Quelques conseils pratiques pour assurer la sécurité de vos systèmes informatiques

Conseils aux usagers | Gouvernement.fr

Quelques conseils pratiques pour assurer la sécurité de vos systèmes informatiques


Quelques conseils pratiques pour assurer la sécurité de vos systèmes informatiques

1. CHOISISSEZ AVEC SOIN VOS MOTS DE PASSE

Entrer un mot de passe permettant de s’authentifier pour accéder à son ordinateur, sa tablette ou son téléphone portable est un geste quotidien de sécurité.
Choisir un mot de passe difficile à déceler par une tierce personne ou par du piratage informatique est ainsi un rempart efficace pour protéger ses données personnelles contre les intrusions frauduleuses.

Comment bien choisir son mot de passe ?

Définissez des mots de passe composés d’au moins 12 caractères

  • mélangeant majuscules, minuscules, chiffres et caractères spéciaux
  • n’ayant aucun lien avec vous comme votre nom, date ou lieu de naissance
  • ne formant pas de mots figurant dans le dictionnaire

Comment faire en pratique ?

Pour cela 2 méthodes simples :

  • la méthode phonétique : « J’ai acheté 5 CD pour cent euros cet après-midi » : ght5CD%E7am
  • la méthode des premières lettres : « Un tiens vaut mieux que deux tu l’auras » : 1tvmQ2tl’A

Quelques recommandations supplémentaires

  • n’utilisez pas le même mot de passe pour tout, notamment pour accéder à votre banque en ligne et votre messagerie personnelle ou professionnelle
  • méfiez-vous des logiciels qui vous proposent de stocker vos mots de passe

2. ENTRETENEZ RÉGULIÈREMENT VOS APPAREILS NUMÉRIQUES

En mettant à jour régulièrement les logiciels de vos appareils numériques

Dans chaque système d’exploitation (Android, MacOS, Linux, Windows,…), logiciel ou application, des vulnérabilités existent. Une fois découvertes, elles sont corrigées par les éditeurs qui proposent alors aux utilisateurs des mises à jour de sécurité.
Sachant que bon nombre d’utilisateurs ne procèdent pas à ces mises à jour, les attaquants exploitent ces vulnérabilités pour mener à bien leurs opérations longtemps encore après leur découverte ou même leur correction. Il donc nécessaire de procéder aux mises à jour régulières des logiciels.
Comment faire ?

  • configurez vos logiciels pour que les mises à jour de sécurité s’installent automatiquement chaque fois que cela est possible
  • ou téléchargez les correctifs de sécurité disponibles en utilisant pour cela exclusivement les sites Internet officiels des éditeurs
  • en effectuant couramment des sauvegardes

3. Effectuer des sauvegardes régulières (quotidiennes ou hebdomadaires par exemple) permet de disposer de ses données après un dysfonctionnement ou une panne d’ordinateur

Comment faire ?

  • utilisez des supports externes tels qu’un disque dur externe, un CD ou un DVD enregistrable pour enregistrer et sauvegarder vos données.

4. PRENEZ SOIN DE VOS INFORMATIONS PERSONNELLES ET DE VOTRE IDENTITÉ NUMÉRIQUE

Les données que vous laissez sur Internet vous échappent instantanément.
Des personnes malveillantes récoltent vos informations personnelles, le plus souvent frauduleusement et à votre insu, afin de déduire vos mots de passe, d’accéder à votre système informatique, voire d’usurper votre identité ou de conduire des activités d’espionnage industriel.

Une grande prudence est conseillée dans la diffusion de vos informations personnelles sur Internet.

 

Voici quelques recommandations générales :

 

  • soyez vigilant vis-à-vis des formulaires que vous êtes amenés à remplir : ne transmettez que les informations strictement nécessaires et pensez à décocher les cases qui autoriseraient le site à conserver ou à partager vos données, par exemple avec des partenaires commerciaux
  • ne donnez accès qu’à un minimum d’informations personnelles sur les réseaux sociaux
  • utilisez plusieurs adresses électroniques dédiées à vos différentes activités sur Internet : une adresse réservée aux activités dites sérieuses (banques, recherches d’emploi, activité professionnelle…) et une adresse destinée aux autres services en ligne (forums, jeux concours…)

 

5. PROTÉGEZ VOS DONNÉES LORS DE VOS DÉPLACEMENTS

L’emploi d’ordinateurs portables, d’ordiphones (smartphones) ou de tablettes facilite le quotidien lors des déplacements professionnels. Pourtant, voyager avec ces appareils nomades peut mettre en péril des informations sensibles sur l’entreprise ou vous travaillez.

Précautions à prendre avant de partir en mission

  • utilisez le matériel dédié à la mission prêté par votre entreprise (ordinateur, clefs USB, téléphone)
  • sauvegardez aussi vos données sur un support amovible pour les retrouver en cas de perte
  • si vous comptez profiter des trajets pour travailler, emportez un filtre de protection écran pour votre ordinateur
  • apposez un signe distinctif (comme une pastille de couleur) sur vos appareils pour vous assurer qu’il n’y a pas eu d’échange pendant le transport

Pendant la mission

  • gardez vos appareils, supports et fichiers avec vous, pendant votre voyage comme pendant votre séjour (ne les laissez pas dans un bureau ou un coffre d’hôtel)
  • si vous êtes contraint de vous séparer de votre téléphone, retirez la carte SIM et la batterie
  • en cas d’inspection ou de saisie de votre matériel par des autorités étrangères, informez votre organisation
  • n’utilisez pas les équipements que l’on vous offre si vous ne pouvez pas les faire vérifier par un service de sécurité de confiance
  • évitez de connecter vos équipements à des postes qui ne sont pas de confiance. Par exemple, si vous avez besoin d’échanger des documents lors d’une présentation

6. SÉCURISEZ VOTRE WI-FI

Si l’utilisation du Wi-Fi est une pratique attractive, elle permet, lorsque le point d’accès n’est pas sécurisé, à des personnes malintentionnées d’intercepter vos données et d’utiliser votre connexion Wi-Fi à votre insu pour réaliser des opérations malveillantes.
C’est pour cette raison que l’accès à Internet par un point d’accès Wi-Fi est à éviter dans le cadre de l’entreprise.

Le Wi-Fi, solution pratique et peu coûteuse, peut cependant être le seul moyen possible d’accéder à Internet, il convient dans ce cas de sécuriser l’accès en configurant votre box. Pour ce faire, n’hésitez pas à contacter l’assistance technique de votre fournisseur d’accès.
 

Quelques recommandations générales :

  • modifiez le nom d’utilisateur et le mot de passe par défaut (généralement « admin » et « 0000 ») de votre page de configuration accessible via votre navigateur Internet
  • vérifiez que votre box dispose du protocole de chiffrement WPA2 et activez-le. Sinon, utilisez la version précédente WPA-AES (ne jamais utiliser le chiffrement WEP cassable en quelques minutes)
  • modifiez la clé de connexion par défaut avec une clé (mot de passe) de plus de 20 caractères de types différents (cf. Choisissez des mots de passe robustes)
  • ne divulguez votre clé de connexion qu’à des tiers de confiance et changez-la régulièrement
  • activez et configurez les fonctions pare-feu / routeur.
  • désactivez le Wi-Fi de votre borne d’accès lorsqu’il n’est pas utilisé

7. SÉPAREZ VOS USAGES PERSONNELS DES USAGES PROFESSIONNELS

Monsieur Paul, directeur commercial, rapporte souvent du travail chez lui le soir. Sans qu’il s’en aperçoive son ordinateur personnel a été attaqué. Grâce aux informations qu’il contenait, l’attaquant a pu pénétrer le réseau interne de l’entreprise de Monsieur Paul. Des informations sensibles ont été volées puis revendues à la concurrence.

Les usages et les mesures de sécurité sont différents sur les équipements de communication (ordinateur, ordiphone,…) personnels et professionnels.
Dans ce contexte, il est recommandé de séparer vos usages personnels de vos usages professionnels :

  • ne faites pas suivre vos messages électroniques professionnels sur des services de messagerie utilisés à des fins personnelles
  • ne stockez pas de données professionnelles sur vos équipements communicants personnels

En savoir plus sur le AVEC ou BYOD :

Le AVEC (Apportez Votre Equipement personnel de Communication) ou BYOD (Bring Your Own Device) est une pratique qui consiste, pour les collaborateurs, à utiliser leurs équipements personnels (ordinateur, ordiphone, tablette) dans un contexte professionnel. Si cette solution est de plus en plus utilisée aujourd’hui, elle est cependant très problématique pour la sécurité des données personnelles et professionnelles (vol ou perte des appareils, intrusions, manque de contrôle sur l’utilisation des appareils par les collaborateurs, fuite de données lors du départ du collaborateur).
De la même façon, il faut éviter de connecter des supports amovibles personnels (clés USB, disques durs externes) aux ordinateurs de l’entreprise.

 

8. SOYEZ AUSSI PRUDENT AVEC VOTRE ORDIPHONE (SMARTPHONE) OU VOTRE TABLETTE QU’AVEC VOTRE ORDINATEUR

Alexandre possède un ordiphone. Lors de l’installation d’une application, il n’a pas désactivé l’accès de l’application à ses données personnelles. Désormais, les éditeurs peuvent accéder à tous les SMS présents sur son téléphone.
Bien que proposant des services innovants, les ordiphones (smartphones) sont aujourd’hui très peu sécurisés. Il est donc indispensable d’appliquer certaines règles élémentaires d’hygiène informatique :

  • n’installez que les applications nécessaires et vérifiez à quelles données elles peuvent avoir accès avant de les télécharger (informations géographiques, contacts, appels téléphoniques…). Certaines applications demandent l’accès à des données qui ne sont pas nécessaires à leur fonctionnement : il faut éviter de les installer
  • en plus du code PIN qui protège votre carte téléphonique, utilisez un schéma ou un mot de passe pour sécuriser l’accès à votre terminal et configurez votre téléphone pour qu’il se verrouille automatiquement
  • effectuez des sauvegardes régulières de vos contenus sur un support externe pour pouvoir les retrouver en cas de panne de votre ordinateur ou ordiphone

9. SOYEZ PRUDENT LORSQUE VOUS OUVREZ VOS MESSAGES ÉLECTRONIQUES

Suite à la réception d’un courriel semblant provenir d’un de ses amis, Madame Michel a cliqué sur un lien présent dans le message. Ce lien était piégé. Sans que Madame Michel le sache, son ordinateur est désormais utilisé pour envoyer des courriels malveillants diffusant des images pédopornographiques.

Les courriels et leurs pièces jointes jouent souvent un rôle central dans la réalisation des attaques informatiques (courriels frauduleux, pièces jointes piégées,…).

 

Lorsque vous recevez des courriels, prenez les précautions suivantes :

  • l’identité d’un expéditeur n’est en rien garantie : vérifiez la cohérence entre l’expéditeur présumé et le contenu du message
  • n’ouvrez pas les pièces jointes provenant de destinataires inconnus ou dont le titre ou le format paraissent incohérents avec les fichiers que vous envoient habituellement vos contacts
  • si un lien ou plusieurs figurent dans un courriel, vérifiez l’adresse du site en passant votre souris sur chaque lien avant de cliquer. L’adresse complète du site s’affichera alors dans la barre d’état en bas de la page ouverte. Si vous avez un doute sur l’adresse affichée, abstenez-vous de cliquer
  • ne répondez jamais par courriel à une demande d’informations personnelles ou confidentielles (ex : code confidentiel et numéro de votre carte bancaire)
  • n’ouvrez pas et ne relayez pas de messages de types chaînes de lettre, appels à la solidarité, alertes virales, etc.

10. SOYEZ VIGILANT LORS D’UN PAIEMENT SUR INTERNET

Lorsque vous réalisez des achats en ligne, vos coordonnées bancaires sont susceptibles d’être interceptées par des attaquants, directement sur votre ordinateur.

Ainsi, avant d’effectuer un paiement en ligne, il est nécessaire de procéder à des vérifications sur le site Internet :

  • contrôlez la présence d’un cadenas dans la barre d’adresse ou en bas à droite de la fenêtre de votre navigateur Internet (remarque : ce cadenas n’est pas visible sur tous les navigateurs)
  • assurez-vous que la mention « https:// » apparait au début de l’adresse du site Internet
  • vérifiez l’exactitude de l’adresse du site Internet en prenant garde aux fautes d’orthographe par exemple

Si possible, lors d’un achat en ligne, privilégiez la méthode impliquant l’envoi d’un code de confirmation de la commande par SMS.
De manière générale, ne transmettez jamais le code confidentiel de votre carte bancaire.

11. TÉLÉCHARGEZ LES PROGRAMMES, LOGICIELS SUR LES SITES OFFICIELS DES ÉDITEURS

Si vous téléchargez du contenu numérique sur des sites Internet dont la confiance n’est pas assurée, vous prenez le risque d’enregistrer sur votre ordinateur des programmes ne pouvant être mis à jour, qui le plus souvent contiennent des virus ou des chevaux de Troie.Cela peut permettre à des personnes malveillantes de prendre le contrôle à distance de votre machine pour espionner les actions réalisées sur votre ordinateur, voler vos données personnelles, lancer des attaques, etc.

 

  • C’est la raison pour laquelle il est vivement recommandé de télécharger vos programmes sur les sites officiels des éditeurs
  • Enfin, désactivez l’ouverture automatique des documents téléchargés et lancez une analyse antivirus avant de les ouvrir, afin de vérifier qu’ils ne sont pas infectés par un quelconque virus ou spyware.

 

Réagissez à cet article

Original de l’article mis en page : Conseils aux usagers | Gouvernement.fr




Les objets connectés représentent-ils un risque ? | Denis JACOPINI

Les objets connectés représentent-ils un risque ?

Les représentent-ils un risque ?

Contrôler sa maison ou son appartement du bout des doigts, voici la promesse des fameux objets connectés. Des réfrigérateurs aux télévisions, en passant par les thermostats, les caméras de surveillance, les serrures, ou encore les éclairages… de plus en plus d’équipements du foyer peuvent être pilotés à distance à l’aide d’un smartphone via un réseau local et Internet. Mais derrière ce rêve de la maison intelligente et connectée, encore inimaginable il y a quelques années, se cachent d’inquiétants problèmes de sécurité. État des lieux. 

 

Un marché en ébullition
Longtemps réservée aux technophiles fortunés, la commence vraiment à se démocratiser grâce à l’émergence des appareils et objets connectés. Après les équipements multimédias (Smart TV, systèmes Hi-Fi, imprimantes…), les appareils électroménagers connectés — réfrigérateurs, lave-linge, cafetières, réveils, etc.— commencent à débarquer sur le marché. Mais ce sont surtout les systèmes prêts à l’emploi ou les modules adaptables permettant de connecter l’éclairage, les serrures de portes, les stores, les systèmes de surveillance (caméras, détecteurs de mouvements/fumée, alarmes…), ou encore le chauffage qui rencontrent un succès grandissant.

L’embellie du marché de la domotique s’explique notamment par la simplicité d’installation et d’usage de ces nouveaux produits, mais également par leur prix de plus en plus abordable. Toutefois, comme n’importe quel appareil qui se connecte à un réseau Wi-Fi et à Internet, ils s’exposent de fait à toutes sortes de risques. D’autant que pour la plupart, ils ne possèdent aucun système de protection de type antivirus, antimalware, etc. Des failles de sécurité, plus ou moins importantes en fonction de la nature des objets, ont été soit démontrées par des experts de sécurité, soit exploitées par des hackers. Nous verrons les cas les plus effrayants qui donnent matière à réflexion.

Quels sont les éléments indispensables de la domotique ?

 

Des appareils sous haute surveillance

Outre les incidents révélés ici et là, la sécurité des objets connectés est devenue un sujet particulièrement sensible depuis la médiatisation d’un moteur de recherche public étonnant baptisé Shodan. Créé par un Américain du nom de John Matherly, ce dernier explore le Web en continu pour référencer et regrouper tous les appareils qui y sont connectés. Quelques clics suffisent pour trouver aussi bien des systèmes domotiques, que des imprimantes, des caméras, des alarmes, voire des installations industrielles sensibles telles que des centrales électriques, des raffineries, ou encore, des réacteurs.

 

Pas de quoi rassurer les utilisateurs, même si à l’origine Shodan n’aurait pas été créé pour nuire, mais au contraire pour aider les experts en sécurité à identifier les vulnérabilités des logiciels et infrastructures réseau des entreprises. Le service se targue de garder une trace de tous les faits et gestes de ses utilisateurs, qui doivent obligatoirement s’identifier et souscrire à un abonnement au-delà d’un certain nombre de recherches. Il n’en reste pas moins que désormais, tout objet connecté ayant une adresse IP peut être localisé, identifié, voire détourné.

 

 

Les promesses de la maison intelligente et connectée

Contrôler et gérer divers équipements de la maison à l’aide d’un smartphone, d’une tablette ou d’un ordinateur n’est plus une utopie. Inutile d’avoir à tirer des câbles partout et d’entreprendre de lourds et coûteux travaux avec des spécialistes. Tout le monde peut en principe concevoir une installation domotique soi-même grâce à la nouvelle génération de produits disponibles sur le marché. Au-delà du confort qu’offrent ces nouvelles technologies au quotidien, elles permettent de réaliser de substantielles économies d’énergie, de renforcer la sécurité du foyer, ou encore de se prémunir d’accidents domestiques (incendie, inondation…).

Samsung Smart Home

 

Confort, sécurité, prévention, économie d’énergie…

 

 

Domotique

Les produits ont évolué, mais la promesse de la domotique est toujours la même : centraliser et automatiser grâce à diverses technologies l’ensemble ou une partie des équipements électriques du foyer. Des serrures qui se ferment à distance, des caméras et des détecteurs de mouvements capables de s’animer en votre absence et de vous envoyer des SMS en cas d’intrusion, des thermostats intelligents permettant de gérer la température au degré près dans chaque pièce, des stores électriques qui s’ouvrent et se ferment automatiquement en fonction de la lumière, des détecteurs de fumée (obligatoires dans toute l’Union européenne à partir de mars 2015) qui lancent des alertes en cas de départ d’incendie, des éclairages qui créent différentes ambiances lumineuses selon les heures de la journée… Les possibilités sont quasi-infinies.

 

Réaliser une installation domotique est maintenant à la portée du plus grand nombre grâce, notamment, à ce qu’on appelle les box domotiques. Ces systèmes prêts à l’emploi que l’on trouve dans tous les magasins de bricolage et d’électronique (Castorama, Leroy Merlin, Electro Dépôt…) et même dans certains hypermarchés permettent de connecter et de contrôler à distance des équipements de la maison via une seule et même interface. Ces packs se composent d’un serveur domotique / multimédia (relié au réseau Wi-Fi du foyer), et d’un éventail plus ou moins important d’équipements de surveillance, d’automatisation, de loisirs, etc.

Lockitron

Ces dispositifs communiquent entre eux par le biais de différentes technologies sans fil comme le courant porteur (CPL), le Wi-Fi, les radiofréquences, ou des protocoles propriétaires. Pour les contrôler à l’aide d’une tablette ou d’un smartphone depuis le réseau local du foyer ou à distance par Internet, l’utilisateur n’a plus qu’à jouer du bout des doigts avec les icônes représentant les équipements connectés pour planifier des actions immédiates ou différées.

Vranda Somfy Semaphore(1)

 

 

Créer des scénarios

Dans le jargon de la domotique, un scénario désigne un ensemble d’actions programmées pour différents moments de la journée, de la semaine, du mois, voire de l’année. Les fabricants ont réalisé d’énormes progrès pour faciliter la gestion des produits domotiques et la création de scénarios en développant des applications très intuitives. Exit les lignes de code informatique, ou les menus interminables au vocabulaire incompréhensible, place aux icônes visuelles, aux photomontages représentant les différentes parties du foyer, et à des menus dynamiques inspirés de ceux des smartphones. Quelques clics suffisent pour créer plusieurs scénarios pour la journée, la nuit, le week-end, et les combiner entre eux.

 


Point d’orgue des maisons intelligentes, les applications mobiles facilitent la compréhension et l’utilisation des équipements domotiques

 

On peut imaginer, par exemple du lundi au vendredi, un scénario qui consisterait à déclencher une série d’actions à partir de 7 heures : ouvrir les stores, allumer le ballon d’eau chaude, faire chauffer la cafetière, lancer la radio, déverrouiller les portes, démarrer les caméras de surveillance, etc. Bien entendu, toutes les solutions domotiques n’offrent pas les mêmes possibilités. Les fabricants distillent généralement des packs spécialisés dans un domaine précis (surveillance, automatisation, éclairage, chauffage…) à compléter au fur et à mesure. En parallèle, il existe d’innombrables objets connectés autonomes (stations météo, balances Wi-Fi, réveils intelligents, ampoules connectées…) qui se connectent directement au réseau du foyer, sans passer par un serveur propriétaire.

 

2.Withings Aura iphone
Aura, le réveil intelligent de Withings qui analyse votre sommeil pour vous réveiller en douceur

 

Le problème, c’est que tout ce petit monde ne parle pas le même langage. Les standards universels, que rêvent de concevoir Apple et Google pour que tous les appareils connectés puissent communiquer entre eux via leurs plateformes mobiles respectives, ne sont pas encore d’actualité. À moins de choisir du matériel très haut de gamme comme la box universelle Lifedomus Vision (2 988 euros) compatible avec la plupart des protocoles de communication des solutions domotiques (KNX, EnOcean, MyHome, Zwave, Modbus, Zigbee…), mieux vaut s’équiper chez le même fabricant pour pallier les éventuels problèmes de compatibilité.

 

Interface de controle Lifedomus

 

 

Quels risques pour la sécurité ?

Depuis quelques mois, la sécurité de l’Internet des objets fait couler beaucoup d’encre. Aux quatre coins de la planète, des experts en sécurité prennent le sujet à bras le corps : ils multiplient les démonstrations pour montrer les vulnérabilités de certains produits et la façon dont les cybercriminels pourraient les exploiter pour réaliser des attaques. Les spécialistes n’ont pas tort d’alerter les fabricants, car les risques ne sont plus seulement virtuels. Depuis quelques mois, quelques cas concrets d’attaques basées sur des objets connectés prouvent le bien-fondé de leurs craintes.

 

Les nouveaux visages de la cybercriminalité

 

 

Failles et vulnérabilité des objets connectés

La division de sécurité Fortify on Demand du constructeur HP a récemment publié un rapport alarmant sur la sécurité des objets connectés. Elle a ainsi annoncé avoir découvert plus de 25 vulnérabilités sur 10 objets connectés parmi les plus populaires (Smart TV, thermostats intelligents, webcams, boxs domotiques…). Sans donner plus de précisions sur les marques concernées, elle déclare que la plupart ne crypte pas les données échangées sur le réseau et n’exige pas de mot de passe sécurisé mêlant caractères spéciaux et chiffres pour l’accès à distance. Ces dispositifs autorisent des mots de passe comme « 123456 » particulièrement vulnérables (un fait que nous avons effectivement pu vérifier après quelques recherches sur Shodan). Par ailleurs, la protection de leurs logiciels serait insuffisante, car non chiffrée, et certaines interfaces Web ne sont pas du tout sécurisées.

 

Toujours selon ce rapport, 90 % des produits évalués collectent des informations personnelles sensibles (adresse email/postale, date de naissance…) susceptibles de circuler en clair sur Internet à cause du manque de protection. Difficile néanmoins de contester un rapport ne précisant pas les modèles et les marques des appareils incriminés. À travers cette étude, la division déclare vouloir sensibiliser les acteurs du marché, mais elle souhaite aussi promouvoir sa solution de sécurité Fortify on Demand auprès des fabricants.

 

HP Simple Template

 

Ce n’est pas la seule étude de ce type. Le groupe de chercheurs indépendant d’AV-Test avait mis en lumière d’importantes failles de sécurité, notamment sur les systèmes domotiques iConfort de REVRitter, et XAVAX MAX ! d’Hama, permettant de contrôler le chauffage, l’électricité, les prises de courant avec interrupteur, ou encore l’éclairage. Aussi incroyable que cela puisse paraître, leur communication n’était pas sécurisée sur le réseau lors des mises à jour logicielle ou firmware, mais en plus, la solution iComfort ne nécessitait aucune authentification que cela soit pour l’accès local ou via Internet.

 

Avec un moteur de recherche comme Shodan, n’importe qui aurait pu repérer les dispositifs de la marque sur Internet et en prendre le contrôle à distance… Effrayant. Gageons que les deux fabricants ont pris les mesures qui s’imposent pour sécuriser un tant soit peu leurs systèmes.

 

 

Le lapin Karotz sécurisé ? Pas tout à fait.

Dans la sécurité informatique, les experts réalisent des « exploits », c’est-à-dire des tests (appelés Proof-of-concept, preuve de concept) visant à démontrer la présence de vulnérabilités sur des systèmes ou des logiciels pour proposer des patchs. Certains exemples sont particulièrement croustillants. La spécialiste Jennifer Savage avait ainsi montré comment elle avait réussi à exploiter une faille de sécurité du fameux lapin multifonctions Karotz qu’elle avait offert à sa fille. Cela lui avait permis de prendre le contrôle à distance de l’appareil à son insu, à l’aide d’un ordinateur, et d’utiliser sa caméra et son micro pour l’espionner.

 

Lapin Karotz

 

Des ampoules qui éclairent et déverrouillent les réseaux Wi-Fi

Plus récemment, des chercheurs sont parvenus à prendre le contrôle d’ampoules connectées Lifx en exploitant une faille de leur protocole de communication. Ils ont pu démontrer qu’ils pouvaient théoriquement s’introduire dans un rayon de 30 mètres dans le réseau Wi-Fi domestique auquel elles sont connectées et accéder à des données privées stockées sur d’autres appareils du foyer, par exemple. Depuis cette découverte, le fabricant s’est empressé de publier un correctif.

Lifx Bulb

 

 

Des Smart TV qui espionnent les téléspectateurs

Les démonstrations les plus impressionnantes ont souvent lieu lors des conférences Black Hat organisées chaque année à Las Vegas, mais aussi à Amsterdam ou à Tokyo. Elles réunissent aussi bien des chercheurs, des experts en sécurité, que des hackers de haut vol. En 2013, plusieurs conférenciers ont exposé les vulnérabilités des TV connectées. L’un d’entre eux a prouvé notamment qu’il était possible de prendre le contrôle de la caméra et du micro d’une Smart TV et d’espionner leur propriétaire à leur insu. Et cela, même quand l’appareil était éteint.

 

 

Le thermostat Nest Lab qui joue les « Big Brother »

À l’occasion de la dernière édition qui s’est déroulée au mois d’août 2014 à Las Vegas, des chercheurs d’une université de Floride ont montré comment pirater le thermostat intelligent de Nest (la start-up rachetée par Google). Avec un accès physique à l’appareil (uniquement), ils ont pu prouver qu’il est possible d’insérer un code pour détourner et récupérer les informations récoltées par l’appareil, sans que son propriétaire s’en aperçoive.

 

Nest thermostat with hand

 

Nouvelle génération de cyberattaques

La sécurité et la protection des données privées ne sont clairement pas la priorité de certains acteurs du marché des objets connectés. Sans vouloir dresser un tableau catastrophique de la situation, les cyberattaques sur les objets connectés présentant des failles de sécurité ont tendance à se multiplier ces derniers mois. Caméras de vidéosurveillance, réfrigérateurs, babyphones, Smart TV, voici quelques exemples connus d’appareils qui ont fait l’objet d’attaques diverses et variées.

 

 

Des caméras au service des voyeurs

Impossible de ne pas citer la faille de sécurité qui avait permis à des hackers de diffuser sur Internet le flux vidéo de milliers de webcams et caméras de vidéosurveillance Trendnet, installées chez des particuliers. Malgré la publication rapide d’un correctif par le fabricant après sa découverte, de nombreux utilisateurs continuaient un an plus tard à être espionnés à leur insu, car ils n’avaient toujours pas fait la mise à jour.

 

Faille TRENDnet

 

 

Un hack jusque dans… le berceau d’un nourrisson !

Début 2014, la société spécialisée en sécurité PoofPoint a révélé pour la première fois une cyberattaque réalisée à partir de toutes sortes de dispositifs connectés dont des Smart TV, des NAS, des consoles de jeux vidéo, un réfrigérateur, etc. Les pirates auraient exploité leur vulnérabilité pour installer un serveur de spams (botnet) et envoyer plus de 750 000 emails frauduleux. Dans l’État de l’Ohio aux États-Unis au mois d’avril dernier, un hacker n’a rien trouvé de mieux que de pirater un babyphone pour terroriser un bébé et ses parents. En prenant le contrôle de l’appareil équipé d’une caméra, d’un micro et d’un haut-parleur, il s’est mis à hurler des insanités sur le nourrisson.

 

Un babyphone piraté

 

 

Analyse et collecte de données en règle

En Grande-Bretagne, le blogueur spécialisé en développement informatique connu sous le nom de DoctorBeet’s a fait une étonnante découverte. Suite à l’acquisition d’une Smart TV de la marque LG, il a remarqué l’apparition de publicités ciblées comme on peut en voir sur des services Web tels que Gmail. Il en a donc déduit que la TV devait forcément analyser ses habitudes, les programmes qu’il regarde, les sites qu’il visite, etc. En cherchant à en savoir plus, il constate en effet que son téléviseur dispose d’une fonction activée par défaut de collecte d’informations de visionnage.

 

Même après avoir désactivé cette fonction, le téléviseur continuait de transmettre des informations à son insu à LG. Le constructeur ne se contentait pas de scruter ses habitudes de consommation, mais il récupérait également des données personnelles telles que des vidéos de famille qu’il avait projetées sur son écran depuis son ordinateur. Un scandale dont se serait bien passé LG qui aurait, depuis, décidé de permettre à ses clients de « vraiment » désactiver l’option de collecte de données. Outre le manque de sécurité constaté sur de nombreux objets connectés, il faudra donc aussi dorénavant se méfier des pratiques intrusives de certains fabricants !

 

Source DoctorBeet
Source DoctorBeet’s Blog

 

 

Sous l’œil de Shodan

En faisant un tour d’horizon des objets connectés pour la maison, susceptibles de présenter des risques, on se rend compte qu’ils sont tous potentiellement vulnérables. Certains ne sont pas sécurisés ou pas suffisamment, tandis que d’autres présentent des failles de sécurité plus ou moins importantes pouvant être exploitées pour mener des attaques externes ou à courte distance. Mais la principale faille qu’exploitent les hackers est encore trop souvent l’absence de vigilance des utilisateurs. Beaucoup n’ont pas conscience des risques et n’utilisent pas de mots de passe pour protéger l’accès à distance de leurs équipements, ou se contentent de laisser les identifiants par défaut fournis par les fabricants. Un vrai problème, d’autant qu’avec un moteur de recherche comme Shodan, tous les appareils connectés ayant une adresse IP visible sont désormais répertoriés sur le Web.

 

D’une efficacité redoutable, ce service permet d’effectuer des recherches globales, ou par pays, en saisissant une simple requête pour identifier, localiser, voire prendre le contrôle des appareils connectés non protégés par un mot de passe. Il suffit de saisir le nom d’une marque de produits connectés connue (Dlink, Netgear, Samsung…) ou de cliquer sur les mots recherchés les plus populaires (Webcam, Camera, Netcam…) pour voir apparaître leurs adresses IP et s’y connecter. Le service indique de surcroît de nombreux détails sur les dispositifs, comme leur système d’exploitation, s’ils sont connectés, protégés ou non par des identifiants, etc.

 

SHODAN Computer Search EngineShodan 02

Comme cela avait été démontré dans une enquête baptisée Null CTRL, réalisée par deux journalistes norvégiens pour le site Dagbladet en 2013, d’innombrables équipements connectés référencés par Shodan ne possèdent aucune protection. Quelques clics suffisent pour les repérer et visionner, par exemple, le flux vidéo de caméras de surveillance chez des particuliers, jouer avec le tableau électrique ou le thermostat d’un immeuble, s’introduire dans des bases de données, etc. Gageons qu’à terme, cette surexposition des objets connectés permette de sensibiliser les utilisateurs sur l’importance de sécuriser leur accès.

 

Dagbladet Null CTRL

 

 

Qu’en pensent les experts ?

Au-delà des rapports alarmants, des exploits des chercheurs et des affaires relatées dans les médias, nous avons souhaité donner la parole à un expert en sécurité ainsi qu’à un fabricant de solutions domotiques. Tous deux apportent une vision concrète sur les risques que représentent les objets connectés à l’heure actuelle, et donnent quelques conseils aux utilisateurs pour mieux se protéger.

Un employé du Centre européen de lutte contre la cybercriminalité à la Haye aux Pays-Bas le 11 janvier 2013

 

 

Cybermenaces sur les maisons intelligentes

Pour en savoir un peu plus sur les menaces qui planent sur les maisons intelligentes et leurs installations domotiques, nous avons rencontré un expert en sécurité qui travaille depuis plus de dix ans pour Kaspersky Lab Angleterre. Il dresse un portrait plus nuancé que celui des cabinets d’experts en sécurité que nous avons évoqué précédemment.

 

DavidEmm KasperskyLab
David Emm

 

 

Clubic : Que pouvez-vous nous dire sur la sécurité des objets connectés pour la maison ?

David Emm : Les gens utilisent Internet pour faire des achats, gérer leurs comptes en banque, aller sur les réseaux sociaux mais aussi pour chercher des informations liées à tous les aspects de leur vie quotidienne. Et cela va encore plus loin maintenant que nous utilisons les technologies informatiques pour réaliser des actions qui étaient, par le passé, purement mécaniques, voire manuelles. Malheureusement, lorsque de nouvelles technologies voient le jour, ou lorsque la technologie génère de nouveaux usages, la sécurité n’est souvent pas l’une des priorités. Ce n’est pas un phénomène nouveau et si l’on regarde en arrière, on remarque que les évolutions sont portées par une volonté de simplicité, de réduction des coûts ou d’autres bénéfices, alors que la sécurité n’est envisagée qu’après l’émergence d’un problème. Les risques sont multiples, allant du vol à la manipulation des données. Il est facile d’imaginer par exemple qu’un compteur intelligent soit manipulé pour falsifier la consommation électrique. Pour l’instant, cela reste de l’ordre du possible plus que de celui du réel car à ma connaissance il n’y a eu aucune attaque réelle visant des compteurs électriques.

 

 

Clubic : Selon vous, quels sont les types d’appareils domotiques les plus vulnérables ?

David Emm : Lorsqu’ils entendent parler de l’Internet des objets ou de maisons intelligentes, la plupart des gens imaginent leurs appareils traditionnels disposant de nouvelles fonctionnalités (réfrigérateur, contrôle des portes, chauffage central, etc.). Pourtant, ces appareils ne sont pas encore massivement connectés et pour l’instant, leur vulnérabilité a été démontrée le plus souvent au travers d’exploits d’experts dans le cadre de tests. Bien sûr, lorsque ces appareils seront plus courants dans nos vies, je pense qu’ils deviendront régulièrement la cible d’attaques. Mais il faut surtout s’inquiéter de la vulnérabilité d’appareils qui sont aujourd’hui des incontournables, comme par exemples les modems Internet, les tablettes, les smart TV, etc.

 

 

Clubic : À quel type d’attaques les maisons intelligentes (Smart Home) sont-elles exposées ?

David Emm : Je dirais qu’il y a trois principales catégories :

1 – Obtenir l’accès à un appareil et l’utiliser pour prendre le contrôle d’autres systèmes connectés dans la maison

2 – Avoir accès à des informations privées ou sensibles, y compris des mots de passe

3 – Falsifier des informations reçues / envoyées par un appareil à l’insu des personnes du foyer

 

 

Clubic : Quelles sont les vulnérabilités que vous avez pu constater ?

David Emm : L’un de mes collègues David Jacoby a publié un rapport pour alerter sur les dangers de l’exécution de code à distance et des mots de passe faibles sur les appareils de stockage NAS, mais aussi la possibilité d’orchestrer une attaque de type « man-in-the-middle » (NDRL : l’attaque de « l’homme du milieu » consiste à s’infiltrer sans être vu dans un réseau et y intercepter des informations) via une Smart TV. Il a également découvert des fonctionnalités d’analyses non référencées intégrées dans les routeurs par les constructeurs (sans doute pour des raisons légitimes), mais qui pourraient être exploitées par un attaquant. Un appareil sans fil est repérable et potentiellement vulnérable aux attaques lorsque ses communications ne sont pas cryptées, et que le mot de passe d’accès utilisé est celui par défaut ou faible.

 

 

Clubic : Est-ce que Kaspersky envisage de proposer des solutions de sécurité pour les objets connectés ?

David Emm : Ce n’est pas parce qu’il est possible d’installer une solution de sécurité sur les terminaux traditionnels (PC, tablettes, smartphones…), que cela sera possible sur tous les appareils du quotidien qui sont connectés à Internet. Ces appareils pourraient recevoir et envoyer des données sans pour autant autoriser l’installation de code ou disposer de suffisamment d’espace pour le faire. Ils pourraient être verrouillés (par exemple si une Smart TV tourne sous un OS standard, il est possible que le code ne puisse être modifié que par le constructeur). En plus, le vendeur n’est pas toujours le constructeur des composants informatiques intégrés. Cela signifie qu’il pourrait être impossible de patcher ces appareils, même en cas de mise à jour de sécurité disponible via le constructeur des composants. On comprend mieux pourquoi il est primordial que les constructeurs d’appareils et les entreprises qui les exploitent prennent en compte la sécurité dès le début de la fabrication d’un produit. Il est essentiel de pouvoir établir un dialogue entre experts en sécurité et développeurs d’appareils informatiques pour maisons connectées.

 

 

Clubic : Que peuvent faire les utilisateurs pour protéger au mieux leurs systèmes domotiques ?

David Emm : La première chose est de lister tous les objets connectés de la maison et de savoir comment et à quoi ils sont connectés (à Internet, ou à d’autres objets de la maison). Ensuite, il est impératif de mettre des obstacles sur la route du hacker. Pour ce faire, il faut tout d’abord installer régulièrement les mises à jour de sécurité et les mises à jour logicielles, pour limiter le nombre de vulnérabilités connues qui pourraient être exploitées. Après, il faut changer le nom et le mot de passe par défaut de chaque objet connecté, car c’est la première chose qu’un hacker tentera d’attaquer pour en prendre le contrôle. Pour finir, il faut limiter l’accès d’un objet connecté aux autres objets connectés dans la maison. Par exemple, si vous avez une Smart TV, vous devrez restreindre l’accès à cette TV et autoriser seulement son accès à des ressources particulières du réseau (il n’est pas vraiment nécessaire que votre imprimante soit connectée à votre TV, par exemple…).

 

 

Clubic : Selon vous, quel serait LE scénario catastrophe pour une maison intelligente ?

David Emm : C’est une question difficile, car LE scénario catastrophe impliquant un seul individu n’aura pas forcément le même impact au niveau d’une communauté. Pour les individus, le risque qui importe c’est le personnelles — par exemple, les noms d’utilisateurs, les mots de passe, etc. Ou encore, le fait que l’on puisse vous espionner vous ou votre famille (comme le hack du babyphone survenu dans l’État de Ohio). Il y aussi le risque qu’une application contrôlant la sécurité de votre porte d’entrée puisse être hackée, vous laissant enfermé dehors. Du point de vue de la communauté, l’impact peut être plus important. Si un hacker arrive par exemple à intercepter des données d’un compteur intelligent (Smart Meter), cela peut affecter les relevés : il peut remettre les compteurs à zéro, voire créer une panne générale d’électricité.

 

Inf dark side en

 

 

Le point de vue d’un spécialiste de la domotique

Pour compléter ce dossier, nous avons voulu donner également la parole à un fabricant de solutions domotiques. Somfy, l’un des leaders du marché de la domotique, a bien voulu répondre à nos questions sur la sécurité des maisons intelligentes.

 

TaHomaSomfy Box Somfy SAS D Eskenazi

 

 

Clubic : Comment la box Somfy et les appareils qu’elle permet de piloter à distance sont-ils protégés ?

Somfy : En tant que spécialiste de solutions domotiques, notre box prend en compte les problématiques de sécurité. L’ensemble des actions effectuées avec nos solutions Tahoma et Somfy Box transite sur un serveur sécurisé et est chiffré sur 128 bits. Le protocole RTS propriétaire de Somfy (10 millions de systèmes installés dans le monde) qui est utilisé pour la commande radio est sécurisé grâce à un code tournant de 16 millions de combinaisons.

 

 

Clubic : En tant que fabricant, que pensez-vous du remous médiatique autour de la vulnérabilité supposée ou avérée de certains objets connectés pour la maison ?

Somfy : Nous sommes aujourd’hui en plein boom des objets connectés, avec de nombreux nouveaux acteurs qui lancent parfois des solutions un peu trop vite et pas suffisamment abouties. Il faut veiller à bien se renseigner sur le fabricant et sa légitimité sur le secteur. Somfy possède une expertise en matière de radio et d’IP qui nous rend légitimes sur ce secteur. Depuis que nous avons lancé notre box il y a quatre ans, aucun piratage ne nous a été signalé.

 

 

Clubic : Quels sont selon vous les points faibles d’une installation, ou quels pourraient-ils être ?

Somfy : Les points faibles de l’installation seraient de ne pas avoir de système de protection, d’avoir positionné les détecteurs de mouvements aux mauvais endroits ou de ne pas couvrir tous les accès de la maison.

 

 

Clubic : Selon vous, quel serait LE scénario catastrophe pour une maison intelligente ?

Somfy : Le scénario catastrophe, s’il y en a un, serait de se faire voler son téléphone sans code pour le déverrouiller en laissant ainsi libre accès à l’application qui commande la maison intelligente. Il faut donc prendre les précautions nécessaires.

 

 

Conclusion

En moins de deux ans, la domotique est passée d’un marché de niche à un nouvel eldorado convoité par la plupart des géants de l’industrie high-tech. Apple, Google, Microsoft ou encore Samsung, pour ne citer qu’eux, se sont lancés tour à tour sur ce marché promis à une très forte croissance en multipliant les partenariats et les rachats de start-up spécialisées. Début 2014, Google n’a pas hésité par exemple à faire la troisième acquisition la plus importante de son histoire, en rachetant Nest Labs pour la bagatelle de 3,2 milliards de dollars et, plus récemment, le spécialiste de caméras IP Dropcam pour 555 millions de dollars.

 

Courant 2014, Samsung s’est offert la start-up spécialisée SmartThings (montant de l’achat non divulgué), Microsoft a noué un partenariat avec Insteon, un des leaders de la domotique aux USA, et Apple a dévoilé à l’occasion de la WWDC la plateforme HomeKit pour iOS8 qui permettra de contrôler les objets connectés de nombreux fabricants via Siri (l’assistant vocal d’Apple). En attendant les solutions des poids lourds des nouvelles technologies, le marché est déjà bien occupé par les acteurs historiques — Somfy, Philips, Haier, Legrand, etc. —, une foule de nouveaux fabricants de tous horizons, des fournisseurs d’électricité ou encore des opérateurs comme Orange et SFR, qui commercialisent en France des kits de domotique pour accompagner leurs box. Si tout ce monde frappe à la porte de nos foyers, c’est que le potentiel est énorme.

 

TaHoma Somfy SAS photo studio EKD

Il ne fait aucun doute que les produits du quotidien vont être de plus en plus connectés (comme nous avons pu le voir au CES cette année), mais pas toujours bien sécurisés. Les acteurs comme Google, Apple et Microsoft, qui ambitionnent qu’un maximum d’objets connectés puissent fonctionner à l’avenir avec leurs plateformes mobiles respectives, vont sans doute imposer aux fabricants un cahier des charges drastique en matière de sécurité s’ils veulent obtenir une certification. Cela pourrait peut-être permettre d’augmenter le niveau de protection des objets connectés, même si comme nous l’avons vu, il n’est pas toujours possible de patcher des produits comprenant des composants provenant de différents fabricants.

 

Le nombre croissant d’objets connectés risque d’intéresser de plus en plus les cybercriminels pour entreprendre des diffusions de spams ou de logiciels malveillants à grande échelle, par exemple. Mais le plus effrayant serait qu’ils puissent prendre le contrôle total des maisons intelligentes, espionner leurs habitants à l’aide des caméras de surveillance, s’introduire ni vu ni connu dans le foyer en déverrouillant la porte à l’aide d’un smartphone, couper l’électricité ou le chauffage en plein hiver, ou encore, déclencher l’alarme au beau milieu de la nuit…

 

Pour que les maisons intelligentes tiennent vraiment toutes leurs promesses, il est indispensable qu’à l’avenir leur sécurité soit garantie. En attendant, côté utilisateur, il faudra être de plus en plus vigilant, se renseigner sur le système de protection des produits, faire systématiquement les mises à jour, ou encore instaurer un mot de passe fort pour l’accès à distance de tous les appareils connectés. Le prix à payer pour que le rêve de posséder une maison intelligente ne tourne pas au cauchemar.

 

 

Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…

 

Source : ://www.clubic.com/antivirus-securite-informatique/article-723729-1-objets-connectes-representent-risque.html

Par Jérôme Cartegini

 

 




La police utilise les empreintes des cadavres pour débloquer les iPhone

Notre métier en RGPD et en CYBER : Auditer, Expertiser, Accompagner, Former et Informer
EXPERTISES VOTES ELECTRONIQUES : Expertise de systèmes de vote électronique et d'élections par Internet MISE EN CONFORMITÉ RGPD & CYBER : Accompagnement de votre établissement à la démarche de mise en conformité avec le RGPD et en CYBERSÉCURITÉ Expertise de systèmes de vote électronique - votes par Internet FORMATIONS & SEMINAIRES RGPD & CYBER ARNAQUES & PIRATAGES : Restez informé sur les techniques utilisées par les pirates informatiques

La police utilise les empreintes des cadavres pour débloquer les iPhone


Plusieurs sources dans les autorités policières américaines ont admis à Forbes utiliser les empreintes des corps pour débloquer les iPhone grâce au Touch ID, dans le cadre d’une enquête criminelle.

 

 

La police cherche maintenant à savoir comment ils peuvent utiliser la reconnaissance faciale Face ID pour pirater les téléphones des suspects.

Bob Moledor, spécialiste judiciaire au FBI, a déclaré à Forbes que la première utilisation connue du Touch ID dans une enquête criminelle remonte à 2016, après l’attaque terroriste dans l’université d’Etat de l’Ohio d’Abdul Razak Ali Artan, abattu ensuite par un policier.Meldor a confirmé qu’un agent du FBI a placé l’index du décédé sur son iPhone dans le but d’accéder à son téléphone et de révéler davantage d’informations sur ses motivations.

Malheureusement, la tentative a été infructueuse car, pendant que le FBI demandait l’autorisation pour accéder au téléphone, il s’est éteint, ce qui signifie qu’un code était également nécessaire…[lire la suite]


 

 

 

Quelques articles sélectionnés par notre Expert qui pourraient aussi vous intéresser :
Les 10 conseils pour ne pas se faire «hacker» pendant l’été
Les meilleurs conseils pour choisir vos mots de passe
Victime d'un piratage informatique, quelles sont les bonnes pratiques ?
Victime d’usurpation d’identité sur facebook, tweeter ? Portez plainte mais d’après quel article de loi ?
Attaques informatiques : comment les repérer ?

 

Quel est notre métier ?
Former et accompagner les organismes à se mettre en conformité avec la réglementation numérique (dont le RGPD) et à se protéger des pirates informatiques.

 

Quel sont nos principales activités ?

 

 

 

Denis JACOPINI DPO n°15945  Denis JACOPINI formateur n°93 84 03041 84 Denis JACOPINI validé et référencé datadockNotre Expert, Denis JACOPINI, est Expert en Informatique assermenté, spécialisé en Cybercriminalité, Recherche de preuves et en Protection des données personnelles. Diplômé en Cybercriminalité (Droit, Sécurité de l’information & Informatique légale), en Droit de l'Expertise Judiciaire et certifié en gestion des risques en Sécurité des Systèmes d'Information (ISO 27005), Denis JACOPINI est aussi formateur inscrit auprès de la DDRTEFP (Numéro formateur n°93 84 03041 84).

« Mon métier consiste à mettre à votre disposition l'expérience que j'ai acquise pendant des dizaines d'années et les connaissances que je maintiens continuellement à jour par des formations, certification et diplômes permanentes car le savoir c'est comme une mise en conformité, c'est une démarche quotidienne qui permet une amélioration sur le long terme.
Denis JACOPINI
 »

 

 

Besoin d'un Expert ? contactez-nous 




 

 

Source : La police utilise les empreintes des cadavres pour débloquer les iPhone




Alerte : Facebook Messenger pourrait propager un virus

Alerte : Facebook Messenger pourrait propager un virus


Les applications de messageries instantanées sont souvent la cible de virus informatiques. Facebook Messenger n’a pas échappé à cette règle: selon Le Monde Informatique, un logiciel malveillant (« malware », ndlr) se propage actuellement sur le réseau social.

C’est le chercheur David Jacoby, de la société informatique spécialisée dans la sécurité des systèmes d’information, qui a pu détecter ce virus. Le principe est classique: un de vos contacts envoie une vidéo nommée « David Video ». David Jacoby précise au Monde Informatique: « Lorsque la victime clique sur la fausse vidéo, le malware redirige vers un éventail de sites énumérant leur navigateur, système d’exploitation et d’autres informations vitales. Selon leur OS, ils sont redirigés vers d’autres sites web ».

Ce virus, qui ne menace pas l’appareil en lui-même, peut installer des logiciels malveillants à l’insu de l’utilisateur. En outre, il peut également récupérer les données personnelles…[lire la suite]


NOTRE MÉTIER :

EXPERTISES / COLLECTE & RECHERCHE DE PREUVES : Nous mettons à votre disposition notre expérience en matière d’expertise technique et judiciaire ainsi que nos meilleurs équipements en vue de collecter ou rechercher des preuves dans des téléphones, ordinateurs et autres équipements numériques;

PRÉVENTION : Nous vous apprenons à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) sous forme de conférences, d’audits ou de formations ;

SUPERVISION : En collaboration avec votre société de maintenance informatique, nous assurons le suivi de la sécurité de votre installation pour son efficience maximale ;

AUDITS CNIL / AUDIT SÉCURITÉ / ANALYSE D’IMPACT : Fort de notre expérience d’une vingtaine d’années, de notre certification en gestion des risques en Sécurité des Systèmes d’Information (ISO 27005) et des formations suivies auprès de la CNIL, nous réaliseront un état des lieux (audit) de votre installation en vue de son amélioration, d’une analyse d’impact ou de sa mise en conformité ;

MISE EN CONFORMITÉ CNIL/RGPD : Nous mettons à niveau une personne de votre établissement qui deviendra référent CNIL et nous l’assistons dans vos démarches de mise en conformité avec le RGPD (Réglement Européen relatif à la Protection des Données à caractère personnel).

Besoin d’un Expert ? contactez-vous

NOS FORMATIONShttps://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

(Numéro formateur n°93 84 03041 84 (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle)




 

Réagissez à cet article

Source : Un virus informatique détecté sur Facebook Messenger




Mise à jour Apple pour résoudre la vulnérabilité d’exécution de code critique dans iOS et MacOS

Mise à jour Apple pour résoudre la vulnérabilité d’exécution de code critique dans iOS et MacOS


La sécurité est toujours un point important dans nos appareils électroniques et encore plus lorsqu’il s’agit de nos objets connectés. Apple propose une mise à jour de sécurité capitale pour les utilisateurs d’iPhones, d’iPads et d’ordinateurs Mac. Une mise à jour en rapport avec Broadpwn.

La mise à jour corrige une vulnérabilité clé appelée Broadpwn qui permet aux pirates de “exécuter un code arbitraire” ou de prendre en charge votre appareil via des puces Wi-Fi intégrées au processeur principal de l’appareil.

Pour rappel, nous avions évoqué cette faille de sécurité il y a environ trois semaines. En effet, cette faille était liée principalement aux puces Wi-Fi de Broadcom BCM43xx en proie aux hackers.

Nitay Artenstein, un chercheur en sécurité dans le service de sécurité informatique américain Exodus Intelligence, avait exposé le défaut et avait déclaré qu’un pirate informatique pouvait être en mesure cibler ces appareils.

Une mise à jour qui vaut la peine d’être faite…[lire la suite]


NOTRE MÉTIER :

PRÉVENTION : Vous apprendre à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) sous forme de conférences, d’audits ou de formations ;

RÉPONSE A INCIDENTS : Vous aider à rechercher l’origine d’une attaque informatique, recueillir les preuves pour une utilisation auprès de la justice ou des assurances, identifier les failles existantes dans les systèmes informatiques et améliorer la sécurité de l’existant ;

SUPERVISION : Assurer le suivi de la sécurité de votre installation pour la conserver le plus possible en concordance avec l’évolution des menaces informatiques.

MISE EN CONFORMITÉ CNIL : Vous assister dans vos démarches de mise en conformité avec le RGPD (Réglement Européen relatif à la Protection des Données à caractère personnel).

Besoin d’un Expert ? contactez-vous

NOS FORMATIONShttps://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

(Numéro formateur n°93 84 03041 84 (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle)




 

Réagissez à cet article

Source : Mise à jour Apple pour résoudre la vulnérabilité d’exécution de code critique dans iOS et MacOS. –




Le FBI s’invite par surprise dans le déchiffrement d’un iPhone 6

Le FBI s’invite par surprise dans le déchiffrement d’un iPhone 6


En Floride, la justice a utilisé les services de l’entreprise Cellebrite pour percer les défenses d’un iPhone 6, impliqué dans une procédure judiciaire. Alors que l’État avait accepté de payer les frais, le FBI est intervenu pour prendre en charge l’opération, dans une affaire qui ne concerne pourtant ni le trafic de drogue, ni le terrorisme.

 

 

Bien que le cas rappelle le massacre de San Bernardino et le grand choc entre Apple et FBI, le procès est tout autre. Personnalité de la téléréalité, Hencha Voigt et son ancien amant, Wesley Victor, sont accusés de sextorsion envers Julieanna Goddard, plus connue sous le pseudonyme YesJulz. Le couple possédait a priori des vidéos intimes qu’ils menaçaient de révéler. La victime devait payer 18 000 dollars pour éviter l’humiliation.

Au cours de l’enquête, l’iPhone 6 de Hencha Voigt a été analysé. Son code PIN lui a été réclamé mais, invoquant le Cinquième Amendement de la Constitution américaine – qui permet de ne pas témoigner contre soi-même – elle a refusé. Le détective Sergio Campos a alors demandé au juge chargé de l’affaire, Alberto Milian, de passer par les services de Cellebrite, spécialisée dans le perçage des défenses électroniques dans ce type d’affaire. Jusqu’à ce que le FBI intervienne…[lire la suite]

 


NOTRE MÉTIER :

PRÉVENTION : Vous apprendre à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) sous forme de conférences, d’audits ou de formations ;

RÉPONSE A INCIDENTS : Vous aider à rechercher l’origine d’une attaque informatique, recueillir les preuves pour une utilisation auprès de la justice ou des assurances, identifier les failles existantes dans les systèmes informatiques et améliorer la sécurité de l’existant ;

SUPERVISION : Assurer le suivi de la sécurité de votre installation pour la conserver le plus possible en concordance avec l’évolution des menaces informatiques.

MISE EN CONFORMITÉ CNIL : Vous assister dans vos démarches de mise en conformité avec le RGPD (Réglement Européen relatif à la Protection des Données à caractère personnel).

Besoin d’un Expert ? contactez-vousNOS FORMATIONShttps://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

(Numéro formateur n°93 84 03041 84 (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle)




 

Réagissez à cet article

Source : Le FBI s’invite par surprise dans le déchiffrement d’un iPhone 6




Apple n’a pas été piraté, mais 250 millions de ses utilisateurs sont bien menacés

iphone

Apple n’a pas été piraté, mais 250 millions de ses utilisateurs sont bien menacés


Les données sur les utilisateurs Apple qu’affirme détenir la Turkish Crime Family ne proviennent pas d’une faille de sécurité de Cupertino. Mais d’une consolidation de données dérobées lors de différents piratages. 250 millions de comptes n’en sont pas moins menacés de réinitialisation.

 

 

Encore un dommage collatéral des piratages dont ont été victimes Yahoo, Linkedin et autres. On en sait en effet un peu plus sur la base de données renfermant des centaines de millions d’accès à des services Apple que le mystérieux groupe de hackers Turkish Crime Family affirme détenir. Rappelons que cette organisation inconnue jusqu’à récemment demande à Apple une rançon en crypto-monnaie (Bitcoin ou Ethereum) ou en cartes cadeaux iTunes, faute de quoi les comptes seraient réinitialisés.

 

Face à cette menace que les hackers disent vouloir mettre à exécution le 7 avril, Cupertino affirme ne pas être victime d’une faille de sécurité. Un point que confirment d’ailleurs les cybercriminels. Sur Pastebin, la Turkish Crime Family indique que la base de données qu’elle affirme détenir ne résulte en effet pas d’un piratage d’Apple. « Ils ont simplement annoncé ce que nous leur avions dit », se moquent les hackers, qui ajoutent que cela ne change rien à la situation des utilisateurs concernés.

« Services tiers précédemment compromis »

iphone
De nombreux iPhone associés à des comptes iCloud sont sous la menace d’une réinitialisation brutale (photo par Visualhunt.com).

 

 

 

 

 

 

 

 

 

En effet, selon la Turkish Crime Family, la base de données qu’elle affirme détenir « a été construite à partir de multiples bases de données que nous avons vendues au cours des 5 dernières années, comme nous avons décidé de conserver les adresses en icloud.com, me.com ou mac.com (ces deux dernières étant les anciennes adresses de messagerie d’Apple, NDLR), des domaines peu populaires parmi la communauté des crackers (soit des pirates mal intentionnés, NDLR) », écrit le groupe. Qui précise avoir désormais en sa possession 250 millions de comptes vérifiés pour lesquels il explique posséder un accès (login + mot de passe), sur un total de 750 millions de comptes associés à un service Apple. « Une faille de sécurité ne signifie rien en 2017 quand vous pouvez extraire la même information sur les utilisateurs, à des échelles moindres via des entreprises mal sécurisées », ajoutent les hackers. The Next Web a eu accès à un petit échantillon de données et confirme qu’au moins certains des couples login / mot de passe sont bien valides.

Apple semble d’ailleurs avoir pris conscience du problème. Dans les colonnes de Fortune, la firme à la pomme indique, après avoir démenti toute faille dans iCloud ou son système d’authentification Apple ID : « la liste supposée d’adresses e-mail et de mots de passe semble avoir été obtenue de services tiers précédemment compromis ».

Le risque n’en est pas moins tout aussi prégnant pour les utilisateurs des terminaux Apple. Dans une vidéo postée sur YouTube, la Turkish Crime Family montre ce qui ressemble à un accès non autorisé au compte iCloud d’une femme âgée, un accès qui ouvre la porte à l’effacement des photos sauvegardées et même à une réinitialisation du terminal associé.

637 500 comptes effacés par minute

C’est ce processus que le groupe de hackers menace d’automatiser, en créant un script permettant de réinitialiser un grand nombre de comptes simultanément. Dans son post sur Pastebin, la Turkish Crime Family affirme que, si ses développements sont conformes à ses plans, elle sera en mesure d’effacer le 7 avril – date de la fin de l’ultimatum – 150 comptes par minute et par script. En parallélisant les tâches sur 250 serveurs, et compte tenu du fait qu’un serveur serait en mesure de faire tourner 17 scripts simultanément, les cybercriminels seraient en mesure d’effacer 637 500 comptes par minute.

If Apple does not figure out a way to stop us they’ll be facing serious server issues and customer complaints

 


Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions d’expertises, d’audits, de formations et de sensibilisation dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles




 

Réagissez à cet article

Source : Apple n’a pas été piraté, mais 250 millions de ses utilisateurs sont bien menacés




Alerte : Un hack par MMS bloque l’application Messages de votre iPhone

Alerte : Un hack par MMS bloque l’application Messages de votre iPhone


Un nouveau hack iPhone permet de bousiller à distance l’application Messages, qui permet d’envoyer et de recevoir les textos et MMS. Il s’agit d’un fichier .vcf (une fiche contact) corrompue, qui semble complètement faire flipper votre application Message, qui freeze, avant devenir complètement inutilisable. Même un redémarrage de l’iPhone ne vient pas à bout du problème qui touche tous les iPhone sous toutes les versions d’iOS 9 et d’iOS 10, y compris les versions bêta. 

 

Un nouveau hack par MMS fait complètement planter l'application Messages

Dans la vidéo Youtube que vous pouvez voir en fin d’article, @Vicedes3 montre un nouveau hack à distance des iPhone assez embarrassant. En fait, l’ouverture d’une fiche contact viciée envoyée par MMS suffit à rendre l’application Messages, vitale pour envoyer et recevoir des messages, complètement inutilisable. Le redémarrage du terminal, voire même un hard reset n’y feront rien.

Nous vous recommandons donc de ne pas vous amuser à l’essayer sur votre iDevice. Pour que vous compreniez ce qui se passe, ce fichier .vcf est en fait extrêmement lourd, et excède des limites de taille qu’Apple a tout simplement omis de définir. Du coup, ce fail devrait être relativement simple à corriger. Apparemment, toutes les versions d’iOS 9 et 10, même les bêtas les plus récentes sont concernées par ce problème.

Personne n’ayant eu auparavant l’idée d’exploiter la taille des fiches contact, la faille serait ainsi tout simplement passée inaperçue pendant tout ce temps. La seule manière de réellement se protéger, c’est de ne surtout pas ouvrir les fiches contact reçues depuis des sources autres que vos contacts de confiance. Ce n’est pas en soit un virus, donc si vous le recevez, c’est que quelqu’un vous fait une mauvaise blague…[lire la suite]

[youtube https://www.youtube.com/watch?v=MrKj1rFFV_Y?feature=oembed&wmode=opaque]

 


Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles




 

Réagissez à cet article

Original de l’article mis en page : iPhone : ce nouveau hack par MMS bousille votre application Messages




Le malware Pegasus exploite 3 failles 0 day sur iPhone

Le malware Pegasus exploite 3 failles 0 day sur iPhone


Les trois failles corrigées par Apple dans iOS 9.3.5 (ainsi que dans la dernière bêta d’iOS 10 livrée, contre toute attente, vendredi dernier) sont redoutables. Elles ont été exploitées par NSO Group, une société israélienne dont le fonds de commerce n’est autre que l’espionnage de journalistes et de militants. Le site Motherboard raconte la découverte de l’affaire qui relève du thriller…

 

 

 

 

Ce 10 août, Ahmed Mansoor, un militant des droits de l’homme dans les Émirats Arabes Unis, reçoit sur son iPhone un message lui proposant d’en savoir plus sur de «nouveaux secrets sur la torture dans les prisons d’État ». Un lien accompagnait ce message, qu’il s’est bien gardé de lancer.

Les deux messages reçus par Mansoor — Cliquer pour agrandir

 

 

À la place, il a contacté un chercheur du Citizen Lab, un organisme de défense des droits numériques rattaché à l’université de Toronto. Aidé par Lookout, un spécialiste de la sécurité mobile, ils ont pu mettre au jour un mécanisme très élaboré de surveillance par iPhone interposé.

Si Mansoor avait touché le lien, il aurait provoqué le jailbreak de son iPhone et donné à NSO Group le plein contrôle de son smartphone. « Un des logiciels de cyberespionnage parmi les plus sophistiqués que nous ayons jamais vus », expliquent les chercheurs.

NSO Group vient d’apparaitre sur les radars, mais cette entreprise très discrète (aucune présence sur internet) opère depuis 2010. Le malware qu’elle a mis au point, baptisé Pegasus, permet d’infecter un iPhone, d’intercepter et de voler les données et les communications. Une arme redoutable, qualifiée de « fantôme » par NSO pendant une de ses rares interventions publiques en 2013. Cette société vend Pegasus au plus offrant, notamment des gouvernements peu regardants sur les droits de l’homme.

Les données volées par Pegasus — Cliquer pour agrandir

NSO a visiblement pu pénétrer par effraction dans des iPhone depuis le modèle 5. Son malware est programmé avec des réglages qui remontent jusqu’à iOS 7.

Ces trois failles zero day, baptisées Trident par les chercheurs, ont été communiquées à Apple il y a dix jours. « Nous avons été mis au courant de cette vulnérabilité et nous l’avons immédiatement corrigée avec iOS 9.3.5 », explique un porte-parole du constructeur. « iOS reste toutefois le système d’exploitation mobile grand public le plus sécurisé disponible », rassure Dan Guido, patron de la société de sécurité informatique Trail Of Bits, qui travaille souvent avec la Pomme.

Il indique toutefois qu’il reste à améliorer le système de détection des vulnérabilités. Apple a annoncé début août un programme de chasse (rémunérée) aux failles.

Article original de Mickaël Bazoge


 

Réagissez à cet article

Original de l’article mis en page : Cyberspionnage : derrière les failles Trident d’iOS, le redoutable malware Pegasus | iGeneration




La cybercriminalité a de belles années devant elle

La cybercriminalité a de belles années devant elle


Les prochaines années laissent entrevoir de beaux moments pour les cybercriminels de tout acabit. Les raisons expliquant cela sont nombreuses. Quelles sont-elles?

 

Suivre la scène de la sécurité informatique a ceci de particulier : c’est à la fois fascinant et grandement décourageant. C’est d’autant plus décourageant que les tendances présentes au cours des derniers mois laissent entrevoir de beaux jours pour les cybercriminels. Essentiellement, quatre raisons expliquent cela.

 

 

La multiplication des cibles potentielles

La première raison est assez évidente : il y a de plus en plus de cibles disponibles pour les criminels. La surmultiplication du nombre de plateformes exploitant Internet a pour effet de toutes les transformer en des opportunités potentielles pour des gens malintentionnés. La manifestation la plus flagrante de cette surmultiplication se transpose dans la fulgurante montée de l’Internet des objets.

Ce nouvel eldorado porte toutefois les gènes de sa propre insécurité. En effet, le marché est meublé par une multitude de joueurs, et leur intérêt porté à la chose sécuritaire est tout aussi variable. Ainsi, alors que l’objectif est d’occuper le marché le plus rapidement possible, bon nombre de joueurs impliqués dans la course à l’Internet des objets arrivent sur le marché avec des produits qui sont, volontairement ou involontairement, plus ou moins sécurisés.

Bref, nous sommes placés devant un cercle vicieux duquel nous ne pouvons pas nous sortir : plus de technologies signifient nécessairement plus de vulnérabilités et, conséquemment, plus d’opportunités criminelles. De plus, croire que l’on puisse mettre un frein à l’évolution technologique est illusoire.

 

 

Le difficile marché de la sécurité

Le contexte actuel rend les ressources extrêmement difficiles à conserver ou à acquérir pour les petites et moyennes entreprises qui n’ont pas les moyens d’offrir des salaires élevés.
Alors que le domaine apparaît comme extrêmement complexe, le manque criant de main-d’œuvre est de plus en plus problématique dans les entreprises. Forbes affirme pourtant que ce secteur vaudra sous peu 75 milliards de dollars US et que le marché créera plus d’un million d’emplois.

Non seulement manque-t-il de spécialistes en sécurité, mais il manque aussi de plus en plus de pirates black hat sur le marché, faisant en sorte que les cybercriminels eux-mêmes se tournent de plus en plus vers des modèles de sous-traitance pour effectuer leurs opérations.

Ce manque d’expertise a pour effet de rendre l’économie globalement plus ou moins axée sur la sécurité. Certes, certains secteurs ont les moyens de leurs ambitions, mais le contexte actuel rend ces ressources extrêmement difficiles à conserver ou à acquérir pour les petites et moyennes entreprises qui n’ont pas les moyens d’offrir des salaires élevés. Les effets sont bien sûr conséquents : la situation engendre une sécurité bien inégale, avec le lot de vulnérabilités qu’elle impose.

 

 

La rentabilité évidente

Autre point extrêmement important pour expliquer pourquoi la cybercriminalité aura le vent dans les voiles? C’est lucratif. La logique criminelle est relativement simple : il s’agit de faire le plus d’argent possible, le plus facilement possible. En somme, c’est le capitalisme en action.

Dans le domaine de la cybercriminalité, cela fonctionne décidément. On estime à 445 milliards de dollars US le marché de la cybercriminalité. Bon, je vous entends déjà geindre et dire que c’est fort de café. Soit. Admettons que ce soit la moitié moins, c’est tout de même 222 milliards, batinse!

Pour rappel, le budget du Canada est d’environ 290 milliards de dollars CA. C’est donc payant, et c’est bien dommage, mais les conséquences de la cybercriminalité sont minimes. Les chances d’arrêter les criminels sont plutôt basses (voir point suivant) et les peines encourues ne sont pas adaptées.

 

 

L’incapacité d’action des agences d’application de la loi

Les cybercriminels ont donc le beau jeu, puisque le risque de se faire prendre est extrêmement bas. En effet, les forces policières sont mal équipées pour confronter la cybercriminalité, faisant en sorte que trop souvent, elles doivent capituler devant les actions commises par les criminels. Dans les cas les plus extrêmes, les agences tenteront de déployer les efforts nécessaires pour faire culminer une enquête, mais cela se fera à grands coups de contrats avec le secteur privé afin de se procurer l’expertise nécessaire pour résoudre le crime en question. Le fait que le FBI ait versé un montant de 1,3 million à un groupe de «chercheurs en sécurité», considérés par plusieurs comme ayant des mœurs on ne peut plus douteuses, pour accéder aux données présentes dans l’iPhone du terroriste de San Bernardino en est, en soi, la manifestation la plus éloquente.

Lutter contre la cybercriminalité demande essentiellement quatre choses. Une culture particulière, une collaboration internationale, des moyens et des techniques disponibles, et des compétences de pointe dans le domaine des technologies. Le dur constat qu’il faut faire, c’est qu’outre la collaboration internationale, les autorités compétentes n’ont pas les moyens pour atteindre les trois autres prérequis. Par conséquent, la vaste majorité des corps policiers ne s’attaqueront aux cybercrimes que lorsque les infractions sont trop exagérées.

 

 

La somme de toutes les peurs

Au final, ce qui est le plus inquiétant dans cette situation, c’est que plus le temps avance, plus les réseaux de cybercriminels deviennent solides, sophistiqués et ont de plus en plus de moyens. Les laisser agir en toute impunité a pour effet de les rendre toujours plus coriaces, ce qui rendra la tâche de lutter contre eux d’autant plus difficile à long terme. Il faudra que l’on prenne le problème à bras le corps une fois pour toute, sinon, nous risquons d’avoir de mauvaises surprises dans les prochaines années.

Article original de branchez-vous.com


 

Réagissez à cet article

Original de l’article mis en page : La cybercriminalité a de belles années devant elle | Branchez-vous