Position du CERT-FR (Computer Emergency Response Team de l’ANSSI) vis à vis de Pokemon Go

Pokemon, Pokemon Aller, Main, Smartphone

Position du CERT-FR (Computer Emergency Response Team de l’ANSSI) vis à vis de Pokemon Go

Cyber-risques liés à l’installation et l’usage de l’application Pokémon GoLancé courant juillet par la société Niantic, le jeu Pokémon Go est depuis devenu un phénomène de société, au point d’être installé sur plus de 75 millions de terminaux mobiles dans le monde. Certains acteurs malveillants ont rapidement tenté d’exploiter la popularité du jeu à des fins criminelles. Certaines précautions s’imposent donc avant de pouvoir tenter de capturer un Dracaufeu ou un Lippoutou sans porter atteinte à la sécurité de son ordiphone.

Cyber-risques liés à l’installation et l’usage de l’application Pokémon Go

Lancé courant juillet par la société Niantic, le jeu Pokémon Go est depuis devenu un phénomène de société, au point d’être installé sur plus de 75 millions de terminaux mobiles dans le monde. Certains acteurs malveillants ont rapidement tenté d’exploiter la popularité du jeu à des fins criminelles. Certaines précautions s’imposent donc avant de pouvoir tenter de capturer un Dracaufeu ou un Lippoutou sans porter atteinte à la sécurité de son ordiphone.

Applications malveillantes

Des sociétés spécialisées en sécurité informatique ont mis en évidence la présence de nombreuses fausses applications se faisant passer pour une version officielle du jeu. Ces applications sont susceptibles de naviguer sur des sites pornographiques pour simuler des clics sur des bannières publicitaires, de bloquer l’accès au terminal et de ne le libérer qu’en contrepartie d’une rançon, ou bien même d’installer d’autres codes malveillants. Au vu du nombre d’applications concernées (plus de 215 au 15 juillet 2016), cette technique semble très populaire, en particulier dans les pays où le jeu n’est pas encore disponible via les sites officiels.

Niveau de permissions demandées par l’application

La version initiale du jeu sur iOS présentait un problème au niveau de la gestion des permissions. En effet, le processus d’enregistrement d’un compte Pokemon Go à l’aide d’un compte Google exigeait un accès complet au profil Google de l’utilisateur.

Suite à la prise de conscience de ce problème, la société Niantic a rapidement réagi en précisant qu’il s’agissait d’une erreur lors du développement. Elle propose désormais une mise à jour pour limiter le niveau d’accès requis au profil Google de l’utilisateur. A noter que la version Android du jeu ne semble pas avoir été affectée par ce problème.

Dans le doute, il est toujours possible de révoquer cet accès en se rendant sur la page de gestion des applications autorisées à accéder à son compte Google.

Collecte de données personnelles

De par son fonctionnement, l’application collecte en permanence de nombreuses données personnelles qui sont ensuite transmises au développeur du jeu, par exemple les informations d’identité liées au compte Google ou la position du joueur obtenue par GPS. Certaines indications visuelles (nom de rue, panneaux, etc) présentes sur les photos prises avec l’application peuvent aussi fournir des indications sur la position actuelle du joueur. La désactivation du mode « réalité augmentée » lors de la phase de capture permet de se prémunir de ce type de risques (et accessoirement, de réduire l’utilisation de la batterie de l’ordiphone).

Pokemons et BYOD

Il peut être tentant d’utiliser un ordiphone professionnel pour augmenter les chances de capture d’un Ronflex. Même s’il est souvent délicat de répondre par la négative à une requête émanant d’un VIP, il semble peu opportun de déployer ce type d’application dans un environnement professionnel, en raison des différents risques évoqués précédemment.

Recommandations

Le CERT-FR recommande de n’installer que la version originale du jeu présente sur les boutiques d’Apple et de Google. En complément, il convient de désactiver la possibilité d’installer une application téléchargée depuis un site tiers (sous Android, paramètre « Sources inconnues » du menu « Sécurité »).

Il est également conseillé de vérifier les permissions demandées par l’application. La version originale du jeu nécessite uniquement :

d’accéder à l’appareil photo pour les fonctionnalités de réalité augmentée ;
de rechercher des comptes déjà présents sur l’appareil ;
de localiser l’utilisateur grâce au GPS ou aux points d’accès Wi-Fi ;
d’enregistrer localement des fichiers sur le téléphone.

Toute autre permission peut sembler suspecte et mettre en évidence la présence sur l’ordiphone d’une version altérée de l’application.

Le CERT-FR suggère de mettre en place un cloisonnement entre l’identité réelle du joueur et celle de dresseur Pokémon. Pour cela, il est possible d’ouvrir un compte directement auprès du Club des dresseurs Pokémon [8] ou bien de créer une adresse Gmail dédiée à cet usage.

Enfin, le CERT-FR déconseille de pratiquer cette activité dans des lieux où le geo-tagging du joueur pourrait avoir des conséquences (lieu de travail, sites sensibles, etc) [9]…[lire la suite]

Denis Jacopini anime des conférences et des formations pour sensibiliser les décideurs et les utilisateurs aux CyberRisques (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Nous animons conférences et formations pour sensibiliser décideurs et utilisateurs aux risques en informatique, découvrir et comprendre les arnaques et les piratages informatiques pour mieux s’en protéger et se mettre en conformité avec la CNIL en matière de Protection des Données Personnelles. Nos actions peuvent être personnalisées et organisées dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Original de l’article mis en page : Bulletin d’actualité CERTFR-2016-ACT-031

Déchiffrement des communication numériques (Telegram et autres). Où en est-on ?

Ce mardi 23 Août, Bernard Cazeneuve se réunissait avec son homologue allemand pour discuter d’une initiative européenne contre le chiffrement des données, afin de lutter contre le terrorisme. Une initiative qui ne fait pas l’unanimité.

Une initiative européenne contre les chiffrements trop forts ?

Face au terrorisme international et sachant que les messageries instantanées visées par le projet de loi sont majoritairement américaines, Bernard Cazeneuve s’en remet à une initiative européenne. L’idée serait d’étendre aux services de messageries et d’appels sur internet, les mêmes règles de sécurité et de confidentialité destinées jusque-là, aux opérateurs télécom. Le ministre a ainsi fermement déclaré vouloir obliger les services en ligne «non coopératifs» à «retirer des contenus illicites ou déchiffrer des messages dans le cadre d’enquêtes judiciaires, que leur siège soit en Europe ou non».

Conscient de la polémique qui entoure ce projet de loi, le ministre a précisé que l’utilisation des données déchiffrées ne servirait que dans le cadre « judiciaire ». Ce qui voudrait dire qu’elles ne seraient pas utilisées par les services secrets, comme le redoutent beaucoup de personnes. Se voulant rassurant, il a insisté « Il n’a bien sûr, jamais été question de remettre en cause le principe du chiffrement des échanges ». Le 16 septembre prochain, le projet de loi contre le chiffrement des données sera discuté lors du sommet des chefs d’états européens.

…[lire la suite]

Plus d’informations sur : https://www.lenetexpert.fr/formations-en-cybercriminalite-et-en-protection-des-donnees-personnelles

Réagissez à cet article

Original de l’article mis en page : Une initiative franco-allemande contre le chiffrement numérique

Révélations sur de petits piratages informatiques entre alliés…

C’est une révélation assez rare pour être soulignée, mais elle était passée inaperçue. Bernard Barbier, l’ancien directeur technique de la DGSE, le service de renseignement extérieur français, s’est livré en juin dernier à une longue confession devant les élèves de l’école d’ingénieurs Centrale-Supélec (voir vidéo ci-dessous), comme l’explique Le Monde.

Cet ex-cadre de l’espionnage a notamment confirmé que les Etats-Unis étaient bien responsables de l’attaque informatique de l’Elysée en 2012.

Entre les deux tours de la présidentielle de 2012, des ordinateurs de collaborateurs de Nicolas Sarkozy avaient été infectés à l’Elysée. Jusqu’à présent, les soupçons se portaient bien vers la NSA mais ils n’avaient jamais été confirmés. « Le responsable de la sécurité informatique de l’Elysée était un ancien de ma direction à la DGSE. Il nous a demandé de l’aide. On a vu qu’il y avait un malware », a expliqué Bernard Barbier en juin dernier. « En 2012, nous avions davantage de moyens et de puissance techniques pour travailler sur les métadonnées. J’en suis venu à la conclusion que cela ne pouvait être que les Etats-Unis. »

La France aussi impliquée dans un pirate informatique

Ce cadre de la DGSE a ensuite été envoyé par François Hollande pour s’entretenir avec ses homologues américains. « Ce fut vraiment un grand moment de ma carrière professionnelle », explique-t-il. « On était sûrs que c’était eux. A la fin de la réunion, Keith Alexander (l’ex-directeur de la NSA), n’était pas content. Alors que nous étions dans le bus, il me dit qu’il est déçu, car il pensait que jamais on ne les détecterait. Et il ajoute : ‘Vous êtes quand même bons.’ Les grands alliés, on ne les espionnait pas. Le fait que les Américains cassent cette règle, ça a été un choc. »

Pourtant, au cours de cette conférence, Bernard Barbier a aussi révélé l’implication de la France dans une vaste opération d’espionnage informatique commencée en 2009 qui avait touché notamment l’Espagne, la Grèce ou l’Algérie. Le Canada, lui aussi visé, avait à l’époque soupçonné Paris, mais rien n’avait été confirmé en France. « Les Canadiens ont fait du reverse sur un malware qu’ils avaient détecté. Ils ont retrouvé le programmeur qui avait surnommé son malware Babar et avait signé Titi. Ils en ont conclu qu’il était français. Et effectivement, c’était un Français. »

Article original de Thomas Liabot

Réagissez à cet article

Original de l’article mis en page : Les Etats-Unis étaient bien à l’origine du piratage informatique de l’Elysée en 2012 – leJDD.fr

Le logiciel de téléchargement Transmission à nouveau piraté

Le Net Expert vous avait déjà informé en juillet dernier de cet type d’attaque dont avait été victime la sphère Apple. Apparemment la leçon n’a pas servi. Même méthode, même punition.

Pour la deuxième fois en moins de six mois, la version Mac du logiciel Transmission a été corrompue, a révélé mardi 30 août l’entreprise de sécurité informatique Eset. Ce client BitTorrent gratuit, qui permet de télécharger des fichiers (vidéo, sons…) est l’un des plus utilisés.

Cette fois l’éditeur propose une procédure à suivre si vous avez été piégé en téléchargeant la version 2.92 du logiciel entre le 28 et le 29 août. Si vous avez un doute, n’hésitez pas à suivre cette procédure.

Comme l’explique l’équipe de Transmission sur son site, des pirates se sont introduits dans ses serveurs et ont remplacé le logiciel par une version modifiée contenant un malware baptisé « OSX/Keydnap ». Ce logiciel malveillant permet, selon Eset, de dérober des mots de passe et d’installer une porte dérobée sur les ordinateurs touchés, permettant d’y avoir accès en permanence.

Un précédent avec un logiciel de racket

Tous les utilisateurs de Transmission ne sont pas concernés : seules les personnes ayant téléchargé la version 2.92 du logiciel entre le 28 et le 29 août risquent d’avoir par la même occasion installé le malware sur leur ordinateur. Ni Eset, ni Transmission n’ont précisé combien de personnes cela représentait. L’équipe du logiciel souligne toutefois que les mises à jour automatiques ne comprenaient pas ce malware.

Transmission dit avoir « immédiatement » supprimé la version piratée de son serveur après avoir découvert son existence, « soit moins de vingt-quatre heures après que le fichier a été mis en ligne ». Son site a publiéune marche à suivre pour les personnes ayant téléchargé le logiciel corrompu.

En mars, Transmission avait été victime du même type de piratage : le logiciel avait été remplacé sur le site par un ransomware, un logiciel de racket qui verrouille l’accès aux fichiers de sa victime et exige de l’argent en échange du déblocage de l’ordinateur.

Source : Le Monde

Denis JACOPINI conseille le logiciel de sécurité

Réagissez à cet article

Original de l’article mis en page : Le logiciel de téléchargement Transmission à nouveau piraté

Alerte : Un canular sur Facebook qui diffuse de fausses informations terroristes

Les chercheurs ESET ont découvert une arnaque qui cible les utilisateurs de Facebook. D’abord répandu en République Tchèque et en Slovaquie, elle pourrait se propager dans d’autres pays

Les utilisateurs de Facebook en République Tchèque et en Slovaquie font face à une vague de fausses informations sur une attaque meurtrière à Prague. Quand l’utilisateur clique sur le canular, il est redirigé vers une page Internet de phishing qui essaye de le tromper en l’incitant à partager ses identifiants Facebook.

« D’après ce que nous savons à propos de cette campagne, l’attaque pourrait se propager dans plusieurs autres pays » met en garde Lukáš Štefanko, Malware Researcher chez ESET.

Cette prétendue attaque terroriste est facile à discréditer car la photo publiée ne ressemble pas à Prague, ni à aucune autre ville d’Europe. Malgré cela, l’arnaque se diffuse rapidement. « Les utilisateurs de Facebook partagent fréquemment des histoires sans les avoir lues. Les campagnes d’arnaques, si elles font appel à l’émotion, réussissent étonnamment bien à cause de notre empathie naturelle » commente Lukáš Štefanko.

Peu après le lancement de la campagne, Facebook a commencé à stopper les pages de phishing utilisées dans cette campagne. Les solutions de sécurité ESET sont conçues pour bloquer les pages Internet de phishing liées à ce type d’escroquerie ainsi que d’autres domaines enregistrés par cette même personne.

« Au cours des dernières semaines, il y a eu 84 domaines enregistrés par la même personne. La plupart d’entre eux possède une fonction de phishing, tandis que d’autres pourraient être utilisées à l’avenir lors d’une attaque à plus grande échelle » ajoute Lukáš Štefanko.

Voici les recommandations des experts ESET pour ceux qui pensent avoir été escroqué en partageant leurs identifiants Facebook :

– Changez votre mot de passe Facebook et utilisez les deux facteurs d’authentification fournis par Facebook

– Si vous avez utilisé le même mot de passe pour plusieurs services, changez-le partout – et mettez un terme à cette pratique très dangereuse.

Denis JACOPINI vous recommande les outils de protection suivants :

Réagissez à cet article

Original de l’article mis en page : Boîte de réception – denis.jacopini@gmail.com – Gmail

L’un des outils préférés des cybercriminels mis à mal par un coup de filet ?

Karspersky publie aujourd’hui sur son blog un compte rendu d’une enquête des autorités russes à laquelle ils ont collaboré. Celle-ci a permis l’arrestation en juin d’un groupe de 50 cybercriminels, baptisés Lurk, qui opéraient notamment l’Angler exploit kit.

L’Angler Exploit Kit connaissait ces dernières années une popularité redoublée. Ce couteau suisse du cybercriminel était une plateforme utilisée pour infecter les machines de victimes : en l’installant sur un serveur et en amenant la cible à se connecter à ce serveur via un navigateur par exemple, le cybercriminel pouvait avoir recours à tout un éventail d’exploits fournis par les créateurs du kit pour tenter d’infecter la machine de la victime.

Simple à utiliser, évolutif et souvent à jour avec les derniers exploits et dernières vulnérabilités découvertes, l’Angler Exploit Kit dominait naturellement le marché. Mais en juin 2016, l’utilisation de cet outil par les cybercriminels a soudainement chuté sans véritable explication.

De nombreux observateurs avaient néanmoins fait le lien entre l’arrestation d’un groupe de 50 cybercriminels par les autorités russes et la soudaine disparition de l’Angler Kit. Dans une longue note de blog, Ruslan Stoyanov, dirigeant de l’unité investigation chez Kaspersky confirme cette théorie et détaille les 5 années passées sur la piste de ce groupe de cybercriminels de haute volée qui avaient été baptisés « Lurk ».

Le nom du groupe Lurk vient du premier malware repéré par Kaspersky en 2011. Celui-ci se présentait sous la forme d’un malware bancaire sophistiqué, qui visait principalement les logiciels bancaires afin de procéder à des virements frauduleux en direction des cybercriminels. Swift a connu plusieurs versions et évolutions, allant parfois jusqu’à fonctionner entièrement in memory pour éviter la détection.

Le malware Lurk se présentait comme un logiciel modulaire, pouvant embarquer plusieurs modules capables de réaliser des actions différentes, mais toujours orientées vers le vol de données bancaires et l’émission de virements frauduleux depuis les machines infectées.

Une petite PME sans histoire

« Avec le temps, nous avons réalisé que nous étions face à un groupe d’au moins 15 personnes. (…) Cette équipe était en mesure de mettre en place le cycle complet de développement d’un malware : à la fois sa conception, mais aussi la diffusion et la monétisation, à l’instar d’une petite entreprise de développement logiciel » explique Ruslan Stoyanov. Et le groupe Lurk avait également un autre atout de taille dans sa poche : exploitant leur renommée parmi les cybercriminels russophones, ils avaient commencé à louer les services de leur plateforme d’exploit, baptisée Angler Kit.

Cet exploit kit était à l’origine utilisé pour diffuser le malware bancaire Lurk, mais face aux mesures de sécurisation mises en place par de nombreuses banques, les revenus déclinants du groupe les ont forcés à diversifier leur activité. Les premières détections d’Angler Kit remontent à 2013, mais ce kit vendu en Saas par les cybercriminels du groupe Lurk a rapidement gagné en popularité.

Les créateurs du Blackhole kit ont été arrêtés en 2013, ce qui a laissé au nouveau programme du groupe Lurk un boulevard pour devenir le nouvel exploit kit préféré des cybercriminels. Dès le mois de mai 2015, celui-ci dominait largement le marché. Angler Kit pouvait être loué par d’autre groupe de cybercriminels qui s’en servaient pour diffuser différents types de malwares allant du ransomware au traditionnel trojan bancaire.

Mais le 7 juin, les autorités russes sont parvenues à arrêter les cybercriminels cachés derrière ce système. Kaspersky explique avoir collaboré avec les autorités afin de mener cette investigation, notamment via de l’échange d’informations compilées par la société sur le groupe. Un processus qui semble avoir été long et difficile, mais qui aura finalement porté ses fruits : l’Angler Kit est hors service et peut maintenant laisser la place… au nouvel exploit kit à la mode.

Selon les données récentes compilées par la société Trend Micro, l’exploit kit Neutrino aurait maintenant le vent en poupe et profiterait le plus de la retraite anticipée de son concurrent. Un de coffré, dix de retrouvés ?

Article original de Louis Adam

Réagissez à cet article

Original de l’article mis en page : L’un des outils préférés des cybercriminels mis à mal par un coup de filet ? – ZDNet

Alerte : Fantom, un nouveau ransomware qui sévit sous Windows 10

Fantom : un nouveau ransomware qui sévit sous Windows 10 | Programmez!

Alerte : Fantom, un nouveau ransomware qui sévit sous Windows 10

Windows 10 lance automatiquement ses mises à jour, ainsi que tous les utilisateurs que ça importunent le savent. Une bonne opportunité pour les cybercriminels de sévir tranquillement.

C’est ainsi qu’un nouveau ransomware a été découvert par un analyste de chez AVG Technologies.

Un premier exécutable maquille ses propriétés afin de faire croire qu’il provient de Microsoft et qu’il s’agit d’une mise à jour critique.

Une fois ce malware installé, il en télécharge un autre dans le répertoire AppDataLocalTemp, sous le nom WindowsUpdate.exe. Puis il l’exécute.

Pour l’utilisateur, c’est une mise à jour qui s’est déclenchée, tant l’écran de cette seconde partie du malware est bien faite, avec les polices de Microsoft bien imitées.

L’utilisateur n’est pas surpris de voir que son disque dur tourne, tourne… Une ‘expérience utilisateur’ qu’il doit régulièrement supporter…

Sauf que là, le disque tourne parce que le malware en crypte toutes les données. Le méfait accomplit, un autre écran apparaît, moins habituel, avec une invitation à contacter les cybercriminels par mail, pour finalement devoir payer une rançon afin de récupérer les données.

Utilisateurs de Windows 10, la prochaine fois que vous verrez un écran de mise à jour, croisez les doigts ! 🙂

Article original de fredericmazue

Denis JACOPINI vous recommande le logiciel de sécurité suivant :

Réagissez à cet article

Original de l’article mis en page : Fantom : un nouveau ransomware qui sévit sous Windows 10 | Programmez!

Caméras IP installées par des incompétents ? Une aubaine pour les pirates

Le piratage des caméras de vidéo surveillance, un jeu d’enfant pour les plus dégourdis du web. Sauf que ces pirates n’ont rien de génie, ils profitent uniquement de la fainéantise des utilisateurs.

Le piratage des caméras de vidéo surveillance n’est pas nouveau. Je vous parlais déjà de ces infiltrations de webcams en 2000. En novembre 2015, par exemple, je revenais sur un fichier contenant des centaines de webcams non sécurisées vendues dans le blackmarket ou encore de ce bébé réveillé par des hurlements d’un idiot du village ayant pris la main sur le baby phone de la famille.

En 2014, je vous révélais la création d’un site Internet Russe qui référencent plusieurs dizaines de milliers de webcams. Bref, un business juteux pour les commerçants du voyeurisme et autres vendeurs de données sensibles (La boutique est-elle vide ? Le hangar stocke en ce moment des téléphones portables ; la banque vient d’être livrée en billets frais…).

Je te soupçonne de taper dans la caisse ! (Boutique de la Ville de Rai)

La sécurité des caméras sur IP est souvent mise à la mal comme j’ai pu le montrer dans ZATAZWeb.tv de mars 2014. Il ne devrait pas être si facile, normalement, de regarder dans la chambre d’un étranger, et encore moins dans des centaines de chambres filmées par ces caméras de vidéo surveillance. Pourtant, cela reste possible comme je vais vous l’expliquer plus bas.

Montrez moi votre contrat, que je vous renseigne. (Boutique de la Ville de Meudon)

Montrez moi votre contrat, que je vous renseigne. (Boutique du 92)

Failles et mots de passe facilitent le piratage des caméras de vidéo de surveillance

Pour accéder à une caméra de vidéo surveillance rien de plus facile. D’abord avoir l’IP de la cible. Un détail pour les adeptes du social engineering. Autant dire que cette adresse n’est à communiquer à personne. Lisez le mode d’emploi de votre caméra. Chercher les options de sécurité proposées. Soyons honnête, plus votre webcam IP aura d’option, plus elle sera coûteuse. Mais la réflexion vaut, je pense, la sécurité de ce que vous souhaitez protéger. Ensuite, le malveillant va rechercher la marque de votre matériel. Pour cela, rien de plus simple une fois encore. La page d’accès à l’administration de votre matériel parle.

Mais tu vas le changer ce password… c’est marqué en GRAS ! (Hôtel du 77)

Un conseil, faites de manière à ce qu’elle ne soit pas lisible : un Htaccess par exemple, ou modifier le logo et toutes marques de reconnaissance pour le malveillant. Ensuite, le mot de passe. Trop de webcam IP, de caméras de vidéo surveillance gardent le mot de passe usine. Je vous laisse imaginer la facilité déconcertante que de retrouver ce sésame dans les notices et listes disponibles sur la toile. Un admin:admin ; root:root et autre admin:0000 sont légions. Des clés qui se changent. Vous le faites bien quand vous perdez les clés de votre maison, faites le sur Internet. Enfin, les failles. Assurez-vous que votre cerbère ne soit pas référencé comme étant un outil « open bar« . Pour cela, un petit coup de Google ou ne soyez pas timide, posez la question !

La bijouterie est vide ! Le matériel, la caisse, le coffre sont repérés. Autant d’informations qui faciliteront l’action d’un malveillant. Vous aurez remarqué le petit « H@ck3D » en haut à gauche qui ne semble perturber personne !

Branleurs, voleurs, mateurs… même combat

Dans mon exemple, le pirate possède donc dorénavant l’IP, l’accès à la page d’administration de votre webcam IP, sa marque, vous n’avez pas changé le mot de passe usine et si c’est le cas, il vient de rechercher sur la toile les failles et accès « pasvraimentprévudanslemodedemploi« . Dernier exemple en date que ZATAZ a pu constater, l’alerte au sujet de la société AXIS. Un logiciel pirate, baptisé « Hack AXIS » permettait (permet toujours pour les caméras non mises à jour, NDR) d’accéder à la racine des périphériques sans avoir besoin de connaitre le mot de passe ; changer le mot de passe du matériel ; contrôler la caméra et, dans ce cas, lancer des attaques via la caméra transformée en Zombie/botnet. La caméra prise en main de la sorte par un pirate au fait de la faille, même mise à jour ensuite, restait dans le sac à malveillance de l’intrus. Une attaque d’autant plus gênante que l’exploit a été diffusé, en juillet 2016.

Bref, voilà donc le pirate avec une nouvelle source d’information à votre sujet. Imaginez, le serveur et l’IP l’oriente sur votre situation numérique ; la caméra, et les informations qu’elle peut transporter, fournissent au malveillant les yeux qu’il n’avait pas. En France, c’est une liste de plusieurs milliers de webcams accessibles qui trainent sur la toile, que ce soit dans le blackmarket ou sur des sites offrant de regarder à travers ces « yeux » non sécurisés.

Auteur : Damien Bancal

Réagissez à cet article

Original de l’article mis en page : ZATAZ Vidéo surveillance : Vous n’en avez pas marre d’être des idiots du 2.0 – ZATAZ

Comment se passera le passage du CIL au DPO lors de la mise en application du RGPD ?

Comment se passera le passage du CIL au DPO lors de la mise en application du RGPD ?

Plus de vingt ans après la Directive sur la Protection des Données, l’Union Européenne s’est dotée ce printemps d’un nouveau règlement. Les deux décennies passées ont vu des changements phénoménaux dans nos usages du numérique. Le texte, issu d’un délicat compromis entre les institutions européennes et les acteurs du numérique, prend acte de ces changements (en entérinant par exemple le célèbre « droit à l’oubli ») et trace le futur de la protection des données en Europe, notamment en mettant au centre de son texte un acteur nouveau, ou en tout cas ré-inventé, le Data Protection Officer (DPO). Mais au « jour J » de l’entrée en application du texte, qui seront les DPO ? Quelles seront leurs missions, et comment s’y préparer dès maintenant ?

Le DPO, un « CIL 2.0 » ?

Le texte en français (pas encore officiel) du futur règlement européen ne traduit pas, à raison, « Data Protection Officer » par « Correspondant Informatique & Libertés », mais par « Délégué à la protection des données ». En effet, les futurs DPO auront des responsabilités plus diverses que les CIL, mais aussi plus lourdes. Les enjeux sont importants, puisque la CNIL, comme tous ses équivalents européens, pourra, grâce au nouveau règlement, imposer des sanctions financières équivalentes à ce que l’on peut observer en droit de la concurrence (jusqu’à 4 % du chiffre d’affaires annuel mondial). En termes de position, le DPO gagne également en reconnaissance, puisque le règlement stipule que « le délégué à la protection des données fait directement rapport au niveau le plus élevé du responsable de traitement ». Son identité devra également être rendue publique, à l’instar des responsables de l’accès aux documents administratifs désignés au titre de la loi CADA.

Cette montée en responsabilité, interne aussi bien qu’auprès du public, s’accompagnera vraisemblablement d’une hausse des salaires, pour rejoindre ceux que l’on observe en Amérique du Nord, par exemple, où une société dont la réputation fut salie par une affaire de data breach n’a pas hésité à rémunérer ensuite son nouveau CPO à hauteur de 700.000 $ par an pour regagner la confiance de ses clients.

La principale évolution entre CIL et DPO, cependant, demeure dans l’étendue de leur champ d’action. Aux tâches déjà accomplies par le CIL s’ajoutent, pour le DPO, celles de notification et d’enregistrement des violations de données personnelles, ainsi que des analyses d’impact de ces violations, entre autres.

Du CIL au DPO : une transition légitime

Les similarités entre CIL et DPO sont nombreuses, et les compétences, ainsi que l’expérience, accumulée par les CIL ces dix dernières années seront un formidable atout pour aborder les changements qui s’annoncent. Ainsi, pour capitaliser sur les travaux réalisés par les CIL déjà désignés et pour assurer la diffusion la plus large possible de l’esprit de la loi, l’AFCDP, association qui regroupe les professionnels de la conformité Informatique et Libertés et de la protection des données personnelles, demande que soit ménagée une « clause du grand-père » qui permettrait à ces CIL qui le souhaitent et qui répondent aux nouvelles exigences d’être maintenus dans leur fonction en tant que DPO. Par ailleurs, la CNIL soutient ce passage « naturel » du CIL au DPO, comme l’a confirmé Edouard Geffray, Secrétaire général de la CNIL devant les 500 CIL réunis fin janvier à l’occasion de la journée mondiale de la protection des données personnelles : « Nous avons tout intérêt à ce que la plupart d’entre vous soient confirmés en tant que DPO ».

Cela ne signifie en aucun cas que le milieu professionnel des CIL devrait refuser d’accueillir de nouveaux arrivants. Il en faudra, en effet, par conséquence logique de la multiplication attendue des postes, le DPO étant obligatoire dans de très nombreuses structures. Il faudra donc s’assurer qu’ils bénéficient de la culture de métier forte que les CIL se sont construites ces dernières années. En revanche, ce qu’il convient plutôt d’essayer de minimiser, c’est la possible délocalisation d’une partie des DPO hors de France. En effet, même si le règlement indique que « Un groupe d’entreprises peut désigner un seul délégué à la protection des données à condition qu’un délégué à la protection des données soit facilement joignable à partir de chaque lieu d’établissement », il est probable que certains grands groupes décident de localiser leur DPO en Grande-Bretagne, en Irlande, aux Pays-Bas ou en Belgique. Le revers de cette harmonisation européenne serait alors un éloignement croissant entre les citoyens et les responsables du traitement de leurs données à caractère personnel.

Deux précieuses années de préparation

Les nouvelles règles, appelées à remplacer celles de notre actuelle loi Informatique et Libertés, seront applicables le 25 mai 2018. Les organismes ayant déjà désignés un CIL ont une longueur d’avance pour préparer la mise en application du règlement. Les deux années qui viennent seront l’occasion de mettre en place de nouveaux chantiers et de nouvelles pratiques qui, de par leurs nouveautés, vont demander du temps et de la préparation. Ainsi des notifications de violation du traitement des données à caractère personnel, qui devra se faire sans délai auprès de la CNIL, et, dans certaines conditions, auprès des personnes concernées. Cet exercice, qui mêle des compétences en communication, en sécurité et en droit, demande une préparation préalable importante, afin de respecter les délais et d’établir rapidement le dialogue entre les différents acteurs, externes aussi bien qu’internes. À ce titre, deux ans ne seront pas de trop pour préparer, former et communiquer avec les collaborateurs réguliers du CIL. Ce dernier peut aussi avoir intérêt à compléter si besoin sa formation, afin de se préparer au mieux à la transition et d’apparaître auprès de ses supérieurs comme solution naturelle pour remplir la fonction de DPO.

Cette préparation, si elle est conséquente, ne sera pas nécessairement solitaire. Outre les documents officiels appelés à approfondir et clarifier certains détails du texte, les CIL pourront s’appuyer sur leur travail mutuel, notamment l’AFCDP, qui dispose d’ores et déjà d’un groupe de réflexion, aussi bien numérique que physique, sur les nouveaux défis apportés par le règlement. Ce travail bénéficiera en outre du réseau CEDPO (The Confederation of European Data Protection Organisations, co-fondée par l’AFCDP) qui permet aux CIL français de profiter des expériences et des bonnes pratiques de leurs confrères allemands, espagnols, néerlandais, polonais, irlandais et autrichiens. Enfin, compte tenu du changement d’échelle et de logique qui s’annonce en matière de protection des données à caractère personnel, il est crucial que les organismes qui n’ont pas déjà désigné un CIL le fassent, pour être prêt en 2018 à faire face aux nouvelles exigences.

Article original de Paul-Olivier Gibert
Président de l’AFCDP

Réagissez à cet article

Original de l’article mis en page : Règlement européen Données personnelles : du CIL au Data Protection Officer, une transition… – Linkis.com

Les pirates informatiques recrutent des complices chez les opérateurs télécoms

Le chantage est l’un des vecteurs de recrutement utilisés par les cybercriminels pour recruter des complicités internes chez les opérateurs de télécoms. (Crédit : Pixabay/geralt)

Les pirates informatiques recrutent des complices chez les opérateurs télécoms

Un rapport de Kaspersky détaille les nombreuses menaces qui ciblent les opérateurs de télécommunications, réparties en deux catégories : celles qui les ciblent directement (DDoS, campagnes APT, failles sur des équipements, ingénierie sociale…) et celles qui visent les abonnés à leurs services. Parmi les premières, le recrutement de complicités internes, sous la menace ou par appât du gain, progressent, même si elles restent l’exception.

Les opérateurs de télécommunications constituent une cible de choix pour les cyberattaques. Ils gèrent des infrastructures de réseau complexes utilisées pour les communications téléphoniques et la transmission de données et stockent de grandes quantités d’informations sensibles. Dans ce secteur, les incidents de sécurité ont augmenté de 45% en 2015 par rapport à 2014, selon PwC. Dans un rapport intitulé « Threat intelligence report for the telecommunications industry » publié cette semaine par Kaspersky, l’éditeur de logiciels de sécurité détaille les 4 principales menaces qui visent les opérateurs de télécommunications et fournisseurs d’accès Internet (FAI) : les attaques en déni de service distribué (en hausse), l’exploitation de failles dans leur réseau et les terminaux clients, la compromission d’abonnés (par ingénierie sociale, phishing ou malware) et, enfin, le recrutement de personnes capables d’aider les cyber-criminels en interne, au sein même des entreprises attaquées.

Lorsque les attaques passent par des collaborateurs contactés par les cybercriminels, il est difficile d’anticiper ces risques car les motivations sont diverses : appât du gain, collaborateur mécontent, coercition ou tout simplement négligence. Certains de ces relais internes agissent de façon volontaire, d’autres y sont forcés par la menace ou le chantage. Chez les opérateurs de télécoms, on demande principalement à ces « insiders » de fournir un accès aux données, tandis que chez les fournisseurs d’accès Internet (FAI), on les utilise en appui à des attaques contre le réseau ou des actions de type man-in-the-middle (MITM). Même si le recours à des collaborateurs indélicats reste rare, cette menace progresse, selon Kaspersky, et ses conséquences peuvent être extrêmement critiques car elle peut ouvrir une voie directe vers les données ayant le plus de valeur. Le chantage est l’un des vecteurs de recrutement le plus efficace. A ce sujet, le spécialiste en technologies de sécurité remet en mémoire l’intrusion sur le site de rencontres extra-conjugales Ashley Madison, l’été dernier. Celle-ci a permis le vol de données personnelles que les attaquants ont pu confronter à d’autres informations publiquement accessibles pour déterminer où les personnes travaillaient et les compromettre.

Même des pirates inexpérimentés peuvent mener des attaques DDoS

D’une façon générale, Kaspersky répartit en deux catégories l’ensemble des menaces visant les opérateurs télécoms à tous les niveaux : d’une part, celles qui les ciblent directement (DDoS, campagnes APT, failles sur des équipements, contrôles d’accès mal configurés, recrutement de complicités internes, ingénierie sociale, accès aux données), d’autre part celles qui visent les abonnés à leurs services, c’est-à-dire les clients des opérateurs mobiles et des FAI. Les attaques en déni de service distribué ne doivent pas être sous-estimées, rappelle Kaspersky, car elles peuvent être un signe précurseur d’une deuxième attaque, plus préjudiciable. Elles peuvent aussi servir à affecter un abonné professionnel clé, ou encore à ouvrir la voie à une attaque par ransomware à grande échelle. Le 1er cas a été illustré par l’intrusion subie en 2015 par Talk Talk, l’opérateur de télécoms britannique, résultant dans le vol d’1,2 millions d’informations clients (noms, emails, dates de naissance, données financières…). L’enquête a montré que les pirates avaient dissimulé leurs activités derrière l’écran de fumée d’une attaque DDoS. L’un des éléments préoccupants de ces menaces, c’est que même des attaquants inexpérimentés peuvent les organiser de façon relativement efficace, rappelle Kaspersky.

Des équipements vulnérables et des malwares difficiles à éliminer

Les vulnérabilités existant dans les équipements réseaux, les femtocells (éléments de base des réseaux cellulaires) et les routeurs des consommateurs ou des entreprises fournissent aussi de nouveaux canaux d’attaques, de même que les logiciels exploitant des failles dans les smartphones Android. Ces intrusions mettent en œuvre des malwares difficiles à éliminer. En dépit des nombreux vols de données perpétrés au cours des 12 derniers mois, les attaques se poursuivent, exploitant souvent des failles non corrigées ou nouvellement découvertes. En 2015, par exemple, le groupe Linker Squad s’est introduit chez Orange en Espagne à travers un site web vulnérable à une injection SQL et a volé 10 millions de coordonnées sur les clients et les salariés. Par ailleurs, dans de nombreux cas, les équipements utilisés par les opérateurs présentent des interfaces de configuration auxquelles on accède librement à travers http, SSH, FTP ou telnet et si le pare-feu n’est pas configuré correctement, ils constituent une cible facile pour des accès non autorisés, explique encore Kaspersky.

En résumé, les menaces visant les opérateurs de télécommunications existent à de nombreux niveaux – matériel, logiciel, humain – et les attaques peuvent venir de différentes directions. Les opérateurs doivent donc « regarder la sécurité comme un processus englobant tout à la fois la prédiction, la prévention, la détection, la réponse et l’enquête », conclut Kaspersky.

Article de Maryse Gros

Réagissez à cet article

Original de l’article mis en page : Les pirates recrutent des complices chez les opérateurs télécoms – Le Monde Informatique