Twitter renforce ses mesures de sécurité après plusieurs piratages

Le Monde.fr avec AFP | 23.05.2013

Twitter a annoncé mercredi 21 mai qu’il allait accroître ses procédures de sécurité après une série de piratages des comptes de grands groupes de médias et d’autres sociétés ces dernières semaines. Le réseau social a précisé qu’il allait mettre en place un nouveau système de contrôle des identifiants – « une seconde vérification pour être sûrs qu’il s’agit bien de vous«  – quand un utilisateur ouvre son compte.

« Vous aurez besoin d’une adresse email et d’un numéro de téléphone valides. Après un rapide test pour voir si votre téléphone peut recevoir des messages de Twitter, vous pouvez vous lancer », a expliqué Jim O’Leary, de Twitter Product Security. Facultatif, ce nouveau système de sécurité enverra un message sur le téléphone de l’abonné avec un code de vérification à entrer pour se connecter à Twitter, en plus du mot de passe traditionnel.

« Bien sûr, même avec cette option de sécurité activée, il est important que les abonnés utilisent un mot de passe sûr et qu’ils suivent le reste de nos recommandations pour que leur compte reste sécurisé », a ajouté Jim O’Leary.

COURRIELS PIÉGÉS

Les comptes de grands groupes de presse – Financial Times, Associated Press ou l’un de ceux de l’Agence France-Presse – ont récemment été détournés. Un groupe baptisé Syrian Electronic Army (« Armée électronique syrienne », SEA), visiblement affilié au régime de Bachar Al-Assad, a revendiqué les piratages des comptes de l’AFP, d’AP et d’autres médias.

Le site satirique américain The Onion, lui aussi victime de ces pirates début mai, a donné des précisions sur l’attaque dont il a été victime, décrivant comment certains de ses employés avaient reçu des courriels piégés pour que les pirates récupèrent leurs mots de passe. Twitter avait aussi rapporté en février avoir été touché par une attaque informatique « sophistiquée » au cours de laquelle les mots de passe de 250 000 utilisateurs avaient été dérobés.

 

Publicité

La paranoïa, méthode favorite des experts en cybersécurité

Source : Reuters      

17/05/2013

                                                  Personne n’est en sécurité dans le monde numérique, même les experts! Soyez méfiants et paranoïaques, conseillent donc les professionnels de la sécurité informatique et des responsables politiques américains à l’occasion du sommet sur la cybersécurité organisé par Reuters cette semaine. /Photo d’archives/REUTERS/Régis Duvignau            

Personne n’est en sécurité dans le monde numérique, même les experts! Soyez méfiants et paranoïaques, conseillent donc les professionnels de la sécurité informatique et des responsables politiques américains à l’occasion du sommet sur la cybersécurité organisé par Reuters cette semaine.

« Il y a deux types de personnes: celles qui n’ont jamais été piratées et celles qui ignorent l’avoir été », résume Michael Chertoff, ancien secrétaire à la Sécurité intérieure.

Dans leur vie professionnelle, les experts en cybersécurité utilisent les innovations technologiques les plus récentes pour protéger les réseaux informatiques des attaques. Mais quand il s’agit de protection personnelle, à la surprise générale, beaucoup se contentent de techniques bien plus rudimentaires.

Michael Chertoff, devenu consultant en sécurité après avoir quitté l’administration Bush en 2009, explique ainsi qu’il ne se sert pas du courrier électronique quand il est au bureau, afin de ne pas ouvrir une voie potentielle d’accès à son réseau. Janet Napolitano, qui lui a succédé à la Sécurité intérieure, fait de même.

Eugene Kaspersky, dont le groupe éponyme édite des logiciels anti-virus, utilise un téléphone mobile Sony Ericsson vieux de six ans, estimant qu’il est plus difficile à pirater que les derniers modèles de smartphones.

« Je suis quelqu’un de prudent », explique-t-il. « Je suis paranoïaque (…) Je soupçonne chaque lien et chaque courriel ».

D’autres pontes de la cybersécurité recommandent aux utilisateurs de stocker leurs données critiques en dehors des disques durs et de diffuser peu d’informations personnelles sur les réseaux sociaux.

Mais rares sont ceux qui en tiennent compte, y compris les membres de leur famille.

TESTS

« Ma soeur est un test vivant pour les logiciels malveillants (…) Quand je rentre chez moi dans le New Jersey, je dois jouer le support technique », raconte George Kurtz, directeur général de la société en sécurité CrowdStrike.

« Oui, je suis paranoïaque à la maison et je joue même les pare-feu pour mes enfants », ajoute-il.

Richard McFeely, directeur adjoint du FBI, raconte que sa fille lui a demandé de vérifier un lien reçu par courriel que l’expéditeur la pressait d’activer pour visionner une vidéo sur YouTube.

Il s’est avéré alors que le courriel était du « phishing », une technique répandue consistant à faire croire à la victime qu’elle s’adresse à un tiers de confiance afin d’obtenir des renseignements personnels.

« Ma fille aurait pu facilement en être victime si je n’avais pas été assis à côté d’elle », explique Richard McFeely.

Pour se prémunir du phishing, le North American Electric Reliability Corp, un organisme chargé du contrôle de la sécurité du réseau électrique aux États-Unis, teste chaque trimestre ses 200 salariés avec de faux courriels, explique son directeur général, Gerry Cauley.

Toute personne qui clique sur le lien doit se soumettre à une heure de formation avec le département informatique et un entretien avec le directeur général lui-même.

« Je leur explique combien c’est important. C’est la voie d’accès privilégiée en matière de sécurité du réseau », souligne-t-il.

Lors du premier test, vingt employés avaient cliqué sur le faux lien. Ils n’étaient plus que huit lors du dernier test, ajoute Gerry Cauley.

Claude Chendjou pour le service français, édité par Marc Angrand

Vie privée : les CNIL de plusieurs pays auditent « les 250 principaux sites » Internet

Réglementation : La CNIL annonce qu’elle passe la journée à faire le tour des règles de confidentialité des principaux sites web, notamment sur les moyens d’information mis à disposition des utilisateurs.

ZDNet.fr | Lundi 06 Mai 2013

La CNIL va se pencher sur 250 sites, considérés comme les plus importants par l’audience, et leur politique en matière de protection de la vie privée. Plus spécifiquement, elle précise dans son communiqué que c’est l’information des utilisateurs sur ces politiques qu’elle compte auditer.

Un « audit en ligne » qui se tient toute cette journée de lundi, et s’inscrit dans une action plus large du Global privacy enforcement network (GPEN), regroupement international des autorités de protection des données privées.

Internet Sweep Day

« Une vingtaine d’autorités vont, simultanément, analyser les mentions d’information présentes sur les principaux sites web (dont la liste n’a pas été rendue publique) à l’occasion de l’Internet Sweep Day. » Cette opération conjointe devra répondre à plusieurs questions, explique la CNIL :

• Quelles données collectées ?
• Pour quoi faire ?
• Sont-elles transmises à des tiers ?
• Est-il possible de s’opposer à cette transmission ?
• Les mentions d’information sont-elles claires et compréhensibles ?

La CNIL affirme qu’elle ne s’interdira pas de réaliser « des contrôles approfondis » si nécessaire, dans un second temps. Voire « d’ouvrir des procédures de sanction ». Si la grille d’analyse commune annoncée par l’autorité a un intérêt en soi, on espère également pouvoir trouver les différences d’analyse entre les différentes CNIL.

Les GPEN annonce par ailleurs de futures collaborations de ce type, et « une communication globale » afin de « sensibiliser les acteurs d’internet sur l’importance des mentions d’information qui doivent être présentes sur leurs sites web et les internautes sur le respect de leurs droits en ligne ».

Microsoft reconnaît une faille exploitée dans Internet Explorer 8

Sécurité : Une nouvelle vulnérabilité découverte dans Internet Explorer 8 peut permettre l’exécution de code à distance via une page Internet piégée. Elle est déjà exploitée pour des attaques malveillantes.

Par l’agence EP | Lundi 06 Mai 2013

Vendredi, Microsoft a publié un bulletin de sécurité annonçant l’existence d’une faille de sécurité dans Internet Explorer 8. Une faille de type « zéro day » qui est d’ores et déjà exploitée au travers d’attaques malveillantes.

La vulnérabilité se situe au niveau de la gestion mémoire du navigateur qui pourrait être « corrompue ». Le scénario, classique, consiste à piéger une page Internet afin d’exécuter du code à distance.

Microsoft assure que la faille ne concerne pas ses autres navigateurs Internet Explorer 6, 9 et 10. Il n’en reste pas moins qu’IE8 est la version la plus utilisée avec 23,08% de parts d’usage (sourceNetApplications).

Attaques via des hackers chinois ?

ComputerWorld cite plusieurs experts en sécurité selon lesquels les attaques exploitant cette vulnérabilité seraient dirigées contre des agences gouvernementales selon un mode opératoire qui laisse penser qu’elles émanent de hackers chinois.

Microsoft confirme qu’il compte diffuser un correctif, soit lors du prochain Patch Tuesday prévu le 14 mai ou bien via une mise à jour exceptionnelle. (Eureka Presse)

LivingSocial piraté : 50 millions d’internautes concernés

Sécurité : LivingSocial, site de 70 millions d’utilisateurs dans le monde, a été victime d’une attaque ciblée ayant compromis les données personnelles d’une partie de ces internautes.

ZDNet.fr | Lundi 29 Avril 2013

Le site américain de coupons, LivingSocial, a été la cible d’une intrusion informatique. Et d’après un email interne de l’entreprise, obtenu par AllThingsD, le ou les pirates ont eu accès à une base de données du site contenant des informations clients : noms, emails, dates de naissance, mots de passe (chiffrés)…

Détenu en partie par Amazon, LivingSocial revendique près de 70 millions de clients dans le monde. Mais en tout, ce serait plus de 50 millions de ces clients dont les données personnelles auraient été compromises.

Les données bancaires ne seraient en revanche pas concernées par cette attaque, celles-ci étant stockées dans une base de données distincte. Pour remédier à la compromission des mots de passe, le PDG de LivingSocial a décidé d’une réinitialisation – après dans un premier temps avoir préconisé aux utilisateurs de changer ce mot de passe.

Interrogée la direction du site n’a pas souhaité répondre aux questions, notamment sur le type d’attaque utilisé par les pirates. Un silence justifié par « l’enquête en cours ».

Piratage d’un site américain d’achats en ligne: 50 millions de comptes de clients violés

SAN FRANCISCO, 27 avr 2013 (AFP) – Des pirates informatiques ont attaqué un site d’achats discount en ligne cautionné par le distributeur américain Amazon.com et ont violé les comptes de 50 millions de ses membres, a annoncé vendredi le site spécialisé All Things Digital.  
Les noms, dates de naissance, ainsi que des mots de passe cryptés ont été dérobés lors d’une cyber-attaque du site LivingSocial, selon All Things Digital.  
  Aucune carte de crédit ni aucune information financière n’ont été volées pendant l’attaque, a cependant précisé AllThings Digital, citant un mail adressé par le directeur de LivingSocial à ses employés.  
LivingSocial est une firme basée à Washington qui fournit des remises commerciales à quelque 70 millions de clients dans le monde, notamment aux Etats-Unis, en Asie, en Europe et en Amérique Latine.  

 

La Cnil confirme la grande indiscrétion de nos smartphones

Avis d’expert : Depuis un an, la Commission nationale Informatique et Libertés et l’Inria ont scruté les données enregistrées, stockées et diffusées par les smartphones, et en premier lieu l’iPhone. Les résultats sont sans surprises mais font froid dans le dos.

Mardi 09 Avril 2013

Dans un tout récent sondage de BVA pour le Syntec Numérique, il apparaît que 77% des Français doutent de la sécurité des données privées sur tablettes et smartphones. Cela n’empêche pas ces terminaux de se vendre par millions mais il apparaît clairement que la question des données devient prégnante pour les utilisateurs.

La Cnil (Commission nationale informatique et libertés) a voulu en avoir le coeur net, à travers une approche scientifique. Depuis un an, l’autorité indépendante et l’Inria ont scruté les données enregistrées, stockées et diffusées par les smartphones, et en premier lieu l’iPhone.

Ce projet, baptisé Mobilitics, s’articule sur le laboratoire d’innovation de la Cnil et un partenariat avec l’Inria qui a développé un logiciel de collecte d’événements et de données transmises par ces terminaux.

L’objectif est de mettre en place une expérimentation « in vivo ». Ainsi, l’outil de collecte a été implémenté dans 6 iPhone distribués à des volontaires de la Cnil qui les ont utilisés en tant que téléphone principal pendant trois mois.

« Des volumes de données impressionnants »

Les résultats ne sont pas représentatifs puisque les testeurs ont utilisé librement l’iPhone et les applications mais la Cnil souligne que ses résultats, pour le moment préliminaires, illustrent assez bien les usages courants des mobinautes.

Reste que les conclusions, si elles sont sans surprises, confirment que le smartphone, en l’occurrence l’iPhone (une étude Android viendra plus tard) vous suit à la trace et envoie une quantité colossale de données, des envois pas toujours justifiés.

Ainsi, les tests menés ont généré pas moins de 7 millions d’événements (envois de données, accès à des informations personnelles, accès au réseau, géolocalisation etc…) soit 9 Go de données à traiter, à travers 189 applications utilisées.

On peut donc bien affirmer que la boîte noire qu’est le smartphone fonctionne à plein régime lors de l’utilisation d’applications. Concrètement, dans 93% des cas, l’application accède au réseau.

« Pour de nombreux outils cela se justifie mais un jeu a-t-il vraiment besoin de se connecter au Web », s’interroge la Cnil qui souligne que ces accès se font « sans une information claire des utilisateurs ».

Dans 46% des cas, l’application accède à l’UDID (identifiant unique Apple) qui permet au développeur de tracer l’utilisateur, notamment à des fins publicitaires. 33 applications des 87 qui envoient cette donnée le font « en clair » et plusieurs fois dans la même session.

La Cnil met ainsi en avant l’application d’un quotidien qui a accédé 1989 fois à l’identifiant unique et l’a transmis 614 fois à l’éditeur, lors des trois mois du test… Il apparaît d’ailleurs que les applis de la catégorie « Actualités » sont les plus friandes de cet accès.

Si Apple a d’ores et déjà annoncé que l’UDID ne serait plus accessible aux développeurs, « il a introduit de nouveaux identifiants dédiés au ciblage (et) la question de l’information et du contrôle demeure », souligne la Cnil.

Dans 31% des cas, l’application accède à la géolocalisation. Encore une fois, la Commission s’interroge sur ce volume, estimant que cet accès ne se justifie pas toujours.

Concrètement, 41 000 événements de géolocalisation ont été enregistrés pour les 6 testeurs pendant 3 mois…, soit une moyenne de 76 par jour et par volontaire. « Nous avons été surpris par un tel volume », commente d’ailleurs les responsables en charge du projet.

Responsabiliser tous les acteurs de la chaîne de valeur

Et de poursuivre : « que ce soit de façon délibérée, par facilité ou en raison d’une erreur de développement, cela conduit à une permanence des accès à la localisation par une pléiade d’applications ».

Enfin, les tests ont montré que 16% des applications utilisées accèdent au nom de l’appareil (pour un usage de cette donnée qui est peu clair, note la Cnil), 10% à des comptes, 8% au carnet d’adresses, 2% au compte Apple et au calendrier.

Ces résultats, encore à affiner, font froid dans le dos. Quels sont alors les moyens d’agir. A travers le G29, les Cnil européennes ont listé un certains nombre de recommandations.

Il s’agit de responsabiliser tous les acteurs de la chaîne de valeur. « Les développeurs doivent intégrer dès le départ les problématiques informatique et libertés dans une démarcher privacy by design. Les boutiques d’applications doivent inventer des modes innovants d’information et de recueil du consentement. Les acteurs tiers ne doivent collecter que les données nécessaires et ce en toute transparence. Enfin, un contrôle plus fin des paramètres de l’OS pourrait être proposé sans dégrader l’expérience utilisateur ».

Car l’utilisateur est en première ligne. Reste que sa marge de manoeuvre est étroite tant le paramétrage d’un smartphone est complexe. Modifier le suivi publicitaire sur iOS prend ainsi 5 étapes… La Cnil et l’Inria ont d’ailleurs développé un outil assez simple afin de paramétrer les autorisations pour chacune des applications installées.

Reste qu’Apple interdit ce genre d’outil qui modifie son OS. On ne le verra jamais dans l’AppStore, ce qui est bien dommage. « Il y a d’autres solutions à mettre en place, notamment en matière de communication », insiste la Cnil. Mais est-ce vraiment suffisant.

Par ailleurs, on peut se demander si dans certains cas, les éditeurs d’applications ne jouent pas avec la légalité. « On va pousser nos recherches pour comprendre. Ensuite, on pourra dire s’il y a action malveillante ou pas », nous explique Stéphane Peticolas, ingénieur expert pour la Commission.

« On ne fait pas ces tests pour poursuivre tel ou tel éditeur. Nous sommes dans un cadre de recommandations de bonnes pratiques, afin de faire passer des messages aux acteurs du secteur, en complément des préconisations du G29 », précise Isabelle Falque-Pierrotin de la Cnil.

30% des attaques informatiques réalisées depuis la Chine

Sécurité : Selon un rapport de sécurité de Verizon, 30% des vols de données ont pour origine une adresse IP chinoise, et dans 96% des cas, le motif de l’intrusion est le cyber-espionnage.

ZDNet.fr | Mardi 23 Avril 2013

Voilà un nouveau rapport de sécurité qui devrait, cette fois encore, faire grincer des dents parmi les dirigeants chinois. Une étude réalisée par Verizon, un opérateur américain, épingle en effet une nouvelle fois la Chine

Selon ce rapport de sécurité, 30% des fuites de données examinées sont consécutives à une intrusion depuis une adresse IP chinoise – ce qui ne fait toutefois pas pour autant du pouvoir politique chinois le commanditaire de ces attaques.

Roumanie : premier pour les attaques motivées par l’argent

Autre information avancée par Verizon, pour ces attaques depuis la Chine, dans 96% des cas la motivation est liée au cyber-espionnage. De quoi étayer les critiques faites par Eric Schmidt. Selon le dirigeant de Google, la Chine est le pays étranger espion le plus sophistiqué et prolifique.

 Toutefois, d’après Verizon, la Chine (en termes d’origine des attaques) se placent seulement d’une courte tête devant la Roumanie. Les motifs sont néanmoins totalement différents pour ce pays, les attaques étant d’abord motivées par la recherche du profit.

Quant aux Etats-Unis, ils se classent troisième dans ce bien peu prestigieux classement avec 18% d’adresses IP associées aux attaques. Mais Verizon n’y distingue pas de volonté de cyber-espionnage. Une volonté plutôt tournée vers l’extérieur de ses frontières ?

Piratage : les PME au centre de la communication des éditeurs de sécurité

Sécurité : Les études alarmistes des acteurs de la sécurité se multiplient : les PME seraient la nouvelle cible privilégiée des pirates internationaux.

ZDNet | Mercredi 17 Avril 2013

Les éditeurs de sécurité semblent aujourd’hui vouloir atteindre une nouvelle cible : celle des PME. Et les moyens de sensibilisation sont connus : avec des études bien alarmistes, les géants du secteur entendent convaincre ces entreprises de s’équiper de leurs solutions de protection.

Tant pis si la notion de PME est perçue au sens large. Ainsi pour Symantec, une PME est une entreprise de moins de 250 salariés… Et selon son rapport annuel, ces entreprises auraient concentré l’an passé 31% des attaques ciblées dans le monde contre 18% un an plus tôt.

Des entreprises qui s’estiment protégées

La même journée de cette annonce, Check Point Software lui emboîte le pas avec un communiqué de presse tout aussi inquiétant : « Les entreprises sont plus que jamais la cible de pirates informatiques. Mais si jusque là les grosses entreprises étaient des cibles privilégiées, aujourd’hui les attaques visant les TPE et PME sont en augmentation constante. » lance Christophe Badot, Directeur Général de Check Point Software France.

« Ce n’est pas parce que leurs structures sont de petites tailles qu’elles n’intéressent pas les hackers, au contraire elles possèdent souvent des informations confidentielles sur leur clients, parfois des brevets ou des données bancaires et la faible protection de leur réseau les rend très vulnérables ».

Un argumentaire repris par Symantec qui explique aux Echos : « Les PME s’estiment souvent à l’abri des attaques, mais les cybercriminels sont aussi attirés par leurs coordonnées bancaires, leurs données commerciales et leur propriété intellectuelle ».

Donc, à entendre les éditeurs de sécurité, les PME auraient tout simplement passé à la trappe ces questions et les investissements qui y sont liés. Heureusement pour elles, les géants du secteur sont là pour y remédier.

Piratage : vers un « choc de sécurité » imposé aux entreprises sensibles ?

Sécurité : Le Livre blanc de la Défense, qui sera remis au Président de la République dans quelques jours, pourrait imposer des mesures drastiques de sécurité informatique aux entreprises sensibles et aux autres.

ZDNet.fr | Mercredi 10 Avril 2013

Alors que les attaques informatiques et l’espionnage numérique contre les Etats et les entreprises ne cessent de prendre de l’ampleur dans le monde, quel est le niveau de sécurité des entreprises françaises ?

Le débat est connu mais les réponses sont parcellaires tant les entreprises demeurent discrètes sur ce point, refusant d’évoquer par exemple les attaques dont elles ont été victimes. 

Mais selon les observateurs, dont l’Agence nationale de la sécurité des systèmes d’information (Anssi), ce niveau de sécurité est aujourd’hui trop faible au regard des menaces et des nouveaux risques liés notamment à l’intrusion des terminaux mobiles personnels dans les entreprises (le fameux BYOD).

Audits et contrôles renforcés

Une situation qui doit être améliorée : c’est un des points centraux du Livre blanc de la défense qui sera publié dans les prochains jours et remis au président de la République.

Selon Les Echos, une des préconisation proposée est d’imposer « aux 250 opérateurs d’importance vitale, mais pas seulement, de protéger  leurs systèmes d’informations de manière drastique et de rendre obligatoire la déclaration de la moindre attaque  informatique ». Si ces propositions sont avalisées par le gouvernement sous la forme d’une loi, il s’agira d’un changement très important pour les entreprises.

L’expression est à la mode mais il s’agirait pour les auteurs du Livre blanc d’imposer un « choc de sécurité » aux entreprises. Niveau protection, il s’agirait de doter les entreprises sensibles (mais pas seulement) de matériels et logiciels labellisés et opérés en France.

L’Anssi pourra également effectuer des audits et des contrôles afin de vérifier ces mises en conformité. Reste que cette mission ne pourra être réalisée que si les effectifs de l’agence soient relevés.

Reste la question du budget : si les grands groupes auront la capacité de mettre en place ces politiques, il pourrait en en être autrement pour les PME, notamment celles qui seront également considérées comme sensibles car sous-traitantes par exemple de firmes importantes.