Google met en avant ses succès contre le piratage

Depuis plusieurs années, Google aime à s’afficher comme défenseur des droits d’auteur, alors que le moteur de recherche a souvent été vilipendé par des ayants droit qui lui reprochaient de donner trop facilement accès à des sites pirates. La firme de Mountain View, qui doit soigner des partenaires commerciaux pour YouTube et pour ses services de distributions de contenus sur Google Play, publie même désormais un document de 62 pages pour expliquer « Comment Google combat le piratage ».

Sur son blog dédié aux politiques publiques, Google précise certains points qui ont été mis à jour dans ce document, lequel était inimaginable quand les recherches avec des mots clés comme « torrents », « mp4 » ou « streaming » renvoyaient encore le plus souvent vers des pages de sites pirates.

NOS ALGORITHMES DE CLASSEMENT DES RECHERCHES RÉTROGRADENT CE SITE DANS LES FUTURS RÉSULTATS DE RECHERCHE

Aujourd’hui, «  la grande majorité des requêtes liées à des médias que les utilisateurs soumettent chaque jour retournent des résultats qui incluent seulement des liens vers des sites légitimes », se félicite le géant de la recherche. Et lorsque l’utilisateur cherche à forcer la recherche avant des mots clés spécifiques au streaming gratuit ou au téléchargement sur BitTorrent, « nos systèmes de traitement des demandes de suppressions pour violation du droit d’auteur gèrent des millions d’URL chaque jour », qui font qu’en cas d’infractions répétées sur un site, « nos algorithmes de classement des recherches rétrogradent ce site dans les futurs résultats de recherche ».

2 MILLIARDS DE DOLLARS REVERSÉS PAR YOUTUBE AUX AYANTS DROITS

Sur YouTube, la chasse au piratage et aux utilisations non autorisées d’extraits de vidéos ou de musique est fortement automatisée, avec Content ID qui détecte les empreintes des contenus et permet aux ayants droit de choisir, soit la suppression des exploitations illégales, soit de recevoir les revenus publicitaires attachés à cette exploitation — ce qui n’est pas sans poser régulièrement quelques problèmes de retraits abusifs ou de détournement de revenus par des ayants droits qui s’accaparent toute œuvre dérivée.

Ainsi selon Google, 98 % des problèmes de droits d’auteur sur YouTube sont désormais gérés directement avec Content ID, ce qui ne laisse que 2 % de demandes de suppression envoyées par formulaire. Dans 90 % des cas les ayants droit choisissent de percevoir une rémunération plutôt que demander le retrait des vidéos mises en cause.

Google dit ainsi avoir versé 2 milliards de dollars de droits grâce à Content ID depuis son lancement, ce qui est beaucoup et peu à la fois. Il ne dit pas à combien de visionnages cela correspond, ce qui ne permet pas de calculer le gain par vidéo vue. La page officielle des statistiques de YouTube, dont la mise à jour ne semble pas récente, indique que « depuis juillet 2015, plus de 8 000 partenaires (parmi lesquels de nombreux grands groupes audiovisuels, studios de cinéma et maisons de disques) ont revendiqué plus de 400 millions de vidéos via Content ID ».

Le système est aujourd’hui capable de détecter 50 millions d’œuvres, réattribuées à leurs propriétaires respectifs en cas de réclamation.

Article original de Guillaume Champeau

Réagissez à cet article

Le Maroc peut-il créer une Silicon Valley au Maghreb ?

Dans un entretien paru jeudi 7 juillet au HuffpostMaroc, cet expert estime que le Maroc a toutes les potentialités pour cet objectif, à condition de revoir le fonctionnement de l’Agence nationale de réglementation des télécommunications (ANRT).  »Nous sommes en tout cas crédibles et légitimes pour être le spot technologique de la région », souligne t-il.  »Le taux de pénétration d’internet dépasse 56% chez nous alors qu’en Tunisie c’est 44%, en Algérie c’est moins de 20%. En plus d’avoir la population la plus connectée du Maghreb, le Maroc connaît également le plus fort dynamisme de ses médias en ligne. » En outre, le Maroc a pris de l’avance sur le plan des infrastructures de TIC, selon lui:  » quand l’Algérie a introduit la 3G qu’en 2013, nous avons aujourd’hui la couverture 4G la plus large du Maghreb. » Mais, tempère l’expert, le pays accuse déjà un retard dans ce domaine.

Le  »Hic » 

 »Au Maroc on est au point mort », affirme t-il, avant d’expliquer que  »si la stratégie industrielle (du Ministre de l’Industrie et de l’Economie numérique) a esquissé les grandes lignes de l’économie numérique du pays, la structuration des écosystèmes numériques tarde à venir », même si  »le potentiel est là. »  Pour Hamza Hraoui,  »il faut enclencher maintenant notre transformation et prendre le train de la nouvelle économie en misant sur notre tissu entrepreneurial. » Car  »les Marocains attendent un vrai plan du numérique, conquérant et volontariste qui permettra d’accompagner les projets structurants des entreprises sur les marchés, où le Maroc peut acquérir d’ici 3 à 5 ans, un leadership continental: fabrication additive comme les imprimantes 3D, les objets connectés, la réalité augmentée, les villes intelligentes, les écoles du numérique… » Pour cela, il faut que bien des barrières tombent, et que les opérateurs du secteur rattrapent le retard accusé par le Maroc dans le digital et l’économie numérique.

Faire sauter les barrières

Et, surtout, libérer le secteur des  »interdits » et des blocages. Il estime ainsi que la Maroc, en interdiction de la VoiP,  »donne un mauvais signal aux acteurs de la nouvelle économie suite à cette interdiction. »  »Et ses répercussions se feront sentir à moyen et à long terme », ajoute cet expert en communication, qui appelle l’ANRT à faire  »son update ». Plus direct, il accuse l’ANRT de cloisonner le secteur des TIC et empêcher l’économie numérique de se développer.  »A l’heure du décloisonnement de l’information, de l’explosion de la data et de l’émergence de l’économie collaborative, l’ANRT poussée et pressée par les opérateurs télécom, nous a montré qu’elle vit encore à l’âge de pierre en enlevant aux jeunes étudiants, aux chercheurs, aux start-upers qui créent de la richesse dans ce pays l’essence même du progrès: le droit à la mobilité. » Pour lui,  »cela nous montre à quel point nos institutions ont du mal à admettre que la relation public-autorité et l’ordre établi sont profondément bouleversés par le digital, obligeant les hommes politiques à revoir en profondeur leurs messages, décisions et façons de faire. » A fin décembre 2015, le Maroc comptait 13,89 millions d’abonnés à l’Internet fixe, soit un taux de pénétration de 41,1 %, alors que le parc de l’internet mobile compte 12,81 millions d’abonnés avec une progression de 69,58% par an.

Article original de Amin Fassi-Fihri

Réagissez à cet article

Secret des conversations, Facebook Messenger bientôt chiffré

Facebook chantre du chiffrement de bout en bout ? L’entreprise vient de lancer une nouvelle option pour Messenger permettant de démarrer une conversation sécurisée. Baptisée Secret Conversations, celle-ci permet de créer, via la fiche d’un contact, une conversation chiffrée entre deux utilisateurs. Derrière, on retrouve le protocole Signal, également utilisé par WhatsApp.

Mais, contrairement à #WhatsApp, Secret Conversations se veut optionnel, pour ne pas dire ponctuel. Car il s’agit là de préférer la sécurité au confort, un choix auquel Facebook n’entend pas contraindre ses utilisateurs. Ainsi, via cette fonctionnalité, on ne peut envoyer que du texte et des photos à un unique destinataire. Pas de vidéo, de GIF, de paiement ou de discussion de groupe.

Ce message s’autodétruira automatiquement dans 4…3…

Cette sobriété se conjugue avec l’absence de synchronisation entre les appareils d’un même utilisateur. Impossible donc de commencer une conversation chiffrée avec son iPhone et de passer ensuite à sa tablette : la discussion est uniquement rattachée au terminal avec lequel elle a été initiée. En outre, preuve que Mark Zuckerberg n’a toujours pas digéré le refus de son offre de rachat sur Snapchat, il est possible de définir à l’aide d’un minuteur la durée de vie d’un message. Qui s’autodétruira une fois le délai écoulé.

L’option est intégrée à l’application Messenger pour Android et iOS. Déjà disponible pour certains, elle sera déployée plus largement au cours de l’été. Pour l’heure, il semble que rien ne soit prévu pour les versions navigateur du service.

Article original de Guillaume Périssat

Réagissez à cet article

Le malware Nymaim s’attaque désormais aux institutions financières du Brésil

Lors de la découverte de la souche originale de Nymaim en 2013, notamment avec ses techniques de code modulaire (chaîne d’abattage et d’évasion), nous avions pu remarquer que plus de 2,8 millions d’infections s’étaient propagées. Sur le premier semestre 2016, ESET a de nouveau observé une augmentation significative de détections du malware Nymaim.

Infectant principalement la Pologne (54%), l’Allemagne (16%) et les Etats-Unis (12%), cette mutation du malware Nymaim a été détectée comme appartenant à la catégorie Win32/TrojanDownloader.Nymaim.BA. Elle utilise le spearphishing et une pièce jointe (type Word.doc) contenant une macro malveillante. Utilisée pour contourner les paramètres de sécurité par défaut de Microsoft Word via les techniques d’ingénierie sociale, l’approche est très dangereuse dans les versions anglaises de MS Word.

« Grâce à ses techniques d’évasion sophistiquées, l’anti-VM, l’anti-débogage et les flux de contrôle, cette fusée à deux étages sert à livrer le ransomware comme charge utile finale. Ce code que l’on peut nommer « Trojan modulaire » est impressionnant par sa faculté à voler les informations d’authentification de sites de banque électroniques dans les formulaires typiques en contournant la protection SSL. Ce code malveillant a évolué de façon à fournir des logiciels espions », explique Cassius de Oliveira Puodzius, Security Researcher chez ESET en Amérique Latine.

En avril 2016, la version précitée a été rejointe par une variante hybride de Nymaim (Gozi) qui avait pour cible les institutions financières d’Amérique du Nord, mais également en Amérique latine et principalement au Brésil. Cette variante fournit aux cybercriminels le contrôle à distance des ordinateurs compromis plutôt que de chiffrer les fichiers ou bloquer la machine  – comme cela se fait habituellement.

En raison des similitudes entre les cibles visées dans chaque pays et les taux de détection, nous pouvons affirmer que les institutions financières restent au centre de cette campagne.

« L’étude complète de cette menace est toujours en cours. Toutefois, si vous pensez que votre ordinateur ou votre réseau a été compromis, nous vous recommandons de vérifier que les adresses IP et les URL que nous avons partagées dans l’article complet de WeLiveSecurity ne se trouvent pas dans votre pare-feu et dans le journal de votre proxy. Nous vous conseillons de mettre en place une stratégie de prévention en ajoutant une liste noire des des adresses IP contactées par ce malware au pare-feu et les URL à un proxy, aussi longtemps que votre réseau prendra en charge ce type de filtrage », conclut Cassius de Oliveira Puodzius.

Pour lire l’intégralité du rapport et ainsi obtenir des informations complémentaires sur le malware Nymaim, cliquez ici.

Article original de Lucie Fontaine

Réagissez à cet article

Panorama des menaces sur la cybersécurité industrielle

Vu l’augmentation de l’attention portée à la sécurité de la supervision industrielle au fil des dernières années, de plus en plus d’informations sur les vulnérabilités qui touchent ces systèmes sont publiées. Toutefois, ces vulnérabilités peuvent très bien avoir été présentes dans ces produits pendant des années avant d’être dévoilées. C’est un total de 189 vulnérabilités dans des composants de supervision industrielle qui a été publié en 2015 et la majorité d’entre elles était critique (49 %) ou de gravité moyenne (42 %).

Vulnérabilités de supervision industrielle par année.

Les vulnérabilités peuvent être exploitées.

Il existait des codes d’exploitation pour 26 des vulnérabilités publiées en 2015. De plus, pour bon nombre de vulnérabilités (comme les identifiants codés en dur), un code d’exploitation n’est absolument pas requis pour obtenir un accès non autorisé au système vulnérable. Qui plus est, nos projets d’évaluation de la sécurité de la supervision industrielle montrent que les propriétaires de solutions de supervision industrielle considèrent souvent celles-ci comme une « boîte noire », ce qui signifie que les identifiants par défaut des composants de supervision industrielle restent souvent inchangés et peuvent être utilisés pour obtenir un contrôle à distance du système. Le projet SCADAPASS de l’équipe SCADA Strangelove fournit une représentation des identifiants par défaut de supervision industrielle connus. Le projet dispose actuellement d’informations sur 134 composants de supervision industrielle de 50 éditeurs.

Vulnérabilités dans la supervision industrielle en 2015 par niveau de risque (CVSS v.2 et CVSS v.3)

Les vulnérabilités dans les composants de supervision industrielle sont très diverses.

De nouvelles vulnérabilités ont été détectées en 2015 dans les composants de supervision industrielle de différents éditeurs (55 fabricants différents) et types (interface homme-machine, dispositifs électriques, SCADA, périphériques de réseau industriel, automates programmables industriels, et bien d’autres). Le plus grand nombre de vulnérabilités a été détecté chez Siemens, Schneider Electric et Hospira Devices. Les vulnérabilités dans les composants de supervision industrielle sont de nature différente. Les types les plus répandus sont les débordements de tampon (9 % de l’ensemble des vulnérabilités détectées), utilisation des identifiants codés en dur (7 %) et le cross-site scripting (7 %).

Toutes les vulnérabilités découvertes en 2015 n’ont pas été éliminées.

Il existe des correctifs et de nouveaux micrologiciels pour 85 % des vulnérabilités publiées. Les 15 % restants n’ont pas été réparés ou n’ont été que partiellement réparés pour différentes raisons. La majorité des vulnérabilités qui n’ont pas été éliminées (14 sur 19) présente un risque élevé. Ces vulnérabilités sans correctif représentent un risque significatif pour les propriétaires des systèmes concernés, surtout pour ceux chez qui les systèmes de supervision industrielle vulnérables sont exposés à Internet en raison d’une gestion inadéquate de la configuration réseau. A titre d’exemple, citons 11 904 interfaces SMA Solar Sunny WebBox accessibles à distance qui pourraient être compromises via les mots de passe codés en dur. Bien que ce nombre a considérablement diminué pour Sunny WebBox depuis 2014 (à l’époque, plus de 80 000 composants disponibles avaient été identifiés), il est toujours élevé et le problème des identifiants codés en dur (publié en 2015) qui n’a pas été résolu expose ces systèmes à un risque bien plus élevé qu’on ne le pensait jusqu’à présent.

Application de correctif dans les systèmes de supervision industrielle

De nombreux composants de supervision industrielle sont disponibles via Internet.

220 668 composants de supervision industrielle ont été découverts via le moteur de recherche Shodan. Ils sont installés sur 188 019 hôtes dans 170 pays. La majorité des hôtes accessibles à distance et dotés de composants de supervision industrielle est située aux Etats-Unis (30,5 %) et en Europe. Parmi les pays européens, l’Allemagne arrive en première position (13,9 %), suivie de l’Espagne (5,9 %). Les systèmes disponibles proviennent de 133 éditeurs différents. Les plus répandus sont Tridium (11,1 %), Sierra Wireless (8,1 %) et Beck IPC (6,7 %).

Top 20 des pays par disponibilité de composants de supervision industrielle

Les composants de supervision industrielle accessibles à distance utilisent souvent des protocoles qui ne sont pas sécurisés.

Il existe un certain nombre de protocoles, ouverts et non sécurisés par nature, comme HTTP, Niagara Fox, Telnet, EtherNet/IP, Modbus, BACnet, FTP, Omron FINS, Siemens S7 et de nombreux autres. Ils sont utilisés sur 172 338 hôtes différents, soit 91,6 % de l’ensemble des périphériques de supervision industrielle accessibles depuis l’extérieur trouvés. Les attaquants disposent ainsi de méthodes complémentaires pour compromettre les dispositifs via des attaques de type « homme au milieu ».

Top 15 des protocoles des composants de supervision industrielle accessibles depuis l’extérieur

De nombreux composants de supervision industrielle vulnérables sont accessibles depuis l’extérieur.
Nous avons répertorié 13 033 vulnérabilités sur 11 882 hôtes (soit 6,3 % de l’ensemble des hôtes dotés de composants accessibles depuis l’extérieur). Les vulnérabilités les plus répandues sont Sunny WebBox Hard-Coded Credentials (CVE-2015-3964) et les vulnérabilités critiques CVE-2015-1015 et CVE-2015-0987 dans Omron CJ2M PLC. Si nous combinons ces résultats aux statistiques d’utilisation de protocoles non sécurisés, nous pouvons estimer le nombre total d’hôtes de supervision industrielle vulnérables à 172 982 (92 %).

Top 5 des vulnérabilités dans les composants de supervision industrielle

Plusieurs secteurs sont touchés.

Nous avons découvert au moins 17 042 composants de supervision industrielle sur 13 698 hôtes différents dans 104 pays et probablement présents dans de grandes entreprises. La disponibilité de ces composants sur Internet est probablement associée à des risques élevés. Parmi les propriétaires, nous avons pu identifier 1 433 grandes entreprises, dont certaines appartenant aux secteurs d’activité suivants : électricité, aérospatial, transport (y compris les aéroports), pétrole et gaz, métallurgie, chimie, agriculture, automobile, distribution d’eau, de gaz et d’électricité, agroalimentaire, construction, réservoirs de stockage de liquide, villes intelligentes et éditeurs de solution de supervision industrielle. Des institutions académiques et de recherche, des institutions gouvernementales (y compris la police), des centres médicaux, des organisations financières, des complexes hôteliers, des musées, des bibliothèques, des églises et de nombreuses petites entreprises figurent également parmi les propriétaires de systèmes de supervision industrielle accessibles à distance identifiés. Le nombre d’hôtes de supervision industrielle vulnérables accessibles depuis l’extérieur qui appartiennent probablement à de grandes organisations s’élève à 12 483 (91,1 %) où 453 hôtes (3,3 %), dont des hôtes actifs dans le secteur de l’énergie, des transports, du gaz, de l’ingénierie et de l’industrie et de l’agroalimentaire, contenaient des vulnérabilités critiques.

Disponibilité des systèmes de supervision industrielle par éditeur

Les résultats ci-dessus ne sont que la limite inférieure des estimations. Le nombre réel de composants de supervision industrielle accessibles associés à de gros risques pourrait être bien plus élevé.

Conclusion

En matière de protection, l’isolement des environnements critiques ne peut plus être considéré comme une mesure de contrôle de la sécurité suffisante pour la supervision industrielle. Les exigences des activités économiques au 21e siècle imposent souvent la nécessité d’intégrer la supervision industrielle à des systèmes et des réseaux externes. De plus, les capacités, les motivations et le nombre des auteurs de menaces qui se concentrent sur les systèmes de supervision industrielle augmentent. Depuis les disques durs ou les clés USB infectés jusqu’aux connexions non autorisées depuis des réseaux de supervision industrielle à Internet via des smartphones ou des modems en passant par les kits d’installation infectés obtenus auprès d’un éditeur ou le recrutement d’un initié, toutes ces méthodes sont à la disposition d’individus malintentionnés très qualifiés qui préparent des attaques contre des réseaux de supervision industrielle isolés physiquement et logiquement.

Les propriétaires de systèmes de supervision industrielle doivent être au courant des vulnérabilités et des menaces modernes et exploiter ces informations pour améliorer la sécurité de leur environnement de supervision industrielle. Ici, le soutien actif de l’éditeur joue un rôle crucial dans l’identification et l’élimination rapides des vulnérabilités du système de supervision industrielle ainsi que dans le partage de solutions temporaires qui permettent de protéger les systèmes jusqu’à la publication des correctifs.

Les caractéristiques des systèmes de supervision industrielle, à savoir que leur sécurité sur le plan informatique est étroitement liée à la sécurité physique, reçoivent souvent un traitement contraire au traitement exigé dans de telles conditions. Les petites et moyennes entreprises, ainsi que les particuliers, s’en remettent complètement aux éditeurs lorsqu’il s’agit de la sécurité de l’Internet des objets. Les consommateurs ne s’aventurent pas au-delà des étapes simples décrites dans les manuels. Ils disposent donc de dispositifs prêts à l’emploi et facilement accessibles, mais également vulnérables. Les grandes entreprises, de leur côté, mesurent bien les risques élevés associés à une configuration incorrecte de l’environnement de supervision industrielle. Toutefois, c’est pour cette même raison que les propriétaires des systèmes considèrent souvent les dispositifs de supervision industrielle comme des « boîtes noires » et ont peur de modifier l’environnement, y compris sous la forme d’améliorations de la cybersécurité.

Les résultats de cette recherche nous rappellent une fois de plus que le principe de la « Sécurité par l’obscurité » ne peut être invoqué pour atteindre une protection efficace contre les attaques modernes et que la sûreté des systèmes de supervision industrielle ne doit pas être négligée au profit de la sécurité car dans ce domaine, la sûreté et la sécurité sont étroitement liées.

Article original de Kaspersky

Réagissez à cet article

Pokémon Go peut-il vraiment prendre le contrôle de votre compte Gmail ?

Après avoir soulevé certains problèmes récemment avec le cas des voleurs armés aux États-Unis qui utilisaient le jeu pour cibler leurs victimes ou celui d’une jeune adolescente qui aurait retrouvé un cadavre pendant sa « chasse » aux Pokémon. La polémique n’en finit plus autour de Pokémon Go. C’est aujourd’hui un problème d’éthique et de sécurité qui est désormais pointé du doigt.

Pokémon Go : comment le jeu a rendu fou le monde entier
En effet lorsque vous installez et que vous jouez à Pokémon Go pour la première fois, le jeu sur smartphone développé par la firme Niantic, demande deux types de connexion. La première consiste à créer un compte via l’application tandis que la deuxième exige de se connecter directement depuis son compte Google. C’est la deuxième connexion qui soulève plusieurs problèmes.

Sur son blog, l’analyste en sécurité Adam Reeve expliquait ainsi ce week-end que cette identification par Google pouvait poser plusieurs problèmes puisque l’application accédait à plusieurs paramètres de votre compte Google : « Pokémon Go et Niantic peuvent désormais lire tous vos emails, envoyer des emails de votre part, accéder à vos documents Google Drive, rechercher dans votre historique de recherche et de navigation, accéder à toutes les photos privées hébergées sur Google Photos et bien davantage ». Des accès qui ne sont, bien évidemment, pas nécessaires pour profiter de l’expérience de jeu de l’application développée par Niantic.

Des informations démenties par Google et Niantic
Cependant, interrogé par le site Gizmodo, Adam Reeve a finalement fait marche arrière sur ses affirmations, expliquant ne pas être « certain à cent pour cent » que son billet de blog est exact. Il a par ailleurs expliqué au site Internet qu’il n’avait jamais développé lui-même d’application utilisant l’identification Google et n’a pas expérimenté ce qu’il indiquait sur son blog.

Du côté de Google également, l’information a été démentie auprès de Dan Guido, expert en sécurité informatique. La firme de Mountain View explique que les autorisations de Pokémon Go ne concernent que la partie « Mon Compte » de Google et n’autorise pas d’accès spécifique à différents services.
Enfin, le studio Niantic, qui développe l’application avec The Pokémon Company, a publié ce mardi un communiqué de presse afin de rassurer les utilisateurs : « Pokémon Go n’accède qu’aux informations basiques des profils Google (votre identification et votre adresse email). Aucune autre information de votre compte Google n’est ou ne sera collectée. […] Google réduira prochainement les autorisations de Pokémon Go uniquement aux données de profil dont Pokémon Go a besoin, les utilisateurs n’auront pas besoin d’effectuer le moindre changement ».

Article original de GEOFFROY HUSSON

Réagissez à cet article

Eleanor, nouvelle menace sur la planète Mac

Le backdoor Eleanor à l’assaut des Mac

Comme souvent, c’est l’éditeur BitDefender qui a identifié la nouvelle menace qui pèse sur les Mac. Eh oui, même si les dangers sont généralement moindres sur Mac que sur PC, voilà que ceux qui ont choisi les ordinateurs d’Apple doivent se montrer vigilants.

En effet, dès lors que ce backdoor silencieux est parvenu à infecter une machine, il a la capacité de permettre à un attaquant de prendre le contrôle du Mac à distance. Ainsi, les hackers peuvent s’en servir pour voler des données présentes sur la machine piratée, télécharger des applis frauduleuses ou même pour détourner la webcam, une pratique de plus en plus courante.

Reste que l’infection du Mac ne se produit pas toute seule et qu’elle est l’une des conséquences du téléchargement de l’application malveillante Easy Doc Converter. En effet, lors du démarrage d’OS X, cette appli va installer sur le Mac trois composantes : un service Tor, un service web capable de faire tourner PHP et un logiciel dédié. Autrement dit le matériel indispensable pour que s’installe, sur Mac, un backdoor silencieux comme Eleanor.

L’intégralité des Mac concernée par Eleanor ?

Si BitDefender a tenu à alerter sur sa découverte, il semblerait tout de même que tous les Mac ne soient pas tous concernés par cette menace.

En effet, parce que le logiciel Easy Doc Converter n’est pas signé numériquement avec un certificat approuvé par Apple, les risques d’infection sont réduits. D’ailleurs, la marque à la pomme a tenu à le préciser en rappelant que tous les Mac dotés de la protection Gatekeeper n’avaient rien à craindre.

Article original de Jérôme DAJOUX

Réagissez à cet article

La fraude au Président n’arrive pas qu’aux autres

Qu’ils sont fatigants ces gens qui savent toujours tout. Il y a quelques semaines, lors d’une conférence que m’avait demandé une collectivité locale, un responsable d’un bailleur social m’expliquait qu’il ne fallait pas trop exagérer sur les risques de piratage informatique, de fuites de données… J’expliquais alors comment des malveillants s’attaquaient aussi aux locataires de logements sociaux. Le monsieur expliquait alors, pour conforter ses dires « depuis que j’ai un antivirus et le firewall incorporé […] je n’ai plus jamais eu d’ennui avec mon ordinateur portable« . Le monsieur travaillait pour un bailleur social de la région de Dunkerque (Nord de la France – 59). Et c’est justement à Dunkerque, chez un bailleur social, Le Cottage social des Flandres, qu’une nouvelle affaire de fraude au président vient de toucher la banlieue de la cité de Jean-Bart. Une manipulation des informations bancaires qui coûte 25% du chiffre d’affaires de la victime.

23 versements de 400.000 euros

Alors, cela n’arrive qu’aux autres ? L’entreprise Dunkerquoise n’est pas une structure à la Nestlé, Michelin, Total, Le Printemps. 140 employés, 6.000 locataires et un quelques 40 millions d’euros de chiffre d’affaires. Bref, une petite entreprise comme il en existe des dizaines de milliers en France. Le genre d’entité économique qui pense que les pirates informatiques, les escrocs ne s’intéresseront pas à elles. Erreur grave ! Pour Le Cottage social des Flandres, les professionnels de la Fraude au Président, la fraude au FoVI, se repartis avec 23 virements de plus de 400.000 euros. Bilan, 9,8 millions d’euros envolés dans les caisses d’une banque basée en Slovaquie. Autant dire que revoir l’argent revenir à la maison est peine perdue. D’autant plus que la fraude a couru du 7 avril au 23 mai. Piratage qui n’aura été découvert qu’un mois plus tard, au départ en vacances d’un dès comptable. Bref, en manquement évident de sérieux, et cela dans toutes les strates stratégiques de l’entreprise. Surtout à la lecture de la Voix du Nord : un responsable explique que l’arnaque était tellement bien montée que la société n’y a vu que du feu, et plus grave encore « On a les reins solides, on va pouvoir faire face. » Après tout, 9,8 millions d’euros « ne » représente que 25% du CA de cette société (Sic !).

Méthode rodée mais simple à contrer

Un exploit que cette fraude ? Les adeptes du social engineering (l’étude de l’environnement d’une cible avant de s’attaquer à son univers informatique) savent très bien que non. Dans l’affaire Dunkerquoise, un compte mail piraté aurait permis le début de cette fraude au président. Détail troublant, les courriels arrivaient ailleurs que sur une adresse type adresse@Cottages.fr ? Car si piratage il y a eu, c’est l’ensemble des services couplés au domaine qui ont pu être corrompu. A moins que le responsable usurpé utilisait un gMail, Yahoo! ou tout autre compte webmail. Toujours est-il que le pirate a mis la main sur une adresse officielle et a pu ainsi manipuler les employés.

Parce que pour éviter un FoVI, c’est aussi simple que de protéger son argent personnel, normal. C’est d’ailleurs très certainement là où le bât blesse. Ce n’est pas mon argent, donc j’en prends soin, mais pas trop. Penser que cela n’arrive qu’aux autres est une grande erreur. Éduquer vos personnels, éduquez-vous, patrons, dirigeants…

Pour éviter un FoVI, contrôler ses informations bancaires

N’autoriser le transfert d’argent qu’après applications de mesures décidées en interne, et quelle que soit l’urgence de la demande de manipulation des informations bancaires. D’abord, la somme d’argent. Plafonner le montant. Si ce montant dépasse le chiffre convenu, obligation d’en référer à la hiérarchie. Un élément qui doit obligatoirement faire « tiquer » dans les bureaux : la demande d’un second transfert, d’une nouvelle modification des Le mot-clé principal « informations bancaires » n’apparait pas dans le titre SEO de la page par la même personne, même entité, doit également être indiquée à la hiérarchie. « Paulo, c’est normal de faire 23 versements de 400.000 euros en 2 mois ? » – « Oui ! Le boss achète des chouquettes en Slovénie. Il me l’a dit par mail !« . La validation de transfert doit se faire par, au moins, deux personnes différentes, dont un supérieur hiérarchique.

Article original de Damien Bancal

Réagissez à cet article

Alerte sur Apple, le Trousseau d’accès mis en défaut par un nouveau malware

Téléchargé en pièce jointe ou depuis un site interlope, Keydnap se présente sous une forme bien innocente : une archive ZIP qui contient ce qui ressemble à une image (.jpg) ou un document texte (.txt). Sauf que le suffixe du document contient une espace, ce qui lance un Terminal, et non Aperçu ou TextEdit comme on peut s’y attendre.

En cliquant sur le document, un mécanisme se met en place qui fait prendre des vessies pour des lanternes. L’application attendue s’ouvre et présente le document qui va bien… sauf que dans l’intervalle, le fichier aura ouvert un Terminal (l’icône du Terminal apparait brièvement dans le dock avant d’être remplacée par celle de l’application standard). Une fois l’exécutable lancé, Gatekeeper prévient que le fichier provient d’un développeur non enregistré et qu’il ne peut pas ouvrir le document :

Ce message d’alerte intervient si et seulement si Gatekeeper n’autorise que les applications provenant du Mac App Store et des développeurs identifiés. Sur OS X El Capitan, on peut choisir de lancer une app téléchargée depuis « n’importe où », mais plus sous macOS Sierra.

Une fois lancé, le malware crée une porte dérobée et remplace le contenu de l’exécutable par un leurre téléchargé sur internet ou intégré dans le code du logiciel malveillant — il peut s’agir du document effectivement attendu, comme une image :

La porte dérobée créée par Keydnap est persistante, même si on multiplie les redémarrages du Mac. Il demandera aussi le mot de passe de la session, déguisé sous la forme d’icloudsyncd. Une fois en possession de cette information, il transforme le Mac en open-bar : l’objectif du malware est de récupérer les informations du Trousseau d’accès, qui contient les identifiants et mots de passe de vos logiciels et services en ligne.

À la lumière de cette nouvelle affaire, on comprend mieux pourquoi Apple exige maintenant des logiciels signés sur macOS Sierra.

Merci à Mickaël Bazoge pour son enquête et son article

Réagissez à cet article

Peut-on vraiment forcer les collectivités locales d’utiliser un « cloud souverain » ?

Une circulaire d’avril dernier, qui sert à rappeler le cadre légal applicable, écrit noir sur blanc qu’il est illégal d’utiliser « un cloud non souverain » pour les documents créés et gérés par les collectivités territoriales. Au-delà d’être illusoire, la mesure est en plus ubuesque. 

C’est une circulaire du 5 avril 2016 qui a remis le sujet sur le tapis. Relative à l’informatique en nuage, elle explique tout d’abord que les documents et données numériques produits par les collectivités territoriales « relèvent du régime juridique des archives publiques dès leur création ». Les archives publiques sont considérées comme « des trésors nationaux », et les données numériques ne font pas exception.

Le raisonnement est donc le suivant : pour protéger les « trésors nationaux », il convient de les conserver sur le territoire national pour ainsi dire garantir leur préservation. « Un trésor national ne peut pas sortir du territoire douanier français sinon à titre temporaire », souligne encore le texte. Pour les données numériques, il faut donc qu’elles soit traitées et stockées en France. Raisonnement logique… pour qui ne connaît pas vraiment le monde de l’informatique.

Les conséquences de la loi appliquée à la lettre

Concrètement, cela voudrait dire qu’une collectivité territoriale doit donc traiter et stocker ses données, anciennes et futures, sur le territoire. Et donc, dans des data centers installés sur le sol français. Ce qui implique que toutes les suites d’outils logiciels et bureautiques en mode cloud sont désormais interdites : Office 365 et les Google Apps (pour ne citer que les plus connues) sont désormais bannies puisque ni l’une ni l’autre ne sont en mesure de garantir un stockage sur le territoire national.

« L’utilisation d’un cloud non souverain (…) est donc illégale pour toute institution produisant des archives publiques », poursuit la circulaire. A savoir que la définition d’un cloud souverain pour la direction générale des collectivités locales (DGCL), qui dépend du ministère de l’Intérieur, est la suivante :

Modèle de déploiement dans lequel l’hébergement et l’ensemble des traitements effectués sur des données par un service de cloud sont physiquement réalisés dans les limites du territoire national par une entité de droit français et en application des lois et normes françaises.

Une circulaire « politique »

La circulaire s’appuie toutefois sur des textes de loi, et notamment sur les articles L211-1 et L211-4 du Code du Patrimoine, utilisés dans le Référentiel général de gestion des Archives. Mais, concrètement, cela traduit d’une part une méconnaissance de l’informatique en règle générale, d’autre part des mesures qui ne sont pas réalistes.

Responsable juridique du Syntec Numérique, Mathieu Coulaud nous explique tout d’abord que cela ne pénalise pas que Google ou Microsoft, mais aussi des acteurs européens ; l’Allemand T-Systems héberge par exemple de nombreuses données des collectivités territoriales françaises. D’autre part, il s’étonne « qu’aucune consultation et d’étude d’impact n’aient été réalisées ». Pour lui, cette circulaire est donc purement politique dans le sens où :

• Rien n’a été fait pour ouvrir le dialogue et s’informer des conséquences d’une telle mesure
• Cela dénote une incompréhension de la part des pouvoirs publics mais aussi les dissonances entre les différents ministères

« Nous avions écrit au directeur du SIAF (Service Interministériel des Archives de France) en 2015. Nous avons reçu sa réponse en janvier 2016, qui était en somme une fin de non-recevoir », poursuit Mathieu Coulaud. « Pour nous, ils confondent sécurité et localisation des données ». Effectivement, car même l’Anssi ne semble pas avoir été consultée, elle qui prépare un label « Secure Cloud » sensé garantir la souveraineté des données hébergées.

Exclusif : ce mercredi 6 juillet a lieu une réunion interministérielle qui réunit notamment Bercy, Matignon et le ministère de la Culture. Les administrations vont donc se parler et le sujet sera vraisemblablement à l’ordre du jour.

« Nous avons déjà été reçus par différents ministères (Economie, Culture, etc.) mais sans rien obtenir. Plusieurs recours sont possibles, notamment concernant l’accès à la commande publique. Nous estimons qu’il existerait avec cette circulaire une vraie discrimination entre les acteurs, ce qui est contraire à la loi. Le ministère de la Culture assure que tout est viable juridiquement, mais je n’ai rien pu vérifier », ajoute Mathieu Coulaud qui souligne : « nous nous réservons des actions possibles d’influence et de droit ».

Une double lecture

Le rappel du cadre légal a rapidement fait réagir de toutes parts. « Je ne peux m’empêcher de penser qu’il s’agit de fausses bonnes nouvelles pour les prestataires de services comme pour les collectivités locales », estime Christophe Lejeune, directeur général de l’entreprise nantaise Alfa Safety qui persiste : « Enfermer dans un cadre strictement national un service innovant comme le cloud est un contre-sens ». Pour le Syntec Numérique, la circulaire va à rebours du projet de loi République Numérique, crée des barrières protectionnistes et freinera la transformation numérique. Sans compter qu’elle ne dit rien sur la nature des données en elles-mêmes. « Si un DSI envoie un smiley, cela devient un trésor national !« , ironise Mathieu Coulaud.

Mais à bien y regarder, la circulaire en question n’est-elle pas fondamentalement positionnée pour défendre les enjeux nationaux ? Et pourquoi pas faire émerger un nouveau « cloud souverain » français, voire des alternatives logicielles en mode cloud ? Opportuniste, l’hébergeur du Nord OVH rappelle non seulement son implantation en France mais aussi ses certifications et finalement qu’il est un « acteur national responsable, capable d’héberger sans risque les données issues du travail et des archives des différentes institutions publiques ; créant ainsi un Cloud véritablement souverain et fonctionnel ».

Réagissez à cet article