Publié le 02-02-2009 à 16:15:24 dans le thème Réseau - Sécurité

Pays : International - Auteur : Damien Bancal

Pub : Tous les logiciels antiphishing gratuits disponibles sur Internet

Se faire voler ses données sur la toile, plus rapide que l´on pourrait le penser. En quelques clics de souris, les cyber escrocs peuvent se faire un joli bas de laine sur le dos des internautes. Explication.

Juliette a 30 ans. Cette jeune française surfe comme plusieurs millions d'internautes de part le monde. Confiante, et elle le peut dans la majorité des cas, Juliette achète sur la toile des disques, des livres, du parfum et autres cadeaux. Seulement, elle ne prête pas vraiment garde aux sites chez qui elle peut laisser ses données. Voici plusieurs cas rencontrés par la rédaction de ZATAZ.COM (même si l'histoire de Juliette est imaginaire, NDR) de fuites de données qui, dans le pire des cas, permettent aux pirates informatiques et autres cyber-escrocs de faire main basse sur les économies de leurs victimes.

L'interception clavier
Juliette n'a pas prêté garde et à laisser son ordinateur ouvert aux quatre vents. Sa sœur, son fils, des amis, l'utilisent parfois. Seulement, lors d'un clic douteux, un pirate a réussi à installer dans la machine familiale, et qui sert aussi au bon fonctionnement de la PME de Juliette, un logiciel espion. Un code malveillant de type cheval de Troie qui a pour seule et unique mission, infiltrer les petits secrets de l'ordinateur ainsi piégé. La moindre frappe clavier de Juliette est sauvegardée, triée et envoyée au pirate. Autant dire que les mots de passe qui passeront par là seront offerts en pâture à l'escroc.

Solution : Vous ne laissez jamais une personne télécharger le moindre programme, sur votre machine, sans votre accord. Installer un logiciel antivirus et penser à allumer à installer un firewall.

Tiers de confiance
Juliette a une machine saine, fiable et sécurisée par un antivirus et des mises à jour dignes de ce nom. Elle achète donc les yeux fermés sur la toile. Laissant informations et données bancaires sur le premier site qui passe. Sans vérification, elle clique et clique encore dès qu'une opportunité commerciale lui apparait. Erreur grave. Un courriel électronique, signait d'une grande marque, lui propose un rabais de - 70 % sur le dernier gadget à la mode. Juliette ne regarde pas vraiment les adresses URL proposaient. Elle sélectionne et se retrouve sur l'espace numérique qu'elle aime tant. Seulement, un pirate profitant d'une faille dans la conception de cette grande enseigne, s'est immiscé entre Juliette et le commerçant en ligne. Une attaque baptisée l'homme du milieu (HDM) ou man in the middle attack (MITM). Bilan, alors que Juliette tape ses identifiants, le cyber escroc reçoit les données en temps réel. Il n'aura plus qu'à usurper l'identité de sa victime pour profiter des soldes.

Solution : Vous préférerez toujours taper l'adresse de votre site favoris dans la barre de votre navigateur. Évitez le plus possible de cliquer sur des liens fournis par courriels, MSN, ...

Stockage massif... sur Internet
Juliette a sécurisé son ordinateur, vérifie la moindre adresse Internet qu'elle reçoit. Juliette préfère taper elle même l'url des sites qu'elle décide de visiter. Bref, la confiance règne. Mais Juliette ne vérifie pas la situation géographique du site qu'elle souhaite utiliser. Elle ne vérifie pas non plus si ce dernier à pignon sur rue. Si une assurance protège les transactions. Si le webmasteur a fait une copie de son serveur de base sur un espace FTP qu'il a oublié de protéger. Bilan, Juliette a laissé ses données privées sur un site pourtant de confiance, mais qui ne prend pas vraiment en compte la Loi Informatique et Liberté (1978 - CNIL). Un administrateur, lors d'une mise à jour, a oublié d'effacer les données qu'il venait de déposer sur un petit FTP. Un administrateur qui a pu aussi oublier de protéger sa page d'administration. Les pirates le savent et exploitent des outils qui leur ouvrent ces portes. Des cavernes remplies de renseignements qu'ils s'empressent de piller.

Solution : Préférez les paiements par carte bancaire virtuelle. Des services bancaires (Crédit Mutuel, BNP, ...) permettent d'acquérir un numéro de carte bleue unique, valable pour un seul achat et pour un seul montant. Même en cas de "fuite", le pirate ne pourra rien en faire. La Banque Populaire propose, par sa part, un boitier qui génére un code aléatoire et unique pour toute transaction.

35 millions d'américains, et moi, et moi, et moi ?
La transparence est de mise aux États-Unis. La loi oblige les société à informer la justice dès qu'une fuite de données est détectée. Bilan, en 2008, 656 pertes de fichiers sensibles ont été recensées par l’Identity Theft Resource Center (ITRC), une entité étatique en charge de regrouper les informations liées aux alertes des entreprises. Plus de 82 % des cas concernaient des fichiers informatiques. Dans 30% des cas, les fuites étaient liées à des attaques informatique du système, d'un piratage et d'un employé mal intentionné. En France la loi n'oblige aucunement ce type de recensement, au grand bonheur des entreprises qui peuvent ainsi cacher fuites et autres piratages de leurs données. Voir taper sur le coin de la souris sur les journalistes qui auraient l'audace d'en parler, ce qui est notre cas [lire].

La Commission Nationale de l'Informatique et des Libertés (CNIL) rappel sur son site quelques éléments bons à retenir comme celui d'éviter la « dilution » des données archivées dans le système informatique de l’entreprise. En application de l’article 34 de la loi du 6 janvier 1978 modifiée, les responsables de traitements doivent mettre en œuvre les mesures techniques et d'organisation appropriées pour protéger les données archivées notamment contre la diffusion ou l'accès non autorisés ainsi que contre toute autre forme de traitement illicite. "Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès."

Ces mesures doivent assurer un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger. La CNIL recommande que l’accès aux archives intermédiaires soit limité à un service spécifique et qu’il soit procédé, a minima, à un isolement des données archivées au moyen d’une séparation logique (gestion des droits d’accès et des habilitations). Elle recommande également que les archives définitives soient conservées sur un support indépendant, non accessible par les systèmes de production, n’autorisant qu’un accès distinct, ponctuel et précisément motivé auprès d’un service spécifique seul habilité à consulter ce type d’archives.

Elle recommande enfin de mettre en œuvre des dispositifs sécurisés lors de tout changement de support de stockage des données archivées ainsi que de mettre en œuvre des dispositifs de traçabilité des consultations des données archivées.

Business pirate: 202 dollars par dossier piraté 

Février 2009, le Wall Street Journal révélait que le coût moyen d'une violation de données aura coûté 6,6 millions de dollars, en 2008, par entreprise américaine touchée. Un chiffre en augmentation par rapport à 2007. L'étude est signée par le cabinet américain Ponemon Institute.

Sur 43 entreprises américaines étudiée, le coût de la violation de données a atteint en moyenne 202 dollars par dossier piraté. + 2,5% par rapport à 2007. La somme annoncée, 6,6 millions de dollars, représente "les coûts directs et indirects" du piratage, y compris ceux concernant la notification aux victimes, la mise en place d'un support technique à leur intention, ainsi que les dépenses en frais de justice, d'enquête et administratifs, explique le WSJ, Ce sont les entreprises de services médicaux ou financiers qui perdent le plus de clients suite à un piratage de leurs données (...) Un dossier médical piraté génère un coût moyen de 282 dollars, contre 131 dollars pour un fichier commercial. (...) La négligence est à l'origine de la plupart des violations de données."

Le cabinet d'étude enfonce le clou en montrant du doigt les clès USB, baladeur numérique, ... 44 % des vols de données recensés par Ponemon Institute sont le fait de tiers comme les fournisseurs, les clients, les partenaires commerciaux. 4 % de mus qu'en 2007 et 23 % de hausse par rapport à 2005.

Tweet

L´ANSSI recrute de manière originale

06-02-2012 à 19:16 - 0 commentaire(s)

INFO ZATAZ - L´Agence Nationale de la Sécurité des Système d'Information lance un recrutement fort sympathique pour les amateurs de chiffrement.

Nouvelle attaque à l´encontre des clients du Crédit Agricole

05-02-2012 à 10:43 - 0 commentaire(s)

INFO ZATAZ - Nouvelle tentative de vol de données bancaires appartenant aux clients de la banque française Crédit Agricole.

Sauvegarde des conversations téléphoniques pour France télévision

04-02-2012 à 11:42 - 0 commentaire(s)

INFO ZATAZ - Un document intéressant mis à jour sur Internet visant les sociétés souhaitant faire du business avec France Télévision.

Faille sur le site Wikileaks

04-02-2012 à 11:27 - 0 commentaire(s)

INFO ZATAZ - Une faille sur le site Wikileaks permet d´afficher n´importe quoi, donc de fausses informations, sur le portail international d´information.

Piège sur Facebook

04-02-2012 à 10:59 - 0 commentaire(s)

INFO ZATAZ - Un escroc se fait passer pour Coca Cola, sur Facebook, afin de mettre la main sur vos données privées.

Arnaque aux logements

04-02-2012 à 10:53 - 0 commentaire(s)

INFO ZATAZ - Depuis quelques heures, un escroc tente de louer de faux appartements en région parisienne. ZATAZ vous l´a délogé.

Une conférence téléphonique du FBI piratée par des Anonymous

04-02-2012 à 10:21 - 1 commentaire(s)

INFO ZATAZ - Une conférence téléphonique entre FBI et plusieurs polices européennes, dont la France, au sujet des Anonymous, interceptée.

La Ville de Chambéry corrige une fuite de données

04-02-2012 à 10:05 - 1 commentaire(s)

INFO ZATAZ - Avec l´aide du CERTA, le site Internet de la ville de Chambéry bouche une fuite de données concernant les administrés de cette commune Française.

Faille sur le site Wikileaks

INFO ZATAZ - Une faille sur le site Wikileaks permet d´afficher n´importe quoi, donc de fausses informations, sur le portail international d´information.

La Ville de Chambéry corrige une fuite de données

INFO ZATAZ - Avec l´aide du CERTA, le site Internet de la ville de Chambéry bouche une fuite de données concernant les administrés de cette commune Française.

Prudence aux liens vers Darty et ELLE

Des vulnérabilités ont été découvertes sur les sites RueDuCommerce, Darty et du journal ELLE. Prudence aux liens exterieurs.

Quand des Anonymous tapent sur des Anonymous, ça mousse

INFO ZATAZ - Des Anonymous reprochent à d´autres Anonymous d'avoir piraté des sites appartenant à la mouvance d'extrême droite. Pour les punir, leurs identités sont diffusées sur la toile.

Les informations confidentielles de 541 policiers Français diffusées par les Anonymous

Les Anonymous diffusent sur Internet l´identités et des informations confidentielles de plusieurs centaines de policiers Français.

Faille pour Myspace

Info ZATAZ - Une vulnérabilité de type Cross-Site Scripting vise le portail communautaire MySpace.

Multiples failles pour le site économique Forbes

INFO ZATAZ - Plusieurs vulnérabilités touchent le site économique américain Forbes. Les lecteurs peuvent être touchés directement.

La ville de Béthune corrige une fuite de données

INFO ZATAZ - Une méga fuite de données permettait d´accéder à une imposante base de données appartenant à la Mairie de Béthune.