corrigent essentiellement des vulnérabilités ou apportent des dispositifs de sécurité plus robustes, il est primordial qu’elles se fassent de manière automatique pour s’assurer que le SI est protégé le plus tôt possible. Une des approches consiste à passer par une solution en Cloud, automatiquement mise à jour par le fournisseur lui-même mais à manier avec précaution car si vous avez déjà opté pour le Cloud, avez-vous la certitude que seuls les utilisateurs autorisés accèdent à cet espace de stockage externalisé ? Qui peut bien se connecter pendant que vous dormez ?

• La sécurité physique : où se situent les données que stocke la solution de communication ? Il est essentiel d’avoir la garantie que le datacenter du fournisseur soit protégé 24/7 et qu’il soit régulièrement audité et protégé contre les intrusions physiques.

• Changer les paramètres par défaut : Changer tous les identifiants et mots de passe de ceux proposés par défaut pour quelque chose de plus complexe est une règle d’or en matière de cybersécurité.
  « Parmi les nombreuses cyberattaques survenues en 2016, la plus célèbre fut celle lancée par le botnet Mirai qui ciblait les webcams. Or, si cette attaque a autant réussi, c’est parce que les mots de passe administrateurs par défaut de ces équipements étaient toujours actifs », dit-il.

• Sécuriser le réseau, jusqu’aux utilisateurs : Un segment non sécurisé du réseau est une porte d’entrée par laquelle peuvent passer les cyber-attaques pour atteindre tout le SI d’une entreprise. Les méthodes pour sécuriser le réseau comprennent l’application de restrictions d’accès, le blocage au niveau du pare-feu de certaines pièces attachées et le test régulier des failles de sécurités connues. Mais Gustavo Villardi prévient qu’il ne s’agit là que de résoudre une partie du problème. « Selon une étude récente menée par Verizon sur les failles de sécurité, l’erreur humaine continue d’être la cause principale des cyber-attaques. Les collaborateurs sont le maillon faible et les entreprises se doivent de former leur personnel pour qu’ils restent protégés en ligne et depuis quelque appareil que ce soit », témoigne-t-il.

• L’usage à domicile : les collaborateurs en télétravail ne bénéficient pas de l’encadrement de la DSI pour sécuriser leur accès domestique. Il est donc nécessaire de leur indiquer comment sécuriser une box pour activer le chiffrement du Wifi et passer par un VPN.

• Les mots de passe : des bonnes pratiques doivent être appliquées pour que les mots de passe de chaque salarié soient impossibles à deviner ; cela comprend aussi bien de la complexité dans l’enchaînement des caractères que la fréquence de remplacement des mots de passe.

• L’accès : les collaborateurs devraient toujours éteindre un équipement lorsqu’ils ne s’en servent pas, afin d’éviter que quelqu’un ne se connecte sur les services restés ouverts

• Le mode privé : l’utilisation d’un système de visioconférence uniquement avec les paramètres du mode privé évite que quelque des personnes extérieures puissent se greffer sur une conférence.

[lire l’intégralité de l’article source]

LE NET EXPERT:

• FORMATIONS / SENSIBILISATION (utilisateurs / chefs d’entreprises / DSI) :
  • CYBERCRIMINALITÉ
  • PROTECTION DES DONNÉES PERSONNELLES
  • AU RGPD
  • À LA FONCTION DE DPO
• MISE EN CONFORMITÉ RGPD / CNIL
  • ÉTAT DES LIEUX RGPD de vos traitements)
  • MISE EN CONFORMITÉ RGPD de vos traitements
  • SUIVI de l’évolution de vos traitements
• RECHERCHE DE PREUVES (outils Gendarmerie/Police)
  • ORDINATEURS (Photos / E-mails / Fichiers)
  • TÉLÉPHONES (récupération de Photos / SMS)
  • SYSTÈMES NUMÉRIQUES
• EXPERTISES & AUDITS (certifié ISO 27005)
  • TECHNIQUES | JUDICIAIRES | ADMINISTRATIVES
  • SÉCURITÉ INFORMATIQUE
  • SYSTÈMES DE VOTES ÉLECTRONIQUES

Besoin d’un Expert ? contactez-nousNotre Expert, Denis JACOPINI, est assermenté, spécialisé en Cybercriminalité, Recherche de preuves et en Protection des données personnelles. Diplômé en Cybercriminalité (Droit, Sécurité de l’information & Informatique légale), en Droit de l’Expertise Judiciaire et certifié en gestion des risques en Sécurité des Systèmes d’Information (ISO 27005), Denis JACOPINI est aussi formateur inscrit auprès de la DDRTEFP (Numéro formateur n°93 84 03041 84).

Réagissez à cet article

Comment se protéger des attaques DDoS ?

Les attaques par Déni de Services Distribués (DDoS) sont l’une des menaces Internet les plus anciennes et continuent d’être le principal risque pour les réseaux à travers le monde. En même temps que les protections ont évolué, la technologie utilisée par les hackers s’est adaptée et est devenue beaucoup plus sophistiquée. De nouveaux types d’attaques ciblent désormais les applications et services, et sont souvent cachés dans les couches 3 et 4, ce qui les rend difficilement détectables.

En matière d’attaques DDoS, le secteur financier est l’une des cibles privilégiées des cybercriminels, suivie de près par le secteur public. Outre le fait de perturber les opérations Internet par un assaut brutal de données, les attaques DDoS ont récemment été utilisées pour recueillir des informations financières et relatives au commerce en ligne. Ces attaques ont souvent pour objectif de perturber les opérations, principalement en détruisant l’accès à l’information.

Il y a généralement trois catégories de motivations derrière les attaques DDoS: politique, de représailles et financière. Les attaquants politiques ciblent ceux qui ne sont pas d’accords avec leurs convictions politiques, sociales ou religieuses. Lorsqu’un botnet ou un important réseau cybercriminel est démantelé, cela peut déclencher des attaques de représailles contre ceux qui ont aidé ou assisté les autorités. Les attaques motivées par l’argent suivent un schéma « pay-to-play » dans lequel les hackers sont compensés par une tierce partie qui leur demande de mener l’attaque pour elle. Quelle que soit la motivation, le résultat est le même – votre réseau et services en ligne deviennent indisponibles, et peuvent rester ainsi pendant un long moment.

Méfiez-vous des attaques DDoS avancées visant la couche applicative
Il existe de nombreux types d’attaque DDoS largement utilisés aujourd’hui, allant des anciennes méthodes des débuts de l’Internet aux dernières attaques avancées visant la couche 7 et ciblant les applications. L’inondation de requêtes SYN et HTTP GET sont les plus communes et utilisée pour surcharger les connexions réseau ou les serveurs derrière les pare-feu et système de prévention d’intrusion (IPS).

Toutefois, le plus inquiétant est que les attaques visant la couche applicative utilisent des mécanismes beaucoup plus sophistiqués pour attaquer les services et réseau des organisations. Plutôt que d’inonder simplement un réseau avec du trafic ou des sessions, ces types d’attaques ciblent des services et applications spécifiques pour épuiser lentement les ressources au niveau de l’application (couche 7).

Les attaques visant la couche applicative peuvent être très efficaces en utilisant peu de volumes de trafic, et peuvent être considérer comme tout à fait normales par la plupart des méthodes de détection DDoS traditionnelles. Cela rend les attaques visant la couche applicative beaucoup plus difficiles à détecter que les autres types d’attaque DDoS basiques.

Les options en matière de protection DDoS
La plupart des FAI offrent une protection DDoS des couches 3 et 4 pour empêcher les liens des organisations d’être inondés lors d’attaques volumétriques de masse. Cependant, ils n’ont pas la capacité de détecter les plus petites attaques visant la couche 7. Ainsi, les centres de données ne devraient pas uniquement compter sur leur FAI pour bénéficier d’une solution complète DDoS, dont la protection de la couche applicative. Au lieu de cela, ils devraient envisager de mettre en place une des mesures suivantes:

1. Les fournisseurs de services DDoS: Il existe beaucoup de solutions hébergées DDoS basées sur le cloud qui fournissent des services de protection des couches 3, 4 et 7. Elles vont des projets peu couteux pour les petits sites Web jusqu’à ceux pour les grandes entreprises qui requièrent la couverture de plusieurs sites Web. Elles sont en général très faciles à mettre en place et fortement poussées auprès des petites et moyennes entreprises. La plupart offre des options de tarification personnalisée et beaucoup ont des services de détection avancée de la couche 7 à disposition des grandes organisations qui nécessitent que des capteurs soient installés dans le centre de données. Beaucoup d’entreprises choisissent cette option, mais certaines d’entre elles doivent faire face à des frais excédentaires importants et imprévus lorsqu’elles sont frappées par des attaques DDoS en masse. Par ailleurs, la performance n’est parfois pas à la hauteur car les fournisseurs de services redirigent le trafic DDoS vers les centres de protection au lieu de les stopper en temps réel, ce qui est particulièrement problématique pour les attaques de courte durée, qui sont celles généralement rencontrées.

2. Pare-feu ou IPS: Presque tous les pare-feux et systèmes de prévention d’intrusion (IPS) modernes revendiquent un certain niveau de défense DDoS. Les pare-feu nouvelles générations avancés  (NGFW) offrent des services DDoS et IPS et peuvent protéger de nombreuses attaques DDoS. Avoir un dispositif pour le pare-feu, IPS et DDoS est plus facile à gérer, mais il peut être submergé par des attaques volumétriques DDoS, et peut ne pas avoir les mécanismes sophistiqués de détection pour la couche 7 que d’autres solutions ont. Un autre compromis à prendre en compte est que l’activation de la protection DDoS sur le pare-feu ou l’IPS peut impacter la performance globale du seul dispositif, entrainant des débits réduits et une augmentation de la latence pour les utilisateurs finaux.

3. Appliances dédiées à la protection d’attaques DDoS: Ce sont des dispositifs matériels qui sont déployés dans un centre de données et utilisés pour détecter et stopper les attaques DDoS basiques (couche 3 et 4) et avancées (couche 7). Déployées au point d’entrée principal pour tout le trafic Web, ces appliances peuvent à la fois bloquer les attaques volumétriques en masse et surveiller tout le trafic entrant et sortant du réseau afin de détecter les comportements suspects des menaces visant la couche 7. En utilisant un dispositif dédié, les dépenses sont prévisibles car le coût est fixé quelle que soit la fréquence des attaques, que l’entreprise soit attaquée une fois en six mois ou tous les jours. Les aspects négatifs de cette option sont que ces dispositifs sont des pièces matérielles supplémentaires à gérer, que les unités à faible bande passante peuvent être submergées lors d’attaques volumétriques en masse, et que de nombreux fabricants nécessitent des mises à jour fréquentes en matière de signatures.

Les solutions matérielles dédiées de protection des attaques DDoS existent en deux versions principales – celle pour les opérateurs télécoms et celles pour les entreprises. Les premières sont des solutions complètes conçues pour les réseaux mondiaux des FAI et sont très coûteuses. La plupart des organisations qui veulent protéger leurs centres de données privés optent habituellement pour les modèles entreprises qui offrent une détection et protection DDoS rentable. Les modèles d’aujourd’hui peuvent gérer des attaques volumétriques en masse et assurer une protection à 100% des couches 3, 4 et 7 ou peuvent être utilisés pour compléter une protection fournie par le FAI contre les attaques DDoS en masse et assurer une détection et protection avancées de la couche 7. Bien que ces dispositifs nécessitent un investissement initial, ce qui n’est pas le cas des solutions hébergées, ils sont généralement beaucoup moins chers à long terme si l’on prend en compte les frais excédentaires dans le budget total.

Les entreprises devraient considérer des appliances de protection d’attaques DDoS qui utilisent des méthodes d’adaptation basées sur le comportement pour identifier les menaces. Ces appliances apprennent les bases de référence de l’activité normale des applications et ensuite surveillent leurs trafics par rapport à ces bases. Cette approche d’adaptation/apprentissage a l’avantage de protéger les utilisateurs des attaques zero-days inconnues puisque que le dispositif n’a pas besoin d’attendre que les fichiers signatures soient mis à jour.

Les attaques DDoS sont en hausse pour presque toutes les organisations, grandes ou petites. Les menaces potentielles et volumes augmentent à mesure que de plus en plus d’appareils, y compris les téléphones mobiles, accèdent à Internet. Si votre organisation a une propriété Web, la probabilité de subir une attaque n’a jamais été aussi élevée.

La nature évolutive des attaques DDoS signifie que les entreprises ne peuvent plus compter uniquement sur leur FAI pour se protéger. Les organisations doivent commencer à effectuer des changements dès à présent pour une plus grande prévoyance et bénéficier de défenses plus proactives pour les services au niveau des applications et du réseau.

Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…

Source : http://www.journaldunet.com/solutions/expert/59977/comment-se-proteger-des-attaques-ddos.shtml

Attaque informatique : les 7 gestes qui sauvent

7 gestes de premiers secours à connaître face à une attaque informatique.

Votre poste de travail est infecté. La stratégie en place de détection des intrusions a fonctionné et une menace a été identifiée. Et ensuite ? Repérer l’attaque informatique n’est que la première étape. Encore faut-il savoir ensuite organiser la réponse à incident. Et les premiers gestes ont ici une importance capitale. Pour éviter que la situation ne s’aggrave tout d’abord, mais aussi pour permettre de récolter un maximum d’informations sur l’attaque. Les collaborateurs d’une entreprise n’étant pas censés être tous des experts en sécurité informatique, la formation et la sensibilisation sont des missions clés des RSSI. Pour les aider, le CERT-FR a dressé une liste des bons réflexes à adopter.

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions d’expertises, d’audits, de formations et de sensibilisation dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Sans formation en cybersécurité le risque humain reste toujours le plus fort

Cela fait quelques années qu’au sein des entreprises, les principes de cybersécurité ne sont plus l’apanage des seuls experts (DSI, RSSI, responsables techniques). En effet, pour se prémunir contre les vulnérabilités d’origine humaine, les entreprises, avec plus ou moins de détermination, ont développé des processus de sensibilisation auprès de leurs collaborateurs, comité exécutif compris. « La mise en place de cette politique de sécurité doit être compréhensible par tous. Elle ne doit donc pas être écrite dans un jargon technique de spécialiste, explique Franck Greverie, Corporate Vice-president des activités cybersécurité chez Capgemini. Surtout les collaborateurs doivent apprendre à comprendre les risques qu’ils font courir à leur entreprise s’ils ne la respectent pas ». La sensibilisation passe donc pas une communication pédagogique sur des sujets tels que la gestion des mots de passe, le phishing, l’ingénierie sociale, l’utilisation d’applications qui ne sont pas à jour, etc. et les conséquences liées à ces attaques et au non respect des procédures.

Alterner des sessions de formations obligatoires avec des ateliers de mise en situation

De façon concrète, cette éducation peut prendre la forme de modules de formations obligatoires, de journées de démonstrations de piratage en comités restreints ou encore de mises en situation. En complément de ces événements de sensibilisation ponctuels, le niveau de maturité des collaborateurs doit être entretenu et mis à jour, par une communication interne régulière. « L’intranet, par exemple, représente un outil adapté pour aider les entreprises à planifier une campagne de sensibilisation à long terme », suggère Franck Greverie. Les pouvoirs publics ont également leur rôle à jouer. « En septembre 2015, certaines entités de l’Etat associées au CIGREF (une association rassemblant les patrons informatiques des grandes entreprises) annonceront conjointement une campagne de sensibilisation de grande ampleur », révèle l’expert.

Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
formateur n°93 84 03041 84

Contactez-nous

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://bfmbusiness.bfmtv.com/actualite/eduquer-tous-les-collaborateurs-a-la-cybersecurite-de-facon-simple-et-recurrente-891740.html

Par Eddye Dibar

Attaques informatiques : Comment s’en protéger  ?

Tous les quinze jours en moyenne, une attaque sévère – où des données sont exfiltrées – est découverte. Face à ce constat, le tribunal de commerce de Paris a réuni quatre tables rondes d’experts de la sécurité informatique, des représentants de la police judiciaire et des experts-comptables fin juin pour examiner les solutions de protection dont disposent les entreprises. Julien Robert, directeur de la sécurité chez SFR, résume les trois facteurs agissant sur la sécurité : les utilisateurs, car ce sont eux qui choisissent les données qu’ils utilisent et partagent, les fournisseurs d’accès et l’encadrement d’un data center externe fortement conseillé.

Prévention
« Il est difficile d’agir lorsque l’attaque a déjà eu lieu », précise Sylvie Sanchis, chef de la Befti (1) de la police judiciaire de Paris. Le moyen le plus efficace dont disposent les entreprises pour se protéger est donc la prévention. Il faut avant tout investir dans la sécurité informatique. Si certaines sociétés sont réticentes en raison du coût, il est important de rappeler qu’il sera toujours moindre que celui engendré par une attaque.
Tous les salariés doivent par ailleurs être formés car certaines intrusions sont rendues possibles par leur comportement, sans qu’ils en soient conscients, notamment par leur exposition sur Internet.

Les modes opératoires
Les modes opératoires d’exfiltration des données se diversifient et se sophistiquent au fil des années. Certains se veulent discrets afin que l’entreprise ne prenne connaissance de l’attaque que très tardivement, d’autres relèvent du chantage ou de la demande de rançon.
L’attaque peut venir d’un mail qui, à son ouverture, téléchargera un virus sur l’ordinateur de l’employé. Les données peuvent également être extraites grâce au social engineering, pratique qui exploite les failles humaines et sociales de la cible, utilisant notamment la crédulité de cette dernière pour parvenir à ses fins (arnaque au patron). Quant aux ransomwares, il s’agit de logiciels malveillants permettant de rançonner l’entreprise pour qu’elle récupère ses données. Dans ce cas, Anne Souvira, chargée de mission aux questions liées à la cybercriminalité au cabinet du préfet de police de Paris, précise que «même si l’entreprise paye, il est très rare de récupérer toutes les données. » Si elle peut être tentée de payer la rançon sans prévenir les autorités compétentes pour une somme modique, il n’y a aucune garantie de récupérer les données et les traces de l’attaque seront perdues. D’autres techniques de chantage sont utilisées, comme lorsque l’on se voit menacer d’une divulgation des vulnérabilités du système.

L’importance de porter plainte
La réaction à adopter, la plus rapide possible, fait partie de la sécurité informatique : « C’est un travail de réflexion en amont qui permettra d’adopter la bonne stratégie », selon Ciryl Piat, lieutenant-colonel de la gendarmerie nationale. Suite à une cyber-attaque, la plupart des entreprises sont réticentes à porter plainte, par peur d’une mauvaise réputation ou par scepticisme vis-à-vis de la réelle utilité de cette procédure. Alice Cherif, chef de la section « cybercriminalité » du parquet de Paris, précise que la plainte présente l’avantage d’identifier les éléments d’investigation qui permettront de remonter au cybercriminel. «Toute autre alternative est bien moins efficace et fait perdre un temps précieux à l’entreprise ainsi que des éléments d’investigation. »

L’utilité du cloud
L’une des façons de sécuriser ses données est de les confier à un tiers spécialiste qui les stockera en ligne sur un cloud. « Il s’agit d’un système complexe connecté sur Internet, où les données sont stockées sur des disques durs physiques situés dans des salles d’hébergement, les fameux data centers », explique Julien Levrard, chef de projet sécurité chez OVH. Le cloud rend l’accès plus difficile aux malfaiteurs d’autant qu’ils ignorent la localisation de la donnée. Vigilance et prévention : les maîtres mots en matière de cybercriminalité.

Article original de Emilie Smelten

(1) Brigade d’enquête sur les fraudes aux technologies de de l’information

Réagissez à cet article

Usurpation d’identité, propos diffamatoires, #concurrence déloyale, atteintes à votre E-réputation – Nous pouvons vous aider

Pour initier une action vers la personne malveillante en direction soit d’une arrangement à l’amiable ou d’une action judiciaire, vous devez constituer un dossier avec un maximum d’éléments prouvant la légitimité de votre action.

Denis JACOPINI, Expert Informatique assermenté et spécialisé en protection des données personnelles et en cybercriminalité a rassemblé dans ce document quelques actions qui devront être menées et est en mesure de vous conseiller et de vous accompagner dans vos démarches.

Nous pouvons classer les atteintes à la e-réputation en 3 grandes catégories :

a) Atteintes à la vie privée (par exemple en diffusant ou divulguant des informations personnelles ou confidentielles)

b) Dénigrements, injures, propos diffamatoires, citations hors contextes et médisances

c) Usurpation d’identité

Lors qu’un expert est contacté pour une mission sur un de ces sujets, un constat d’huissier peut éventuellement avoir été demandé, notamment pour constater les faits reprochés. Sans constat, l’expert devra se baser soit sur les informations ou documents que lui communiquera la victime (avec pour issue une vérification de l’exactitude ou de l’intégrité des informations) ou bien procédera à un constat des faits lors de sa mission.

Plusieurs types d’informations peuvent être soumises à l’expert :

Expertiser un e-mail, un post sur un forum, un réseau social ou bien des informations apparaissant sur des supports tels qu’un moteur de recherche, annuaire Internet ou bien un site Internet se fait d’abord en analysant le contexte, puis  en réalisant quelques étapes au moyen d’outils spécifiques :

Expertise d’E-mails

En l’absence de procédés de signature électronique garantissant l’intégrité absolue d’un e-mail et de procédé de traçabilité pouvant garantir l’envoi et la distribution dans la boite destinataire d’un e-mail, et, étant quasiment systématiquement dans l’impossibilité de pouvoir expertiser le système informatique à la fois de l’expéditeur et du destinataire, l’expert est souvent bien démuni pour prouver l’absence de fraude dans un « change électronique.

Les premières informations à relever sont bien évidemment la « date de l’e-mail », « l’identité du ou des correspondants » mais aussi une information qui apporte une véracité supplémentaire au mail incriminé : « la continuité des échanges ». (CAPTURES D’ECRAN DATEE, IMPRESSION DU MAIL)

La deuxième information très importante est pour les connaisseurs, « l’entête de l’e-mail ». Les informations contenues dans la zone cachée de l’e-mails peuvent certes venir confirmer les informations précédemment relevées, mais également avoir des informations sur les serveurs source, destination et intermédiaires impliqués dans l’échange électronique. (LA FONCTION D’AFFICHAGE DE L’ENTÊTE D’UN EMAIL FAIT PARTIE DE LA PLUPART DES LOGICIELS DE MESSAGERIE)

La dernière information pouvant être fort utile consiste à rechercher des informations sur le propriétaire du nom de domaine du serveur à l’origine du message (voir procédure dans la rubrique relative aux expertises de sites internet).

Avec les éléments recueillis, l’expert pourra apporter des éléments permettant à l’avocat d’engager auprès de la personne à qui l’atteinte à la e-réputation est reprochée une demande de réparation à l’amiable ou par voie judiciaire.

Les éléments recueillis permettront, par voie judiciaire, de présenter une requête à un juge, laquelle permettra à l’expert d’obtenir d’autres éléments techniques relatives à l’échange.

Lire notre dossier au sujet des signatures électroniques
http://www.lenetexpert.fr/dossier-du-mois-juin-2014-lutilisation-juridique-documents-numeriques-lere-dematerialisation-outrance/

Expertise de post sur forum ou sur les réseaux sociaux ?

Les forums ou les réseaux sociaux peuvent être aussi les dépositaires malgré eux d’échanges ayant pour conséquence l’atteinte à la réputation d’une victime.

Les premières informations à relever sont bien évidemment la « date du message » et « l’identité de l’auteur ». (CAPTURES D’ECRAN DATEE, CODE SOURCE, ECHANGES AVEC LE FOURNISSEUR DU SERVICE)

D’autres éléments peuvent nous aider à identifier l’auteur physique d’un message par recoupement d’informations recueillies sur Internet ou dans d’autres sites d’échanges tels que des indices dans les propos ou des informations dans les images utilisées (recherche sur Google, Social Mention, Samepoint, Mention.net, Alerti, Youseemi, Sprout Social, eCairn.com, zen-reputation.com…).

Tout comme avec les éléments permettant d’identifier l’expéditeur d’un e-mail, l’expert pourra apporter des éléments permettant d’identifier l’auteur des faits permettant ainsi d’engager seul ou au travers d’un l’avocat, auprès de la personne à qui l’atteinte à la e-réputation est reprochée une demande de réparation à l’amiable ou par voie judiciaire.

Les éléments recueillis permettront, par voie judiciaire, de présenter une requête à un juge, laquelle permettra à l’expert d’obtenir d’autres éléments techniques relatives à l’échange.

Remarque :
En cas de difficulté de faire retirer l’information à l’origine de l’atteinte à la E-réputation, la technique du Flooding peut être utilisée. Elle consiste à noyer l’information par une profusion d’information au contenu cette fois maîtrisé et intelligemment choisi.

Expertise d’informations sur des annuaires ou de sites Internet

Lorsque des contenus portant atteinte à l’E-réputation se trouvent sur des sites Internet, la procédure consiste à identifier le responsable du contenu portant atteinte à la réputation de la victime. Le point d’entrée pour avoir des informations relatives au nom de domaine est principalement le bureau d’enregistrement pouvant nous renseigner sur les coordonnées des différents contacts.

Nous pouvons facilement nous trouver confrontés à plusieurs contacts :

• le contact qui a déposé le nom de domaine
• celui qui a réglé le nom de domaine
• celui qui a ouvert l’hébergement
• celui qui a réglé l’hébergement
• celui ou ceux qui ont mis en ligne le site internet
• celui qui a mis en ligne l’information incriminée
• et enfin l’auteur, et donc responsable, de l’information concernée

Ceci peut représenter autant de contacts pouvant être impliqués ou non dans notre expertise.
Le point d’entrée pour avoir des informations sur ces contacts est principalement le bureau d’enregistrement (Un bureau d’enregistrement (registrar en anglais) est une société ou une association gérant la réservation de noms de domaine Internet).

Nous pouvons avoir plus d’information sur les différents contacts relatifs à un nom de domaine (propriétaire, contact administratif, contact technique) en utilisant la fonction « whois » proposé par les bureaux d’enregistrement ou sur https://www.whois.net.

Voici quelques exemples de registres avec les domaines de premier niveau qu’ils maintiennent :

• VeriSign, Inc. : .com ; .net ; .name
• Public Interest Registry et Afilias : .org ;
• Afilias : .info ;
• CIRA : .ca ;
• DENIC : .de ;
• Neulevel : .biz ;
• AFNIC : .fr ;
• EURid : .eu ;
• Nominet : .uk

Pour pouvez facilement trouver les informations publiques relatives aux noms de domaines grâce aux sites Internet suivants :

• http://www.domaintools.com
• http://www.whois-ip.fr
• http://www.dnsstuff.com
• http://www.keepalert.fr
• http://whois.domaintools.com

Pour information
L’afnic met à notre disposition un formulaire nous permettant de lui demander de procéder à la levée d’anonymat d’un particulier (personne physique), titulaire d’un nom de domaine enregistré sous diffusion restreinte (le nom et les coordonnées du titulaire sont masqués et n’apparaissent pas dans l’annuaire Whois) et sous les extensions opérées par l’AFNIC.
https://www.afnic.fr/medias/documents/RESOUDRE_UN_LITIGE/afnic-formulaire-divulgation-donnees-perso-06-14.pdf

Il est clair que si un prestataire a mis en ligne à la demande de son client les propos concernés par la mission, il devra produire la preuve qu’il a agit à la demande d’un tiers et son identification.

Le code source peut également nous fournir des indications sur le type de logiciel utilisé pour développer le site Internet et le niveau technique du créateur du site Internet.

Enfin, il peut être parfois utile de retrouver le contenu d’un site internet à une date antérieure.

Pour cela, il existe un outil représentant les archives d’Internet : Internet Archive.

L’Internet Archive, ou IA est un organisme à but non lucratif consacré à l’archivage du Web et situé dans le Presidio de San Francisco, en Californie. Le projet sert aussi de bibliothèque numérique. Ces archives électroniques sont constituées de clichés instantanés (copie de pages prises à différents moments) d’Internet, de logiciels, de films, de livres et d’enregistrements audio.

Site Internet de Internet Archive : https://archive.org
Accès direct au WayBackMachine : http://archive.org/web

Autres délits pour lesquels les Experts Informatiques peuvent être contactés :

Le Cybersquatting
Le Cybersquatting, aussi appelé cybersquattage, est une pratique consistant à enregistrer un nom de domaine correspondant à une marque, avec l’intention de le revendre ensuite à l’ayant droit, d’altérer sa visibilité ou de profiter de sa notoriété.

Parmi les buts recherchés par  les cybersquatteurs nous avons :

• Spéculation au nom de domaine
  Le cybersquatteur achète un nom de domaine très percutant ou gênant en vue de faire du chantage auprès de l’ayant-droit, pour que celui-ci achète le nom de domaine au cybersquatteur à un tarif élevé.
• Page parking
  Le nom de domaine contient des liens sponsorisés qui rapportent des revenus au cybersquatteur. Idéalement, les liens sponsorisés sont en rapport avec le thème de la marque parasitée.
• Boutique d’e-commerce
  Le nom de domaine pointe vers une boutique vendant généralement des produits similaires au commerçant dont la marque est cybersquattée. Il s’agit souvent de produits de contrefaçon, le cybersquatteur reprenant les repères visuels de la boutique officielle.
  Cette pratique s’apparente au phishing car il s’agit de piéger le consommateur en usurpant l’identité d’un tiers.
• Nuisance à la marque
  Le site fait passer un message péjoratif ou dénigrant à l’égard de la marque.

Les actions possibles contre le cybersquattage :
En France, le cybersquattage n’est pas passible de sanctions pénales, seules des actions civiles sont envisageables.
Les actions les plus courantes concernent en atteinte à une marque (propriété intellectuelle) ou encore parasitisme. Des actions peuvent respectivement être portées devant le tribunal de grande instance (TGI) ou le tribunal de commerce dans le cas de conflit entre commerçants.

Procédure extrajudiciaire :
Les organismes qui gèrent les noms de domaines (registres) et les parties prenantes (titulaire du nom de domaine et ayant-droit sur la marque) étant souvent de nationalités multiples d’une part, et les procédures judiciaires étant longues et couteuses d’autre part, l’ICANN a mis au point une procédure extrajudiciaire permettant au plaignant de recourir devant le registre pour récupérer un nom de domaine : la procédure UDRP.
Cette procédure est payante et la décision est à la discrétion du registre. Une décision judiciaire ultérieure prévaudra cependant sur la décision UDRP.

Contactez-nous

Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…

Source : http://www.metronews.fr/info/paris-on-refuse-de-lui-louer-un-appartement-a-cause-de-son-profil-internet/modC!uUpMqgL3WsBnc/

Fausses applications Pokémon GO. Comment se protéger ?

Toutes les fausses applications découvertes par ESET et détectées grâce à ESET Mobile Security (application lockscreen nommée « Pokémon GO Ultimate » et les applications scareware « Guide & Cheats for Pokémon GO » et « Install Pokemongo ») ne sont plus disponibles sur Google Play. Elles ont été retirées de l’app Store suite à l’alerte donnée par ESET.

Même si ces fausses applications ne sont pas restées longtemps sur le Google Play, elles ont généré quelques milliers de téléchargements. L’application « Pokémon GO Ultimate », a piégé entre 500 et 1.000 victimes, « The Guide & Cheats for Pokémon GO » en a atteint entre 100 et 500, et la plus dangereuse d’entre elles, « Install Pokemongo » a atteint entre 10.000 et 50.000 téléchargements.

« Pokémon GO Ultimate » cultive son extrême ressemblance avec la version officielle du célèbre jeu mais ses fonctionnalités sont très différentes : elle verrouille l’écran automatiquement après le démarrage de l’application. Dans de nombreux cas, réinitialiser le téléphone ne fonctionne pas parce que l’application se superpose à toutes les autres, ainsi qu’aux fenêtres du système. Les utilisateurs doivent redémarrer leurs appareils en retirant la batterie ou en utilisant Android Device Manager. Après la réinitialisation, l’application malveillante fonctionne en arrière-plan, à l’insu de sa victime, en cliquant silencieusement sur des annonces à caractère pornographique. Pour se débarrasser de l’application, l’utilisateur doit aller dans Réglages -> Gestion des Applications -> PI Réseau et la désinstaller manuellement.

« Pokémon GO Ultimate » est la première fausse application sur Google Play qui utilise avec succès une fonction de verrouillage d’écran. Comme la fonctionnalité principale de cette application est le clic sur des annonces pornographiques, il n’y a pas de réels dommages. Mais il suffit de peu pour que la fonction de verrouillage d’écran évolue et ajoute un message de rançon, pour créer le premier ransomware par lockscreen sur Google Play.», explique Lukáš Štefanko, Malware Researcher chez ESET.

Alors que l’application « Pokémon GO Ultimate » porte les signes d’un screenlocker et d’un pornclicker, les chercheurs ESET ont également trouvé un autre malware sur Pokémon GO dans Google Play. Les fausses applications nommées « Guide & Cheats for Pokemon GO » et  « Install Pokemongo » sur Google Play, appartiennent à la famille des Scarewares. Ils escroquent leurs victimes en leur faisant payer des services inutiles. En leur promettant de leur générer des Pokecoins, Pokeballs ou des œufs chanceux – jusqu’à 999.999 chaque jour – ils trompent les victimes en leur faisant souscrire à de faux services onéreux. (Cette fonctionnalité a récemment été décrite dans un article publié sur WeLiveSecurity).

« Pokémon GO est un jeu si attrayant que malgré les mises en garde des experts en sécurité, les utilisateurs ont tendance à accepter les risques et à télécharger toutes applications qui leur permettraient de capturer encore plus de Pokémons. Ceux qui ne peuvent pas résister à la tentation devraient au moins suivre des règles de sécurité élémentaires. » recommande Lukáš Štefanko.

Conseils des experts en sécurité ESET pour les afficionados de Pokémon GO :

– téléchargez uniquement ce qui vient d’une source connue

– lisez les avis en prêtant attention aux commentaires négatifs (gardez en tête que les commentaires positifs ont pu être créés par le développeur)

– lisez les termes et conditions de l’application, concentrez-vous sur la partie qui concerne les permissions requises

– utilisez une solution de sécurité mobile de qualité pour vérifier toutes vos applications

Conseils de Denis JACOPINI

Pour anticiper et vous protéger pour moins de 10€ (10€ est prix de la licence initiale. Une forte réduction sera appliquée au moment du renouvellement au bout d’un an)

Article original de ESET

Réagissez à cet article

Suppression d’un contenu web : comment procéder ?

1 Où supprimer

• soit de connaître l’url (Uniform Resource Locator) utilisées pour identifier les pages et les sites web (par exemple : https://www.lenetexpert.fr/contacter-denis-jacopini-expert-judiciaire-en-informatique-correspondant-cnil-cil/)
• soit on passe par des outils permettant de rechercher de l’information (ex : http://www.google.fr et on recherche « Contacter Denis JACOPINI »)
• soit on passe par des outils spécialisés dans la recherche d’information qui vont scruter dans différents type de services Web (annuaires, réseaux sociaux, espaces de partage, de microblogage…)