Des caméras de surveillance piratées pour mener des attaques DDoS

Des caméras de surveillance piratées pour former un botnet

Il y a quelques heures, l’entreprise Sucuri, spécialisée dans la sécurité informatique, a découvert que des hackers avaient réussi à prendre le contrôle de quelques 25 000 caméras de surveillance présentes au quatre coins de la planète.

Mais l’objectif des pirates n’était pas que de récupérer des images ou d’espionner des individus puisqu’ils ont utilisé les caméras de surveillance pour créer un botnet, autrement dit un réseau de machines contrôlées à distance par un seul et même individu.

Capables d’agir ensemble, les 25 000 caméras ont ainsi pu être à l’origine d’attaques DDoS contre plusieurs sites Internet. En effet, les hackers se sont servis du réseau de caméras de surveillance pour envoyer des requêtes simultanées sur des sites causant ainsi leur paralysie pendant de longues minutes.

Une preuve supplémentaire de la menace que laissent planer les objets connectés

Si l’utilisation d’objets connectés par les pirates pour mener des attaques DDoS est tout sauf une nouveauté, c’est l’ampleur de l’attaque qui surprend. En effet, même les spécialistes sont restés « coi » devant la capacité d’un réseau de 25 000 caméras de surveillance à générer autant de requêtes simultanément.

L’autre surprise tient au fait que les caméras piratées sont dispatchées aux quatre coins de la planète. 2% seraient d’ailleurs basées en France alors que c’est aux Etats-Unis, en Indonésie et à Taïwan que la majorité d’entre elles se situerait.

Sucuri a d’ailleurs cherché à comprendre ce que pouvait avoir en commun l’ensemble de ces appareils et la piste la plus sérieuse mène à BustyBox, un système qui serait intégré à tous. Or, une importante faille avait été découverte au printemps dans celui-ci ce qui aurait pu permettre à des pirates de l’exploiter pour commettre leurs actions.

Affaire à suivre…

Article original de Jérôme DAJOUX

Réagissez à cet article

L’Etat français (ANSSI) va certifier les Cloud de confiance

L’Agence nationale pour la sécurité des systèmes d’information (Anssi), dépendant du Premier ministre, est engagée dans un processus qui aboutira à la qualification des fournisseurs de Cloud. Les prestataires présentant le niveau de sécurité requis recevront donc un label de l’Agence, qui permettra aux entreprises et administrations de recourir à leurs services en se basant sur les garanties fournies par l’Etat français. « Huit prestataires se sont lancés dans ce processus de qualification », assure Guillaume Poupard, le directeur général de l’Anssi, qui a appelé les grands acteurs du Cloud américains à rejoindre le mouvement. « La qualification n’est pas un outil de protectionnisme », reprend Guillaume Poupart. Selon lui, les AWS et autre Microsoft (pour Azure) sont en train d’étudier une éventuelle qualification. Façon de dire aussi qu’il n’est pas acquis qu’ils se soumettent un jour aux exigences de l’Anssi.

Notons que, sur ce dossier, l’Anssi travaille en coordination avec ses homologues allemands du BSI (l’Office fédéral de la sécurité des technologies de l’information) : un prestataire homologué outre-Rhin recevra automatiquement son label dans l’Hexagone et vice-versa.

Deux niveaux : Cloud Secure et Cloud Secure +

Ce label étatique fait suite à une démarche entamée dès la mi-2014. A cette époque, l’Anssi avait publié un premier référentiel et appelé les entreprises à le commenter. Un grand nombre de commentaires, parfois critiques, avaient été remontés à l’Agence. Depuis, cette dernière a réuni un comité restreint pour travailler à une seconde version du référentiel, largement inspiré de la norme ISO 27 001.

En réalité, la démarche doit accoucher de deux niveaux de qualification : Cloud Secure et Cloud Secure +. Dans la première, selon des déclarations publiques d’un membre de l’Anssi en octobre dernier, on retrouve des bonnes pratiques assez classiques : contrôles d’accès physiques, authentification forte avec mots de passe hachés et salés, chiffrement logiciel et hébergement des données en Europe. Le niveau le plus élevé ira plus loin, imposant une authentification multi-facteurs, un chiffrement matériel (via HSM) ou encore un hébergement en France. Parmi les acteurs figurant dans la liste des premiers prestataires certifiés, on devrait retrouver Thales, Orange ou Oodrive, qui se présentait en octobre dernier comme l’acteur pilote de la qualification Secure Cloud +… Notons qu’à l’époque, l’Anssi indiquait que les OIV – les quelque 250 organisations identifiées comme essentielles au fonctionnement de la nation – pourraient se voir imposer le recours à des prestataires certifiés Secure Cloud +. Les premiers arrêtés encadrant les politiques de sécurité des OIV n’y font toutefois pas référence à ce jour.

Cloud Secure + : les Américains out ?

« Nous nous sommes engagés à nous conformer à cette norme auprès de certains clients », explique Laurent Seror, le président d’Outscale, le fournisseur de Iaas né sous l’impulsion de Dassault Systèmes. « Etant donné que nous sommes déjà certifiés ISO 27 001, je considère que nous sommes prêts. Ne pas être certifié juste au moment de la sortie du référentiel ne sera pas pénalisant compte tenu de la longueur des cycles de décision », ajoute Laurent Seror. Ce dernier relève toutefois que, par construction, le niveau Cloud Secure + restera difficile à atteindre pour les grands prestataires américains. D’abord parce qu’ils ne possèdent pas, à ce jour, de datacenter en France (à l’exception de Salesforce). Mais, au-delà de ce seul élément, d’autres questions se posent. Selon lui, chez AWS, un administrateur américain, donc soumis au Patriot Act, peut accéder à toutes les machines virtuelles, quelle que soit la zone où ces dernières sont hébergées. « On en est sûr à 99% en raison de la nature d’une fonction qu’ils proposent pour la migration entre deux régions géographiques. Celle-ci suppose l’existence d’un réseau à plat entre toutes les plates-formes. »

La question de la localisation des données reste un élément central de la politique de certains pays européens souhaitant reconquérir leur souveraineté dans le Cloud. Lors du débat au Sénat sur le projet de loi pour une République numérique (porté par Axelle Lemaire), un amendement, déposé par les sénateurs du groupe communiste et prévoyant d’obliger les entreprises à stocker les données personnelles des citoyens français sur le territoire européen, a été voté. « Cet amendement n’était pas téléguidé, assure aujourd’hui Guillaume Poupard. Je l’ai découvert au moment des débats. » Le 29 juin, une commission mixte paritaire doit harmoniser les versions de ce projet de loi sorties respectivement des débats à l’Assemblée et au Sénat. Rien ne permet d’affirmer que ledit amendement, absent de la version votée par le Palais Bourbon, soit présent dans la mouture finale du texte de loi.

Article original de Reynald Fléchaux

Réagissez à cet article

Les données de 112 000 policiers français exposées sur Internet

Deux semaines après le meurtre de deux policiers à Magnanville, l’affaire fait évidemment désordre : selon RTL, les données personnelles de 112 000 policiers, ainsi que celles de leurs proches, se sont retrouvées exposées sur le Net. Nos confrères expliquent que la fuite émane d’un salarié de la Mutuelle Générale de la Police qui, par vengeance, aurait copié le fichier des adhérents pour le verser sur le Cloud de Google, où il n’était protégé que par un simple mot de passe. RTL explique qu’une plainte a été déposé la semaine dernière et qu’une enquête a été ouverte à Toulouse sur ces faits.

Un piratage découvert 3 semaines après

Le piratage du fichier des adhérents, qui renferme les adresses et numéros de téléphone des policiers actifs ou retraités, aurait été perpétré par un responsable d’agence de la mutuelle, installé à Limoges, le 2 juin dernier. Mais n’a été découvert par la direction de la mutuelle que 3 semaines plus tard, ce qui soulève quelques questions sur la politique de sécurité de la mutuelle quant aux accès à ce fichier central. Le directeur d’agence suspecté a été mis à pied. Pour expliquer cette indélicatesse, nos confrères parlent d’un conflit opposant le salarié à sa direction concernant des primes.

Google France a été averti de ce détournement du fichier des adhérents de la Mutuelle Générale de la Police et serait en train de nettoyer ses serveurs.

Article original de Reynald Fléchaux

Réagissez à cet article

Cybercriminalité : « Il faut qu’on voie que la Côte d’Ivoire réagit »

7 juin 2016. Denis Jacopini à la 8ème édition de l’IT Forum Côte d’Ivoire qui s’est déroulée du 7 au 8 juin dernier à la Maison de l’Entreprise, à Abidjan, sur le thème : « Transformation numérique face à la protection des utilisateurs ».

CIO Mag : Quelle image la Côte d’Ivoire donne-t-elle de l’extérieur dans le domaine de la cybercriminalité ?

Denis Jacopini : Depuis quelques années, la Côte d’Ivoire est connue en Europe comme le pays d’Afrique où se passent la très grande majorité des arnaques sur internet, à un point où lorsque quelqu’un reçoit un email qui vient de Côte d’Ivoire, il pense automatiquement à une arnaque, au mieux se méfie, au pire supprime le message sans même lui accorder la moindre attention. Ainsi, associer la Côte d’Ivoire à des arnaqueurs, n’est pas bon pour l’image du pays. Ceci dit, ma présence ici m’a réconforté.

En lisant la presse spécialisée, dont CIO Mag, je savais déjà que la Côte d’Ivoire réagissait face à ce phénomène, qu’elle mettait en place des méthodes et qu’elle engageait des actions pour permettre à la fois aux directeurs de systèmes d’information – DSI – et aux utilisateurs d’augmenter en compétence et de se soucier de ce problème de sécurité. Et, en venant ici, ça m’a réconforté. Je m’en suis surtout rendu compte au travers du discours du ministre de l’Economie numérique et de la Poste (à l’ouverture de la 8ème édition de l’IT Forum Côte d’Ivoire, NDLR). Il a fait une présentation de la manière dont il voit l’évolution de la Côte d’Ivoire dans le domaine du numérique. Son discours a été rassurant en indiquant que le pays avait à la fois une démarche active dans la cybersécurité et accordait une attention particulière aux moyens permettant d’associer confiance et développement numérique.

On a facilement pu remarquer que le ministre maîtrise le sujet et qu’il sait de quoi il parle. Il est prêt à emmener avec lui le pays dans cette transformation numérique. Quasiment toutes les entreprises vont devoir assurer cette métamorphose. Le pays doit pouvoir les accompagner dans cette transformation numérique. L’enjeu qu’a la Côte d’Ivoire aujourd’hui, c’est justement de dire de manière internationale tout ce qu’elle est en train de mettre en œuvre ici.

C.M : Selon vous quels sont les actions sur lesquelles la Côte d’Ivoire doit miser pour véritablement restaurer son image et créer un environnement numérique de confiance ?

D.J : A mon avis, ça devrait passer par une médiatisation des arrestations. Il y a des milliers de délinquants ayant organisé et mené des arnaques en tous genres à partir de cybercafés. On apprend de temps en temps sur la presse francophone spécialisée que se sont produites des arrestations mais ça reste sur les journaux peux lus. Il faut vraiment s’intéresser à la Côte d’Ivoire et consulter la presse locale pour le savoir. A mon avis, les actions qui sont faites dans le pays mais aussi tous les accords et toutes les coopérations qui sont établis avec les autres pays doivent internationalement être connues et notamment par le grand public qui a besoin d’être rassuré car régulièrement victime d’actes originaires d’ici.

Lorsqu’il y a une coopération qui est mise en place avec l’ANSSI (l’Agence nationale de la sécurité des systèmes d’information, NDLR) en France, avec l’OCLCTIC, l’Office centrale de lutte contre la criminalité liée aux technologies de l’information et de la communication, en termes de formation et de sensibilisation en Côte d’Ivoire, il faut que cela se sache. Il faut qu’on voie que la Côte d’Ivoire réagit que les autorités se forment, sont en train de monter en compétence. Maintenant, ce qui manque, ce sont les preuves. Mais les preuves, ce sont effectivement les statistiques pouvant faire mention de l’évolution du nombre d’arrestations que j’espère suivies d’une chute considérable des arnaques qui pourraient venir rassurer les pays victimes. Il y aura toujours des arnaques, mais celles venant de Côte d’Ivoire doivent être combattues sans cesse pour finir par les rendre anecdotiques.

C.M : Hormis les arrestations, une forte sensibilisation de la jeunesse ivoirienne ne peut-elle pas également contribuer à réduire le nombre d’arnaques venant de la Côte d’Ivoire ?

D.J : D’après ce que j’ai compris, les adolescents ou les jeunes qui sont concernés sont des personnes qui, dans la société, sont déjà en marge des règles. Ils essaient de se débrouiller par leurs propres moyens sans passer par la case Travail, la case Honnêteté. C’est tout aussi grave que de se rapprocher de la drogue. Que fait le pays contre la drogue ? Ce qu’elle fait contre ce fléau, elle doit aussi le faire pour combattre la cybercriminalité. Comme dans d’autres régions du monde, s’attaquer à ce phénomène doit se faire en s’appuyant sur des entraides internationales.

« CE QUI MANQUE MAINTENANT CE SONT LES MOYENS POUR LES POUVOIRS PUBLICS DE MENER DES OPÉRATIONS COUP DE POING. GRÂCE À CELA, IL EST PROBABLE QUE LES JEUNES POUVANT ENCORE CHANGER DE VOIE, LE FERONT PAR PEUR.»

L’analyse des flux financiers au travers de réseaux et des trains de vie incohérents avec les revenus connus sont de bonnes pistes à suivre pour comprendre le phénomène de la cybercriminalité. Ce qui manque maintenant ce sont les moyens pour les pouvoirs publics de mener des opérations coup de poing. Grâce à cela, il est probable que les jeunes pouvant encore changer de voie, le feront par peur. Ensuite, pour ceux qui, influencés, n’auront pas envie de rentrer dans le droit chemin, je pense en effet qu’une une forte sensibilisation pourra évidemment contribuer à réduire le nombre d’arnaques venant de Côte d’Ivoire.

C.M : Parlant de moyens, n’est-il pas opportun de renforcer la coopération avec la France et des pays comme le Canada pour muscler les opérations terrain, ce d’autant plus que les populations de ces pays sont bien souvent ciblées par les arnaques venant de Côte d’Ivoire ?

D.J : Jusqu’à maintenant, la coopération n’y était pas. Elle était surtout en Europe. En dehors de l’Europe, c’était très difficile d’établir une coopération. Moi, il y a une question que je me pose : pourquoi d’ici ils vont essayer d’arnaquer la France ou le Canada ? Déjà parce qu’il n’y a pas de barrière au niveau de la langue. Puis, ce sont des pays qui ont des moyens. Qui sont prêts à payer pour rencontrer l’amour. On ne va pas essayer d’arnaquer un pays pauvre. Donc, on s’oriente vers ces pays-là.

Depuis maintenant quelques années, au-delà de l’évolution de la législation, la coopération internationale entre pays intérieurs et extérieurs de l’Europe s’est accentuée. Sans que ces pays n’aient forcément ratifié la Convention de Budapest, seul contrat officiel existant et contenant des protocoles d’entraides entre les autorités compétentes des différents pays impliqués, une entraide entre les organes judiciaires s’est naturellement créée. Aujourd’hui, l’entraide internationale est légion. C’est une forme de coopération qui n’a pas besoin de convention et qui, avec certains pays fonctionne très bien. En partie grâce à cela, la Côte d’Ivoire a commencé ces dernières années à s’attaquer au délinquants du numérique, réaliser des arrestations et amplifier ses actions…

C.M : Vous avez participé à l’IT Forum Côte d’Ivoire 2016 sur la sécurité des utilisateurs des services numériques. Partant de tout ce qui a été dit, comment entrevoyez-vous l’avenir de la Côte d’Ivoire dans 5 à 10 ans ?

D.J : La Côte d’Ivoire est en bonne voie pour sortir la tête de la cybercriminalité. Elle est en bonne voie parce que le combat commence obligatoirement par la sensibilisation des décideurs. Et ce forum a réuni des DSI, des directeurs de la sécurité numérique, des chefs d’entreprises, des officiels, donc des personnes qui décident de l’économie du pays. Si, nous formateurs, consultants, professionnels de la cybersécurité, on a bien fait notre travail pendant ces deux jours, il est clair que les visiteurs sont repartis d’ici avec de nouvelles armes. Maintenant, ceux qui auront été convaincus aujourd’hui ne seront pas forcément ceux qui seront les cibles de demain, des prochaines failles ou des prochaines attaques. Les prochaines victimes continueront à être les utilisateurs imprudents, ignorants et des proies potentielles qui n’ont pas pu être présentes à l’IT Forum. À force de sensibiliser les chefs d’entreprises, les DSI, et de faire en sorte que la sensibilisation à la cybersécurité et aux comportements prudents commence dès l’école, nous auront bientôt une nouvelle génération d’utilisateurs mieux formés et mieux armés.

Un autre phénomène qui tend à être inversé est celui de la faible importance accordée à la sécurité informatique. Quel que soit l’endroit dans le monde, la cybercriminalité est quelque chose d’inévitable et la sécurité informatique, en raison d’une course effrénée à la commercialisation à outrance, a trop longtemps été négligée par les constructeurs et les éditeurs de logiciels. Ils devront sans doute se conformer au concept « Security by design ».

Avant de miser sur sa R&D (Recherche et Développement) pour créer ou répondre à des besoins et commercialiser à tout prix pour rapidement la rentabiliser et ne chercher que les profits financiers, il deviendra bientôt obligatoire de penser sécurité avant de penser rentabilité. Avec l’évolution incoercible du numérique dans notre quotidien (objets connecté, santé connectée, vie connectée), il est indispensable que la sécurité des utilisateurs soit aussi le problème des inventeurs de nos vies numériques et pas seulement de ceux dont le métier est de réparer les bêtises des autres. La Côte d’Ivoire fait désormais partie des pays impliqués par ce combat et je n’ai aucun doute, ce pays se dirige droit vers une explosion de l’usage du numérique et une amélioration de sa lutte contre la cybercriminalité.

C.M : Au niveau international, quelle est la nouvelle tendance en matière de cybercriminalité?

D.J : Au Forum international de la cybercriminalité (FIC 2016), j’ai assisté à une présentation faite par un chercher en cybersécurité autour de l’étude de l’évolution d’un RAT (Remote Access Tool). Des virus utilisant des failles existent déjà mais la présentation portait sur une nouvelle forme de logiciel malveillant encore plus perfectionné en matière d’impacts et de conséquences sur les postes informatiques des victimes. On connaissait des failles en Flash, en Visual Basic et dans d’autres types de langages mais la faille en Java est une faille qui aujourd’hui peut toucher tous les ordinateurs puisqu’énormément de systèmes et de web services sont conçus autour du langage Java.

J’ai trouvé la présentation très intéressante et j’ai trouvé l’effet dévastateur pour tous ceux qui attraperont ce « Méchangiciel ». A la fin de la présentation, j’ai approché l’intervenant et lui ai demandé quel était le moyen de propagation utilisé par ce virus ingénieux du futur ? Il m’a répondu qu’il se propage tout simplement par pièce jointe dans un e-mail. Ça reste aujourd’hui le principal vecteur de propagation de systèmes malveillants. Surtout, si c’est bien monté avec ce qu’on appelle des techniques d’ingénierie sociale, c’est-à-dire des actes qui permettent de manipuler la personne destinataire du piège, par exemple un CV piégé transmis à une agence d’emploi, rien de plus normal, même s’il est piégé ! C’est pourquoi l’autre vecteur sur lequel j’insiste, c’est le vecteur humain, la sensibilisation des utilisateurs afin d’augmenter le taux de prudence qu’ils doivent avoir lorsqu’ils reçoivent un email. Un email piégé a des caractéristiques que l’on peut assez facilement identifier et qui permettent de dire qu’il y a un risque, et mettre une procédure en cas de doute. Pour moi, même s’il existe des lunettes 3D, des hologrammes, des choses complétement folles au niveau technologique, j’ai l’impression que la propagation de la cybercriminalité va pouvoir se faire encore pendant pas mal de temps dans de vulgaires pièces jointes, et probablement encore dans les arnaques et le phishing.

Une fois que le pirate aura obtenu les clefs il pourra mener son attaque par « Menace Persistante Avancée (Advanced Persistent Threat) », autre grande tendance déjà depuis quelques années et encore pour longtemps !
Article original et propos recueillis par Anselme AKEKO

Réagissez à cet article

Vidéo sur l’étude du marché de la cybersécurité par Xerfi

Réagissez à cet article

Protection contre la Fuite des données, priorité pour les entreprises ?

La mobilité est à la fois un besoin et un défi pour les entreprises qui se battent pour créer une force de travail réellement fluide et entièrement digitale. Aujourd’hui, presque tous les collaborateurs travaillent avec un ou plusieurs périphériques mobiles contenant des informations d’entreprise, qu’il s’agisse d’un téléphone mobile, d’un ordinateur portable ou d’une tablette. L’un des premiers défis qui en découlent pour la direction informatique tient au fait que l’accès à distance aux données et aux e-mails se fait, par nature, « hors » du périmètre de l’entreprise, et qu’il est par conséquent très difficile de s’en protéger. La multitude des périphériques utilisés, en elle-même, complique la surveillance et le suivi des données d’entreprise consultées, partagées ou utilisées.

Data Loss Prevention : se concentrer sur les données

L’une des approches, choisie dans certaines entreprises, consiste à intégrer ces périphériques à une stratégie d’environnement de travail en BYOD. Les utilisateurs peuvent choisir le périphérique, le système d’exploitation et la version de leur choix, puisqu’il s’agit de leur propre périphérique. Malheureusement, cette approche peut en réalité créer des problèmes supplémentaires de sécurité et de DLP (prévention des pertes de données). En effet, de nombreux utilisateurs n’apprécient pas (voire interdisent) que leur employeur gère et/ou contrôle leur périphérique, pire encore, d’y installer des logiciels professionnels comme les programmes d’antivirus et de VPN.

Par conséquent, pour réussir, la stratégie de protection des données doit se concentrer sur la sécurisation des données uniquement, quel que soit le périphérique ou le mode d’utilisation. Dans un environnement d’entreprise, une grande majorité des données sensibles transitent dans les e-mails et leurs pièces jointes. Ainsi, une stratégie de protection des données réussie doit chercher à gérer et contrôler la passerelle par laquelle transitent les données, à savoir, ici, le compte d’e-mail d’entreprise.

Autre option : implémenter une suite d’outils de gestion de la sécurité mobile, ce qui permet de placer des mécanismes de sécurité sur la passerelle d’e-mail, et d’autoriser la création de règles de sécurité pour surveiller et contrôler la façon dont les informations d’entreprise sont traitées sur chaque périphérique.

Data Loss Prevention : Stratégie DLP tridimensionnelle

Une stratégie « DLP tridimensionnelle », surveille et contrôle le contenu transféré via un périphérique sur la base de critères précis. Par exemple, on peut limiter l’accès au contenu ou aux fichiers depuis le compte e-mail d’entreprise en fonction du pays, puisque les utilisateurs qui voyagent avec leur périphérique sont susceptibles d’accéder aux données et aux systèmes sur des réseaux Wi-Fi non sécurisés. Il est également possible de contrôler le contenu sur la base des mots clés qui figurent dans les e-mails (comme des numéros de sécurité sociale ou des numéros de contrat), afin d’interdire les pièces jointes ou le contenu incluant ce type d’information sur les périphériques mobiles. Comme les pièces jointes d’e-mail contiennent la majorité des informations sensibles transmises d’un périphérique à un autre, ce point est crucial lorsqu’il s’agit de protéger l’utilisation des périphériques dans l’environnement de travail. La troisième dimension est la surveillance du contexte, qui permet d’identifier et d’interdire le contenu pour des expéditeurs/destinataires spécifiques.

Ce type de considération permet de limiter les risques liés aux pertes de données et aux problèmes de sécurité pour cette partie des activités professionnelles Bien que cette approche ne suffise pas à contrôler et à sécuriser entièrement les banques de données d’une entreprise, la sécurité mobile va jouer un rôle de plus en plus vital pour la réussite des stratégies complètes de protection des données, au fur et à mesure que davantage de périphériques s’intègrent à nos habitudes de travail. (Par Eran Livne, Product Manager LANDESK)

Article original de Damien Bancal

Réagissez à cet article

Edward Snowden dénonce une loi « Big Brother » et la « surveillance de masse » en Russie

« La nouvelle loi russe Big Brother constitue une violation inapplicable et injustifiable des droits qui ne devrait jamais être promulguée », a écrit sur Twitter le lanceur d’alerte, qui a fui les Etats-Unis pour révéler l’ampleur de la surveillance menée par les services de renseignement américains.

« La surveillance de masse ne marche pas. Ce texte va coûter de l’argent et de la liberté à chaque Russe sans améliorer la sécurité », a-t-il insisté dans un second message.

Des lois extrêmement répressives

Adoptés vendredi lors de la dernière séance de la Douma (chambre basse) avant les législatives du 18 septembre, les projets de loi en question obligent en particulier les opérateurs de télécommunications et internet à stocker les messages, appels et données des utilisateurs pendant six mois pour les transmettre aux « agences gouvernementales appropriées » à leur demande.

Les réseaux sociaux se voient également obligés de stocker les données pendant six mois, selon l’un de ces textes qui doivent encore être approuvés par le Conseil de la Fédération (chambre haute) et promulgués par M. Poutine.

Ce délai de six mois « n’est pas seulement dangereux, il est inapplicable », a prévenu M. Snowden, qui avait été critiqué, par le passé, pour ne pas critiquer assez sévèrement le régime de Vladimir Poutine.

Ces lois ont été dénoncées par l’opposition russe comme une tentative de « surveillance totale » de la part des autorités, mais aussi par les entreprises du numérique qui ont critiqué un coût exorbitant.

Elles introduisent par ailleurs des peines de prison pour la non-dénonciation d’un délit, abaissent l’âge de la responsabilité pénale à 14 ans et introduisent des peines allant jusqu’à sept ans de détention pour la« justification publique du terrorisme », y compris sur internet.

Article original Le Monde

Réagissez à cet article

Bulletin sécurité du 13 juin 2016 du CERTFR

Voici le dernier bulletin d’actualité : CERTFR-2016-ACT-024

1 – Sonde de détection d’intrusions réseau – Comment implémenter les points de mesure ?

Une sonde de détection d’intrusions réseau est un équipement passif, elle ne s’insère donc pas en coupure sur un flux de production. Il est donc nécessaire, pour implémenter les points de mesure définis, d’assurer une duplication en temps réel de l’activité réseau à analyser.

Deux techniques différentes existent pour dupliquer un trafic réseau : la première, généralement appelée « port miroir », est logicielle, et s’appuie sur les équipements réseau déjà en place ; la seconde, généralement appelée « tap », s’appuie sur des boîtiers matériels dédiés à cette fonction. Nous allons voir les avantages et les inconvénients de ces deux solutions.

Port miroir

La majorité des commutateurs du marché permettent de configurer une recopie logicielle de tout ou partie du trafic sur un ou plusieurs ports physiques dédiés. Le port miroir peut être un choix peu coûteux, si les équipements existants d’un réseau disposent déjà de cette fonctionnalité.

Toutefois, la recopie logicielle du trafic n’est pas sans risque. En effet, si l’équipement atteint sa limite de capacité sur ses fonctions « principales » (comme par exemple : la commutation de paquets, le routage, etc.), des fonctions annexes comme la recopie de paquets peuvent être dégradées, entraînant dans un tel cas des pertes sur l’activité à superviser.

La recopie logicielle peut également altérer le signal, car les couches basses réseau sont analysées et traitées par les commutateurs. Cette technique ne garantit donc pas la recopie de l’intégralité du trafic commuté sur le réseau de production. Étant donné qu’un seul paquet perdu sur un flux volumineux peut empêcher l’analyse par la sonde ou l’évader, il est primordial de considérer ce problème et de superviser la charge des commutateurs, si cette technique est mise en place.

La mise en place d’un port miroir sur un équipement du réseau augmente aussi la consommation de ressources : cela peut donc également dégrader le réseau de production. Une attention particulière doit être apportée au fond de panier, car le débit total commuté par l’équipement est décuplé.

D’autre part, il est important d’intégrer les ports miroirs dans les procédures d’exploitation : lors du remplacement d’un équipement ou d’un changement de configuration, il faut s’assurer que la recopie est toujours opérationnelle et qu’il n’y a pas de perte d’une partie des flux.

Une erreur de configuration peut également autoriser des communications depuis le réseau de duplication, voire même entre la sonde et le réseau de production.

Par contre, la mise en oeuvre d’un port miroir peut se faire sans interruption du réseau en production à superviser, à condition de disposer de suffisamment de ports physiques libres au niveau des commutateurs où les points de mesure sont effectués.

TAP

Un TAP garantit la recopie stricte du signal reçu : aucune analyse des couches au-delà de celle physique n’est réalisée. Le signal est régénéré électriquement pour des TAP cuivre, et la lumière est divisée sur deux chemins pour les TAP fibre. La mise en oeuvre d’une duplication de trafic sur un réseau en production nécessite une brève interruption du lien à superviser : celle-ci correspond au temps nécessaire pour placer le boîtier TAP en « coupure », c’est-à-dire sur le chemin de câble.

Pour les TAP alimentés, un défaut d’alimentation arrête la duplication, mais le TAP reste passant pour le lien coupé, moyennant généralement une microcoupure de quelques millisecondes.

Pour les TAP fibre, une partie de la lumière incidente étant réfléchie et l’autre réfractée, le signal est affaibli en fonction de proportions précisées dans la documentation du TAP.

Contrairement au port miroir, le TAP garantit également l’isolation entre le réseau de production et le réseau de détection.

Le prix d’un boîtier de duplication de trafic (TAP) varie entre une centaine d’euros et un millier, en fonction du type de média à dupliquer.

Conclusion

En conclusion, bien que ces deux méthodes permettent la duplication du trafic, il est conseillé de privilégier l’utilisation d’équipement dédié afin de garantir la séparation entre le réseau de production et le réseau de détection, ainsi qu’une recopie à l’identique des flux réseau.

2 – Rappel des avis émis

Dans la période du 06 au 12 juin 2016, le CERT-FR a émis les publications suivantes :

• CERTFR-2016-AVI-190 : Vulnérabilité dans VLC Media Player
• CERTFR-2016-AVI-191 : Multiples vulnérabilités dans Google Android (Nexus)
• CERTFR-2016-AVI-192 : Multiples vulnérabilités dans Wireshark
• CERTFR-2016-AVI-193 : Multiples vulnérabilités dans Mozilla Firefox
• CERTFR-2016-AVI-194 : Multiples vulnérabilités dans les produits Symantec
• CERTFR-2016-AVI-195 : Multiples vulnérabilités dans PHP
• CERTFR-2016-AVI-196 : Multiples vulnérabilités dans SCADA les produits Siemens
• CERTFR-2016-AVI-197 : Vulnérabilité dans Citrix Xenserver
• CERTFR-2016-AVI-198 : Multiples vulnérabilités dans les produits VMware
• CERTFR-2016-AVI-199 : Multiples vulnérabilités dans le noyau Linux d’Ubuntu

Réagissez à cet article

Que change le brexit pour la protection des données personnelles ?

Le Royaume-Uni se retrouverait ainsi dans la même position que lesEtats-Unis, dont l’accord avec l’UE (Safe Harbor) a été remis en cause à l’automne pour être remplacé par le Privacy Shield, qui devrait entrer en vigueur cet été. L’adhésion à ces accords conditionne la possibilité de transférer des données personnelles de citoyens de l’UE aux Etats-Unis.

Si le Safe Harbor a été remis en cause, c’était notamment à cause des questions de surveillance de masse aux Etats-Unis. Soit le Royaume-Uni choisit de se rapprocher du modèle américain sur les questions de surveillance et de données personnelles, soit il se cale sur les standards européens.

Dans le premier cas, il faudrait que les grandes entreprises américaines (Google, Apple, Facebook, Microsoft…), dont la plupart des datacenters sont à Dublin, en Irlande, les rapatrient au Royaume-Uni, comme le note le site de la radio publique irlandaise RTE. La présence de ces datacenters en Irlande doit rassurer les Européens, puisque l’Irlande, elle, n’est pas concernée par le Brexit. Ce sont donc les standards européens qui s’appliquent.

Avant la sortie effective, rien ne change. « A moyen terme, les choses vont rester très stables. Le Royaume-Uni met en oeuvre la directive européenne sur les données personnelles depuis plus de 20 ans. La suite dépendra des accords qui seront négociés entre le Royaume-Uni et l’UE. Le cadre réglementaire ne changera donc pas pendant un bon bout de temps », assure à L’Express Daniel Kadar, avocat associé au cabinet Reed Smith.

Article original de Raphaële Karayan

Réagissez à cet article

Finalement Apple collectera des données personnelles, avec votre accord

 
Point d’achoppement et de différence avec Google, Facebook et autres, votre vie privée et les données qui y sont associées sur vos appareils n’intéressent pas Apple.
Jusqu’alors, Apple s’est toujours refuser à accéder ou collecter vos données.

Cependant les nouvelles fonctionnalités de suggestion et d’identification d’iOS 10 ne peuvent se prétendre pertinentes sans avoir accès à un minimum de données !
Les techniques de « differential privacy » mises en oeuvre pour iOS 10 ne permettront pas une identification de l’utilisateur qui fournit ses données mais Apple, selon Recode, vous- demandera votre accord avant d’attaquer toute collecte d’information.

Dans un premier temps, le type de données collectées sera limité à quatre domaines :
– les nouveaux mots ajoutés au dictionnaire personnel d’iOS,
– les émoticônes utilisées,
– les liens profonds marqués comme public dans les applications,
– les suggestions de recherche dans les notes.

Pour ne pas rater le train de l’intelligence artificielle, Cupertino ne pouvait pas rester à l’écart d’une forme de collecte et d’exploitation de données. Cependant, ne souhaitant pas en faire directement commerce ni renier ses grands principes, Apple se doit de naviguer entre deux eaux et d’innover dans ce domaine.

On est encore loin de la façon de procéder de compagnies comme Google et Facebook !

Article original de bpepermans

Réagissez à cet article