Selon des chercheurs, 110 relais du réseau d’anonymisation Tor étaient à la recherche d’informations sur les services cachés auxquels ils permettent d’accéder.
Deux chercheurs de la Northeastern University (Boston), Guevara Noubir et Amirali Sanatinia, démontrent à leur tour que le réseau Tor est la cible d’espions. Cette fois, les chercheurs n’ont pas étudié des noeuds de sortie détournés pour mener des attaques de type « Man In The Middle ». Ils se sont intéressés à d’autres relais : ceux qui permettent d’accéder à des services cachés et référencent des éléments clés (adresse en .onion, clé publique, points d’introduction) .
Ces relais (HSDirs, Hidden Service Directories) font partie intégrante des services cachés et du dark web. Mais des entités (gouvernements, entreprises, hackers, etc.) peuvent en modifier le code pour obtenir des informations, découvrir une adresse ou exploiter une faille.
Pot de miel
Dans le cadre de leurs travaux, les chercheurs ont déployé 4500 services cachés (en .onion), 72 jours durant. « Nos résultats expérimentaux montrent que, durant cette période, au moins 110 relais (HSDirs) étaient à la recherche d’informations sur les services cachés qu’ils accueillent », soulignent les chercheurs dans une note. Ils ont également indiqué à Motherboard que la recherche de vulnérabilités n’est pas exclue des motivations de ceux qui pilotent ces relais. La plupart d’entre eux sont hébergés aux États-Unis, en Allemagne et en France. Mais il est toujours possible d’opérer un serveur à distance…
Roger Dingledine, cofondateur du projet Tor, a expliqué au magazine que peu, voire aucun de ces relais ne se trouvent dans le réseau Tor en ce moment. Le projet travaille, par ailleurs, à la mise en place d’une prochaine génération de services « onion ». Quant aux chercheurs, ils présenteront leurs travaux lors de la Defcon 24, qui se déroulera du 4 au 7 août prochains à Las Vegas.
Article original de Ariane Beky
77 % des entreprises totalement impuissantes face à des Cyberattaques
77 % des entreprises totalement impuissantes face à des Cyberattaques
Pénurie de compétences et manque d’investissements : les entreprises sont non seulement vulnérables aux attaques, mais aussi impuissantes pour les résoudre seules. Décryptant les tendances de ces trois dernières années dans le monde, un rapport de NTT Com Security souligne le peu de progrès réalisés dans ce domaine, et note même un recul….
Le GTIR (« Global Threat Intelligence Report ») analyse une énorme masse de données issues de 24 centres d’opérations de sécurité (SOC), sept centres R&D, 3 500 milliards de logs et 6,2 milliards d’attaques. Ces résultats sont donc particulièrement intéressants pour suivre l’état des menaces dans le monde. Son édition 2016, qui décrypte les tendances de ces trois dernières années souligne le peu de progrès réalisés par les entreprises dans leur lutte contre les menaces, et note même une légère hausse du nombre d’entre elles mal préparées qui s’élève à 77 %. Face à des attaques d’envergure, elles doivent le plus souvent solliciter une intervention extérieure. Seules 23 % des organisations seraient donc en mesure de se défendre efficacement contre des incidents de sécurité majeurs.
Le retail le plus touché par les incidents
Après des années passées en tête des secteurs les plus touchés dans les précédents rapports GTIR, la finance cède sa place à la grande distribution qui enregistre 22 % des interventions sur incidents (contre 12 % l’année passée) de NTT Com Security. La grande distribution a été particulièrement exposée aux attaques de spear phishing. Parce qu’elles brassent d’importants volumes de données personnelles, dont des informations bancaires, les organisations de ce secteur constituent une cible particulièrement attractive, et ce au point d’enregistrer le plus fort taux d’attaques par client. Le secteur financier a représenté 18 % des interventions.
En 2015, le groupe NTT a également noté une augmentation des attaques à l’encontre du secteur de l’hôtellerie, des loisirs et du divertissement. Tout comme la grande distribution, ce secteur draine aussi de gros volumes d’informations personnelles, y compris des données de cartes bancaires. De même, le niveau relativement élevé des transactions dans le milieu (hôtels, stations touristiques…) suscitent la convoitise des attaquants. Avec sa palette de programmes de fidélité, l’hôtellerie est une vraie mine d’informations personnelles. Plusieurs violations de sécurité ont d’ailleurs défrayé la chronique en 2015 : Hilton, Starwood ou encore Hyatt.
Les attaques par secteur – 2015
Hausse de 17 % des menaces internes
A quels types d’incidents NTT Com Security a-t-il été confronté ? Les violations de sécurité ont représenté 28 % des interventions en 2015, contre 16 % en 2014. Un grand nombre d’incidents concernaient des vols de données et de propriété intellectuelle. Les menaces internes ont connu de leur côté une véritable envolée, passant de seulement 2 % en 2014 à 19 % en 2015. Elles résultent le plus souvent d’une utilisation abusive des données et ressources informatiques par des salariés ou prestataires externes.
En 2015, 17 % des interventions de NTT Com Security se sont produites sur des attaques par spear phishing, alors qu’elles représentaient moins de 2 % auparavant. Basées sur des tactiques sophistiquées d’ingénierie sociale, comme l’utilisation de fausses factures, ces attaques visaient principalement des dirigeants et autres personnels de la fonction comptabilité-finance.
Enfin, le GTIR 2016 a enregistré un recul des attaques DDoS par rapport aux années précédentes. Elles ont reculé de 39 % par rapport à 2014. Le rapport attribue cette baisse aux investissements réalisés dans les outils et services de défense contre ce type d’agression.
A noter cependant une augmentation des cas d’extorsion, où les victimes d’acquittent d’une rançon pour lever les menaces ou stopper une DDos en cours.
Top 10 des vulnérabilités internes et externes – 2015. Parmi l’ensemble des vulnérabilités externes identifiées, le top 10 compte pour 52 % des cas recensés. Les 48 % restants étaient composés de milliers de vulnérabilités. Parmi l’ensemble des vulnérabilités internes identifiées, le top 10 compte pour 78 % des cas recensés. Ces 10 vulnérabilités internes étaient directement liées à la présence d’applications obsolètes sur les systèmes visés.
Détecter les futurs terroristes sur Internet ? L’Europe veut s’inspirer d’Israël
Détecter les futurs terroristes sur Internet ? L’Europe veut s’inspirer d’Israël
Le coordinateur de l’anti-terrorisme pour lUnion européenne, Gilles de Kerchove, s’est rendu en Israël pour trouver des solutions technologiques qui permettraient de détecter automatiquement des profils suspects sur les réseaux sociaux, grâce à des algorithmes de plus en plus intrusifs.
Plus les attentats en Europe se multiplient, plus on découvre que les profils psychologiques et sociaux des kamikazes et de leurs associés sont très divers, jusqu’à paraître indétectables. Le cas de Mohamed Lahouaiej-Bouhlel, dont on ne sait pas toujours très bien s’il s’agit d’un déséquilibré qui se cherchait un modèle ultra-violent à imiter, ou d’un véritable djihadiste islamiste radicalisé à une vitesse inédite, laisse songeur. Bisexuel, amant d’un homme de 73 ans, mangeur de porc, aucune connexion connue avec des réseaux islamistes… l’auteur de l’attentat de Nice était connu des services de police pour des faits de violence de droit commun, mais n’avait rien de l’homme que l’on pourrait soupçonner d’organiser une tuerie motivée par des considérations idéologiques.
Or c’est un problème pour les services de renseignement à qui l’on demande désormais l’impossible, à la Minority Report, c’est-à-dire de connaître à l’avance le passage à l’acte d’un individu, pour être capable de l’appréhender avant son méfait, même lorsqu’objectivement rien ne permettait de présager l’horreur.
C’EST POUR ÇA QUE JE SUIS ICI. NOUS SAVONS QU’ISRAËL A DÉVELOPPÉ BEAUCOUP DE MOYENS DANS LE CYBER
Néanmoins, l’Union européenne ne veut pas se résoudre à la fatalité, et va chercher en Israël les méthodes à appliquer pour détecter sur Internet les terroristes susceptibles un jour de passer à l’acte. « C’est un défi », explique ainsi à l’agence Reuters Gilles de Kerchove, le coordinateur de l’UE pour l’anti-terrorisme, en marge d’une conférence sur le renseignement à Tel Aviv. « Nous allons trouver bientôt des moyens d’être beaucoup plus automatisé » dans la détection des profils suspects sur les réseaux sociaux, explique-t-il. « C’est pour ça que je suis ici ».
« Nous savons qu’Israël a développé beaucoup de moyens dans le cyber », pour faire face aux attaques d’Israéliens par des Palestiniens, ajoute le haut fonctionnaire européen, et l’UE veut s’en inspirer.
ÉTABLIR DES PROFILS SOCIOLOGIQUES ET SURVEILLER LES COMMUNICATIONS
Selon un officiel israélien interrogé par l’agence de presse, il s’agit d’établir constamment des profils types de personnes à suspecter, en s’intéressant non plus seulement aux métadonnées qui renseignent sur le contexte des communications et les habitudes d’un individu, mais bien sur le contenu-même des communications sur les réseaux sociaux.
Mis à jour quotidiennement au gré des nouveaux profils qui émergent, des paramètres comme l’âge de l’internaute, sa religion, son origine socio-économique et ses liens avec d’autres suspects, seraient aussi pris en compte par les algorithmes israéliens — ce qui semble difficilement compatible en Europe avec les textes internationaux protégeant les droits de l’homme, que l’Union européenne s’est engagée à respecter.
DES BOÎTES NOIRES TOUJOURS PLUS INTRUSIVES ?
En somme, c’est exactement ce que nous redoutions avec les fameuses boîtes noires permises par la loi Renseignement en France, dont le Conseil constitutionnel n’a su que dire, et qui se limitent officiellement aux métadonnées. Là aussi, il s’agit d’utiliser des algorithmes, dont on ne sait pas du tout sur quoi ils se basent, pour détecter des profils suspects.
Eagle Security & Defense, une société israélienne proposant des solutions de surveillance sur Internet, a reçu la visite de Christian Estrosi en début d’année.
Il n’est toutefois pas dit que la technologie israélienne soit importée telle quelle, d’autant que M. De Kerchove a lui-même rappelé que le droit européen n’autoriserait pas un tel degré d’intrusion dans la vie privée. Mais le mécanisme décrit par l’officiel d’Israël est très proche.
Il vise tout d’abord à réaliser une première détection sommaire des profils suspects, puis à déterminer parmi eux ceux qui doivent faire l’objet d’une surveillance individualisée. C’est exactement ce que prévoit la loi Renseignement, qui autorise l’installation de boîtes noires chez les FAI ou les hébergeurs et éditeurs pour détecter des comportements suspects d’anonymes, avant de permettre une identification des personnes dont il est confirmé qu’elles méritent une attention particulière.
En Israël, le ratio serait d’environ 20 000 personnes considérées suspectes pour 1 million d’internautes, sur lesquelles ressortiraient entre 10 et 15 profils nécessitant une surveillance étroite.
CHRISTIAN ESTROSI DÉJÀ INTÉRESSÉ
L’information de Reuters confirme ce qu’indiquaient Les Échos le week-end dernier dans un reportage bien informé. « L’Etat hébreu, dont la population a connu sept guerres et deux Intifada depuis sa création, est bel est bien devenu un cas d’école, dans sa façon de gérer une situation d’insécurité permanente. Une expertise dans la mire des décideurs européens », écrivait le quotidien,
Il précisait qu’en février dernier, l’ancien maire de Nice et actuel président de la région Provence-Alpes-Côte d’Azur, Christian Estrosi, s’était déjà rendu en Israël, où il aurait rencontré le PDG de la société Eagle Security and Defense, Giora Eiland, qui est aussi ex-directeur du Conseil de sécurité nationale israélien.
Lors de cette visite, Christian Estrosi aurait insisté sur la nécessité « d’être à la pointe de la lutte par le renseignement contre la cybercriminalité lorsqu’on sait que la radicalisation se fait par le biais des réseaux sociaux ». On imagine que cette conversation lui est revenue en mémoire lorsque sa ville a été meurtrie.
Les campagnes de sensibilisation à la cybersécurité portent (petit à petit) leurs fruits
Les campagnes de sensibilisation à la cybersécurité portent (petit à petit) leurs fruits
Une étude souligne que les primo-adoptants de nouvelles technologies demandent l’autorisation avant d’amener de nouveaux équipements au travail.
Sachant que plus de 25 % des attaques identifiées en entreprise devraient associer l’Internet des objets d’ici à 2020 [1] et, pour nombre d’entre elles, s’inviter sur le lieu de travail, les conclusions de cette étude marquent une évolution significative dans la bonne direction et prouvent que les collaborateurs cernent mieux le rôle qui leur incombe dans le domaine de la cybersécurité.
Néanmoins, les résultats de cette enquête menée auprès de cadres en entreprise ― les plus susceptibles, de par leur rémunération et leur état d’esprit, à être des primo-adoptants des nouvelles technologies – sont contrastés puisque 39 % d’entre eux auraient tendance à se soustraire au contrôle du service informatique. Ce qui laisse une énorme marge de risque.
Pire, parmi les collaborateurs qui se disent prêts à court-circuiter le service informatique, un sur huit « ne révélerait à personne » son intention d’introduire un nouvel appareil au sein de l’entreprise ou d’installer un outil professionnel, messagerie électronique par exemple, sur un équipement non sécurisé.
L’attitude a une incidence sur le respect des règles
L’étude révèle que le respect des règles de cybersécurité, telles que celles concernant l’introduction d’un nouvel équipement, est largement fonction des attitudes et opinions de chacun vis-à-vis de la technologie. Les professionnels ayant dérogé, dans le passé, aux règles de cybersécurité de leur entreprise justifient essentiellement leur geste par leur volonté de recourir à un outil ou un service plus efficace, ou considéré à l’époque comme le meilleur sur le marché. Les entreprises doivent élargir, et non restreindre, le choix de leurs collaborateurs, en s’appuyant sur la technologie et la formation pour gérer les risques.
Les intérimaires exigent une surveillance à temps complet
Les sous-traitants constituent le groupe contournant le plus souvent les règles de cybersécurité, 16 % des participants affirmant avoir vu un intérimaire se soustraire à celles-ci.
« Le concept BYOD a beau aujourd’hui avoir fait ses preuves, nombre d’individus continuent à éprouver des difficultés à dissocier clairement l’accès aux données personnelles de celui aux données professionnelles sur les appareils leur appartenant. Quantité d’entreprises ont déployé des solutions d’administration pour leur parc d’équipements, mais c’est la connectabilité de ces derniers qui pose véritablement problème, d’autant que la ligne de démarcation entre les services cloud orientés métier et les services personnels s’estompant, des passerelles méconnues sont jetées entre les réseaux d’entreprise et l’Internet en général. Une sécurité dernier cri doit être en mesure d’empêcher que toute communication à partir d’un équipement ne se transforme en faille et diminuer le plus possible les risques encourus par l’entreprise. » Greg Day, vice-président et responsable de la sécurité (CSO) pour la zone Europe, Moyen-Orient et Afrique (EMEA) chez Palo Alto Networks
Recommandations
Les entreprises doivent poursuivre leurs actions de sensibilisation auprès de leurs collaborateurs afin de faire en sorte que ceux positionnés en première ligne défensive possèdent les compétences nécessaires pour déceler les menaces.
Les professionnels de la sécurité doivent encadrer étroitement les activités des collaborateurs non permanents ou des sous-traitants, et veiller à ce que leur soient communiquées les mêmes informations que celles dispensées au personnel à temps complet.
Les entreprises doivent intégrer des solutions de sécurité modernes, en harmonie avec les nouvelles évolutions technologiques, afin d’écarter les fragilités inhérentes à un environnement informatique en constante évolution.
Les entreprises doivent réfléchir à la façon dont elles recensent et favorisent l’utilisation, dans de bonnes conditions de sécurité, d’applications et de services cloud dignes de confiance ou approuvés par leurs soins, et gèrent celle de ceux qu’elles ne jugent pas dignes de leur confiance ou n’avalisent pas.
Méthodologie de recherche
L’enquête a été menée en ligne, par Redshift Research en octobre 2015, auprès de 765 décideurs d’entreprises comptant plus d’un millier de salariés au Royaume-Uni, en Allemagne, en France, aux Pays-Bas et en Belgique.
Trois histoires vrais de vies inquiétées par du piratage informatique ciblé
Trois histoires vrais de vies inquiétées par du piratage informatique ciblé
L’expérience le prouve : même les vieux habitués d’Internet n’arrivent pas toujours à se protéger des piratages ciblés. Étant donné que notre vie quotidienne devient de plus en plus connectée à Internet et à d’autres réseaux, la sécurité en ligne s’est convertie comme un besoin impératif.
La plupart d’entre nous ont un email, un compte sur les réseaux sociaux et une banque en ligne. On commande sur le web, et utilisons notre mobile pour nous connecter à Internet (par exemple, dans les solutions de l’authentification à deux facteurs) et pour d’autres choses tout aussi importantes. Malheureusement, aucun de ces systèmes n’est 100% sûr.
Plus nous interagissons en ligne et plus nous devenons les cibles de hackers sournois. Les spécialistes en sécurité appellent ce phénomène » la surface d’attaque « . Plus la surface est grande et plus l’attaque est facile à réaliser. Si vous jetez un coup d’œil à ces trois histoires qui ont eu lieu ces trois dernières années, vous comprendrez parfaitement le fonctionnement de cette attaque.
1. Comment détourner un compte : faut-il le pirater ou simplement passer un coup de fil ?
Un des outils les plus puissants utilisés par les hackers est le » piratage humain » ou l’ingénierie sociale. Le 26 février dernier, le rédacteur en chef de Fusion Kevin Roose, a voulu vérifier s’il était aussi puissant qu’il n’y paraissait. Jessica Clark, ingénieure sociale spécialisée en piratage informatique et l’expert en sécurité Dan Tentler ont tout deux accepté ce défi.
Jessica avait parié qu’elle pouvait pirater la boîte mail de Kévin rien qu’avec un email, et sans grande difficulté elle y est arrivé. Tout d’abord, l’équipe de Jessica a dressé un profil de 13 pages qui définissait quel genre d’homme il était, ses goûts, etc, provenant de données collectées de diverses sources publiques.
Après avoir préparé le terrain, Jessica a piraté le numéro mobile de Kévin et appelé sa compagnie de téléphone. Pour rendre la situation encore plus réelle, elle ajouta un fond sonore d’un bébé en train de pleurer.
Jessica se présenta comme étant la femme de Roose. L’excuse inventée par cette dernière fut qu’elle et son » mari » devaient faire un prêt, mais qu’elle avait oublié l’email qu’ils utilisaient en commun, en se faisant passer pour une mère de famille désespérée et fragile. Accompagnée des cris du bébé, Jessica ne mit pas longtemps à convaincre le service technique de réinitialiser le mot de passe du mail et ainsi d’y avoir pleinement accès.
Dan Tentler a accompli cette tâche avec l’aide de l’hameçonnage. Tout d’abord, il avait remarqué que Kevin possédait un blog sur Squarespace et lui envoya un faux email officiel depuis la plateforme, dans lequel les administrateurs de Squarespace demandaient aux utilisateurs de mettre à jour le certificat SSL (Secure Sockets Layer) pour des questions de » sécurité « , permettant ainsi à Tentler d’accéder à l’ordinateur de Kévin. Dan créa de nombreux faux pop-up demandant à Roose des informations bien spécifiques et le tour était joué.
Tentler réussit à obtenir l’accès à ses données bancaires, son email, ses identifiants sur les sites web, ainsi que ses données de cartes de crédit, son numéro de sécurité sociale. De l’écran de son ordinateur, il capturait des photos toutes les deux minutes et ce pendant 48h.
2. Comment détourner de l’argent à un ingénieur informatique en moins d’une nuit
Au printemps 2015, le développeur de logiciels Partap Davis a perdu 3000$. Durant une nuit, en seulement quelques heures, un hacker inconnu a obtenu l’accès de ses comptes mail, son numéro de téléphone et son Twitter. Le coupable a contourné habilement le système de l’authentification à deux facteurs et littéralement vidé le portefeuille des bitcoins de Partap. Comme vous devez sans doute l’imaginer, Davis a passé une mauvaise journée le lendemain.
Il est important de noter que Partap est une pointure concernant l’usage d’Internet : il choisit toujours des mots de passe fiables et ne clique jamais sur des liens malveillants. Son email est protégé avec le système d’authentification à deux facteurs de Google, ce qui veut dire que lorsqu’il se connecte depuis un nouvel ordinateur, il doit taper les six numéros envoyés sur son mobile.
Davis gardait ses économies sur trois portefeuilles Bitcoin, protégés par un autre service d’authentification à deux facteurs, conçu par l’application mobile Authy. Même si Davis utilisait toutes ces mesures de sécurité prévoyantes, ça ne l’a pas empêché de se faire pirater.
Suite à cet incident, Davis était très en colère et a passé plusieurs semaines à la recherche du coupable. Il a également contacté et mobilisé des journalistes de The Verge pour l’enquête. Tous ensemble, ils sont parvenus à trouver comment le piratage avait été exécuté. Davis utilisait comme mail principal l’adresse suivante : Patrap@mail. Tous les mails furent envoyés à une adresse Gmail plus difficile à mémoriser (étant donné que Patrap@gmail était déjà utilisé).
Pendant plusieurs mois, quiconque pouvait ensuite se rendre sur la page Hackforum et acheter un script spécial afin d’obtenir les mots de passe qui se trouvaient dans la boite mail. Apparemment, le script était utilisé pour contourner l’authentification à deux facteurs et changer le mot de passe de Davis.
Ensuite, l’hacker a fait une demande de nouveau mot de passe depuis le compte de Davis et demandé au service client de transférer les appels entrants à un numéro de Long Beach (ville en Californie). Une fois le mail de confirmation reçu, le service technique a donné le contrôle des appels à l’hacker. Avec une telle technique, il n’était pas bien difficile de contourner l’authentification à deux facteurs de Google et avoir accès au compte Gmail de Davis.
Pour surmonter cet obstacle, l’hacker a tout simplement réinitialisé l’application sur son téléphone en utilisant une adresse mail.com et une nouvelle confirmation de code, envoyée de nouveau via un appel vocal. Une fois que l’hacker mit la main sur toutes les mesures de sécurité, il changea les mots de passe des portefeuilles Bitcoin de Davis, en utilisant Authy et l’adresse email .com afin de lui détourner de l’argent.
L’argent des deux autres comptes est resté intact, l’un des services interdisant le retrait des fonds 48h après le changement du mot de passe, et l’autre demandant une copie du permis de conduire de Davis, que l’hacker n’avait pas en sa possession.
3. La menace rôde sur nos vies
Comme l’a écrit le journal Fusion en octobre 2015, la vie de la famille Straters s’est retrouvée anéantie à cause d’une pizza. Il y a plusieurs années, des cafés et restaurants locaux se sont installés sur leur arrière-cour, les envahissant de pizzas, tartes et toute sorte de nourriture.
Peu de temps après, des camions de remorquage ont déboulé munis de grandes quantités de sable et de gravier, tout un chantier s’était installé sans aucune autorisation au préalable. Malheureusement, il ne s’agissait que de la partie visible de l’iceberg comparé au cauchemar des trois années suivantes.
Paul Strater, ingénieur du son pour une chaine de télé locale et sa femme, Amy Strater, ancienne directrice générale d’un hôpital, ont été tout deux victimes d’un hacker inconnu ou de tout un groupe. Il s’avérait que leur fils Blair était en contact avec un groupe de cybercriminels. Les autorités ont reçu des menaces de bombe signées du nom du couple. Les hackers ont utilisé le compte d’Amy pour publier une attaque planifiée dans une école primaire, dans lequel figurait ce commentaire » Je tirerai sur votre école « . La police faisait des visites régulières à leur domicile, n’améliorant en rien les relations du couple avec leur voisinage, qui à force se demandait ce qu’il se passait.
Les hackers ont même réussi à pirater le compte officiel de Tesla Motors et posté un message qui encourageait les fans de la page à appeler les Strater, en échange de gagner une voiture Tesla. Les Strater » croulaient sous les appels téléphoniques « , environ cinq par minute, provenant des » admirateurs » de Tesla, désireux de gagner la voiture. Un jour, un homme s’est même présenté au domicile des Strater en demandant aux propriétaires d’ouvrir leur garage, prétendant qu’ils cachaient la Tesla à l’intérieur.
Paul tenta de démanteler le groupe d’hackers en changeant tous les mots de passe de ses comptes et en donnant l’ordre aux patrons des restaurants locaux de ne rien dévoiler sur leur adresse. Il contacta également le Département de Police d’Oswego en leur demandant de vérifier à l’avance si une urgence était bien réelle, avant d’envoyer des renforts. En conséquence de tous ces problèmes, Paul et Amy finirent par divorcer.
Les attaques ont continué par la suite. Les réseaux sociaux d’Amy ont été piratés et utilisés pour publier toute une série de revendications racistes, ce qui a causé la perte de son emploi. Elle fut licenciée malgré avoir dit à ses supérieurs qu’elle et sa famille étaient les victimes de hackers et que leur vie s’était transformée en un véritable cauchemar.
Amy réussit à temps à reprendre le contrôle de son LinkedIn et à supprimer son compte Twitter. Malheureusement, elle était incapable de retrouver un travail dans sa branche à cause de ce qui s’était passé. Elle fut contrainte de travailler chez Uber pour arrondir ses fins de mois, mais disposait de ressources insuffisantes pour payer son loyer.
» Avant, lorsqu’on tapait son nom sur Google, on pouvait voir ses nombreux articles scientifiques et son travail admirable » a déclaré son fils Blair au journal Fusion. » Désormais, on ne voit plus que des hackers, hackers, hackers « .
De nombreuses personnes ont critiqué Blair Strater pour avoir été impliqué lui-même dans de nombreux réseaux de cybercriminels, où il n’arrivait pas à se faire d’amis. Dans le cas précis de la famille Strater, les parents de Blair ont payé pour les » crimes » de leur fils, alors qu’eux n’avaient absolument rien à voir avec les hackers.
Article original de Kate Kochetkova
Denis JACOPINI ne peut que vous recommander d’être prudent.
Si vous désirez être sensibilisé aux risques d’arnaques et de piratages afin d’en être protégés, n’hésitez pas à nous contacter, nous pouvons animer conférences, formations auprès des équipes dirigeantes et opérationnelles.
La sécurité informatique et la sécurité de vos données est plus devenu une affaire de Qualité (QSE) plutôt qu’un problème traité par des informaticiens.
Directive européenne sur la sécurité des réseaux et des systèmes d’information
Directive européenne sur la sécurité des réseaux et des systèmes d’information
Les entreprises qui fournissent des services essentiels, par exemple l’énergie, les transports, les services bancaires et de santé, ou numériques, tels que les moteurs de recherche et les services d’informatique en nuage, devront améliorer leur capacité à résister à des cyber-attaques, selon les premières règles de cybersécurité à l’échelle européenne, approuvées par les députés mercredi.
L’établissement de normes de cybersécurité communes et renforcer la coopération entre les pays de l’Union aidera les entreprises à se protéger elles-mêmes, et aussi à prévenir les attaques contre les infrastructures interconnectées des pays européens, estiment les députés.
« Des incidents de cybersécurité possède très souvent un aspect transfrontalier et concernent donc plus d’un État membre de l’Union européenne. Une protection fragmentaire de la cybersécurité nous rend tous vulnérables et pose un risque de sécurité important pour l’Europe dans son ensemble. Cette directive établira un niveau commun de sécurité de réseau et d’information et renforcera la coopération entre les États membres. Cela contribuera à prévenir à l’avenir les cyberattaques sur les infrastructures interconnectées européennes importantes », a déclaré le rapporteur du Parlement Andreas Schwab (PPE, DE).
La directive européenne sur la sécurité des réseaux et des systèmes d’information « est également l’un des premiers cadres législatifs qui s’applique aux plates-formes. En phase avec la stratégie du marché unique numérique, elle établit des exigences harmonisées pour les plates-formes et veille à ce qu’elles puissent observer des règles similaires quel que soit l’endroit de l’Union européenne où elles opèrent. C’est un énorme succès et une première étape importante vers l’établissement d’un cadre réglementaire global pour les plates-formes dans l’Union », a-t-il ajouté.
Les pays de l’UE devront lister les entreprises de « services essentiels »
La nouvelle législation européenne prévoit des obligations en matière de sécurité et de suivi pour les « opérateurs de services essentiels » dans des secteurs tels que ceux de l’énergie, des transports, de la santé, des services bancaires et d’approvisionnement en eau potable. Les États membres de l’UE devront identifier les entités dans ces domaines en utilisant des critères spécifiques, par exemple si le service est essentiel pour la société et l’économie, et si un incident aurait des effets perturbateurs considérables sur la prestation de ce service.
Certains fournisseurs de services numériques – les marchés en ligne, les moteurs de recherche et les services d’informatique en nuage – devront aussi prendre des mesures pour assurer la sécurité de leur infrastructure et devront signaler les incidents majeurs aux autorités nationales. Les exigences de sécurité et de notification sont, cependant, plus légères pour ces fournisseurs. Les micro- et petites entreprises numériques seront exemptées de ces exigences.
Mécanismes de coopération à l’échelle européenne
Les nouvelles règles prévoient un « groupe de coopération » stratégique pour échanger l’information et aider les États membres à renforcer leurs capacités en matière de cybersécurité. Chaque pays de l’Union devra adopter une stratégie nationale relative à sécurité des réseaux et des systèmes d’information.
Les États membres devront aussi mettre en place un centre de réponse aux incidents de sécurité informatique (CSIRT) pour gérer incidents et risques, discuter des questions de sécurité transfrontalière et identifier des réponses coordonnées. L’Agence européenne pour la sécurité des réseaux et de l’information (ENISA) jouera un rôle clé dans la mise en œuvre de la directive, en particulier en matière de coopération. La nécessité de respecter les règles de protection des données est réitérée tout au long de la directive.
Prochaines étapes
La directive sur la sécurité des réseaux et des systèmes d’information sera bientôt publiée au Journal officiel de l’Union européenne et entrera en vigueur le vingtième jour suivant sa publication. Les États membres auront alors 21 mois pour transposer la directive dans leur législation nationale et six mois supplémentaires pour identifier les opérateurs de services essentiels.
Directive sur la sécurité des réseaux et des systèmes d’information – texte approuvé par le Parlement et le Conseil
Deux millions de données d’utilisateurs Ubuntu dérobées
Deux millions de données d’utilisateurs Ubuntu dérobées
Le forum de la distribution Ubuntu a été victime d’une grave attaque informatique. Deux millions d’utilisateurs se sont fait voler leurs données.
Le butin du pirate est plus qu’impressionnant. Noms, mots de passe, adresse mails et IP, les données de deux millions d’utilisateurs du forum d’Ubuntu se sont envolées. La nouvelle a été annoncée jeudi dans un communiqué par Canonical l’éditeur d’Ubuntu. « A 20h33 UTC le 14 Juillet 2016, Canonical et l’équipe ont été informés par un membre du Conseil Ubuntu que quelqu’un prétendait avoir une copie de la base de données des forums. Après enquête initiale, nous avons été en mesure de confirmer qu’il y avait bien eu une exposition des données et nous avons fermé les forums par mesure de précaution. »
Une attaque par injection SQL
Une enquête plus poussée a révélé que la méthode employée est une injection SQL. Le pirate a pu injecter des requêtes SQL formatées dans la base de données des forums pour ensuite télécharger les datas.
Cependant, le communiqué précise que le hacker n’a pas pu accéder aux mots de passe utilisateur valides ni au référentiel de code Ubuntu ou au mécanisme de mise à jour. Moins certain, le rapport précise que normalement les services Canonical ou Ubuntu en sortent indemnes, comme certains forums.
Tout est plus ou moins rentré dans l’ordre
Des mesures correctives ont été prises et les forums restaurés. Les mots de passe du système et de la base de données ont été réinitialisés et ModSecurity, une Web Application Firewall vient renforcer le dispositif de sécurité. Selon Canonical, ça va mieux, même si après ce genre de vol il est légitime de penser que le mal est fait.
La CNIL vient d’infliger une sanction administrative de 30 000 euros à l’encontre de BrandAlley.fr. La société éponyme, derrière ce site de ventes en ligne, est épinglée pour plusieurs indélicatesses à l’égard de la loi de 1978.
Le 13 janvier 2015, une délégation de la CNIL effectuait un premier contrôle sur place pour relever déjà différents manquements de cette société française. Cela aurait pu en rester là si tout avait été rectifié à temps, mais en mars de la même année, une cliente a saisi la CNIL pour se plaindre de difficultés dans l’exercice de son droit d’accès aux données personnelles. Cette internaute adressait d’ailleurs au site de e-commerce une nouvelle lettre en mai 2015, sans plus d’effet.
Le 3 juillet 2015, BrandAlley était du coup mise en demeure par la CNIL de corriger plusieurs points de son système dans les trois mois. Bon prince, la Commission lui accordait un peu plus tard une rallonge de trois nouveaux mois. Les points litigieux visent à :
Encadrer le traitement relatif à la prévention des fraudes,
Mettre en place d’une durée de conservation des données clients,
Recueillir le consentement préalable des clients pour la conservation des données bancaires,
Prendre en compte de la demande de la plaignante,
Obtenir l’accord des internautes s’agissant des cookies,
Cesser de transmettre les données à caractère personnel vers des pays hors UE qui n’assurent pas un niveau suffisant de protection de la vie privée et des libertés et droits fondamentaux.
Dans un courrier de janvier 2016, BrandAllay affirmait à la CNIL qu’elle s’était désormais mise en conformité. Peu satisfaite des réponses « lacunaires », la Commission organisait un nouveau contrôle sur place en février 2016. Contrôle qui a montré la persistance de plusieurs problèmes déjà relevés. En outre, un mois plus tard, elle a effectué un contrôle à distance du site Internet, une possibilité accordée par la loi sur la consommation.
La procédure gagnait alors un tour de vis supplémentaire. La CNIL a désigné un rapporteur, en l’occurrence François Pellegrini, une étape préalable à toute sanction où la société peut encore donner ses explications. Dans ce document désormais public , le rapporteur a constaté plusieurs défauts.
Des réactions trop tardives
Premièrement, BrandAllay.fr n’avait pas déposé dans le délai imparti, de demande d’autorisation pour la mise en œuvre d’un traitement antifraude. Selon les éléments du dossier, c’est « la réception du rapport de sanction qui a conduit la société à effectuer une demande d’autorisation ». Mais beaucoup trop tardivement pour ne pas abuser de la patience de l’autorité administrative…
S’agissant de la durée de conservation des données personnelles, on se retrouve un peu dans même situation. À l’échéance du délai imparti, la société avait indiqué s’être conformé à la norme simplifie 48, celle relative à la gestion de clients et de prospects. Dans le même temps, elle ajoutait que les données clients seraient conservées 5 années durant, à compter de la fin de la relation commerciale. Or ce délai non prévu par la norme en question. Pire, lors du deuxième contrôle sur place, la CNIL a constaté qu’ « aucune purge des données n’avait été réalisée ». Les explications fournies par le site de e-commerce – liées à la complexité de mise en œuvre – n’ont pas eu de poids, même si elle a depuis corrigé le tir pour revenir à un délai de conservation de 3 ans.
Cookies, chiffrement, Maroc et Tunisie
S’agissant des cookies, la société mise en demeure avait informé l’autorité de la mise en place un bandeau afin de recueillir le consentement des internautes, avant dépôt de cookies. Le contrôle en ligne effectué en mars 2016 a révélé la solidité de cette affirmation. D’un, le fameux bandeau « était rédigé de telle sorte qu’il n’informait pas les utilisateurs de leur possibilité de paramétrer le dépôt de cookies ». Soit un joli manquement à l’article 32-II de la loi de 1978.
De deux, des cookies à finalités publicitaires étaient déposés dès l’arrivée sur le site, sans l’ombre d’un consentement préalable. Pour ce dernier point, la CNIL n’a finalement pas retenu de grief, s’estimant « insuffisamment éclairée (…) sur la répartition exacte des responsabilités entre l’éditeur du site, les annonceurs et les régies publicitaires concernés ». Par constat d’huissier, BrandAlley a par ailleurs démontré s’être mise depuis d’aplomb.
Ce n’est pas tout. La CNIL a pareillement dénoncé l’absence de chiffrement du canal de communication et d’authentification lors de l’accès à BrandAlley.fr (usage du HTTP, plutôt que HTTPS). Le 29 mars 2016, la société a produit un nouveau constat d’huissier pour montrer à la CNIL que ce défaut se conjuguait désormais au passé. Un peu tard là encore pour la Commission qui a relevé un nouveau manquement.
Enfin, la société transférait vers le Maroc et la Tunisie les données personnelles de ses clients, via l’un de ses sous-traitants. Malgré des affirmations en sens contraire en janvier 2016, la CNIL a relevé en février la persistance de ces transferts. Or, en principe, de telles opérations ne sont possibles que si le pays de destination offre un niveau de protection comparable à celui en vigueur en Europe, ce qui n’était pas le cas ici (pas plus qu’aux Etats-Unis depuis l’invalidation du Safe Harbor par la justice européenne).
Après délibération, la CNIL a décidé de sanctionner la société de 30 000 euros d’amende, outre de rendre public la délibération. Une sanction loin d’être négligeable, le critère de la confiance sur Internet étant cruciale pour un site de e-commerce. La société peut maintenant attaquer, si elle le souhaite, la décision devant le Conseil d’État.
Discorde entre l’Union européenne et les Etats-Unis sur la protection des données personnelles
Discorde entre l’Union européenne et les Etats-Unis sur la protection des données personnelles
En cette période de pause estivale propice aux voyages, nombreux sont ceux qui ont réservé une chambre d’hôtel sur un site internet ou s’apprêtent à poster sur Facebook leurs photos souvenirs. Parmi ces personnes, combien s’interrogeront sur l’utilisation qui peut être faite des données quils auront ainsi (bien involontairement) transmises?
Cette question est au cœur de la problématique de la protection des données personnelles, qui intéresse l’Union européenne, notamment lorsque le transfert se fait d’un pays européen vers un pays tiers. Le principe veut que ce type de transfert de données à caractère personnel vers un pays tiers soit interdit, sauf si le pays en question assure un niveau de protection suffisant pour ces informations.
En juin 2013, les révélations d’Edward Snowden sur la récupération par l’agence de renseignements américaine, la NSA (National Security Agency), des données personnelles des citoyens européens, et donc leur surveillance par les autorités américaines, ont conduit l’UE à revoir les accords existants sur le sujet.
Alors que les négociations étaient en cours, une décision de la Cour de justice de l’Union européenne (CJUE) du 6 octobre 2015, a précipité le processus. La Cour avait à se prononcer sur une question posée par la Haute Cour de justice irlandaise relative à la validité des principes dits Safe Harbor (sphère de sécurité). Ceux-ci étaient énoncés dans la décision de la Commission européenne du 26 juillet 2000 dans laquelle elle considérait que les Etats-Unis assuraient un niveau suffisant de protection des données personnelles pour permettre le transfert des données.
Mais la Cour de justice de l’Union européenne a invalidé cette décision. Marquée par les révélations de l’affaire Snowden, elle a constaté que le régime américain de protection des données personnelles « rend possible des ingérences (…) dans les droits fondamentaux des personnes » par les autorités publiques américaines.
La négociation d’un nouvel accord devenait urgente pour les quelques 4.000 entreprises soumises au Safe Harbor devenu caduc et laissant donc place à un vide juridique. Or, le sujet de l’utilisation des données personnelles est particulièrement brûlant quand on connait la valeur de celles-ci pour les entreprises: l’exploitation des données personnelles de ses utilisateurs aurait rapporté 12 milliards de dollars à Facebook en 2014, selon Les Echos.
Le nouveau dispositif, baptisé Privacy Shield (bouclier de protection de la vie privée), a été négocié entre la Commission européenne et les Etats-Unis, qui sont parvenus à un accord le 2 février 2016. Le 13 avril, les autorités européennes de protection des données (la CNIL pour la France) ont émis un avis sur cet accord, où elles expriment de sérieuses préoccupations. Puis le Parlement européen a fait de même dans une résolution votée le 26 mai: les députés européens réclamait de rouvrir les négociations pour apporter plus de garanties. Le 8 juillet, les Etats membres, réunis au sein d’un groupe de travail, ont quant à eux validé le texte, malgré l’abstention de quatre pays, l’Autriche, la Hongrie, la Slovénie et la Bulgarie.
Finalement, le 12 juillet 2016, la Commission européenne adopte sa décision relative au bouclier de protection des données UE-Etats-Unis. La commissaire européenne chargée de la Justice, des Consommateurs et de l’Egalité des genres, Věra Jourová, a déclaré que le Privacy Shield est « un nouveau système solide destiné à protéger les données à caractère personnel des Européens et à procurer une sécurité juridique aux entreprises. Il prévoit des normes renforcées en matière de protection des données, assorties de contrôles plus rigoureux visant à en assurer le respect, ainsi que des garanties en ce qui concerne l’accès des pouvoirs publics aux données et des possibilités simplifiées de recours pour les particuliers en cas de plainte. Le nouveau cadre rétablira la confiance des consommateurs dans le contexte du transfert transatlantique de données les concernant ».
Ainsi, le nouveau système se veut plus protecteur que la précédente « sphère de sécurité »: la collecte des données par les sociétés américaines ne peut notamment pas être utilisée pour des usages non prévus initialement. Egalement, un médiateur aux Etats-Unis sera chargé de recevoir les plaintes des Européens. Tous les ans, la Commission examinera le respect du dispositif par les Etats-Unis.
Toutefois, le bouclier peine à convaincre. Les services de renseignements américains peuvent continuer à intercepter les données personnelles des Européens. Les associations fustigent un accord jugé largement insuffisant, qualifié de bouclier troué par la Quadrature du net. Du côté des députés européens, si la droite (les groupes PPE et CRE) est satisfaite, ce n’est pas le cas des Socialistes, des Verts et des Libéraux. Eux estiment que le nouveau système ne respecte pas les exigences posées par la CJUE: « la CJUE a dit que le problème, c’était les lois américaines. Or rien, dans les textes américains, n’a changé », pointe Jan Philipp Albrecht (Verts).
Le nouvel accord est par conséquent susceptible d’être à nouveau invalidé par les juges européens. Pour finir, il a été élaboré dans le cadre de la directive européenne de 1995 sur la protection des données. Or, cette directive va être remplacée en mai 2018 par un règlement adopté en 2015. L’insécurité juridique, ennemi des entreprises, plane donc toujours. Quant aux citoyens, ils ne peuvent que déplorer que la protection de leur vie personnelle soit mise en balance avec des enjeux économiques et de sécurité.
Avec la contribution de la Maison de l’Europe de Paris
L’Arménie à son agence de protection des données à caractère personnel
L’Arménie à son agence de protection des données à caractère personnel
L’agence de protection des données à caractère personnel a fourni des conseils à plus de 300 organisations en 3 mois
L’Agence de protection des données personnelles, une structure affiliée au Ministère arménien de la justice a fourni des conseils à plus de 300 organismes au cours des trois derniers mois selon sa responsable Suse Doydoyan.
Elle a dit que 98% de ces organisations était des structures privées, “mais nous avons fourni des conseils également aux organisations du secteur public.“
Selon elle, l’agence a aussi fait beaucoup de travail au cours des 100 derniers jours pour étudier l’expérience internationale et a travaillé sur un certain nombre de concepts relatifs. Elle a souligné que l’agence n’est pas un organe répressif, bien que possédant des « leviers d’influence importants, y compris le pouvoir d’engager des procédures administratives.
“Nous pensons que notre fonction est préventive. Nous n’attendons pas que des violations se produisent afin d’infliger des amendes subséquentes, essayant d’abord d’empêcher ces violations“ a-t-elle dit.
L’Agence de protection des données personnelles agit au nom de la République d’Arménie.
