La neutralité du Net triomphe en Europe

En publiant ses lignes directrices sur la neutralité du net qui s’imposent à tous les régulateurs européens, le BEREC a donné pleinement satisfaction aux organisations qui plaidaient pour une obligation la plus ferme possible de respecter le principe par lequel Internet s’est développé.

Le BEREC, qui regroupe les différents régulateurs des communications électroniques en Europe (dont l’Arcep en France), a publié mardi ses lignes directrices très attendues, sur l’implémentation par les autorités nationales des règles de neutralité du net prévues par la régulation adoptée par le Parlement européen en fin d’année 2015.

Le cadre général laissait quelques zones d’ombre, que le BEREC est venu combler au bénéfice d’une consultation publique menée cet été, qui a vu la société civile se mobiliser massivement. Plus de 500 000 réponses ont été envoyées à l’organisation.

Beaucoup craignaient que le BEREC ne laisse quelques trous béants dans les règles imposées aux opérateurs, d’autant plus après le coup de pression donné par ces derniers au prétexte du passage à la 5G vers 2020. Orange avait même affirmé qu’il n’y aurait pas de 5G avec la neutralité du net, la prochaine génération de réseaux mobiles imposant d’attribuer des droits d’utilisation de certaines fréquences ou certains protocoles en fonction des applications.

Mais le texte publié mardi obtient un satisfecit d’une limpidité rarissime de la part du lobby de la société civile European Digital Rights (EDRi). « L’Europe fait désormais office de créateur de standard mondial dans la défense d’un internet ouvert, concurrentiel et neutre », se réjouit dans un communiqué Joe McNamee, le directeur exécutif de l’association, en félicitant le BEREC.

Thomas Lohninger, de l’organisation SaveTheInternet.eu créé pour faire pression sur le BEREC, parle même de « triomphe pour le mouvement européen des droits numériques », obtenu après « une très longue bataille, et avec le soutien d’un demi million de personnes ». Il assure qu’avec les lignes directrices publiées mardi, l’Europe affirme des « principes qui font d’Internet une plateforme ouverte pour le changement, la liberté et la prospérité ».

INTERDICTION DU ZERO-RATING

Les règles adoptées par le BEREC prévoient notamment de donner à l’Arcep et à ses homologues le pouvoir d’imposer des sanctions lorsque les FAI dégradent la qualité d’accès à des services, ou favorisent indûment un type de services par rapport à d’autres.

Elles interdisent aux opérateurs de créer des « services spécialisés » (proposés directement par les FAI, notamment via leurs box), qui ne respectent pas les règles de la neutralité du net, lorsqu’ils ont des équivalents en tant que services proposés normalement sur Internet, ou lorsqu’ils conduisent à minimiser la bande passante accordée à l’internet ouvert.

Aussi, les lignes directrices interdisent quasiment dans les faits la pratique du « zero rating », qui consiste pour un opérateur à ne pas bloquer ou facturer la bande passante consommée par une application spécifique (par exemple des forfaits qui incluent Facebook et YouTube mais pas Twitter et Dailymotion, ou qui permettent un accès illimité au cloud de l’opérateur mais pas à celui de Google ou Apple), ou par certains types d’applications. Ces pratiques contestées n’étaient pas interdites explicitement par le règlement européen. Elles ne le sont toujours pas formellement par le BEREC, mais les conditions fixées sont tellement strictes qu’il sera très difficile pour un opérateur de continuer à avoir recours au zero-rating.

Article original de Guillaume Champeau

Réagissez à cet article

Original de l’article mis en page : Un « triomphe » pour la neutralité du Net en Europe – Politique – Numerama

Des sites de rencontres touchés par des attaques dites de leurre venant du réseau TOR

Les chercheurs mettent en garde contre une augmentation d’attaques par leurre visant les sites de rencontres venant du réseau TOR.

Les attaques par leurre sont montées via un site de rencontres concurrent pour détourner les utilisateurs d’un site victime vers celui de l’attaquant. La plupart de ces attaques ciblent de multiples services de rencontres et diffusent des spams à un grand nombre d’utilisateurs, en les invitant à rejoindre d’autres sites, probablement tous contrôlés par le même pirate. La motivation de l’instigateur de ces attaques semble donc claire, écarter les utilisateurs d’un site victime et les attirer vers le sien.

Les chercheurs d’Imperva ont récemment assisté à une augmentation des pirates utilisant le réseau TOR pour dissimuler leur identité et mener à bien ce type d’attaques.

Les attaques par leurre venant du réseau Tor se caractérisent par des messages en provenance de clients Tor à un taux relativement faible (mais régulier), de 1 à 3 demandes chaque jour, probablement pour passer sous le radar des mécanismes de limite de vitesse et éviter les contrôles de détection automatique des navigateurs. Malgré le taux très faible des demandes qu’Imperva a pu observer, il est probable que le nombre total de celles-ci soit beaucoup plus élevé, avec seulement quelques demandes exposées dans l’aperçu du trafic utilisateurs Tor.

Il faut également prendre en compte le déficit d’image que représente ces attaques menées par les centaines de faux profils très attractifs qui harcèlent les utilisateurs du site victime et qui abaissent la crédibilité de celui-ci.

Selon Itsik Mantin, directeur de la recherche de sécurité à Imperva : « Ces attaques ont le potentiel de perturber considérablement le business des opérateurs de site de rencontres. En utilisant le réseau TOR les attaquants sont capables de cacher leur emplacement réel et leurs identités, ce qui les rends encore plus difficiles à détecter et à bloquer ».

Afin de se protéger contre les attaques par leurre, il est recommandé aux sites de rencontre de surveiller de près les faux comptes et de fermer tout ce qui pourrait être considéré comme illégitime. Il est également conseillé de monitorer l’ensemble du trafic TOR et de bloquer toute activité suspecte.

Article original de Damien Bancal

Les conseils de Denis JACOPINI
Quelque soit l’e-mail reçu, ceci nous prouve une fois de plus qu’il est nécessaire de décupler notre vigilance. Sachez que le protocole d’envoi des e-mails, le fameux SMTP, se base sur la norme RFC 821 qui date de 1982. Ceci dit, vous comprendrez mieux si je vous dis que ce protocole ne prévoyait pas les dérives d’usages que nous connaissons aujourd’hui.

De nos jours, cette faille, exploitée à outrance par les pirates informatiques, autorise sans aucune difficulté l’usurpation d’identité. Avec les technologies d’aujourd’hui, n’importe qui peut se faire passer pour n’importe qui, et rien ne vous empêche de vous faire passer pour Larry Page ou Sergueï Brin (les fondateurs de Google en 1998) en créant une adresse e-mail de type larry.page@gmail.com ou serguei.brin@gmail.com pour peu que ces adresses e-mail ne soient pas prises. Pire, vous pouvez recevoir un e-mail indiquant le vrai nom et la vraie adresse e-mail de votre meilleur ami alors que vous répondre à une adresse e-mail légèrement différente, celle du pirate usurpant l’identité de votre ami…

De qui peut-on encore se fier ?

Besoin de conseils ? de formation ?, contactez Denis JACOPINI

Réagissez à cet article

Original de l’article mis en page : ZATAZ Des sites de rencontres touchés par des attaques dites de leurre venant du réseau TOR – ZATAZ

Devez-vous changer votre mot de passe DropBox ?

Devez-vous changer votre mot de passe DropBox ?

On vous demande de créer un nouveau mot de passe sur dropbox.com. Pourquoi et que devez-vous faire ?

L’entité propose de faire des sauvegardes de ses fichiers dans le Cloud, le fameux nuage. Bref, des disques durs hors de chez vous, hors de votre entreprise, sur lesquels vous déposez vos données afin d’y accéder partout dans le monde, et peu importe le support : Ordinateur, smartphone…

Depuis quelques heures, une vague de courriels aux couleurs de DropBox vous indique « On me demande de créer un nouveau mot de passe sur dropbox.com. Pourquoi et que dois-je faire ?« , si les plus paranoïaques ont jeté la missive de peur d’être nez-à-nez avec un phishing, je me suis penché sur le sujet, histoire de m’assurer que l’alerte valait la peine d’être lancée. Je vais être rapide avec le sujet, oui, il s’agit bien d’un courriel officiel de la firme US.

Lors de votre prochaine visite sur dropbox.com, vous serez peut-être invité à créer un nouveau mot de passe. Une modification « à titre préventif à certains utilisateurs » souligne Dropbox. Les utilisateurs concernés répondent aux critères suivants : ils ont créé un compte Dropbox avant mi-2012 et ils n’ont pas modifié leur mot de passe depuis mi-2012. Vous commencez à comprendre le problème ? Comme je vous le révélais la semaine dernière, des espaces web comme Leakedsource, le site qui met en danger votre vie privée, sont capable de fournir aux pirates une aide précieuse. Comment ? En diffusant les informations collectées dans des bases de données piratées.

Que dois-je faire ?

Si, quand vous accédez à dropbox.com, vous êtes invité à créer un nouveau mot de passe, suivez les instructions sur la page qui s’affiche. Une procédure de modification des mots de passe qui n’a rien d’un hasard. Les équipes en charge de la sécurité de DropBox effectuent une veille permanente des nouvelles menaces pour leurs utilisateurs. Et comme vous l’a révélé ZATAZ, Leaked Source et compagnie fournissent à qui va payer les logins et mots de passe d’utilisateurs qui utilisent toujours le même sésame d’accès, peu importe les sites utilisés. Bref, des clients Adobe, Linkedin … ont peut-être exploité le même mot de passe pour DropBox.

Bilan, les pirates peuvent se servir comme ce fût le cas, par exemple, pour ma révélation concernant le créateur des jeux Vidéo Rush et GarryMod ou encore de ce garde du corps de Poutine et Nicolas Sarkozy. Les informaticiens de Dropbox ont identifié « d’anciennes informations d’identification Dropbox (combinaisons d’adresses e-mail et de mots de passe chiffrés) qui auraient été dérobées en 2012. Nos recherches donnent à penser que ces informations d’identification sont liées à un incident de sécurité que nous avions signalé à cette époque. » termine DropBox.

A titre de précaution, Dropbox demande à l’ensemble de ses utilisateurs qui n’ont pas modifié leur mot de passe depuis mi-2012 de le faire lors de leur prochaine connexion.

Article original de Damien Bancal

Les conseils de Denis JACOPINI

Comme tout e-mail reçu, la prudence est de rigueur. Avant de valider l’authenticité d’un e-mail envoyé par une firme telle que Dropbox, nous avons dû analyser l’entête de l’e-mail reçu et comparer les données techniques de celles répertoriées dans les bases de données connues.

J’imagine que vous n’aurez pas le courage d’apprendre à le faire vous même ni que vous trouverez l’intérêt de consacrer du temps pour ça.

Comme chaque mise à jour demandée par un éditeur ou un constructeur, comme tout changement de mot de passe recommandé par une firme, nous vous conseillons de le faire en allant directement sur le site concerné.

Dans le cas de « Dropbox », nous vous recommandons de rechercher « dropbox.com » dans google ou de taper « dropbox.com » dans votre barre d’adresse et de vous identifier. Vous serez ainsi sur le site officiel et en sécurité pour réaliser la procédure demandée.

Attention
Vous ne serez en sécurité que si votre ordinateur n’est pas déjà infecté. En effet, taper un nouveau mot de passe si votre ordinateur est déjà infecté par un programme espion revient à communiquer au voleur une copie de vos nouvelles clés. Taper l’ancien mot de passe revient aussi à donner au voleur la clé permettant peut-être d’ouvrir d’autres portes !!!

Besoin de conseils ? de formation ?, contactez Denis JACOPINI

Réagissez à cet article

Original de l’article mis en page : ZATAZ Changez votre mot de passe DropBox – ZATAZ

Les futurs iPhone pourraient renvoyer des données biométriques de leurs voleurs

Apple a déposé un brevet sur une méthode qui permettrait de glaner un maximum d’informations sur les voleurs d’iPhone, dont leur photo et une image de leur empreinte digitale.

Apple fait tout pour éviter que ses clients se fassent voler leur iPhone, et imagine donc un ensemble de stratégie pour décourager les voleurs. La firme de Cupertino permet déjà de localiser un téléphone à distance, de le verrouiller, ou encore d’effacer les données depuis son ordinateur. Mais prochainement, Apple pourrait aussi permettre à ses clients d’obtenir des informations biométriques et d’autres données liées au voleur potentiel d’un téléphone.

Comme le remarque Apple Insider, le groupe a en effet obtenu cette semaine la publication par le bureau des brevets américain d’un nouveau brevet portant sur la « capture biométrique pour l’identification d’un utilisateur non utilisé ». Apple y explique que les différents capteurs d’un iPhone ou d’un iPad pourraient être utilisés pour rassembler un maximum d’informations sur le voleur, et les envoyer vers un ordinateur associé au compte Apple de la victime.

La firme de Cupertino explique ainsi qu’il serait possible de reconstituer des empreintes digitales du voleur ou de toute personne qui tente d’accéder illégalement à l’iPhone, au besoin en combinant jusqu’à une quinzaine d’essais de lectures d’empreintes via son capteur Touch ID. Cette hypothèse est toutefois surprenante de la part d’Apple, qui avait rassuré sur le fait que le capteur qu’il avait conçu ne serait pas capable de restituer sur demande une image de l’empreinte digitale.

touchid

« Aucune image de votre empreinte n’est conservée par la fonctionnalité Touch ID. Celle-ci en stocke uniquement la représentation mathématique, et personne ne peut déterminer votre empreinte à partir de cette dernière », peut-on lire sur le site d’Apple. Il précise :

« La puce de votre appareil profite également d’une architecture de sécurité avancée, appelée Enclave sécurisée. Celle-ci permet de protéger codes d’accès et données liées aux empreintes. Ces dernières sont chiffrées et protégées par une clé, uniquement accessible via l’enclave sécurisée, qui utilise les données en question pour vérifier que votre empreinte correspond aux informations enregistrées sur l’appareil.

L’enclave sécurisée est totalement indépendante des autres composants de la puce et des autres fonctionnalités d’iOS. Ainsi, iOS et toute autre application n’ont jamais accès aux données liées aux empreintes, et celles-ci ne sont ni enregistrées sur les serveurs Apple, ni sauvegardées dans iCloud ou ailleurs. Seule la fonctionnalité Touch ID a accès à ces données, qui sont incompatibles avec les autres bases de données
d’empreintes. »

Dans ces conditions, il faudrait qu’Apple revoit l’architecture de ses iPhone et de Touch ID pour permettre la capture de l’empreinte d’un éventuel voleur, au risque de troubler l’image de protectrice de la vie privée qu’elle a mis du temps à construire.

Ce n’est pas tout. Apple imagine aussi capter des photos de celui qui cherche à débloquer un iPhone sans en avoir les droits, du son, des coordonnées GPS ou même des indications comme la pression de l’air, pour rassembler un maximum d’informations qui permettraient d’identifier avec certitude le coupable. Selon les configurations, les données pourraient être collectées et envoyées systématiquement, ou selon des scénarios plus fins (par exemple au bout de 5 essais infructueux, si l’iPhone est à un plus de 10 km de tel lieu, etc.).

Rien ne dit néanmoins qu’Apple souhaite véritablement mettre en œuvre ce brevet, qui ne traduit à ce stade qu’une idée et pas une intention de commercialisation. L’avenir le dira.

brevet-apple-2

Article original de Guillaume Champeau

Réagissez à cet article

Original de l’article mis en page : Les futurs iPhone pourraient renvoyer des données biométriques de leurs voleurs – Tech – Numerama

La cybercriminalité a de belles années devant elle

Les prochaines années laissent entrevoir de beaux moments pour les cybercriminels de tout acabit. Les raisons expliquant cela sont nombreuses. Quelles sont-elles?

Suivre la scène de la sécurité informatique a ceci de particulier : c’est à la fois fascinant et grandement décourageant. C’est d’autant plus décourageant que les tendances présentes au cours des derniers mois laissent entrevoir de beaux jours pour les cybercriminels. Essentiellement, quatre raisons expliquent cela.

La multiplication des cibles potentielles

La première raison est assez évidente : il y a de plus en plus de cibles disponibles pour les criminels. La surmultiplication du nombre de plateformes exploitant Internet a pour effet de toutes les transformer en des opportunités potentielles pour des gens malintentionnés. La manifestation la plus flagrante de cette surmultiplication se transpose dans la fulgurante montée de l’Internet des objets.

Ce nouvel eldorado porte toutefois les gènes de sa propre insécurité. En effet, le marché est meublé par une multitude de joueurs, et leur intérêt porté à la chose sécuritaire est tout aussi variable. Ainsi, alors que l’objectif est d’occuper le marché le plus rapidement possible, bon nombre de joueurs impliqués dans la course à l’Internet des objets arrivent sur le marché avec des produits qui sont, volontairement ou involontairement, plus ou moins sécurisés.

Bref, nous sommes placés devant un cercle vicieux duquel nous ne pouvons pas nous sortir : plus de technologies signifient nécessairement plus de vulnérabilités et, conséquemment, plus d’opportunités criminelles. De plus, croire que l’on puisse mettre un frein à l’évolution technologique est illusoire.

Le difficile marché de la sécurité

Le contexte actuel rend les ressources extrêmement difficiles à conserver ou à acquérir pour les petites et moyennes entreprises qui n’ont pas les moyens d’offrir des salaires élevés.
Alors que le domaine apparaît comme extrêmement complexe, le manque criant de main-d’œuvre est de plus en plus problématique dans les entreprises. Forbes affirme pourtant que ce secteur vaudra sous peu 75 milliards de dollars US et que le marché créera plus d’un million d’emplois.

Non seulement manque-t-il de spécialistes en sécurité, mais il manque aussi de plus en plus de pirates black hat sur le marché, faisant en sorte que les cybercriminels eux-mêmes se tournent de plus en plus vers des modèles de sous-traitance pour effectuer leurs opérations.

Ce manque d’expertise a pour effet de rendre l’économie globalement plus ou moins axée sur la sécurité. Certes, certains secteurs ont les moyens de leurs ambitions, mais le contexte actuel rend ces ressources extrêmement difficiles à conserver ou à acquérir pour les petites et moyennes entreprises qui n’ont pas les moyens d’offrir des salaires élevés. Les effets sont bien sûr conséquents : la situation engendre une sécurité bien inégale, avec le lot de vulnérabilités qu’elle impose.

La rentabilité évidente

Autre point extrêmement important pour expliquer pourquoi la cybercriminalité aura le vent dans les voiles? C’est lucratif. La logique criminelle est relativement simple : il s’agit de faire le plus d’argent possible, le plus facilement possible. En somme, c’est le capitalisme en action.

Dans le domaine de la cybercriminalité, cela fonctionne décidément. On estime à 445 milliards de dollars US le marché de la cybercriminalité. Bon, je vous entends déjà geindre et dire que c’est fort de café. Soit. Admettons que ce soit la moitié moins, c’est tout de même 222 milliards, batinse!

Pour rappel, le budget du Canada est d’environ 290 milliards de dollars CA. C’est donc payant, et c’est bien dommage, mais les conséquences de la cybercriminalité sont minimes. Les chances d’arrêter les criminels sont plutôt basses (voir point suivant) et les peines encourues ne sont pas adaptées.

L’incapacité d’action des agences d’application de la loi

Les cybercriminels ont donc le beau jeu, puisque le risque de se faire prendre est extrêmement bas. En effet, les forces policières sont mal équipées pour confronter la cybercriminalité, faisant en sorte que trop souvent, elles doivent capituler devant les actions commises par les criminels. Dans les cas les plus extrêmes, les agences tenteront de déployer les efforts nécessaires pour faire culminer une enquête, mais cela se fera à grands coups de contrats avec le secteur privé afin de se procurer l’expertise nécessaire pour résoudre le crime en question. Le fait que le FBI ait versé un montant de 1,3 million à un groupe de «chercheurs en sécurité», considérés par plusieurs comme ayant des mœurs on ne peut plus douteuses, pour accéder aux données présentes dans l’iPhone du terroriste de San Bernardino en est, en soi, la manifestation la plus éloquente.

Lutter contre la cybercriminalité demande essentiellement quatre choses. Une culture particulière, une collaboration internationale, des moyens et des techniques disponibles, et des compétences de pointe dans le domaine des technologies. Le dur constat qu’il faut faire, c’est qu’outre la collaboration internationale, les autorités compétentes n’ont pas les moyens pour atteindre les trois autres prérequis. Par conséquent, la vaste majorité des corps policiers ne s’attaqueront aux cybercrimes que lorsque les infractions sont trop exagérées.

La somme de toutes les peurs

Au final, ce qui est le plus inquiétant dans cette situation, c’est que plus le temps avance, plus les réseaux de cybercriminels deviennent solides, sophistiqués et ont de plus en plus de moyens. Les laisser agir en toute impunité a pour effet de les rendre toujours plus coriaces, ce qui rendra la tâche de lutter contre eux d’autant plus difficile à long terme. Il faudra que l’on prenne le problème à bras le corps une fois pour toute, sinon, nous risquons d’avoir de mauvaises surprises dans les prochaines années.

Article original de branchez-vous.com

Réagissez à cet article

Original de l’article mis en page : La cybercriminalité a de belles années devant elle | Branchez-vous

Les services de renseignement devraient-ils avoir accès aux clés de déchiffrement ?

Une initiative franco-allemande va tenter de convaincre les acteurs internationaux d’Internet et de l’informatique de la nécessité d’ouvrir leurs codes et leurs chiffrements pour lutter contre le terrorisme. Des voix s’élèvent au nom de la sécurité et des libertés.

Après le conseil restreint de Défense à l’Élysée le 4 août 2016, le ministre de l’Intérieur, Bernard Cazeneuve, a parlé chiffre. Avec son homologue allemand, Thomas de Maizière, il a proposé le 23 août une initiative européenne à vocation internationale pour « faire face au défi du chiffrement, une question centrale dans la lutte antiterroriste ». Le sujet est brûlant. Pas seulement depuis l’assassinat du père Hamel par des usagers de Telegram , d’ailleurs pas considéré comme la solution la plus hermétique d’un marché en plein essor.

Outre Telegram, les terroristes, des criminels et des gens très soucieux de l’intégrité de leurs communications utilisent pléthore de dispositifs de chiffrement comme ChatSecure, Conversations, Kontalk, Signal, Threema ou WhatsApp (même s’il appartient à Facebook depuis 2014), sans parler des anonymes Tor (réseau décentralisé) ou ToX (pair à pair). Là n’est d’ailleurs pas la question centrale. L’ennemi pourrait émigrer vers d’autres cieux numériques voire créer son propre outil chiffré…

Incapable de casser le code

Depuis l’audition à l’Assemblée le 10 mai de Patrick Calvar, le directeur général de la sécurité intérieure, la pression monte. Pour les attentats de Bruxelles, le DGSI avoue que « même une interception n’aurait pas permis de mettre au jour les projets envisagés puisque les communications étaient chiffrées sans que personne soit capable de casser le chiffrement ». Face au chiffrement aléatoire et autres complications futures, le DGSI a une réponse martiale : « Je crois que la seule façon de résoudre ce problème est de contraindre les opérateurs. » Nous y voilà. En février, le FBI s’est heurté au refus d’Apple de livrer les données de l’iPhone d’un des meurtriers de Daech qui a tué 14 personnes à San Bernardino le 2 décembre 2015. Avant que le FBI n’annonce avoir réussi à casser le chiffre de la pomme…

Bernard Cazeneuve ne dit pas autre chose. Il prend pour exemple sa négociation avec les majors d’Internet en février 2015 qui a permis d’élaborer une charte sur le retrait des contenus et le blocage des sites haineux. « Sur le chiffrement, il faut que nous ayons la même méthode, la même volonté, le sujet est crucial. »

Sauf qu’un courrier, publié par Libération, du directeur de l’Agence nationale de sécurité des systèmes d’information (ANSSI) et lui-même cryptologue, Guillaume Poupard, affirme le contraire aux autorités : « Un affaiblissement généralisé serait attentatoire à la sécurité numérique et aux libertés de l’immense majorité des utilisateurs. » Permettre une intrusion des services de renseignement (par des « portes dérobées ») pourrait profiter à des gens ou des États (pas seulement islamiques) mal intentionnés. Quelle tendance va l’emporter ? En cette époque sécuritaire, de l’état d’urgence éternel et du désarroi politique…

Article original de Olivier Berger

Réagissez à cet article

Original de l’article mis en page : Lutte contre le terrorisme : Faut-il ouvrir la porte du chiffrement aux services de renseignement ? – La Voix du Nord

Peur d’être surveillés ? mettez à jour votre iPhone

Apple corrige en urgence iOS, touché par trois failles sévères. Ces dernières étaient exploitées de concert par un spyware de haut vol, Pegasus, vendu par la société israélienne NSO à des gouvernements.

La mésaventure qui vient d’arriver à Apple, obligé de déployer en urgence un correctif pour son OS mobile iOS, ne manquera pas d’alimenter le débat sur l’utilisation des vulnérabilités logicielles par les gouvernements. Et sur le bien-fondé de l’activité de très discrètes petites sociétés spécialisées dans la vente de failles zero day. Avec sa version 9.3.5 d’iOS, la firme de Cupertino vient en effet combler 3 vulnérabilités sévères exploitées probablement depuis des années pour dérober des informations sur les terminaux de la marque.

Selon les chercheurs en sécurité de Lookout, société spécialisée dans la sécurité des terminaux mobiles, et du Citizen Lab, une émanation de l’université de Toronto (Canada), ces failles étaient exploitées conjointement par un logiciel espion. Cette menace, que les chercheurs ont appelée Pegasus, aurait été développé par NSO Group, société basée en Israël et passée, en 2014, sous le contrôle de Francisco Partners Management, un fonds d’investissement américain, pour 120 millions de dollars. L’enquête des chercheurs a pu déterminer que Pegasus a été utilisé pour espionner un dissident aux Emirats Arabes Unis, Ahmed Mansoor. Au-delà de ce cas particulier, le spyware pourrait avoir été utilisé par d’autres gouvernements ou entreprises afin d’espionner des dissidents, des journalistes, des concurrents, des partenaires… Le kit d’attaque est vendu environ 8 millions de dollars pour 300 licences. Cher mais pas hors de portée d’un Etat ou d’une grande entreprise.

NSO : un discret et lucratif business

En novembre dernier, un article de Reuters se penchait sur l’activité de la très secrète société NSO, spécialisée dans l’assistance technique aux gouvernements pour l’espionnage de terminaux mobiles. Une société qui a plusieurs fois changé de nom et que Francisco Partners espérait revendre pas moins d’un milliard de dollars. Selon Reuters, la société israélienne, fondée en 2010 par Omri Lavie et Shalev Hulio, afficherait 75 M$ de bénéfices opérationnels par an.

Les fonctions de Pegasus. Une image qui serait issue de la documentation de NSO et ui a fuité lors du piratage de Hacking Team.

L’analyse du code semble faire remonter Pegasus à 2013, l’année de la sortie d’iOS 7 ; le malware renfermant des réglages adaptés à cette version de l’OS de Cupertino. « Pegasus est l’attaque la plus sophistiquée ciblant un terminal que nous ayons jamais rencontrée parce qu’elle exploite la façon dont les terminaux mobiles s’intègrent dans nos vies et tire parti de la combinaison de fonctionnalités présente uniquement sur les mobiles : connexion permanente (WiFi, 3G/4G), communications vocales, caméra, e-mail, messages, GPS, mots de passe et liste de contacts », écrivent les chercheurs de Lookout et de l’université de Toronto. Modulaire et exploitant le chiffrement pour éviter d’être repéré, Pegasus déroule une séquence d’attaque classique : envoi d’un message texte, ouverture d’un navigateur, chargement d’une page contrefaite (la Croix Rouge, le service de visa britannique, des médias, des sites d’entreprises IT…), exploitation des trois vulnérabilités et installation de codes permettant une surveillance de la cible (avec récupération de données tous azimuts, y compris des données de localisation, l’activation du micro ou de la caméra à distance, selon la documentation de NSO Group !).

Ahmed Mansoor : cible à répétition

Mansoor-Targeting
C’est la prudence d’Ahmed Mansoor qui a permis la mise au jour de Pegasus : le 10 août, le dissident reçoit un message sur son iPhone accompagné d’un lien lui promettant d’en savoir plus sur les tortures dans les prisons de son pays. Plutôt que de cliquer, Mansoor fait suivre ce message à un chercheur du Citizen Lab, un laboratoire travaillant sur les sujets à la croisée des droits de l’homme et de la cybersécurité. Selon ce labo, c’est la troisième fois qu’Ahmed Mansoor est la cible d’un spyware (après d’autres attaques menées avec des outils conçus par le Britannique Gamma Group en 2011 et par l’Italien Hacking Team en 2012).

Selon les chercheurs du Citizen Lab et de Lookout, Pegasus serait « hautement configurable » afin de s’adapter aux spécificités de chaque cible et à l’épaisseur du porte-feuille des ‘clients’ de NSO. « En fonction du pays concerné et des fonctions achetées par les utilisateurs, les capacités du spyware peuvent inclure les messages, les appels, les e-mails, les logs et d’autres données issues d’apps comme Gmail, Skype, WhatApp, Viber, FaceTime, Calendar, Line, Mail.ru, WeChat, Tango et d’autres », écrivent les chercheurs, qui précise que le malware semble en mesure de résister à une montée de version de l’OS (sauf évidemment celle vers iOS 9.3.5) et se montre capable de se mettre à jour pour remplacer des parties de code devenues inopérantes. Selon les premières recherches du Citizen Lab, Pegasus a aussi servi à espionner un journaliste mexicain, travaillant sur la corruption dans son pays, et une personne non identifiée au Kenya.

iOS hyper-sécurisé ? Voire

Au passage, la sécurité légendaire des iPhone est passablement égratignée. Les trois failles, baptisées Trident par les chercheurs de Lookout et du Citizen Lab, montrent que le système d’Apple n’est pas hors de portée des hackers de haut vol. L’installation de Pegasus repose sur l’exploitation d’une vulnérabilité de Safari (corruption de mémoire avec CVE-2016-4655) et de deux failles du noyau d’iOS (CVE-2016-4656 & CVE-2016-4657), détaillent Lookout dans un rapport (PDF).

Rappelons que l’image de l’OS des iPhone et iPad avait bénéficié de la bataille qui avait opposé Apple au FBI concernant une demande de déblocage d’un smartphone frappé de la pomme ayant appartenu à un des auteurs de la tuerie de San Bernardino, aux Etats-Unis. Idem avec le bug bounty lancé l’année dernière par la société Zerodium, un autre de ces prestataires vendant des failles zero day au plus offrant, qui offrait alors un million de dollars pour un code d’exploitation permettant de prendre le contrôle total d’un iPhone. Rappelons que, de son côté, Apple va lancer son propre programme de chasse aux bugs, mais n’offrira au maximum que 200 000 $ de récompense. Vu les tarifs pratiqués par NSO Group et autres sociétés vendeuses de zero day, pas sûr que ce maigre pactole suffise…
Article original de Reynald Fléchaux

Sans information sur l’existence de dysfonctionnements consécutifs à l’installation de IOS 9.3.5 lors de l’écriture de ces lignes, Denis JACOPINI vous recommande fortement l’installation de cette mise à jour si votre téléphone en a les capacités.

Réagissez à cet article

Original de l’article mis en page : Trois failles zero day d’iOS servaient à espionner des dissidents

Ransomware : Locky se fait passer pour un fichier système Windows

Alerte : le Ransomware Locky se fait passer pour un fichier système Windows

Une variante du ransomware Locky se fait passer pour un fichier DLL dans l’espoir de tromper les filtres de sécurité.

Toujours plus vicieux. Le ou les groupes de cybercriminels qui se cachent derrière le Locky ne cessent de faire évoluer l’un des plus populaires ransomware de la Toile. Objectif : déjouer les dernières mises à jour des solutions de protection et attraper toujours plus de victimes dans les filets. Victimes qui, rappelons-le, n’auront d’autre choix que de payer une rançon (généralement en bitcoin) pour récupérer leurs données si elles n’ont pas pris soin de faire des sauvegardes.
Aux dernières nouvelles, la dernière variante de Locky se distingue en se cachant derrière un fichier .DLL et non plus derrière un .EXE comme précédemment. Les DLL (Dynamic Link Library) sont des bibliothèques logicielles exploitées par Windows pour exécuter une application. « Ce que nous trouvons le plus intéressant dans cette dernière vague Locky est qu’au lieu de télécharger un binaire EXE, ce composant ransomware arrive maintenant en tant que binaire DLL, soulignent les chercheurs en sécurité de Cyren. Qui plus est, le fichier DLL ainsi téléchargé est personnalisé pour empêcher les scanners de virus de le détecter facilement. »

Attention au zip

Si le DLL parvient à passer les filtres de sécurité, son exécution reste identique à celle constatée jusqu’à présent, à savoir que le rançongiciel part à la recherche de fichiers à chiffrer avant de rediriger ses victimes vers une page affichant la facture (et la méthodologie du mode de paiement). Petite variante, le mécanisme d’attaque attribue l’extension .zepto aux fichiers devenus illisibles. « Comparé aux précédentes, cette nouvelle variante ajoute un autre niveau d’obscurcissement qui déchiffre et exécute le réel script chargé du téléchargement de Locky », constatent toutefois les chercheurs.

Le mode de distribution et d’infection de JS/Locky.AT!Eldorado, nom de cette nouvelle variante de Locky, n’a, lui, pas changé : il tente toujours de se propager par l’envoi d’un e-mail trompeur invitant à cliquer sur une pièce jointe au format ZIP renfermant le code Javascript qui va déclencher la décompression des fichiers et l’exécution des commandes de téléchargement de l’agent infectieux proprement dit. Etre doublement attentif lors de la réception de ce genre d’e-mail (et éviter de cliquer sur des fichiers ZIP sans être absolument certain de leur origine) reste le meilleur moyen d’éviter de l’infection.

Article original de Christophe Lagane

Réagissez à cet article

Original de l’article mis en page : Ransomware : Locky se fait passer pour un fichier système Windows

Où en est la protection des lanceurs d’alerte ?

Où en est la protection des lanceurs d’alerte ?

Lanceurs d’alerte : nullité du licenciement d’un salarié ayant dénoncé de bonne foi des faits susceptibles de recevoir une qualification pénale.

Pour la première fois, par un arrêt du 30 juin 2016 (n°15-10.557), la Cour de cassation s’est prononcée sur la sanction du licenciement d’un salarié lanceur d’alerte.

Dans cette affaire, le directeur administratif et financier d’une association qui assurait la gestion d’un centre d’examen de santé avait été licencié pour faute lourde en mars 2011 après avoir dénoncé auprès du procureur de la République des faits susceptibles de constituer une escroquerie et un détournement de fonds de la part d’un membre du conseil d’administration et du président de l’association.

(Cass. Soc. 30 juin 2016, n°15-10.557)

1) La nullité du licenciement du salarié lanceur d’alerte prononcé en violation de la liberté d’expression

A l’époque des faits donc, la loi n°2013-1117 du 6 décembre 2013 qui prévoit que le licenciement d’un salarié fondé sur le fait qu’il témoigne ou dénonce, de bonne foi, des faits susceptibles de recevoir une qualification pénale est nul, n’était donc pas applicable.

Aussi, la cour d’appel avait estimé que le licenciement du directeur administratif et financier était certes dépourvu de cause réelle et sérieuse puisqu’il avait dénoncé les faits en parfaite bonne foi, mais elle avait refusé de prononcer la nullité du licenciement.

La cour d’appel avait ainsi fait une stricte application de la règle selon laquelle il n’y a « pas de nullité sans texte » hors les cas d’atteinte à une liberté fondamentale et avait relevé la loi du 6 décembre 2013 n’était pas applicable au moment des faits.

Pourtant, la chambre sociale, saisie d’un pourvoi formé par le salarié contre cette décision, a estimé, au visa de l’article 10§1 de la Convention européenne des droits de l’Homme, que le licenciement du lanceur d’alerte était nul car prononcé en violation de la liberté d’expression :

« Vu l’article 10 § 1 de la de la Convention de sauvegarde des droits de l’homme et des libertés fondamentales ;
Attendu qu’en raison de l’atteinte qu’il porte à la liberté d’expression, en particulier au droit pour les salariés de signaler les conduites ou actes illicites constatés par eux sur leur lieu de travail, le licenciement d’un salarié prononcé pour avoir relaté ou témoigné, de bonne foi, de faits dont il a eu connaissance dans l’exercice de ses fonctions et qui, s’ils étaient établis, seraient de nature à caractériser des infractions pénales, est frappé de nullité ;
Attendu que pour dire qu’il n’y avait pas lieu d’annuler le licenciement et débouter le salarié de sa demande de réintégration, l’arrêt retient que la nullité ne peut être prononcée en l’absence de texte la prévoyant puisque les articles L. 1132-3-3 et L. 1132-4 du code du travail issus de la loi n° 2013-1117 du 6 décembre 2013, n’étaient pas applicables à l’époque du licenciement et que les faits dénoncés par le salarié ne se rattachaient pas à des faits de corruption, ce qui exclut l’application de l’article L. 1161-1 du code du travail ;
Qu’en statuant ainsi, alors qu’elle avait constaté que le licenciement était motivé par le fait que le salarié, dont la bonne foi ne pouvait être mise en doute, avait dénoncé au procureur de la République des faits pouvant être qualifiés de délictueux commis au sein de l’association, la cour d’appel qui n’a pas tiré les conséquences légales de ses constatations, a violé le texte susvisé. »

Ce faisant, la chambre sociale de la Cour de cassation se conforme à l’approche adoptée par la Cour européenne des droits de l’Homme (CEDH, 12 février 2008, Guja c. Moldova, n°14277/04).

2) Une protection contre le licenciement conditionnée à la seule bonne foi du lanceur d’alerte

La nullité du licenciement est toutefois soumise à la condition que le salarié qui a dénoncé des faits susceptibles de recevoir une qualification pénale l’ait fait de bonne foi.

La bonne foi doit ici être interprétée comme la croyance légitime du salarié en la commission desdits faits.

Aussi, le salarié qui dénoncerait une infraction pénale de manière parfaitement mensongère simplement pour se protéger d’un licenciement qu’il sentirait approcher, ne pourrait pas bénéficier de cette solution.

En revanche, la protection s’appliquerait à un salarié qui dénonce de bonne foi des faits susceptibles de recevoir une qualification pénale même s’il s’avère ensuite que le salarié s’est trompé et qu’aucune infraction n’a finalement été commise.

En effet, l’attendu de principe de l’arrêt du 30 juin 2016 ne laisse aucune place au doute à cet égard puisqu’il est formulé ainsi :

« Attendu qu’en raison de l’atteinte qu’il porte à la liberté d’expression, en particulier au droit pour les salariés de signaler les conduites ou actes illicites constatés par eux sur leur lieu de travail, le licenciement d’un salarié prononcé pour avoir relaté ou témoigné, de bonne foi, de faits dont il a eu connaissance dans l’exercice de ses fonctions et qui, s’ils étaient établis, seraient de nature à caractériser des infractions pénales, est frappé de nullité ; »

En outre, par cet arrêt la chambre sociale va encore plus loin que son homologue européen puisque contrairement à la Cour européenne des droits de l’Homme, elle ne fait aucune référence à l’intérêt général comme condition d’application de la protection.

Enfin, la chambre sociale ne subordonne pas non plus le bénéfice de cette protection à la nécessité de respecter la graduation de la procédure d’alerte. En effet, pour la Cour de cassation, peu importe que le salarié ait averti sa hiérarchie préalablement à la dénonciation auprès de l’autorité judiciaire ou qu’il ait directement informé le procureur de la République.

De même, si en l’espèce, le directeur administratif et financier avait porté sa dénonciation auprès du procureur de la République, la Cour de cassation, dans son communiqué relatif à l’arrêt, précise que : « Une telle décision est de nature à protéger les lanceurs d’alerte, dans la mesure où, la chambre sociale instaure cette immunité non seulement lorsque les faits sont portés à la connaissance du procureur de la République mais également, de façon plus générale, dès lors qu’ils sont dénoncés à des tiers ».

Par cette décision, la Cour de cassation consacre donc la solution retenue par le législateur dans la loi du 6 décembre 2013 et étend ainsi la protection contre le licenciement à l’ensemble des lanceurs d’alerte, peu important la date des faits ayant donné lieu au licenciement.

Elle fait ainsi primer la liberté d’expression sur toute autre considération et rappelle donc que toute sanction prise en violation de cette liberté fondamentale doit être frappée de nullité.

La Cour de cassation entend d’ailleurs donner une résonance toute particulière à cet arrêt qu’elle publiera au sein de son rapport annuel.

Pour cause, le sujet des lanceurs d’alerte est plus que d’actualité puisque la loi Sapin 2 telle que modifiée par le Sénat qui l’a adoptée le 8 juillet dernier doit passer en commission mixte paritaire prochainement avant d’être votée définitivement.

Article original de Frédéric Chhum, Avocat.

Réagissez à cet article

Original de l’article mis en page : Lanceurs d’alerte : nullité du licenciement d’un salarié ayant dénoncé de bonne foi des faits susceptibles de recevoir une qualification pénale. Par Frédéric Chhum, Avocat.

Seriez vous d’accord pour que WhatsApp partage vos données avec Facebook ?

Les nouvelles règles de confidentialité de WhatsApp ne vont peut-être pas vous plaire.

Lorsque WhatsApp a annoncé son acquisition par Facebook en 2014, les utilisateurs et les défenseurs de la vie privée se sont inquiétés de ce qui allait advenir de leurs données. Pendant deux ans, les deux services sont restés indépendants. Cependant, aujourd’hui, WhatsApp a mis à jour ses règles de confidentialité, qui sont restées inchangées pendant 4 ans.

Et celles-ci n’excluent plus l’utilisation par Facebook des données du milliard de personnes utilisent WhatsApp pour optimiser ses publicités.

« […] en connectant votre numéro de téléphone avec les systèmes de Facebook, ce dernier peut vous offrir de meilleures suggestions d’amis et vous montrer des publicités plus pertinentes si vous avez un compte Facebook. Par exemple, vous pouvez voir une publicité d’une entreprise avec laquelle vous avez déjà travaillé au lieu de voir celle d’une entreprise dont vous n’avez jamais entendu parler », lit-on dans un communiqué de WhatsApp.

Cependant, le service explique aussi que cette « coordination » avec Facebook permettra également à WhatsApp de faire des choses comme « suivre des mesures de base sur la fréquence d’utilisation de nos services des gens et améliorer la lutte contre les spams ».

Et WhatsApp a bien clarifié que même si il va d’avantage collaborer avec Facebook, ses messages sont chiffrés de bout en bout, ce qui signifie que théoriquement, personne (ni Facebook, ni WhatsApp) ne peut accéder au contenu.

Le modèle économique de WhatsApp se précise

Pour rappel, WhatsApp était à l’origine une application payante, mais gratuite la première année. Cependant, le service a récemment décidé supprimer les frais annuels, pour devenir entièrement gratuit.

Cependant, WhatsApp n’entend pas gagner de l’argent en affichant des bannières publicitaires, mais plutôt en misant sur des fonctionnalités pensées pour les relations entre clients et entreprises. Et les nouvelles règles de confidentialités reflètent aussi ce projet.

Article original de Setra

Réagissez à cet article

Original de l’article mis en page : WhatsApp va partager vos données avec Facebook