Site sécurité- Crédit Agricole

Information Sécurité

Les risques sur internet

Protéger mes données bancaires

Nos engagements

L'actu sécurité informatique by Crédit Agricole Pyrénées Gascogne

Édition #2 (Mars 2018)

Édito


La sécurité faisant partie des préoccupations premières d’une banque comme le Crédit Agricole Pyrénées Gascogne, sa dimension informatique (cyber) est devenue un enjeu majeur aujourd'hui.

Il nous semble important de partager notre connaissance dans ce domaine avec l'ensemble de nos clients. Hameçonnage, cryptage de données, demande de rançon, ingénierie sociale... ces cas sont nombreux et arrivent régulièrement.

La CyberSécurité est une problématique majeure pour notre Caisse Régionale, c'est en effet le thème retenu par 7 Caisses Locales comme sujet principal de leurs Assemblées Générales en 2018. Nous participons également à de nombreux événements de sensibilisation comme les Rencontres de la CyberSécurité le 21 mars 2018 au Palais Beaumont de Pau, dont nous sommes partenaires et organisons le 11 avril prochain le deuxième Café de la CyberSécurité, à Cologne (32).

Aussi, au travers de cette newsletter, nous vous proposons de retrouver un ensemble d'articles traitant de cas concrets rencontrés par des entreprises mais aussi des clients du territoire, de bonnes pratiques en matière de sécurité et un article thématique sur un sujet d'actualité.

Bonne lecture,


Photo Vincent de Bellefon

Vincent de BELLEFON
Directeur Informatique, Organisation & Logistique

Bonne pratique
"Sécuriser son poste de travail"


La protection du poste de travail est essentielle. En effet un ordinateur mal protégé peut mettre en péril non seulement les informations stockées sur le poste lui-même, mais aussi l’ensemble des systèmes auquel il se connecte.

Une fois qu'un accès non autorisé est utilisé, l'appareil peut devenir la porte d'entrée vers des systèmes plus sensibles dès lors qu'un logiciel espion a pu être installé à l'insu de l'opérateur..

Votre comportement face à ce risque est essentiel, il faut prendre conscience des règles élémentaires afin de renforcer la sécurité de cet outil de travail :

  • Sauvegarde systématique et quotidienne des données
  • Mise à jour régulière de vos logiciels
  • Chiffrement des supports de stockage
  • Mots de passe robustes et personnels
  • Utilisation prudente d’Internet (téléchargements,utilisation de services en ligne)

Que faire ?

Ne jamais laisser un ordinateur allumé avec une session utilisateur ouverte, laissé sans surveillance, même peu de temps (pause-café, etc.). Ceci permet à un intrus d’usurper facilement votre identité sans votre mot de passe principal et même de voler les autres mots de passe présents sur votre poste de travail.

Astuce : La simple combinaison de touches : CTRL - Alt - Suppr puis Entrée permet de verrouiller instantanément votre session de travail et protège votre poste des intrusions.

Sécuriser son poste : Les Bonnes Pratiques

Indicateurs sécurité


  • 2.25 millions d'€ c’est le coût des cyberattaques subies par les entreprises françaises en 2017.
  • 6 milliards d’individus victimes de cyberattaques d’ici 2022.
  • 54% des utilisateurs s’estiment prêts à débourser plus de 100$ pour récupérer leurs fichiers en cas de ransomware.
  • 12 millions d’identifiants subtilisés grâce au phishing en 2017.

Évènements


  • 21 mars / Pau / Les Rencontres de la Cybersécurité
  • 3 avril / Le Mans / 6ème Congrès de la Sécurité des SI de Santé
  • 11 avril / Cologne / 2ème Café de la CyberSécurité
  • 23 avril / Lyon / The Web Conference

C'est arrivé ailleurs
"Le Scandale Ashley Madison"


Le site de rencontres extraconjugales américain Ashley Madison a connu durant l'été 2015 le plus gros revers de son histoire.

La société avait en effet négligé l'importance de la sécurisation de son système informatique, celui-ci n'était pas suffisamment robuste et la société violait même de nombreuses dispositions légales concernant la protection de la vie privée.

Cette insuffisance a permis à un groupe de pirates nommé "The Impact Team" d'exploiter la faille de sécurité et par là même de s'approprier les données personnelles de plus de 30 millions d'utilisateurs du service de par le monde (emails, noms, adresses, téléphones voire les préférences sexuelles...).

Ce scandale a entraîné dans son sillage des milliers de divorces dans les rangs des abonnés et de nombreuses démissions dans la société. Ashley Madison a en outre dû débourser plus de 15 millions de dollars de dédommagement suite aux nombreux procès qui ont été intentés contre la société américaine..

L'entreprise a survécu à ce séisme et il y a fort à parier que les questions de sécurité informatique sont au centre de leurs nouvelles préoccupations.

C'est arrivé ailleurs : le scandale ashley madison

Ça n'arrive pas qu'aux autres
"Vengeance amère"


Après avoir quitté son poste au sein d'un établissement scolaire français réputé pour son excellence et sa rigueur, un professeur de mathématiques se rend compte que ses habilitations au système d'information de l'établissement sont toujours actives.

Ayant quelques griefs à la suite de son éviction de son poste, celui-ci décide de se venger en publiant sur les réseaux sociaux des informations relatives aux bulletins scolaires de certains de certains élèves ainsi que des informations confidentielles concernant des échanges entre enseignants.

Outre le scandale que ces agissements a occasionné, l'école a dû débourser plus de 18 000 euros afin de réparer les dommages causés.

Cette affaire a effectivement nécessité des frais d'identification et de résolution de la faille informatique, de reconstruction des données volées ou détériorées, des frais de communication et des honoraires d'avocats pour faire disparaître les informations divulguées sur les réseaux sociaux. L'image de cet établissement réputé a bien entendu été entachée et les conséquences sur les inscriptions s'en font sentir depuis.

Ça n'arrive pas qu'aux autres : Vengeance amère

C'est arrivé près de chez vous
"Être vigilant"


Voici une aventure qui est arrivée à l'un de nos clients :

Ce dernier effectuait une anodine recherche sur son ordinateur personnel lorsque lui est apparu sur l'écran un message lui indiquant qu'il était victime d'un virus. La fenêtre en question bloquait apparemment son moteur de recherche et lui enjoignait de rappeler un numéro d'assistance qui s'affichait à l'écran.

Lors de cet appel, notre client paniqué a communiqué son numéro de carte et son RIB, afin que le pseudo expert lui débloque son ordinateur. Un prélèvement de 200€ a été débité sur son compte. Ayant été prévenus suffisamment tôt, nous avons pu annuler l'opération par la suite et restituer la somme au client.

En pratique :

Il s’agit en réalité d’une simple fenêtre intempestive, lavictime va payer pour un service qui ne sert à rien...

Notre conseil :

Nous vous recommandons de ne jamais répondre auxsollicitations et de faire analyser en cas de doute votreordinateur par un informaticien professionnel.

C'est arrivé près de chez vous : Être vigilant

Sujet du mois
"Meltdown et Spectre"


C’est une nouvelle qui a donné le ton pour l’année 2018 :quelques jours seulement après le nouvel an, ont étédévoilées les failles Meltdown et Spectre . Ces deux faillesont en commun d’exposer des défauts présents dans laplupart des puces Intel construites au cours des deuxdernières décennies et s’étendent même à celles des autresfabricants qui utilisent la même architecture.

Fait nouveau par rapport aux précédentes attaquesdévoilées dans les médias, ces failles potentielles netoucheraient pas un système d’exploitation spécifique, maisla très large majorité des nos appareils informatiques(téléphones portables, tablettes, ordinateurs, serveurs...).

Le vecteur d'infection : le processeur

Celui-ci est un composant indissociable à la bonne marchede nos appareils. C’est le "cerveau » qui effectueles opérations indispensables au fonctionnement del’ordinateur et aux programmes qui y sont installés. Toutesles données d'un système informatique y sont traitées à unmoment ou un autre. Les principaux constructeurs de cesprocesseurs sont Intel, AMD et ARM.

Le Système d’exploitation, quant à lui, est la coucheintermédiaire qui fait le lien entre les applications et leprocesseur (Ex : Windows, MacOs, Android, iOS etc.).

Comment fonctionnent ces failles?

Les informations traitées par un processeur doivent, enthéorie, être isolées dans des zones hermétiques. Pourtant,les chercheurs qui ont découvert ces failles ont prouvé qu’ilétait envisageable de détourner les mesures de protections etd’accéder aux données, réputées impénétrables, traitées parles processeurs (données privées de type empreintesdigitales, mots de passe...).

C'est l’architecture même de la puce qui revêt une faille. Eneffet, son exploitation est réalisable en raison des choix desconstructeurs : pour améliorer les performances, lesfabricants Intel, AMD et ARM autorisent des codes às'exécuter de façon prédictive, en allant même récupérer desdonnées dans un logiciel voisin.Les 2 vulnérabilités utilisent ce défaut de conception quipermet à la puce unité centrale (CPU) d’accéder à la mémoire :

  • L'étanchéité de la mémoire par application a pu êtrecontourné.
  • Un logiciel pourrait donc lire des données sauvegardéesconcernant une autre application.

Quelles sont leurs différences ?

Meltdown qui concerne la plupart des processeurs Intel(qui est le plus gros acteur du marché) a été, nous pouvons ledire à ce jour, repoussée par les mises à jour des différentsconstructeurs.

Il en est tout autre pour la faille Spectre . En raison de sonimplantation plus profonde, les constructeurs vont devoirmodifier l’architecture même de leurs puces pour s’enprémunir.

Certains appareils resteront donc exposés pendant desmois, voire des années. C’est une faille très complexe quiconcerne tous les processeurs installés sur nos machines et lasolution définitive pour combler cette brèche n’a pas ététrouvée même si des contre-mesures sont en cours d'étude.

Que faire ?

Le premier conseil est bien évidemment un conseil debon sens : vous devez impérativement procéder àl’installation des mises à jour proposées par les ordinateurs,les tablettes ou les Smartphones.

Il se peut que certaines mesures liées à ces mises à jourentraînent un ralentissement du fonctionnement desprocesseurs et du coup de la performance de votreordinateur.

Par ailleurs il est fortement recommandé pour lesutilisateurs de produits Microsoft, de disposer d’un antivirusà jour.

Le point sur : Meltdown et Spectre

Conclusion


A la suite de la découverte de ces failles par le grand public, le PDG d'Intel avait voulu rassurer lors du CES (Consumer Electronics Show) àLas Vegas. Il a en effet affirmé qu’aucun piratage n’avait été décelé et que ces deux menaces étaient contenues. Il n’en reste pas moins que lefabricant est entré de plein pied dans une crise sans précédent qui marque la hausse des vulnérabilités de nos systèmes informatiques. Desrecours collectifs ont déjà été lancés contre Intel aux Etats-Unis.

Édition #3 (Mai 2018)

Edito - Edition Spéciale "Protection des données personnelles"


Les données personnelles sont devenues le nouvel or noir de nos économies modernes, elles représentent un réel enjeu économique, stratégique et même parfois politique comme nous avons pu le voir avec le scandale Facebook & Cambridge Analytica découvert il y a peu.

Avec l’expansion d’Internet, des réseaux sociaux, et des objets connectés il est parfois difficile de garder la main sur ses données personnelles. Elles sont devenues un modèle économique à part entière que les entreprises du numérique ont largement adopté et sur lequel elles ont axé l’aspect social et personnalisé des services proposés.

Nous avons décidé de consacrer une édition spéciale à ces problématiques en revenant largement sur ce sujet notamment avec un dossier complet sur l’actualité brûlante mise au jour par le scandale Facebook, des articles qui illustrent bien l’importance de protéger ses données personnelles mais également sur le RGPD (Règlement Général sur la Protection des Données) qui entre en vigueur le 25 mai.

Bonne lecture,

Photo Vincent de Bellefon

Vincent de BELLEFON
Directeur Informatique, Organisation & Logistique

Bonne pratique
"Sauvegarder régulièrement ses données"


Finis les classeurs, les albums photos poussiéreux, les CD... Toutes nos données sont aujourd’hui numériques, disponibles immédiatement et classées facilement sauf quand...

...un disque dur tombe en panne, un virus informatique infecte votre ordinateur, une tasse de café se renverse sur votre Smartphone !

Dans ces situations il y a un risque réel que vos précieux documents, photos, fichiers musicaux soient perdus corps et biens !

Sauvegarder, oui mais pourquoi ?

Enregistrer, nous le faisons tous naturellement : nous créons des dossiers, rangeons méthodiquement nos fichiers, mais nous réalisons souvent trop tard la nécessité de sauvegarder, de mettre à l’abri nos données essentielles ailleurs que sur nos postes de travail, mobiles et tablettes.

Il n’est pas si compliqué de procéder à des sauvegardes, reste à adopter les bons réflexes. Vous devez impérativement protéger vos fichiers stockés localement sur vos appareils : les contacts, les photos, les vidéos personnelles, les documents importants et les emails... Tous les fichiers sont concernés.

Quelles solutions existent

Important :Trier les fichiers que l’on veut sauvegarder est primordial, il n’est pas nécessaire de garder des fichiers en double ou des photos floues... vous verrez que chaque mégaoctet est précieux !

Les deux principales possibilités sont la copie vers un disque dur externe ou bien l’utilisation d’un service de stockage en ligne (Cloud)

  • Les disques durs externes : Ceux-ci présentent un très bon support pour sauvegarder des données, il existe différents types de disques durs : les disques durs externes, les disques SSD, les serveurs NAS... Le choix est varié mais il est important de choisir une capacité de stockage bien supérieure à celle de l’appareil où sont stockées les informations à protéger.
  • Les services de stockage en ligne (Cloud) : Ces services offrent une grande facilité d’utilisation et une accessibilité aux données très rapide. Il est en effet possible d’accéder à ses fichiers depuis n’importe quel appareil connecté au Web (ordinateur, Smartphone, tablette..). La plupart des grands opérateurs proposent aujourd’hui des solutions comprenant des forfaits de stockage adaptés à vos besoins en matière de sauvegarde (Google, Amazon, Dropbox...).

Notre Conseil :

Rien n’empêche d’utiliser l’une ou l’autre des solutions voire de combiner les deux en privilégiant le stockage en ligne pour les fichiers susceptibles d’être rapidement utilisés ou partagés ; ces services offrant une grande simplicité de diffusion notamment par le biais de liens rapides.

Sauvegarder régulièrement ses données

Indicateurs Sécurité


securite
  • 87 millions de personnes ont été victimes du scandale Cambridge Analytica / Facebook.
  • 92% des dirigeants français s’inquiètent de ne pas être en conformité au regard du RGPD.
  • 5,6 millions de données personnelles sont piratées ou perdues chaque année.
  • 15h11, c’est le nombre d’heures passées par semaine par les 13-19 ans sur internet en 2017.

Evénements


Evenements
  • 15 mai – Paris - Les ateliers du CLUSIF – “Société de notation, risques et opportunités pour le RSSI”
  • 23-25 mai – St Tropez - Rencontres de l’Identité, de l’Audit et du Management de la Sécurité
  • 24 mai – Paris - Matinée Stratégique CIO
  • 12-14 juin – Monaco - DataCloud Europe

C’est arrivé ailleurs
"Facebook et l’utilisation des données personnelles"


Le scandale est né des révélations du lanceur d’alerte canadien Christopher Wylie, fin mars. Celui-ci a accusé la société britannique Cambridge Analytica d’avoir utilisé les données de millions d’individus sur Facebook.

Il estime ainsi que les algorithmes de la firme auraient massivement influencé les électeurs lors de la présidentielle américaine et auraient favorisé l’actuel président des États-Unis, Donald Trump, lors de sa campagne électorale.

Cette firme d'analyse de données, spécialisée dans la communication stratégique, a collecté les données de pas moins de 87 millions de membres Facebook afin de mettre en œuvre des opérations de ciblage politiques. La société a développé un logiciel capable de prédire et d’influencer le vote des électeurs américains en 2016 grâce à la formidable base de données ainsi collectée.

Pour ce faire Cambridge Analytica a utilisé un quizz psychologique, "This is your digital life", afin de récolter des informations sur les profils publics des utilisateurs de Facebook. Non seulement les répondants ont vu leurs données "aspirées » mais également celles de leurs amis et connaissances.

En France ce sont "seulement » 76 personnes qui ont répondu à ce questionnaire, mais Cambridge Analytica a pu également collecter des informations concernant les amis des personnes qui ont effectué le test. Ce sont en fait les données de 211 591 français qui ont pu être récupérées.

Facebook et les données personnelles :

Facebook a développé depuis 2004 un modèle économique qui repose sur l'exploitation des données personnelles. Son fonctionnement est essentiellement basé sur la monétisation des données des utilisateurs auprès des publicitaires. Imaginez quelques secondes l’immensité des informations qu’a amassé Facebook au cours de ces 14 ans d’existence !

On peut légitimement s’interroger sur l’enjeu que représente notre patrimoine numérique... Nos données sont à l’instar des "Bit Coins » devenues une monnaie virtuelle, que s’échangent de grandes firmes.

A savoir :

Pour vérifier si vos données Facebook ont été partagées avec Cambridge Analytica il suffit de vous rendre sur la page d'aide du réseau social. Si la section "Mes informations ont-elles été partagées ? » apparaît c’est que vous ou vos amis se sont connectés au quizz en question.

#DeleteFacebook Le réseau fait désormais face à un mouvement de désabonnement massif de ses utilisateurs qui ont, par ce scandale, perdu confiance dans le géant américain. Le milliardaire Mark Zuckerberg, patron et fondateur du réseau social comptant 2 milliards d’abonnés, vient de témoigner ce mardi 10 avril devant le Congrès américain et a dû se défendre pendant plus de 10 heures. Le groupe a en outre perdu plus de 10 % en Bourse depuis mars. Les géants américains du net vont devoir faire face à une nouvelle donne : la protection des données personnelles au moment où le Règlement Général sur la Protection des Données (RGPD) doit entrer en vigueur (le 25 mai prochain).

utilisation des données personnelles

Ça n’arrive pas qu’aux autres
"Ransomware"


Voici un cas typique d’attaque informatique qui peut toucher n’importe quelle administration ou entreprise quelle que soit sa taille.

Il y a un an le journal Sud-Ouest révélait que près de la moitié des écoles bordelaises avaient été victimes d’un ransomware (ou rançongiciel). Cette attaque démarrée en septembre 2016, avait fini par infecter un nombre important de serveurs de l’académie de Gironde paralysant ainsi 40 des 101 établissements de la ville de Bordeaux.

Cette attaque a été possible par la diffusion d’ordinateurs en ordinateurs d’un virus qui crypte et bloque l’accès aux données, les pirates réclamant alors une rançon pour restituer les données ainsi collectées.

L’origine de cette attaque serait liée à la négligence d’un employé de l’académie qui aurait téléchargé un fichier joint contenant le code malveillant.

Bien que l’académie bordelaise dispose d’un contrat avec un éditeur de logiciel antivirus il semble que cette solution de protection n’ait pas été correctement installée sur l’ensemble des machines.

Cette histoire illustre à quel point les utilisateurs que nous sommes peuvent devenir le point faible de la chaîne de sécurité. Ainsi il est conseillé de ne pas ouvrir de mails dont la provenance est inconnue. Ces mails peuvent contenir des liens risqués ou des fichiers corrompus à télécharger en pièce-jointe.

Ransomware

C’est arrivé près de chez vous
J’ai besoin de ton aide !


Les piratages de messagerie se multiplient. Les pirates s'emparent du mot de passe, usurpent l'identité du titulaire et envoient de faux mails aux "contacts" pour leur soutirer de l'argent.

Revenons sur le cas d’une collaboratrice du Crédit Agricole Pyrénées Gascogne qui a retrouvé dans sa messagerie un mail énigmatique de l’une de ses clientes :

"Bonjour, Comment vas-tu ? Bien j'espère.
De mon côté, quelques pépins liés à des soucis de santé.
Aurais-tu du temps à me consacrer par mail ? Car j'ai une faveur à te solliciter dans l'immédiat.
PS : Je suis temporairement injoignable par tél.
Sophie »

Alertée par le caractère urgent mais étonnée par le tutoiement inhabituel dans leurs échanges, notre collègue a contacté par téléphone la cliente qui bien évidemment n’était pas à l’origine de cet envoi. Sa messagerie avait été piratée et tous les contacts de son carnet d’adresse avaient été destinataires de ce message.

L’intérêt pour les malfaiteurs ? En cas de réponse, les pirates se faisant passer pour un ami en détresse demandent toujours de l’argent via des mandats-cash.

Que faire ?

Si vous recevez ce type de mails dans votre boîte électronique, supprimez-les immédiatement. Si le nom est celui de l’un de vos proches mais le message est semblable au mail cité plus haut, contactez-le par téléphone pour vous assurer qu’il ne s’agit pas d’une arnaque.

utilisation des données personnelles

Le sujet du mois Le RGPD


Le 25 mai prochain, le Règlement Général pour la Protection des Données (RGPD) entrera en vigueur. D’une façon générale, il fournira aux internautes un nouveau cadre pour protéger leur vie privée.

Au cœur du texte, l’internaute

Selon la définition classique, un internaute est un utilisateur du réseau internet. Il désigne donc une personne qui utilise un navigateur web pour visiter des sites web et, par extension, toute personne employant une application informatique permettant d'obtenir sur internet des informations, ou de l'interactivité avec d'autres personnes : courrier électronique, chat, transfert de fichiers par FTP ou peer to peer, forums de discussions sur Usenet, etc.

Un internaute en d’autres termes...c’est vous !

C’est pourquoi le RGPD vous concerne, et plus précisément l’empreinte numérique que vous laissez sur la toile : vos données à caractère personnel.

Les données personnelles :

Ce terme englobe l’ensemble des informations qui permettent d’identifier un individu en fonction de critères établis. Ce sont des données qui concernent personnellement les utilisateurs de manière directe ou indirecte ; elles peuvent être de nature très différentes : adresse email, numéro de téléphone, adresse postale, photographie, numéro de sécurité sociale, numéro client...

En résumé : toutes les informations que nous sommes amenés à saisir quotidiennement au travers de tous nos appareils (ordinateurs, Smartphones, tablettes et objet connectés...).

Ces données représentent pour tous les grands acteurs de l’internet un véritable enjeu économique de développement. L’analyse et la collecte de ces précieuses informations sont devenues leur objectif N°1. Ces dernières sont ainsi traitées et classées pour être ensuite utilisées voire vendues.

Nous sommes désormais ultra-connectés, à tel point que nous oublions parfois combien nous pouvons être amenés à communiquer d’informations personnelles et confidentielles sur le web. Ce sont précisément ces données qui seront encadrées et protégées par ce nouveau texte.

Quel est son objectif et son contenu ?

Ce règlement, dont le texte a été adopté en avril 2016, vise principalement à protéger les données à caractère personnel de tout citoyen au sein des 28 états membres de l’Europe.

Il doit en effet cadrer la collecte de ces informations, leur traitement mais surtout leur utilisation. Des principes de protection sont établis et en conséquence, toutes les entreprises devront se plier aux règles de bonne conduite précisées par le règlement. Elles devront se mettre en conformité afin que lorsque un internaute navigue sur leurs sites ou utilise leurs applications, les données collectées soient protégées. Ces données ne pourront plus faire l’objet d’un commerce visant par exemple à être revendues pour vous cibler comme prospect.

En outre, le RGPD concerne toutes les entités dès lors qu’elles détiennent des données, y compris celles qui n'ont pas d'activité sur internet. En effet, un fichier client d’une PME ou bien la liste des salariés d'une société sont considérés comme des fichiers de données personnelles même si elles n’ont pas d’exposition sur la toile.

Que va-t-il changer pour les citoyens européens ?

Le droit à l’oubli est une nouveauté instaurée par ce règlement, sur simple demande formulée par l’utilisateur une entreprise devra mettre tout en œuvre pour effacer les données le concernant.

D’autres nouveaux droits font également leur apparition. En premier lieu la portabilité des données d’un service internet à un autre devra être effective et facilitée. Ceci afin que chaque citoyen européen puisse transférer ses informations d’une entreprise ou d’un service à un concurrent de façon aisée. Comme nous l’avons vu plus haut l’encadrement des mineurs est aussi au centre des prérogatives du RGPD, il définit ainsi une "Majorité Numérique » fixée à 15 ans, âge à compter duquel un enfant mineur peut s’inscrire seul sur les réseaux sociaux et consentir à l’utilisation de ses données personnelles (en deçà l’autorisation des parents est obligatoire).

Pour les entreprises ?

La première des étapes pour chaque entreprise est bien évidemment de connaître le périmètre des données traitées qui leurs sont confiées. Il est impératif de répertorier tous les fichiers contenant des données personnelles. Les entités doivent aussi s’interroger sur la nécessité de les conserver mais aussi s’assurer de leur validité au regard de leur conservation (recueil du consentement des utilisateurs).

Ensuite il va être nécessaire d’effectuer un travail informatique pour permettre la mise en place des outils pour pouvoir exercer les nouveaux droits à la portabilité et à l'oubli. Les sociétés devront créer et tenir un registre des traitements de données personnelles dans lequel elles définiront le bien fondé et l’usage de chaque collecte de données en y associant le nom d'un responsable.

Les entreprises et les administrations qui utilisent des données à caractère personnel devront recourir également aux services d'un data protection officer (DPO), obligatoire pour les grandes entreprises technologiques, et vivement recommandé pour les autres. Ce délégué à la protection des données personnelles permettra de fluidifier les relations entre l'entreprise et le régulateur.

Enfin, pour chaque processus de traitement des données, elles devront mener une étude d'impact pour s'assurer qu'elles mesurent bien les risques vis-à-vis de la vie privée des citoyens européens concernés. Les mesures et protections, notamment en matière de cybersécurité des données personnelles, devront être clairement définies et mises en place.

Les moyens d’action : des sanctions renforcées

Le bras armé du RGPD réside principalement dans le fait que des amendes pourront être infligées. Les sanctions évoquées sont particulièrement sévères et d'un montant très élevé. Jusqu'ici limitée à 3 millions d'euros en France, l'amende pour non-respect du RGPD peut grimper jusqu'à 3 à 4% du montant du chiffre d’affaires pour une entreprise à envergure mondiale, soit plusieurs centaines de millions d’euros pour certaines des entreprises contrevenantes.

Des notifications en cas de fuite de données

les entreprises et les organismes sont tenus de notifier dès que possible l'autorité nationale de protection (en France : l'Anssi - Agence Nationale de la Sécurité des Systèmes d'Information) en cas de violations graves de données afin que les utilisateurs puissent prendre des mesures appropriées (article 33 du règlement). Cette information pourra en outre générer pour ces entreprises un risque de réputation entraînant également des répercussions sur leurs résultats.

Les entreprises prennent le risque en cas de pertes ou de divulgations de données personnelles à devoir affronter des actions de groupe qui pourront être initiées par des citoyens européens et qui ne manqueront pas d’apparaître dans les mois à venir.

utilisation des données personnelles

Édition #4 (Juillet 2018)

Edito


La période estivale est enfin là, nous allons pouvoir souffler et nous reposer lors de vacances bien méritées. Pour autant il n’est pas rare que, durant ces périodes de congés, notre vigilance baisse et que nous soyons plus enclins à baisser notre garde.

C’est pourquoi nous avons décidé de vous accompagner encore cet été en vous donnant quelques clés pour comprendre certains risques qui se glissent dans nos usages quotidiens de l’informatique.

Vous trouverez au fil de nos articles une revue de détails sur quelques pièges à éviter en cette période de vacances.

Bonne lecture,

Photo Vincent de Bellefon

Vincent de BELLEFON
Directeur Informatique, Organisation & Logistique

Bonne pratique
"Les réseaux Wi-Fi Publics"


Votre réseau Wi-Fi privé est en général sécurisé et permet des échanges de données cryptées. Ce n’est pas le cas sur un réseau Wi-Fi public qui est ouvert à toute personne après une simple authentification. Durant cette période estivale propice aux déplacements il est bon de rappeler quelques règles simples.

En vacances et en manque de connexion Internet, il n’est pas rare que vous décidiez d'utiliser un réseau Wi-Fi public pour vérifier vos mails et consulter les réseaux sociaux.

Attention, ces connexions peu sécurisées peuvent être dangereuses.

À peine arrivé dans un lieu public (à l'hôtel ou au restaurant), lorsque vous faites défiler les réseaux Wi-Fi disponibles la tentation est grande de vous connecter à celui qui n'affiche pas de cadenas (ce que l’on appelle un "réseau ouvert").

Le problème, c’est que ce dernier n'est pas du tout sécurisé.

C’est un sport prisé par les hackers dans les lieux publics : ils créent un réseau avec un nom approchant à celui du lieu dans lequel se trouvent les utilisateurs mal avisés. En effet, le nom d’un réseau est facile à créer, il est impératif de bien s’assurer de l’origine du réseau Wi-Fi gratuit sur lequel vous vous connectez. Il ne faut en aucun cas sélectionner au hasard ce dernier car vous risqueriez de tomber sur un pirate qui en profitera pour récupérer toutes les données personnelles que vous envoyez sur Internet : e-mails importants, données de carte bancaire, voire données d'identification permettant d'accéder à votre réseau d'entreprise. Une fois que les pirates disposent de ces renseignements, ils peuvent, à leur gré, accéder à vos systèmes en votre nom. Autre pratique utilisée par les pirates, se placer entre vous et le hotspot Wi-Fi. Par ce biais au lieu de communiquer en direct avec le point de connexion, toutes les informations passent par les pirates qui les relaient ensuite au point d’accès (en conservant ces données pour les utiliser plus tard bien entendu).

Comment se protéger ?

La règle la plus simple est d’éviter les réseaux publics qui ne nécessitent pas de mot de passe. Dans un lieu public comme un hôtel ou un restaurant, n’hésitez pas à demander systématiquement le nom du réseau Wi-Fi mis à disposition ainsi que le code associé pour vous assurer que vous êtes sur le bon réseau. Les autres réseaux ne renvoyant pas vers un site Internet au nom de l’établissement ou ceux ne demandant pas de code ne sont à fuir.

Une autre solution consiste à utiliser un Virtual Private Network, ou VPN, qui se charge de crypter les données que vous échangez.

Les réseaux Wi-Fi Publics

Indicateurs Sécurité


securite
  • 5 000 postes sont actuellement à pourvoir dans le domaine de la cybersécurité.
  • +100 millions d’augmentation du nombre d’utilisateurs des réseaux sociaux depuis le 1er janvier.
  • 42 % des internautes français ont été victimes d'un comportement cybercriminel l'an passé.
  • 71% des attaques en entreprises sont initiées par des faux emails (Phishing).

Evénements


Evenements
  • 07-12 juillet – Strasbourg – Rencontres Mondiales du Logiciel Libre
  • 6 août – Bordeaux – STHACK – Rencontres sur la Sécurité Informatique
  • 21-22 août – Paris – Conférence Internationale "Intelligence Artificielle et IoT"
  • 4 octobre – Pays Basque – 3ème Café de la CyberSécurité

C’est arrivé ailleurs
"Netflix"


Pas moins de 110 millions de clients de la plateforme de streaming Netflix ont été ciblés aux mois de septembre et novembre derniers par une campagne de piratage d’envergure. Ce piratage a pris la forme d’un phishing (Les phishing sont des "cyber-arnaques" ou "cyber-escroqueries" par email) qui consiste à faire croire à l’internaute qu’il s’adresse à un tiers de confiance.

Ce mail, adressé à des millions d’utilisateurs du célèbre service de streaming était envoyé depuis l’adresse supportnetflix@checkinformation.com et reprenait soigneusement les codes et la charte graphique du géant américain du streaming.

Celui-ci indiquait à l’utilisateur que son compte avait été suspendu en raison d’un problème dans le paiement de sa dernière facture. La victime était alors invitée à fournir les renseignements de sa carte de crédit pour régler le problème.

Le bénéfice était double pour les pirates : la revente des codes d’identification de l’utilisateur et bien évidemment l’utilisation frauduleuse des données bancaires ainsi récupérées.

Netflix s’est expliqué au site Mashable, déclarant :
"Nous prenons la sécurité des comptes de nos abonnés très au sérieux, et nous employons de nombreuses mesures proactives pour détecter ce genre d’activité frauduleuse. Malheureusement, les arnaques sont courantes sur internet et elles ciblent principalement des marques célèbres comme Netflix et leur large base de client afin de leur soutirer des informations personnelles".

utilisation des données personnelles

Notre conseil

Comme toujours, il est conseillé de vérifier l’adresse mail de l’expéditeur avant de cliquer sur tout lien ou pièce jointe dans un email. De même avant de saisir des informations personnelles (identifiants, coordonnées bancaires...), veillez à ce que le site soit sécurisé, c’est-à-dire qu’un cadenas apparaisse dans le navigateur et que l’adresse du site commence par HTTPS au lieu de HTTP.

Ça n’arrive pas qu’aux autres
"L’arnaque au président"


Il s’agit d’une arnaque qui peut s’élever à plusieurs centaines de milliers d’euros. L’arnaque aux Faux Ordres de Virements (ou FOVI ou plus communément "Arnaque au président") est une escroquerie très élaborée que nous allons illustrer au travers du cas de cette société d’emballage des Alpes–Maritimes.

En tout début d’été 2017, la comptable de cette société reçoit un mail émanant semble-t-il du directeur de l'entreprise, récemment parti en congés, lui demandant si l’avocat d'un groupe "consultant" avait déjà pris contact avec elle. Sous-entendant que si ce n’était pas le cas, la prise de contact allait être imminente, le message l’enjoignait à la plus grande discrétion sur l’entretien qu’elle aurait avec cet avocat.

Deux jours après, l’avocat prétendant appartenir à un cabinet d’audit bien connu téléphone à l'employée et lui explique qu'une discrète OPA (offre publique d’achat) est en cours pour prendre le contrôle d’une entreprise rivale. Elle doit donc réaliser au plus vite un virement de 253 458 € sur un compte bancaire domicilié à l’étranger. Il s'en suit un échange de mails confirmés par le prétendu directeur (toujours en vacances), à la suite desquels l'ordre de virement est signé et les fonds sont virés.

Une fois la pression retombée et l’opération réalisée, la comptable reprend un peu de recul sur cette opération... craignant d'avoir été abusée, elle parvient à joindre son directeur et lui expose les faits. Ce dernier n’était bien entendu pas à l’origine de la requête et n’était pas du tout au courant de cette manipulation (son adresse mail privée avait été piratée).

Bilan : même si la banque prévenue suffisamment tôt a pu bloquer une partie des fonds, cette société a subi un préjudice très important qui aurait pu lui faire déposer le bilan s’ils avaient pu continuer à solliciter les virements nécessaires à l’OPA.

Comment flairer l’arnaque ? :

Deux éléments devraient vous mettre la puce à l’oreille : la situation d’urgence, il faut prendre rapidement une décision sans pouvoir bénéficier d’un temps de réflexion, et le mode de contact utilisé où le donneur d’ordre est toujours absent (en congés, en déplacement à l’étranger...)

En chiffres :

640 millions d’euros, c’est le préjudice cumulé des faux ordres de virements internationaux pour les entreprises françaises ou implantées en France en l’espace de sept ans.

Arnaque au président

C’est arrivé près de chez vous
"Vous avez été tiré au sort ! "


Un de nos clients des Hautes-Pyrénées a reçu il y a quelques jours l'excellente nouvelle que vous pouvez découvrir ci-dessous :

Bonjour, Chère cliente, cher client,
Nous vous informons que vous venez de remporter une somme très importante. Pour plus d'information consulter les pièces jointes. Pour la marche à suivre contacter Maître DAVID JAMES par émaiL Vous trouverez son adresse dans les fichiers.
Bonne réception FRANÇAISE DES JEUX
.N° de LOT: 9001-BNK-87
N°de Réf: 07/04/1990

Son premier réflexe empreint de curiosité a été d'ouvrir la pièce jointe attachée à cet email prometteur, son action fut rapidement stoppée par un examen plus minutieux du contenu du document. Les caractères spéciaux et diverses fautes présentes l'ont conduit à se rapprocher de nos services pour solliciter un avis.

Il s’agissait bien entendu d’une arnaque, aucune somme ne pouvait être espérée...

Notre conseil :

Dans la plupart des cas ces mails ne sont que les prémisses d'une escroquerie qui se développera au gré de vos réponses. Il se peut en outre que la Pièce Jointe véhicule un fichier malicieux qui serait en mesure de bloquer votre ordinateur ou d'en dérober les données précieuses.

Vous avez été tiré au sort

Le sujet du mois  Les crypto-monnaies


Eldorado pour les uns, elles se réduisent à une "escroquerie" voire à une "pure bulle, spéculative" pour les autres...

Retour sur le fonctionnement de ces nouveaux instruments financiers :

Le terme de crypto monnaie ou de monnaie virtuelle remonte à 1995, date son émergence, mais son exposition médiatique remonte à 2009 avec le Bitcoin, première devise basée sur la Blockchain. Depuis le phénomène est devenu mondial et plus de 1500 monnaies alternatives ont vu le jour.

Ce type de devise est totalement dématérialisé, il ne supporte aucun moyen de paiement conventionnel (ni pièce de monnaie, ni billet, ni chèque). Les détenteurs de ces monnaies virtuelles les conservent dans des portefeuilles (ou wallet) en ligne et les échangent comme des biens marchands sur des plateformes dédiées.

Par ailleurs, ces devises sont décentralisées, et ne dépendent d’aucune autorité, le réseau n’est en effet contrôlé par aucune institution. Le but est de permettre à tout le monde d’effectuer en toute sécurité des transactions monétaires sans intervention extérieure (banque, notaire etc...) selon le principe du pair à pair (Peer To Peer).

C'est la Blockchain qui en rend possible la décentralisation, et en sécurise les transactions.

Son principe ? Chaque ordinateur possédant une copie de la Blockchain est appelé "nœud" du réseau. Dès qu’un nœud reçoit une transaction (ou plutôt, un bloc de transaction) il la relaie au nœud suivant, puis la valide et met à jour le registre ; d’où le terme de Blockchain (chaîne de blocs). Cette technologie, sans organe de contrôle, est comme un grand registre partagé par l’ensemble des ordinateurs, il est impossible de modifier une information sans le consentement de TOUS les ordinateurs.

Quels en sont les dangers ?

Un miroir aux alouettes ? : en à peine 10 ans d’existence, le cours du Bitcoin a été multiplié par 14 avec en 2017, une valorisation proche des 20 000 dollars. Le premier d’entre tous les dangers en est justement sa médiatisation qui en fait l’investissement en vogue et attire toutes sortes d’escrocs qui proposent d’investir sur de plateformes fictives. Nous pouvons en effet constater une hausse très nette de cas de faux investissements dans le Bitcoin, de fausses plateformes pour acheter des crypto-monnaies et autres fausses plateformes de trading en crypto-monnaies qui fleurissent un peu partout et font de nombreuses victimes.

La vigilance est de mise: Il existe comme nous l’avons vu un risque d’escroquerie mais même en cas de transaction réelle il subsiste un risque opérationnel : Il s’agit du vol des monnaies stockées, ou transférées entre portefeuilles voire converties en monnaies fiduciaires. Les épargnants sont une cible de choix pour les hackers ou les voleurs car en cas d’attaque, il n’existe aucun recours.

De même sur des plateformes légitimes il ne faut pas négliger le risque d’investissement : il s’agit du risque de perte en capital lié à la forte volatilité des crypto monnaies. Acheter de telles valeurs c’est spéculer en non pas investir. Un simple regard sur les évolutions des cours du Bitcoin, fortes variations, frénésie en décembre 2017 qui passe de 10 000 dollars au double en moins de 3 semaines. En l’espace de quelques jours, il affichait une baisse de 40%. "Krach" ou "saine correction" ?

Il s’agit bien de capital à risque, en France, l’Autorité des Marchés Financiers (AMF) contraint les sociétés qui souhaitent en faire la publicité d’y apposer la mention suivante : "les performances passées ne préjugent pas des performances futures". Elle a en outre publié le 15 mars dernier une liste noire (non exhaustive) de plateformes d’achat et de vente de crypto monnaies.

Enfin, le risque de régulation : les lois qui encadrent ces monnaies numériques ne sont pas normalisées à l’échelle internationale. Les Etats-Unis par exemple, les autorisent mais avec un cadre règlementaire très strict là ou d’autres pays les ignorent. Il y a là des enjeux de captation de nouvelles taxes que les états ne vont certainement pas éluder dans un avenir très proche.

Voici quelques signaux d’alerte sur les plateformes d’échanges de ces crypto-monnaies :

  • L’absence de mentions légales sur le site.
  • Même en présence de mentions légales, soyez vigilant : beaucoup affirment avoir leur siège social à l’étranger ou indiquent des adresses en France qui, lorsqu’elles existent, ne sont que des boites postales.
  • Des coordonnées de banques que vous avez du mal à identifier.

Au moindre doute, prenez contact avec AMF Epargne Info Service au 01 53 45 62 00 ou Assurance Banque Epargne Info Service au 0 811 901 801.

En conclusion, que retenir des crypto monnaies ?

Nous sommes extrêmement vigilants sur ces nouvelles monnaies et nous déconseillons très fortement les investissements sur ce type de supports. Les raisons en sont simples : dans l’écosystème des crypto monnaies, rien n’est sûr, sauf si vous aimez le risque et les sensations fortes. Même si vous stockez l’ensemble de vos avoirs numériques sur des plateformes dites de confiance, vous n’êtes pas pour autant à l’abri du vol.

Enfin, il faut être en conformité avec les lois du pays dans lequel on réside. La France exige aux épargnants à dévoiler leur identité sur les plateformes d’achat, TRACFIN (organisme en charge de la lutte contre le blanchiment et le financement du terrorisme) propose une limitation de l’usage des monnaies virtuelles et une surveillance accrue des usages frauduleux ; l’anonymat des utilisateurs est dangereux pour la sécurité publique. Malwares, phishing, piratages informatiques, publicités mensongères ou fermetures de plateformes les risques liés à la crypto monnaie sont très nombreux.

Les crypto-monnaies

Édition #5 (Septembre 2018)

Edito


Nous sommes ravis de vous retrouver en ce mois de septembre pour une nouvelle édition de notre Newsletter consacrée à l’actualité de la Cyber Sécurité.

Comme d’habitude vous retrouverez toutes les rubriques que vous connaissez, notamment les cas réels rencontrés de par le monde mais aussi tout près de vous et qui vous éclaireront sur les nouveaux dangers qui apparaissent.

Pour vous aider à y voir clair, ce mois-ci le sujet que nous avons décidé de mettre en lumière est celui de l’Internet des Objets, vaste thème sur lequel nous ne manquerons pas de revenir.

J’en profite pour vous indiquer que nous sommes fiers d’organiser pour la 3ème fois le Café de la CyberSécurité qui s’installera le 28 septembre dans le Pays Basque à Anglet.

Bonne rentrée à tous et bonne lecture,

Photo Vincent de Bellefon

Vincent de BELLEFON
Directeur Informatique, Organisation & Logistique

Bonne pratique
"Sécuriser son Smartphone"


En une décennie, nos appareils mobiles sont devenus des mini-ordinateurs au même titre que nos PC de bureau. Alors même qu’il nous semble normal d’installer des antivirus et de mettre à jour l'ordinateur familial, il est indispensable de ne pas négliger la sécurité de nos appareils mobiles. En effet, ceux-ci renferment une grande quantité d'informations personnelles qui pourraient tomber entre de mauvaises mains.

Quelles sont les précautions à prendre ?

Tout d'abord mettre en place un code d'accès, celui-ci protégera vos données si vous laissez votre téléphone sans surveillance (à noter que beaucoup de téléphones proposent un déverrouillage par empreinte digitale ou reconnaissance faciale de nos jours - à condition de les activer...).

Ensuite et à l'instar de nos ordinateurs de bureau, il faut appliquer les mises à jour et sauvegarder régulièrement ses données présentes sur l'appareil.

N'installez que des applications téléchargées sur les sites officiels (PlayStore ou AppleStore par exemple) et surtout il est primordial de contrôler les autorisations que vous donnez à ces applications (la géolocalisation accordée à une application de recettes de cuisine peut prêter à interrogation par exemple).

Mesures supplémentaires :

Il est préférable comme nous le disions dans la précédente édition d'éviter les réseaux WiFi publics ou inconnus. Il est en outre fortement recommandé de mettre en place un chiffrement des données de son appareil ce qui permet de rendre illisibles les données présentes sur le dispositif en cas d'intrusion.

Sécuriser son smartphone

Indicateurs Sécurité


securite
  • 46% des attaques ont été permises via un employé ayant cliqué sur un lien contenu dans un email.
  • 1 385 000 sites éphémères de phishing sont créés chaque mois dans le monde.
  • 800 000€ - c’est le coût moyen d’une violation de sécurité pour une entreprise.
  • 38% des attaques avérées ont pris la forme d’attaques par Déni de Service (DDoS) en 2017.

Evénements


Evenements
  • 28 septembre – Anglet – 3ème Café de la CyberSécurité
  • 16 octobre – Paris - CIOnférence "De la Convergence à l’Hyperconvergence"
  • 6/7 novembre – Paris – "Smart City – Smart Grid"
  • 29 novembre – Toulouse – IT Tour

C’est arrivé ailleurs
"Timehop, souvenirs, souvenirs... "


Après le scandale Cambridge Analytica, qui a placé Facebook dans la tourmente suite au ciblage de 50 millions de ses utilisateurs via un simple questionnaire (cf notre Newsletter N°3 du mois de mai), c'est un nouveau scandale qui nous a été révélé en ce début du mois de juillet par les dirigeants du service Timehop.

Timehop, est une application pour Smartphone, qui permet de créer et de mettre en image des souvenirs en se connectant sur les comptes de réseaux sociaux tels que Facebook, Twitter, Instagram et Dropbox. En d'autres termes Timehop collecte, au fil du temps avec l'accord de l'utilisateur, ses publications sur les différents réseaux en donnant accès à son journal et à ses publications actuelles mais également passées.

Le 4 juillet dernier, le service a été victime d'une cyberattaque d'envergure, entrainant le vol des données de 21 millions d'utilisateurs de cette application. Les données subtilisées sur un serveur Cloud seraient constituées de noms, d'adresses emails et de clés (de "jetons") permettant à Timehop d'accéder aux comptes des utilisateurs sur les réseaux sociaux.

Depuis cette attaque Timehop indique avoir désactivé les accès (les fameux jetons), les utilisateurs qui veulent toujours utiliser le service doivent à nouveau accorder les autorisations nécessaires et créer de nouveaux droits d'accès à leurs comptes sociaux.

Transparence

Fait intéressant au regard de l'entrée en vigueur du RGPD (Règlement Général sur la Protection des Données), la société a fait paraitre un tableau listant l'ampleur de la compromission sur l'ensemble de ses abonnés en intégrant une colonne spécifique pour ses clients résidant dans la zone européenne couverte par le règlement européen (https://www.timehop.com/security).

Timehop

Ça n’arrive pas qu’aux autres
"Vol des données de 35 000 clients dans une PME"


Au mois d'avril dernier une PME Suisse éditrice de logiciels de gestion a été victime d'une cyberattaque sur ses serveurs. Il ne s'agit pas là d'une attaque utilisant un rançonciel (Ransomware) comme souvent pour les PME.

L’entreprise, s'est en effet vue voler les adresses postales, les mails et les numéros de téléphone de sa base de données. Il s'agit d'environ 35 000 clients dont les informations ont été récupérées.

Cette attaque ciblée devait permettre aux pirates de profiter du confortable carnet d'adresse de cette société pour envoyer des mails "personnalisés" contenant en PJ un logiciel malveillant, véritable "Cheval de Troie" afin de prendre le contrôle du navigateur du client piégé. Celui-ci pensant alors se connecter à son espace bancaire sécurisé, mais se trouvant en réalité sur une copie du site gérée par les hackers. Ces derniers étant alors en mesure d'accéder aux identifiants bancaires de la société piégée et de procéder à des opérations financières à son insu.

L’entreprise prévenue rapidement par un de ses clients piégé, a immédiatement décidé d’informer tous ses clients, constitués pour l'essentiel de PME de petite taille n'ayant pas toujours une politique de sécurité informatique robuste. Le conseil étant pour elles de se montrer très vigilantes lors des futures connexions aux sites bancaires.

De son côté la société a porté plainte pour vol de données et procédé à un audit de sécurité afin d’analyser la faille qui a rendu cette attaque possible.

Arnaque au président

C’est arrivé près de chez vous
"Votre Facture du... "


Voici une communication qui a été adressée à nombre de nos clients de la Caisse Régionale. Ceux-ci ont effectivement reçu un mail énigmatique concernant une facture à acquitter auprès d'une SARL inconnue (et dont le nom change au gré des différents envois qui ont été portés à notre connaissance). Le message toujours construit de la même façon se décompose ainsi :

"Bonjour,

Nous avons bien reçu votre paiement concernant la facture n°3248324732429 et nous vous remercions pour la célérité dont vous avez fait preuve concernant son paiement.

Vous pouvez télécharger votre facture à cette adresse : Cliquez ici pour obtenir votre facture

Nous espérons que vous avez été pleinement satisfait(e) de votre commande et que nous ferons à nouveau affaire ensemble à l'avenir."

Le danger réside dans la facture à télécharger... Notre curiosité nous pousse naturellement à vérifier de quel paiement il s'agit... Mais en réalité cette pièce jointe contient un logiciel malveillant qui peut occasionner des dégâts s'il n'est pas bloqué par l'antivirus de votre poste de travail.

Notre conseil :

Tenir à jour votre système d'exploitation et mettre à jour vos logiciels anti-virus restent toujours des actions incontournables pour vous prémunir contre ces attaques. Et si vous avez le moindre doute...
Passez votre chemin et détruisez immédiatement le mail douteux ! Vous avez été tiré au sort

Le sujet du mois  L’IoT - (Internet of Things) "L'Internet des Objets"


L'avènement du Smartphone et de son intelligence embarquée a entraîné dans son sillage une révolution qui concerne les objets de notre quotidien.

Ceux-ci sont désormais capables de communiquer, d'interagir non seulement avec l'utilisateur, mais aussi avec l'environnement dans lequel ils évoluent ; voire avec d'autres objets. Imaginez par exemple ces thermostats connectés qui peuvent apprendre des usages de leur propriétaire pour adapter leur température, mais qui peuvent également s'interconnecter avec une station météo ou une sonde de température pour améliorer encore leur fonctionnement.

Ces usages et interdépendances qui apparaissent depuis quelques années, vont être monnaie courante dans notre avenir proche. L’institut Gartner estime en effet à 20,4 millions le nombre d’objets connectés sur la planète d’ici 2020. Tous les jours nous inventons de nouvelles fonctionnalités pour nos objets du quotidien en leur donnant intelligence et connectivité.

Des données omniprésentes :

Les objets connectés sont entrés de plein pied dans notre vie, ils accompagnent notre bien-être en matière de santé (montres connectées, pèse personne, trackers de sommeil....), de maison intelligente (la domotique comme nous l'avons vu plus haut avec le thermostat), mais ils participent aussi à la transformation urbaine avec l'avènement des "Smart City", ces villes intelligentes dont la vocation sera d'améliorer la qualité des services urbains ou encore réduire ses coûts.

Même les voitures n'échappent pas à cette expansion et l'on voit fleurir de plus en plus de fonctionnalités dans nos véhicules qui préfigurent la conduite autonome de demain pour tous.

Comme nous l'avons vu, la finalité d'un objet connecté est sa capacité à nous faciliter le quotidien, en étendant ses fonctions d’usages et cela est possible grâce à sa connectivité. Ainsi la caractéristique commune à l'ensemble de ces objets c'est l'appartenance à un réseau et la technologie embarquée qui leur permet d'interagir les uns avec les autres.

Cependant l'explosion du nombre et de la diversité de ces objets en fait également une cible pour les hackers de tout bord. Le botnet MIRAI en est une bonne illustration :

En 2016 une attaque a pu être coordonnée sur diverses cibles, paralysant de nombreux services internet notamment l'infrastructure des services Dyn qui gère l’accès de sites comme NetFlix ou Amazon. Cette attaque a été rendue possible par le piratage d’une grande quantité d’objets connecté. Les pirates ont pu créer un botnet (terme désignant un groupe d’ordinateurs infectés et contrôlés par un hacker à distance) composé de près de 300000 objets connectés (cameras ip, routeurs domestiques, imprimantes et autres équipements connectés).

C’est cet amalgame d’objets qui a généré cette attaque d’envergure saturant les sites internet de requêtes jusqu'à les rendre inopérants.

Des failles de sécurité?

Le niveau de sécurité de ces objets est en effet beaucoup trop faible notamment en ce qui concerne les droits d'accès et les mots de passe, la société Kapersky a par exemple testé en 2017 la sécurité de plusieurs objets connectés choisis au hasard (une voiture miniature, un aspirateur, un fer à repasser...). Sur ces huit objets un seul était satisfaisant en terme de sécurité.

Comment éviter (ou limiter) les risques ?

Il est préférable de ne pas se jeter sur les produits connectés les plus récemment sortis, ils peuvent en effet souffrir de bugs de jeunesse ou de failles de sécurité non éprouvés jusqu'à lors.

Il ne faut non plus pas considérer ces objets comme des gadgets, afin de bien prendre conscience de toutes les implications de leur usage.

En outre avant d'acheter il est toujours judicieux de prendre connaissance des avis des utilisateurs sur Internet (et en matière d'internet des objets ils sont nombreux) pour mesurer toutes les possibilités et limites de l'objet de vos désirs.

Les crypto-monnaies

Édition #6 (Novembre 2018)

Edito


Le mois d’Octobre a été consacré "Mois Européen de la Cybersécurité" et l’on peut dire que les hasards du calendrier font que cette actualité sur les risques informatiques tombe à point nommé. En effet, pour ouvrir ce mois dédié aux risques Cyber nous prenions tous connaissance d’une nouvelle faille informatique concernant cette fois-ci la société Facebook et d’une certaine façon nos données personnelles par ricochet. Afin que vous puissiez y voir clair nous avons consacré notre sujet du mois à décortiquer cette actualité en vous dévoilant comme toujours des exemples concrets de compromissions ainsi que quelques astuces pour débusquer les mails frauduleux.

Bonne lecture,

Photo Vincent de Bellefon

Vincent de BELLEFON
Directeur Informatique, Organisation & Logistique

Bonne pratique
"Se protéger contre les messages frauduleux"


La majorité des mails frauduleux sont construits de la même manière : le pirate va se faire passer pour un tiers ou pour un organisme de "confiance" tel que votre banque, une mutuelle, les impôts ou EDF dans le but de vous subtiliser des informations personnelles (mot de passe, numéro de carte).

Ces faux messages vous invitent généralement à confirmer des informations personnelles. Ils vous proposent alors de cliquer sur un lien renvoyant vers un faux site reprenant soigneusement le logo et l’apparence du site officiel.

Même si le message présente un caractère d’urgence ou de menace, ne cédez pas à la panique, la première règle à garder en tête est celle-ci :

  • Aucun organisme (Impôts, CAF, EDF, Banque...) ne vous demandera, surtout par envoi de courriel, de communiquer des informations personnelles ou des informations sur vos moyens de paiement.

En cas de doute, la meilleure chose à faire est de contacter l’organisme en récupérant ses coordonnées de contact sur le site officiel.

Comment repérer un mail frauduleux ?

Vous trouverez ici quelques astuces pour vous y aider :


L’aspect général du mail :

Une des premières pistes d’analyse est sans nul doute le fond et la forme générale du mail. Même si les pirates ont fait beaucoup d’efforts dans la rédaction, l’orthographe est encore un bon indicateur de compromission. Si vous faites bien attention vous découvrirez dans certains cas des fautes assez grossières qui révèlent à coup sûr une arnaque. Dans ce cas, passez votre chemin !

L’expéditeur :

Il est impératif de bien étudier l’adresse mail de l’expéditeur du mail, c’est déjà un premier indice d’une forfaiture. On remarque souvent dans le cadre d’un phishing ou d’une arnaque que le nom de domaine (qui se situe après le caractère @) est complétement fantaisiste et ne fait pas référence à l’adresse officielle de l’expéditeur de confiance.

En voici un exemple : le mail semble provenir du Crédit Agricole mais l’adresse réelle (en bleu souligné) renvoie vers une adresse hébergée par "win6.hostica.com"

faux lien

Les liens :

Ces mails renferment très souvent des liens cliquables renvoyant vers des faux sites internet, dans ce cas il convient d’être très attentif à vérifier l’adresse Internet contenue dans le lien.

Voici une astuce simple pour vous assurer de cela :

  • Tout d’abord, sans cliquer avec votre souris, il faut positionner le curseur de votre souris sur le lien.
  • Par ce moyen une mini-fenêtre d’information apparaît avec l’adresse réelle du site vers lequel le lien renvoie.
  • Comme précédemment, si l’adresse Internet ainsi dévoilée ne correspond pas à une adresse officielle de votre expéditeur, ne prenez aucun risque.

Voici un exemple parlant de supercherie révélée lorsque l’on passe la souris sur le lien :

faux lien

Se protéger contre les messages frauduleux

Indicateurs Sécurité


securite
  • 2 400 signalements pour des événements de cybersécurité en France en 2017 (source ANSSI).
  • 36% d’augmentation du volume des e-mails malveillants sur le dernier trimestre.
  • 345/min - Nombre de nouvelles menaces de cyberattaques dans le monde.
  • 3,2 milliards d’internautes dans le monde en 2018.

Evénements


Evenements
  • 27 & 28 novembre – Paris / Cloud Expo Paris
  • 29 novembre – Toulouse / IT Tour
  • 04 décembre – Paris / CIOnférence - Piloter la performance de la DSI
  • 22 janvier 2019 – Lille / Forum International de la Cybersécurité

C’est arrivé ailleurs
"Un casino piraté... à cause d’un thermomètre !"


Signe des temps et de la rapidité d’adaptation des pirates, ils rivalisent d’ingéniosité pour arriver à percer les défenses des entreprises. Lors d’une conférence sur la sécurité à Londres, la responsable d’une société de cybersécurité a raconté la manière dont un casino a pu être piraté à l’aide d’un thermomètre connecté placé dans un aquarium !

On vous l’expliquait dans notre newsletter du mois de septembre, les objets connectés qui peuplent nos intérieurs deviennent de véritables "chevaux de Troie" qui permettent souvent par leur faible niveau de sécurité d’offrir de véritables portes d’entrées vers nos données personnelles.

C’est précisément ce qui est arrivé dans ce casino dont le nom n’a pas été révélé. Le thermomètre destiné à mesurer la température de l’aquarium du hall d’entrée était connecté au réseau Wifi de l’établissement. Les attaquants ont pu le pirater, et ainsi accéder au réseau local du casino afin de pirater les données les plus sensibles.

Ce sont notamment les informations relatives aux "high roller", les plus riches clients du casino, qui ont pu être envoyées vers des serveurs externes et disparaître ainsi dans la nature... La sécurité des objets connectés est aujourd’hui au cœur des préoccupations des responsables qui travaillent dans la sécurité informatique. Il y a fort à parier que ce genre d’attaques quelque peu originales fasse partie intégrante de l’actualité à venir avec la multitude d’objets connectés qui apparaissent dans notre quotidien.

Un casino piraté... à cause d’un thermomètre

Ça n’arrive pas qu’aux autres
"Une mairie du Var prise en otage..."


Au cours de l’été, la mairie de La Croix-Valmer dans le Var a été victime d’une attaque par crypto-virus. Les serveurs informatiques hébergeant les données de la municipalité se sont retrouvés bloqués avec des données rendues inutilisables par le cryptage de leur contenu.

Ce sont tous les services de la cité qui ont été paralysés du traitement des actes administratifs à la comptabilité avec bien entendu une promesse de déblocage des données en échange d’une rançon versée au pirate.

Ce genre de cas est devenu malheureusement trop familier, notre actualité en dénombre tous les jours de nouveaux et ce sont régulièrement de petites entreprises qui sont ciblées... Ce qui est en revanche plus atypique c’est la décision qu’a prise la mairie pour gérer cette situation. Le quotidien Nice-Matin nous révèle que cette dernière a décidé de ne pas acquitter la rançon :

"Plus vous payez, plus ils continuent à créer des logiciels pour vous soutirer de l’argent".

Il est vrai que le paiement de la rançon n’offre aucune garantie de déblocage des données. Les autorités donnent cette même recommandation :

"Ne payez pas la rançon réclamée car vous n’êtes pas certain de récupérer vos données et vous alimenteriez le système mafieux."

La mairie a donc décidé de reconstruire entièrement tout son système, tâche longue et contraignante qui va paralyser son activité pendant une longue période.

Pour aller plus loin :

La première des précautions afin de limiter les dommages liés à un cryptage des données est de sauvegarder vos données comme nous vous l’indiquions dans notre rubrique "Bonne Pratique" de notre newsletter N°3 : "Sauvegarder régulièrement ses données".

Le site cybermalveillance.gouv.fr accompagne les victimes d’actes de cybermalveillance en diffusant un kit de sensibilisation, précisant les démarches à accomplir en cas d’attaque.

Une mairie du Var prise en otage

C’est arrivé près de chez vous
"422 654 € à votre profit.."


Le cas que nous évoquons ce mois-ci est assez rare et mérite un éclairage particulier : En date du 18 juillet a été émis le message ci-dessous promettant de récupérer une hypothétique somme d’argent, en voici le contenu :

Bonjour,

Je réponds au nom de Monsieur Ryan Francis ,Directeur adjoint, chef du secteur assurances CFO et CRO à la xxxx Patrimoine. Un rapport indique un compte inactif de 422 654,45 € à votre profit par la société xxxxx .

Conformément aux dernières législative du CRD(Capitaux-Recherche-Déshérence) l’organisme d’assurance est tenu de rechercher les bénéficiaire et, si cette recherche aboutit, de l’aviser de la stipulation effectuée à son profit (arti L 132-8 du Code des Assurances et L 223-10 du Code de la Mutualité).

Ceci est une sommation à comparaître dès réception dans les locaux du cabinet en charge du retrait à cette date du Jeudi 19 Juillet 2018 à l'adresse suivante: 148 crs du medoc,33300 Bordeaux France , munit des références du souscripteur: N Matricule :AD4048GP/Code souscription: FGTDF/ Tutelle: xxxxx Patrimoine ; et d'un avis imposition sinon la copie de votre carte nationale d'identité pour vérification.

Assurez-vous préalablement d'entamer les démarches administratives auprès de celui-çi .
Coordonnées ci-dessous :
S.C.P. CHEPEAU, LUMEAU & ASSOCIES
148 Cours du Médoc - 33300 BORDEAUX
E-mail: maitre.xxxx@gmail.com
Tel: 07xxxxxxxx
Fax: 07xxxxxxxx

Dans l'espoir d'une compréhension, veuillez recevoir mes salutations les plus distinguées.

Ryan Francis

Cette communication ne présente pas de danger à priori, il n’y a pas de lien cliquable vers un site dangereux ou de pièces jointes intégrant un virus, il s’agit tout simplement d’ingénierie sociale... Le mail envoyé le 18 juillet fait référence à une convocation dès le 19 juillet pour régler la délicate affaire. C’est sur cet impératif manifeste que les escrocs comptent... Ainsi les victimes potentielles vont fatalement contacter par téléphone ou par mail les escrocs qui, jouant sur l’urgence, vont débuter le scénario de leur arnaque pour soutirer des fonds à leurs victimes.

Vous avez été tiré au sort

Le sujet du mois  "Piratage de Facebook, que savons-nous ?"


Même si le célèbre réseau social est peu sujet aux attaques informatiques, la moindre faille de sécurité qui touche l’application, occupe toujours une bonne place dans l’actualité...

Faites donc le calcul, nous somme 7,6 milliards sur la planète et Facebook fédère 2,2 milliards d’utilisateurs soit quasiment 30% de la population mondiale !! On comprend donc l’impact réel de l’actualité brulante de cette application.

C’est justement l’annonce d’une faille informatique qui place à nouveau Facebook sous les feux des projecteurs en ce début d’automne.

Nous vous parlions dans notre newsletter numéro 3 du mois de mai du retentissant scandale ayant mêlé Facebook à la sulfureuse société Cambridge Analytica qui avait permis à la société anglaise de manipuler stratégiquement les élections américaines... Cependant ce scandale ne révélait pas en soi une vraie faille de sécurité, mais plutôt un détournement d’usage des données collectées en vue de manipuler les opinions politiques des utilisateurs du réseau social et ainsi de favoriser un candidat à l’élection présidentielle US au détriment de l’autre.

Que s’est –il donc passé en ce mois de septembre?

Le 28 septembre dernier, Facebook a révélé avoir fait l’objet d’une attaque sur son réseau à l’occasion de laquelle des hackers ont mis la main sur des informations permettant de se connecter à la place des propriétaires des comptes touchés. Les pirates ont pu ainsi avoir potentiellement l’accès total à près de 50 millions de comptes.

Cette attaque qui a en fait débuté le mardi 25 septembre a pu être contenue depuis le jeudi 27 veille de la révélation officielle prononcée par les responsables de la société. Celle-ci est assez inédite dans l’histoire de Facebook, les pirates ont pu en effet exploiter pas moins de trois bugs présents dans les fonctionnalités du réseau social :

La fonction "Afficher en tant que" permet d’afficher ce qui est visible sur son profil par les autres utilisateurs en fonction du niveau de confidentialité que l’on leur a accordé. C’est cette option qui a pu a priori être détournée de son usage primaire. Une autre fonctionnalité a pu également être touchée, celle de "Facebook Login". Celle-ci est un peu plus problématique car elle permet aux utilisateurs de pouvoir se connecter à une multitude d’autres applications en liant leur compte Facebook à l’application désirée. Ainsi plusieurs services comme Instagram, Pinterest, Tinder, AirBnb... auraient pu être aussi victimes de cette faille.

Un des responsables du géant américain, Guy Rosen Vice-Président de Facebook assure que : "Nous avons analysé toutes les traces de connexion liées aux applications tierces installées ou connectées pendant l’attaque de la semaine dernière. Notre enquête n’a jusqu’ici révélé aucune preuve que les attaquants aient accédé à une quelconque application à travers Facebook"

Par mesure de précaution ce sont 90 millions de comptes qui ont été déconnecté de leur session en cette fin septembre... Si c’est votre cas alors il y a de fortes chances que votre compte ait été compromis. En outre, le réseau social précise que l’ensemble des victimes de ce piratage, vont recevoir une notification sur leur fil d’actualité.

Qu’en est-il du traitement de cette affaire au regard du RGPD ?

Comme nous en parlions également dans la newsletter numéro 3 depuis le mois de mai l’Europe s’est doté d’un outil de contrôle et de régulation, le Règlement Général sur la Protection des Données (RGPD) dont une des armes et de pouvoir infliger de lourdes amendes aux sociétés qui perdraient ou divulgueraient des données personnelles (amendes pouvant s’élever à 3 à 4% du chiffre d’affaires de l’entreprise incriminée).

En ce qui concerne l’attaque qui nous intéresse, comme le siège social européen du géant américain se trouve à Dublin, c’est la commission irlandaise de protection des données qui ouvert dès le 3 octobre une enquête afin de déterminer l’atteinte portée aux données personnelles des internautes de l’UE.

Le nombre de comptes utilisateur européen ne serait "que" de 10% du total effarant de comptes piratés. Ce qui représente quasiment 5 millions de comptes potentiellement touchés en Europe selon les autorités irlandaises.

Les investigations vont être longues et il y a de fortes chances que cette affaire réapparaisse dans l’actualité dans les semaines à venir.

Piratage de Facebook, que savons-nous

Édition #7 (Février 2019)

Edito


Nous sommes très heureux de vous retrouver pour la première édition 2019 de notre Newsletter consacrée à l’actualité de la Cybersécurité.

Prenons juste quelques instants pour revenir en quelques mots sur 2018. L’année a été riche en cybermenaces, elle a marqué un tournant dans la cybercriminalité avec même une nouvelle dimension géostratégique pour le moins inquiétante.

Les multiplications des fuites de données n’ont pas manqué à l’appel (Google, hôtels Marriott ou British Airways), et l’exploitation d’informations personnelles par Cambridge Analytica, à l’insu de 50 millions d’utilisateurs de Facebook, a terni encore plus la réputation du réseau social.

La cybersécurité devient un enjeu crucial. L’espace numérique faisant face à des menaces de plus en plus prégnantes et protéiformes. Aujourd’hui, tout un chacun se doit de pouvoir réaliser ses démarches administratives, ses achats en ligne, utiliser son Smartphone ou sa tablette, en toute sérénité.

Les entreprises doivent pouvoir pratiquer leurs activités sans risquer l’espionnage industriel ou le blocage de leur chaîne de production. La lutte contre les cybers menaces ne saurait être qu’une affaire d’experts, elle doit être l’affaire de tous.

Bonne lecture,

Photo Vincent de Bellefon

Vincent de BELLEFON
Directeur Informatique, Organisation & Logistique

Bonne pratique
"Les achats en ligne"


Ce début d’année, avec des soldes qui ont été omniprésentes ces dernières semaines, est l’occasion de revenir sur le délicat sujet du e-commerce.

Internet, c’est ce fabuleux magasin virtuel qui permet d’accéder au catalogue le plus complet de ce qui se vend dans le monde. Cependant, comme souvent sur la toile, les sommes colossales qui transitent par les milliards de transactions de cette économie attirent les escrocs et les pirates en tout genre.

Quels sont les risques associés aux achats en ligne ?

Ils sont malheureusement nombreux, voici les plus représentatifs :

  • Le premier des risques est d’être victime de faux site de vente en ligne. Ces sites créés avec l’unique objectif de vous subtiliser des informations personnelles, promettent toujours une affaire incroyable et disparaissent aussi rapidement qu’ils sont apparus.
  • On retrouve également le cas de victimes de vendeurs peu scrupuleux qui encaissent l’argent des commandes sans jamais envoyer le produit désiré, les sites là aussi disparaissant et réapparaissant de façon aléatoire afin d’éviter les poursuites.
  • Enfin, autre cas souvent repéré, peut se cacher derrière une offre de prix alléchante, une multitude de frais connexes qui, au final, viennent alourdir l’addition sans que l’on y prête trop attention.

Que faire ?

Etre sûr de l’identité du vendeur :


Il vaut mieux s’assurer de la fiabilité du site fournissant le bien ou le service, de considérer également la fiabilité et la sécurisation de ses transactions financières. Vous trouverez bon nombre de ces informations (adresse complète, formulaire de contact, conditions…) en bas de page sur le site du vendeur dans la section CGV (Condition Générales de Vente).

Comparer les prix et les conditions :


Tout d’abord, vérifiez que le produit proposé est bien neuf... Certains sites proposent en effet des articles d’occasion ou reconditionnés, sans trop d’information claire à ce sujet.

Prenez ensuite le temps de comparer les prix, il faut souvent se méfier des remises importantes qui sont proposées sur un temps très limité. L’urgence et le risque que la bonne affaire nous passe sous le nez tendent à tromper notre prudence naturelle.

Il faut en outre être vigilant sur la disponibilité, le délai de livraison annoncé (les avis d’autres acheteurs peuvent vous éclairer sur le sérieux du vendeur) les services proposés (délai de rétractation, accessibilité du service client…), ce qu’inclut la garantie, etc.

S’assurer d’un paiement sécurisé et éviter les surprises :


On ne le répétera jamais assez, pour s’assurer d’une navigation sur un site sécurisé, il faut toujours vérifier que dans la barre d’adresse apparaît le cadenas suivi d’une URL commençant par :

https:// et non http://

Préférez, autant que possible, les sites marchands basés en France et dont les produits se trouvent dans l’union européenne (afin d’éviter des frais supplémentaires d’envois mais aussi de douanes).

Il faut surtout éviter les envois d’argent à un parfait inconnu (dits en poste restante) via des services comme Western Union, où la traçabilité de l’opération n’est pas permise...

Les achats en ligne

Indicateurs Sécurité


securite
  • 78 % des entreprises ayant subi une attaque informatique majeure avec perte de données (virus/rançonciel) déposent le bilan dans les 18 mois qui suivent..
  • 742 notifications de violations reçues par la CNIL dans le cadre du RGPD entré en vigueur le 25 mai 2018.
  • 33 700 000 français ont été touchés par ces violations de données.
  • 200 comptes Twitter d’origine russe “ont produit en série 1 600 tweets et retweets par jour” sur le sujets des gilets jaunes. (The Times).
  • 10 ans de prison pour Jeremy Hammond, un pirate informatique qui (au nom du collectif Anonymous) avait lancé une attaque par déni de service (DDoS) contre un hôpital pour enfants aux Etats-Unis en 2014 (ZDNet).
  • 113 milliards c’est le nombre d’applications pour Smartphone qui ont été téléchargées en 2018 dans le monde.

Evénements


Evenements
  • 25 - 28 Février – Barcelone / Mobile World Congress
  • 6- 7 Mars – Marseille / Salon AccesSecurity
  • 11 - 12 Mars – Paris / Big Data Paris
  • 19 - 21 Mars – Paris / Data Intelligence Forum iExpo

C’est arrivé ailleurs
"Piratage de l’entreprise Marriott..."


Cette fin d’année 2018 a été marquée par un retentissant scandale venant clôturer une année riche en affaire de piratage informatique.

La chaîne d’hôtel Marriott a en effet dévoilé l’information fin novembre. Celle-ci a annoncé avoir découvert qu’une des bases de données de Starwood (racheté en 2016 par Marriott), contenant les informations de près de 500 millions de clients, avait été à plusieurs reprises la cible d’attaques visant à récupérer les données des clients de la chaîne hôtelière.

Les premières détections de cette faille de sécurité remontent au mois de septembre 2018, mais faisait cependant suite à des intrusions répétitives apparues dès 2014. Cette découverte qui a nécessité des investigations poussées a révélé mi-novembre que quelqu’un était parvenu à copier et chiffrer la base de données relative aux réservations de Starwood et cherchait à les extraire des serveurs de la société.


380 millions de clients concernés :

Les informations qui ont pu être récupérées par les pirates concernent environ 380 millions de clients à travers le monde…En effet il s’agit des personnes ayant effectué des réservations dans les multiples marques du groupe hôtelier, comme les hôtels Westin Hotels and Resorts, Le Méridien, ou encore Four Points by Sheraton...

Les informations qui ont pu être collectées vont des numéros de passeports aux informations sur les cartes de paiements, cette base de données contenant évidemment les données clients indispensables comme l’état civil, les adresses postales et électroniques, les numéros de téléphone, les dates de naissance.


Une note qui risque d’être salée :

Depuis la mise en place du cadre européen du RGPD (Règlement Général sur la Protection des Données) entré en vigueur le 25 mai 2018, si des clients européens sont victimes de ce piratage, la société peut recevoir une amende allant jusqu’à 4% de son chiffre d’affaire.

Marriott a déjà commencé à avertir les clients victimes de ce piratage par courriel et a mis en place un site dédié (info.starwoodhotels.com) et un centre d'appel pour informer les clients.

Outre –Atlantique cette faille a déjà entrainé le dépôt de plusieurs plaintes en recours collectif (class action) risquant de faire grimper les indemnisations à plusieurs millions de dollars.


Une ampleur inédite :

Si l’on revient sur les scandales que nous avons évoqués dans nos précédentes éditions, ce dernier est d’un impact colossal. Dans l’édition du mois de novembre, nous revenions sur le scandale médiatique qui a défrayé la chronique au cours de l’année dernière : Le scandale Facebook.

Cette affaire dont les médias ont beaucoup parlé et qui a même poussé son créateur historique (Mark Zuckerberg) à devoir s’expliquer devant le Sénat n’a touché que…50 millions de comptes d’utilisateurs Facebook, soit 7 fois moins de victimes que dans le cas de Marriott.

Piratage de l’entreprise Marriott...

Ça n’arrive pas qu’aux autres
"Un organisme public piraté..."


Voici une information étonnante relayée par France Info ces derniers jours et qui concerne une attaque informatique peu banale...
En effet, cette attaque concerne non pas une société lambda ayant des activités commerciales et un fichier client très fourni, mais une institution publique implantée en Franche-Comté.

Les autorités n’ont pas souhaité révéler le nom de la structure qui a été victime de l’attaque ciblée, elles indiquent seulement que cet organisme est implanté sur quatre départements de Franche-Comté : le Doubs, les Territoire de Belfort, la Haute-Saône et le Jura et centralise l’emploi de 130 agents sur l’ensemble de ses sites.


Une attaque pendant le week-end :

L’attaque a eu lieu à l’abri des regards, en l’absence des employés sur les serveurs du site situé dans la ville de Montbéliard dans le Doubs, au début du premier weekend de 2019.

C’est en effet dans la nuit du vendredi 4 au samedi 5 janvier que les pirates ont pu s’introduire dans le système informatique de l’organisme public. Cette attaque a pris la forme d’un rançonciel qui a affecté la quasi-totalité des serveurs disponibles (un seul serveur a été épargné).


A ce jour, aucune rançon demandée :

Le virus qui a été décelé, serait du type cryptolocker et s’apparenterait au virus Petya. En règle générale ce type de logiciel malveillant se charge de crypter les données du serveur afin de les rendre inutilisable. La victime doit alors payer une rançon souvent réclamée en BitCoin (cryptomonnaie dont nous vous parlions dans notre Newsletter N°4), afin d’obtenir une clé de déchiffrement et de pouvoir récupérer ses données.

Chose curieuse pour l’affaire qui nous intéresse, cet organisme affirme ne pas avoir jusqu’à présent reçu de demande de rançon…Cependant il est souvent inutile de payer la rançon car il est rare que les pirates communiquent après paiement de la rançon la clé indispensable au déchiffrement.

En tout état de cause les employés de cet organisme sont depuis le lundi 07 janvier à pied d’œuvre pour reconstituer à la main les fichiers détériorés ce qui représente un travail titanesque...

Une plainte contre X a été déposée auprès des services de gendarmerie et une enquête judiciaire a été ouverte.

Un organisme public piraté...

C’est arrivé près de chez vous
"Tirage au sort Microsoft..."


Ce mois-ci, nous revenons sur une arnaque qui a rythmé l’année 2018 et qui réapparaît assez régulièrement dans les alertes que nous remontent nos clients. Celle-ci prenant l’apparence d’une loterie au nom d’une grande société de logiciels informatique, trompant ainsi la vigilance du destinataire du mail.


En voici un exemple :

De : "Federal Reserved Bank" [bgroome@telus.net]
Envoyé : samedi 5 janvier 2019 21:03
À : belksfarm
Cc : s gardealerte
Objet : TR: Notification De Gain Microsoft :

cher(e) lauréat(e),

Nous vous acheminons ce courriel pour vous informer que votre adresse émail vient d'être tirée au sort de la loterie MICROSOFT WINDOWS et vous a permis de gagner la somme de 400.000 EUR. Pour plus d'informations nous vous invitons à bien vouloir prendre connaissance du fichier joint ci-dessus. Ensuite remplir le questionnaire en pièce jointe afin de l’acheminer à l’adresse de l’huissier ci-dessous, chargé de vous indiquer la procédure à suivre pour l’obtention de votre gain.

Huissier Maître OLIVIER BERTRAND Email : cab.xxx_bertrand@hotmail.fr Tél: (002)250 000 4444 IMPORTANT : Nous vous prions de garder confidentiellement cette bonne nouvelle. Ne pas divulguer les informations de votre gain à une tiers personne jusqu'à ce que vous soyez en possession totale de vos fonds, afin d’éviter éventuel désagrément. Nous souhaitons que vous lui confirmiez votre identité pour l'établissement de votre dossier gagnant. Nom, Prénom, Adresse, Ville, Pays, Tel, Mobile, Profession. Veuillez directement répondre à l'adresse Maître OLIVIER BERTRAND. Recevez toutes les félicitations du groupe MICROSOFT CORPORATION. LA DIRECTION DE LA LOTERIE »

Bien entendu, tout cela est faux et les victimes mal avisées qui ont pu remplir le questionnaire se sont vues réclamer des frais de créations de dossier et d’envois sans jamais avoir récupéré le gain promis...

En outre le questionnaire ainsi complété a permis la collecte d’informations qui seront monnayées et ensuite réutilisées dans le cadre de nouvelles arnaques.


Notre conseil :

Attention aux formulaires demandant des informations personnelles, bancaires etc…, une société ne vous demandera jamais des renseignements aussi importants par un simple courrier électronique. D’une façon générale, méfiez-vous également des aubaines incroyables, gains et héritages trop beaux pour être vrais…car ils cachent généralement une véritable arnaque !

Tirage au sort Microsoft...

Le sujet du mois  "La Cybercriminalité dans le domaine bancaire"


Vous l’avez bien compris au travers de nos différentes éditions : « qui dit révolution numérique dit révolution des risques ! »

À l'heure où les grandes sociétés prennent la pleine mesure de l'enjeu majeur que représente la sécurité informatique de leurs infrastructures, on s’aperçoit que de plus en plus les menaces se déplacent vers l’utilisateur final en le transformant en vecteur d’intrusion.

Cela nous a frappé d’une façon assez spectaculaire. Tout au long de l’année qui vient de s’écouler, nous vous avons parlé de grandes affaires de piratage informatique qui touchent en une seule attaque ciblée sur un grand acteur du Web, des milliers voire des millions d’utilisateurs.

Dans chaque édition, nous essayons de vous donner un panorama global de l’actualité des risques en matière de Cybersécurité en décortiquant pour vous un cas ayant eu un retentissement mondial, en zoomant ensuite sur une affaire découverte sur le territoire français, pour arriver à vous, à nous, à un cas rencontré au coin de la rue.

Force est de constater que depuis nos premières éditions, nous vous soumettons des cas représentatifs arrivés aux clients de nos agences. Ces cas typiques de fraudes, réalisées par le biais d’outils informatiques ont laissé rapidement place à une majorité d’arnaques plus classiques dans leur exécution désormais.

Les cybermenaces deviennent un phénomène de masse dans le monde, on dénombre une augmentation des faits de cybercriminalité de 32% en France entre 2016 et 2017 tendance qui ne semble pas s’être atténuée en 2018.
Pour autant, les établissements financiers ne représentent qu’une petite partie des 63500 cas de cybercriminalité que dénombre la gendarmerie dans son bilan pour l’année 2018.

Le secteur bancaire a en effet largement contribué à la sécurisation de ses infrastructures. Celui-ci a su engager les changements nécessaires afin de s’adapter continuellement aux nouvelles menaces qui apparaissent.


Changement de paradigme :

Les conséquences immédiates de la prise de conscience du secteur bancaire sur la portée exponentielle des attaques à venir, ont été de procéder à la sécurisation contre toutes les intrusions possibles de son système d’information.
Cette mutation s’est faite à une vitesse effrénée puisqu’en l’espace d’une dizaine d’années, les banques ont su mettre en place des outils de protection stratégiques contre les attaques réseau, sécuriser leurs accès web mais également leurs applications mobiles – nouveaux outils de la relation client souvent difficiles à sécuriser.

On peut prendre pour exemple les moyens de paiements, le montant des fraudes imputé à leur usage a diminué de 6,8% en 2017, y compris en ligne. Cette progression continue est soutenue notamment par des mécanismes d'authentification de plus en plus performants (3D Secure pour les cartes bleues notamment, empreintes digitales ou reconnaissance faciale déjà pour les paiements mobiles).
De fait, les cybercriminels ont dû revoir leurs techniques d’approche pour arriver à trouver de nouvelles portes, de nouveaux accès pour percer des défenses toujours plus insurmontables.


L’homme, le meilleur ami des pirates :

A quoi bon essayer de développer encore et toujours un niveau de technologie extraordinaire pour contourner des barrières de plus en plus sophistiquées mise en place par les banques ?
L’élaboration de prouesses technologiques nécessite un investissement en temps et en argent que les fraudeurs ne souhaitent plus engager. Pour quoi faire? Ils ont découvert des brèches plus accessibles et moins contraignantes à exploiter. Ces failles, ils les ont trouvées sans trop de difficultés, ce sont les clients eux-mêmes.

La diffusion mondiale du virus Wannacry, qui a bloqué l’an dernier des milliers d'ordinateurs, a démontré que l'humain et ses faiblesses sont souvent à l'origine des failles qu'exploitent les pirates.

Les fraudeurs se sont empressés de développer des nombreuses techniques rivalisant d’originalité afin de tromper la vigilance de leurs victimes. Ainsi, c’est le retour à d’ancestrales méthodes d’escroqueries qui a permis, quelque peu ironiquement, de contourner des mesures de cybersécurité toujours plus sophistiquées grâce notamment à l’ingénierie sociale (pratiques de manipulation psychologique à des fins d'escroquerie).

Historiquement, les intrusions détectées dans le domaine bancaire étaient essentiellement dues à des accès non autorisés réalisés à l’aide d’informations d’identification volées (plus de 70% des cas).
Cette récupération d’identifiants se réalisait souvent à l’occasion d’une campagne de phishing ou de spam entraînant la victime, à renseigner ses informations de connexion sur un faux site. Une fois en possession des identifiants ainsi récupérés, le malfrat n’avait plus qu’à se servir en accédant au compte bancaire et effectuer des opérations frauduleuses à son profit.

Aujourd’hui ce type de pratiques ne représente plus que 50 % des actes délictueux constatés auprès des clients bancaires dans l’hexagone.

La majeure partie des fraudes que nous retrouvons de nos jours, concerne des paiements qui ont été au préalable autorisés au travers de techniques d’ingénierie sociale bien scénarisées. Il s’agit bien d’escroqueries des plus classiques… Les escrocs s’adressant directement aux titulaires des comptes pour les intimider ou les apeurer en se faisant par exemple passer pour un conseiller bancaire ou un membre de la cellule fraude de leur banque afin de les inciter à réaliser des paiements.

C’est là où le bât blesse! En effet, le client qui pense faire une opération légitime et licite, peut difficilement se retourner contre son établissement teneur de compte dans la mesure où la faute lui incombe en premier lieu.

Ce type de fraude est particulièrement utilisé au détriment de personnes âgées ou vulnérables. C’est un fait, le ressort des histoires servant de base à l’escroquerie est toujours l’urgence qui prédomine à la régularisation d’une crise simulée et donc d’un paiement qui s’avérera perdu pour la victime.


Des précautions simples...

  • Rappelez-vous que le Crédit Agricole Pyrénées Gascogne, ni aucun autre organisme (Impôts, CAF, EDF…) ne vous demandera jamais, surtout par envoi de courriel, de communiquer des informations personnelles ou des informations sur ses moyens de paiement (code confidentiel, cryptogramme visuel au dos de la carte, identifiants...).
  • Evitez de laisser des personnes inconnues accéder à votre ordinateur personnel, voire même vous emprunter votre mobile.
  • Prenez le temps de réfléchir lors de chaque demande qui sort de l’ordinaire, notamment par des canaux comme le téléphone ou le mail. Si besoin contactez votre agence pour prendre conseil.
La Cybercriminalité dans le domaine bancaire

Édition #8 (Avril 2019)

Edito


Nous sommes ravis de vous retrouver en ce mois d’avril pour cette nouvelle édition de notre Newsletter dédiée à l’actualité de la Cyber Sécurité.

Les entreprises seront nombreuses en 2019 à lancer des projets de transformation numérique, environnements de travail, accès distants, des salariés toujours plus mobiles et des applications essentiellement en Cloud.

Ces changements (comme l’arrivée de la 5G par exemple) vont amplifier l’usage d’Internet et mettre les directeurs des Systèmes d’Information face à des enjeux technologiques inédits; ils devront monitorer le trafic grâce à de nouveaux outils et le protéger face à des hackers cherchant toujours à tirer profit de la circulation des données.

C’est pourquoi notre sujet du mois va nous éclairer sur une menace inquiétante : l’attaque sur le système DNS (Domain Name System). De quoi s’agit-il ?

Le récent buzz médiatique a mis en lumière la découverte d’une « cyberattaque mondiale » d’ampleur sur le DNS. En point de mire de ce piratage, l’usurpation d’identité d’un site ou d’un service web et, par conséquent, l’intention de piéger les internautes. Au final, cette arnaque permet de voler des données confidentielles comme des mots de passe ou des courriels.

Bien sûr nous n’oublions pas nos rubriques habituelles, c’est arrivé ailleurs ou près de chez vous. Nous vous proposons aussi un moment ludique, un test qui révèlera votre habileté à identifier les pièges du phishing, votre niveau de vigilance ….Ou de crédulité !

Bonne lecture,

Photo Vincent de Bellefon

Vincent de BELLEFON
Directeur Informatique, Organisation & Logistique

Bonne pratique
"Comment repérer des mails de phishing ?"


Sujet de la rubrique « Bonne Pratique » de notre Edition #6 du mois de novembre, le Phishing reste une des attaques les plus faciles et massives qu’utilisent les pirates pour nous subtiliser des informations et in fine, de l’argent.

Le phishing c’est quoi ?

Même si le terme est connu par beaucoup, revenons sur la définition que nous en donne Wikipédia :

« L’hameçonnage, phishing ou filoutage est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité. La technique consiste à faire croire à la victime qu'elle s'adresse à un tiers de confiance — banque, administration, etc. — afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, numéro ou photocopie de la carte nationale d'identité, date de naissance, etc. »

Même les internautes les plus avertis le savent, personne n’est à l’abri d’un email de Phishing. C’est pour cela que l’initiative originale mise en ligne par Jigsaw mérite que nous la mettions en avant dans cette Edition. La filiale de Google a en effet décidé de proposer au plus grand nombre, un quiz éducatif avec comme thème la délicate chasse aux faux mails :

Faire le test en cliquant ici

Quelle en est la mécanique ?

Ce questionnaire a pour but de tester vos capacités à détecter les indices qui permettent de démasquer les emails illégitimes que nous recevons (trop souvent hélas) dans nos boîtes mails tous les jours.

Composé de huit exemples de phishing particulièrement bien réalisés, vous devez déterminer en répondant « Hameçonnage » ou « Légitime » si le mail présenté est un phishing ou non.

Au-delà du jeu, l’objectif de ce quiz est double : tout d’abord éprouver votre discernement face à ces faux mails, en vous présentant les différents cas que l’on peut trouver sur la toile.
L’autre objectif réside dans la dimension pédagogique proposée par Jigsaw, le test a en effet vocation à vous communiquer des clés pour pouvoir, à l’avenir, découvrir facilement les erreurs indiquant la présence d’un mail frauduleux.

Pour aller plus loin :

Nous profitons de cette édition pour vous parler d’une autre initiative ludique et pédagogique qui revient (entre autre) sur le thème du phishing : La campagne de prévention Hack Academy du CIGREF (dont le Crédit Agricole est partenaire) qui présente avec humour les cyber-risques auxquels s’exposent quotidiennement les internautes.

Nous vous laissons découvrir Willy expert du phishing en cliquant ici

N’hésitez pas à consulter les autres vidéos sur le site de la Hack Academy

Comment repérer des mails de phishing ?

Indicateurs Sécurité


securite
  • 4,02 milliards d’internautes dans le monde au 1er janvier 2019
  • 50 millions € - C’est l’amende infligé à Google par la CNIL pour non-transparence sur le RGPD
  • 1000 « Cyber combattants » recrutés d’ici 2025 par le Ministère des Armées 33% des entreprises, victimes de fuites de données à cause des mobiles
  • 40 % des foyers français possèdent un périphérique non sécurisé.

Evénements


Evenements
  • 10 avril - Lyon / SIDO (IoT)
  • 16 avril - Paris / Conférence CIO - IT et métiers : front commun sur la data
  • 15 mai - Paris / Cybermatinée Sécurité Aix-en-Provence : Renforcer la sécurité de son SI
  • 21 mai - Paris / Conférence CIO - RGPD, un an après
  • 04 juin - Toulouse / Les Rencontres CyberSécurité - Occitanie

C’est arrivé ailleurs
"l’Etat Australien, cible d’une attaque Cyber "


L’ingérence supposée de la Russie dans les élections américaines, les campagnes de piratage orchestrées par la Chine, et plus près de nous, les données privées de centaines de politiciens allemands publiées sur le web… Les actualités sont de plus en plus alimentées par des scandales relatant des attaques informatiques à destination des Etats ou de leurs représentants.

C’est une nouvelle tendance qui tend à se répandre, les attaques retentissantes ne ciblent pas que les grandes sociétés exposées, mais désormais également les Etats. Souvent sont pointés du doigt des groupuscules activistes, suspects tout désignés qui auraient supposément fomenté ces attaques. Mais en réalité, les enquêtes font apparaître que ce sont secrètement des Etats rivaux qui commanditent ces piratages. Cette nouvelle guerre géostratégique déplace désormais les zones de combat sur la toile.

Il est souvent fait référence à la Chine dont les premiers faits d’armes reprochés remontent à 2007. Cette dernière a toujours démenti ces attaques plus ou moins publiquement, pour autant les autorités des pays visés affirment que les sources des attaques seraient bien chinoises (des recherches sur les adresses IP des attaquants abondent en ce sens).

Un « Agent étatique sophistiqué »

C’est en ces termes que le premier ministre australien Scott Morrison désigne l’instigateur du piratage qui a touché début février l’Etat continental.

Le 8 février dernier, les autorités australiennes ont révélé que le système informatique du parlement australien ainsi que les réseaux de plusieurs partis politiques ont essuyé une attaque informatique d’ampleur dont ils n’ont pas divulgué les détails.

Par précaution et en urgence, l’ensemble des utilisateurs de ces réseaux, membres du gouvernement et des différents partis politiques touchés, a dû changer les mots de passe et prendre d’autres mesures de prévention en conséquence.

Un parlement renouvelé au mois de mai

Cet événement arrive à quelques semaines des élections nationales qui vont permettre d’élire les futurs membres du Parlement. Cette coïncidence troublante laisse à penser que les pirates pouvaient vouloir tenter d’influencer les débats et orienter le vote. Cependant, le premier ministre M. Scott Morrison affirme que des mesures ont été mises en place afin d’assurer l’impartialité du système de vote en vue de ces élections.

Là aussi les rivalités politiques entre la Chine et l’Australie concernant l’accès aux ressources naturelles pourraient être à la genèse de cette attaque. Mais le gouvernement australien considère qu’il est trop tôt pour tirer des conclusions. Une enquête diligentée par l’Australian Signals Directorate (ASD) agence de renseignement responsable du renseignement et de la sécurité électronique de l’état va tenter de désigner les vrais responsables de cette attaque.

l’Etat Australien, cible d’une attaque Cyber

Ça n’arrive pas qu’aux autres
"8000 Français escroqués par un faux support téléphonique"


Trois chefs d’entreprise lyonnais ont été mis en examen fin janvier car ils sont à l’origine d’une escroquerie d’ampleur ayant occasionné des milliers de victimes tombées dans le panneau de leur ingénieux système. Selon la justice, ils sont coupables d’avoir extorqué de l’argent à près de 8000 internautes qui ont été identifiés à ce jour, l’enquête en cours risque d’allonger cette liste.

Plus de 2 millions d’euros envolés !

Chaque victime de cette arnaque s’est vu dérober entre 200 et 400 € pour une prestation imaginaire et inutile, ce qui porte à plus de deux millions d’euros le montant total du butin amassé par les escrocs selon les estimations des enquêteurs.

C’est le parquet de Paris, doté d’une compétence nationale en matière de lutte contre la cybercriminalité qui a pu grâce à la plateforme cybermallevillance.fr, après une enquête démarrée fin 2017, agréger les près de 8000 plaintes provenant de toute la France pour arriver à cibler le trio d’arnaqueurs.

Un faux support téléphonique

Cette technique, apparue il y a une dizaine d’années, est somme toute assez éprouvée mais elle fait encore de nombreuses victimes. Nous relations dans la Newsletter de mars 2018 le cas d’un de nos clients qui l’an dernier a certainement subi une attaque de nos escrocs lyonnais.

La technique est très simple : l’internaute au cours de sa navigation sur le web voit soudainement apparaître une fenêtre intempestive sur son écran qui bloque partiellement son navigateur. Cette fenêtre indique à l’utilisateur que son ordinateur est infecté et encourage la victime à contacter un support téléphonique afin de débloquer la situation.

A l’autre bout du fil, le téléopérateur se charge de résoudre le problème en prenant la main sur l’ordinateur prétendument infecté et résout bien entendu le problème. Cette opération inutile entraîne à la fin de l’intervention le paiement d’une somme très élevée pour un acte factice, l’ordinateur n’étant bien entendu pas infecté. En réalité la fermeture forcée du navigateur ou le redémarrage du poste suffit à endiguer le problème…

En ce qui concerne l’arnaque qui nous intéresse, le trio n’avait pas fait les choses à moitié et avait poussé le niveau de détail à l’extrême. Par exemple, l’affichage de la fenêtre se réclamait de Microsoft afin de rassurer et de mettre en confiance les victimes. Ils proposaient même en plus de la résolution du problème de faux contrats de maintenance. Ils avaient en outre engagé et formé plusieurs opérateurs pour assurer le support téléphonique qui travaillaient depuis le Maghreb.

Un organisme public piraté...

C’est arrivé près de chez vous
"Méfiez-vous des contrefaçons ! "


Depuis la fin du mois de janvier, nous avons reçu un nombre important de signalements d’un nouveau type de phishing ciblant les clients du Crédit Agricole. Si le phénomène n’est pas nouveau, ce dernier diffère quelque peu par rapport à ceux que nos clients reçoivent d’habitude.

L’alerte donnée correspondant à une demande de changement de numéro de téléphone mobile ce qui est assez inhabituel et peut tromper la vigilance des utilisateurs. Voici une copie de ce mail :

mail phishing

En revanche, si l’on fait abstraction des fautes d’orthographe et de la syntaxe approximative, on se rend compte en voyant le logo présent en bas de ce mail, qu’il a été envoyé par le biais de Mailchimp, un service de marketing par courrier électronique proposant ses services sur le web à tout un chacun.

En tout état de cause, nous ne cesserons de vous le répéter : le Crédit Agricole Pyrénées Gascogne, ne vous demandera jamais, surtout par envoi de courriel, de communiquer des informations personnelles ou des informations sur vos moyens de paiement (code confidentiel, cryptogramme visuel au dos de la carte, identifiants …).

En cas de doute sur un mail en provenance du Crédit Agricole, n’hésitez pas à nous le transmettre à l’adresse : securite.informatique@lefil.com

Méfiez-vous des contrefaçons !

Le sujet du mois  "Une attaque DNS au niveau mondial "


Le système DNS est un élément essentiel de notre usage d’internet. Beaucoup l’ignorent mais sans serveur DNS, le web que l’on connaît aujourd’hui n’existerait pas, nous ne pourrions tout simplement pas (ou très difficilement tout du moins) accéder aux sites et aux services que nous utilisons sur le web.

C’est pourquoi la nouvelle inquiétante d’une attaque ciblée sur ce service peut s’avérer particulièrement dévastatrice, nous allons en détailler les risques…

Définition du DNS

Composant essentiel du développement d’Internet autour de 1985, le Système de Noms de Domaine (DNS ou Domain Name System dans la langue de Shakespeare) est le service informatique utilisé pour permettre la traduction des noms de domaines internet en une adresse IP. Il permet d’associer une adresse logique, le nom de domaine (se terminant par .com/.fr/.net/.org), à une adresse physique, l’adresse IP (elle purement numérique).

Prenons l’exemple avec le site de Google :

Dans le cas du célèbre moteur de recherche, lorsque vous tapez le nom de domaine www.google.com dans la barre d’adresse de votre navigateur internet, le service DNS permet de traduire l’adresse de ce nom de domaine et d’en retranscrire son adresse IP qui est en réalité : 172.217.22.142 vous permettant ainsi d’accéder à la page de recherche désirée.

Vous conviendrez qu’il est plus facile de mémoriser un nom de site internet que de se rappeler la suite numérique que compose son adresse IP !

Au niveau international, c’est l’ICANN (Internet Corporation for Assigned Names and Numbers) société de droit californien à but non lucratif, sorte de régulateur technique des ressources de l’Internet, qui administre l’adressage IP et les noms de domaines. Cet organisme créé en 1998 sous l'impulsion d'Al Gore, alors vice-président des États-Unis, supervise ainsi l’enregistrement des noms de domaines déposés par les hébergeurs de sites internet du monde entier.

Ce que nous savons de l’attaque

C’est justement l’ICANN (en français Société pour l'attribution des noms de domaine et des numéros sur Internet), qui a involontairement provoqué la panique courant janvier en publiant un communiqué inquiétant. Le contenu de cette communication ne laissait pas place au doute : l’ICANN faisait état d’efforts coordonnés pour compromettre le système de noms de domaine (soit comme nous l’avons dit plus haut, le système DNS). Cette attaque d’ampleur aurait été en mesure de générer des redirections à grande échelle du trafic de données…

Concrètement, l’idée est qu’en arrivant à pervertir le système DNS, les pirates pourraient aisément modifier les informations de cet « annuaire géant » et rediriger le trafic vers des serveurs crapuleux. Il est donc ainsi possible que les hackers puissent effectuer des attaques « man-in-the-middle » (homme au milieu) en s’intercalant entre votre machine et le site auquel vous souhaitez accéder par exemple. Il ne resterait plus ensuite qu’à récupérer vos identifiants et les utiliser à loisir pour effectuer des opérations frauduleuses.

Un autre scénario est le défacement de sites web. Plutôt que de « s’intercaler » entre votre ordinateur et le site sur lequel vous souhaitez vous rendre, les pirates peuvent tout simplement récréer de faux sites et rediriger la navigation vers eux afin de berner les utilisateurs.

Autre conséquence possible de ce type d’attaque, le blocage total et volontaire du système DNS. Comme nous l’avons vu plus haut, sans résolution de nom, les sites que vous connaissez, ne seront plus accessibles, cela équivaut à un blocage pur et simple de l’ensemble du Web (et des milliards de pertes pour l’économie numérique).

Ainsi, au regard des répercussions présumées d’une telle attaque si elle aboutissait, les médias internationaux se sont empressés de relayer leurs craintes en cas de paralysie de l’internet. Pour autant, le phénomène décrit dans ces lignes n’est pas si nouveau que cela.

Faut-il réellement s’inquiéter ?

L’ICANN avait déjà par le passé communiqué sur des tentatives similaires mais de moindre ampleur. Le but de cette alerte était essentiellement d’inciter les différents acteurs du web à sécuriser le système. Une solution pour parer aux conséquences de ce type d’attaque existe, elle est baptisée DNSSEC (Domain Name System Security Extensions - Extension de Sécurité pour le Système de Noms de Domaine).

Ce protocole est une technologie créée pour apporter une couche d’authentification supplémentaire en signant cryptographiquement les données qui transitent par le système DNS, le but étant d’en assurer ainsi leur validité. Cette surcouche ne bloque pas les attaques à proprement parler mais permet de vérifier que les demandes de modifications ou de redirections sont bien émises par les propriétaires des sites et non par des hackers. Ainsi lorsque ce protocole est en place, une modification non autorisée d’information DNS peut générer une alerte empêchant les internautes d’être redirigés à leur insu vers des sites trompeurs.

La difficulté réside dans le fait que pour être efficace, ce protocole doit être utilisé aux deux bouts de la chaine de résolution de nom. A la fois du côté des propriétaires de noms de domaines (les gestionnaires des sites internet) mais également à l’autre bout, du côté des serveurs de résolution DNS, c’est à cette seule condition que le système peut s’avérer efficace.

Le problème dans ces conditions est de bien faire comprendre aux acteurs de l’internet l’importance stratégique du système de résolution de noms de domaines. Celui-ci n’est souvent pas considéré par ces derniers comme un risque sécuritaire tant il est intégré au processus. Les entreprises se doivent d’inclure cette potentielle faille dans leur stratégie de sécurité informatique.

Espérons que cette médiatisation aura au moins un effet positif sur la prise de conscience des risques et entraînera l’adhésion massive de la solution DNSSEC par tous les acteurs du net afin de sécuriser au maximum la navigation future sur le web.

Une attaque DNS au niveau mondial

Édition #9 (Juin 2019)

Edito


Bienvenue dans cette nouvelle édition de l’actualité Sécurité Informatique.

L’essence même de notre démarche depuis plusieurs mois est de vous informer, de vous faire appréhender les nouveaux risques qui vous entourent afin de vous donner les clés pour aborder plus sereinement votre vie numérique.

Force est de constater que l’omniprésence des outils digitaux nous oblige à redoubler d’attention, tant la force de ces nouveaux possibles génère parallèlement des risques inédits.

Ainsi, notre souhait est de continuer à vous y aider tous les deux mois en vous apportant l’éclairage nécessaire, à l’aide de cas précis, de situations réelles et d’analyses qu’il nous semble nécessaire d’approfondir avec vous.

La vigilance étant le maître mot de notre démarche vous trouverez ce mois-ci des astuces pour identifier les menaces latentes qui émergent sur les réseaux sociaux, ainsi qu’une analyse d’une nouvelle forme de cybercriminalité visant les moyens de paiement.

Nous aspirons par cette démarche originale pour une banque, à vous donner autant de satisfaction à  nous lire que nous avons de plaisir à vous proposer ces sujets au gré de nos publications.

Bonne lecture,

Photo Vincent de Bellefon

Vincent de BELLEFON
Directeur Informatique – Immobilier – Sécurité - Organisation - Logistique et Achats

Bonne pratique
Méfiez-vous des faux profils !


Pourquoi ces fausses identités ?

On constate une recrudescence importante de ces fausses identités sur les réseaux sociaux, une grande majorité est destinée à tromper les utilisateurs des sites de rencontres avec à la clé, chantage et harcèlement pour extorquer de l’argent aux malheureuses victimes. D’autres motivations moins vénales celles-là consistent à générer artificiellement de bonnes ou de mauvaises réputations. Cette manipulation s’opère en créant des identités générées en masse par des robots qui vont influencer l’opinion en mettant en ligne des avis biaisés…

Comment les détecter ?

Comme souvent dans nos lignes nous vous conseillons la plus grande vigilance vis-à-vis des nouvelles personnes qui souhaitent intégrer votre cercle d’amis sur les réseaux sociaux. Cependant quelques indices peuvent vous mettre la puce à l’oreille… Des profils incomplets, une liste d’amis où vous ne pouvez identifier aucun contact de votre région, une différence nette entre la photo (souvent avantageuse) et l’âge de votre interlocuteur… Tous ces éléments devraient vous alerter sur la légitimité de la demande.

Comment s’en protéger ?

Ce sujet est pris très au sérieux par les grands acteurs des réseaux sociaux, Twitter est une des entreprises qui ont réagi le plus tôt pour contrer les attaques de réputation sur ses abonnés. Elle a en effet créé un programme qui détecte les robots cachés derrière les millions de faux comptes que la société héberge afin de pouvoir les isoler et les supprimer. Facebook a également développé une application qui permet d’identifier des profils avec des photos similaires afin de détecter des vols d’identités et les faux profils, ce qui a conduit la société ainsi que sa filiale Instagram à supprimer des millions de faux profils ces derniers mois. En outre à l’approche des élections européennes le réseau social communique activement sur son action envers les faux comptes.

Pour s’en prémunir voici 4 règles simples à respecter :

  • Se méfier des profils avec des photos très avantageuses
  • Le contenu du profil, sa construction (publications, dates, amis…)
  • Son activité, est-elle cohérente, régulière ? Demandez-vous quelle est sa motivation pour entrer en contact avec vous.
  • Enfin, quel est votre bénéfice ? vous n’êtes pas obligé d’accepter toutes les sollicitations !
Méfiez-vous des faux profils !

Indicateurs Sécurité


securite
  • 3,4 milliards de personnes, accèdent aux plateformes sociales via un appareil mobile.
  • 2,320 milliards d’utilisateurs Facebook au 2ème trimestre 2019.
  • 1,4 milliard de sites internet coexistent dans le monde.
  • 48% seulement du trafic webprovient d’humains, le reste est géré par des « robots ».

Evénements


Evenements
  • 12 juin - Paris / Conférence CIO - Triompher des pièges du Digital
  • 17-21 juin - Valbonne (Franche-Comté) / Security Weeks 2019
  • 19 juin - Nantes / Cybermatinée Sécurité Nantes : Renforcer la sécurité de son SI
  • 20 juin - Paris / ESET Security Day
  • 21 juin - Serres Castet / Journée Internationale - Cafés de la Transition Numérique - CyberSécurité

C’est arrivé ailleurs
[RGPD] Google sanctionné par la CNIL…


50 millions d’euros

C’est une amende record que s’est vu infliger le célèbre moteur de recherche. La CNIL (Commission Informatique et Liberté) a en effet condamné Google le 21 janvier dernier à verser la somme de 50 millions d’euros au regard de milliers de plaintes déposées à l’encontre du géant américain.

Cette sanction est historique et fait suite à l’entrée en vigueur du RGPG (Règlement Général sur la Protection des Données) en mai 2018 pour lequel nous avions consacré un sujet dans notre Édition N°3 . Si le règlement a fait beaucoup parler de lui suite à sa mise en application ces derniers mois, les effets de ses dispositions notamment disciplinaires étaient jusqu'alors assez anecdotiques. C’est pourquoi cette annonce de la CNIL marque de façon retentissante les dangers que représente le non-respect des règles du code européen.

« Manque de transparence… »

Les motifs de la plainte sont on ne peut plus clairs : « Manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité ». La cause est, bien entendu, relative à la politique de gestion des données personnelles en France de Google.

Dans le sillage du lancement du RGPD, ce sont près de 10000 plaintes qui ont été déposées à l’encontre du moteur de recherche et recueillies par la CNIL (chargée de faire appliquer le RGPD sur le territoire français). Ces plaintes rassemblées par deux associations principalement, l’association « None of Your Business » (littéralement : « Ça ne vous concerne pas ») et « la Quadrature du Net », ont été collectées dès l’entrée en vigueur du règlement. Ce texte était attendu par les citoyens européens car il est censé encadrer la maîtrise des données personnelles au sein de l’union. Il permet en outre de proposer un contre-pouvoir face aux géants du Net qui utilisent ces précieuses données à des fins commerciales.

Le début d’une longue procédure :

La CNIL s’appuie sur deux aspects du règlement non respectés par Google, à la fois le défaut d’information et un défaut de la base légale. Tout ceci relève essentiellement du flou appliqué qui ne permet pas aux utilisateurs d’y voir clair dans les informations fournies par la firme américaine.

Le dénouement de cette procédure promet de prendre du temps mais cet acte fort témoigne bien de la volonté des autorités de régulation française de prendre le sujet de la protection des données à bras le corps. Elle présage en outre de futures actions à l’encontre des sociétés contrevenantes aux dispositions du RGPD.

l’Etat Australien, cible d’une attaque Cyber

Ça n’arrive pas qu’aux autres
Un virus informatique chez Fleury Michon.


Révélé par le célèbre groupe agro-alimentaire vendéen, c’est dans la nuit du 10 au 11 avril 2019 que l’incident s’est produit.

Les systèmes informatiques compromis

Il s’agit en effet de la découverte d’un virus informatique qui a contaminé les serveurs de la société Fleury-Michon, contraignant cette dernière à stopper immédiatement sa production afin d’isoler les problèmes potentiels générés par ce virus.

Il s’agit là d’une décision forte et lourde de conséquences (notamment financières) de la part de la société vendéenne, qui a de surcroît communiqué très tôt comme le témoigne son communiqué de presse diffusé dans les jours qui ont suivi :

"Dans la nuit du 10 au 11 avril, les systèmes informatiques de Fleury Michon ont été touchés par un virus informatique. Par mesure de précaution, l'ensemble des systèmes ont été déconnectés, pour éviter la propagation. Les usines, ainsi que notre unité logistique, ont été mises à l'arrêt jeudi dernier, 11 avril, à 14h00".

Il est bon de souligner la réactivité des équipes informatiques de l’entreprise qui ont décidé dès le lendemain à 14h d’endiguer la propagation éventuelle du virus en déconnectant l’ensemble des systèmes informatiques. Cette décision a donc entraîné dans le même temps la fermeture des usines et de l’unité logistique du groupe.

Reprise rapide de la production

Le sujet de la cybersécurité était déjà pris très au sérieux par les équipes de Fleury-Michon, ces risques sont en effet couverts par une police d’assurance prenant en charge les conséquences d’une telle crise comme l’indique la suite du communiqué de presse :

"Les impacts, en cours de chiffrage, seront limités et couverts par une assurance souscrite à cet effet".

C’est la conjonction d’actions de sécurisation et de remédiation des systèmes touchés par le virus qui a permis de pouvoir très rapidement relancer l’outil de production.

Au final, l’entreprise a pu en cinq jours seulement se remettre en ordre de marche pour honorer les commandes de ses clients et reprendre une activité normale dès le 15 avril.

Un organisme public piraté...

C’est arrivé près de chez vous
un remboursement d'un trop-versé de la part des impôts ?


Le moins que l’on puisse dire c’est que l’année 2019 a été marquée par de multiples changements dans les modalités de recouvrement de l’impôt en France. La majorité des Français a dû essayer d’appréhender non sans mal les nouvelles règles qui s’imposent aux contribuables. Cette complexité n’a pas échappé aux pirates qui profitent de cette période de flottement pour essayer de duper certains concitoyens en leur faisant miroiter d’hypothétiques remboursements de trop perçus :

mail phishing

Ce message reçu par quelques clients intègre un lien dirigeant vers un faux site des impôts destiné à récupérer les infos bancaires des victimes afin de leur soutirer de l’argent. Soyez vigilants ! En tout état de cause, il faut toujours éviter de se précipiter lorsque l’on reçoit une information de ce type… Le meilleur réflexe est de fermer le message reçu et d’aller vérifier soi-même sur son espace personnel sur le site officiel de l’entité ou de la société qui souhaite vous rembourser, afin d’en vérifier la véracité.

En cas de doute sur un mail en provenance du Crédit Agricole, n’hésitez pas à nous le transmettre à l’adresse : securite.informatique@lefil.com

Méfiez-vous des contrefaçons !

Le sujet du mois  Le Formjacking, nouvelle pratique de piratage


Une montée en puissance préoccupante :

Le célèbre éditeur de logiciels antivirus Symantec, a produit son rapport annuel sur l’état des cybers menaces en 2018. Le bilan de Symantec relève une certaine accalmie en matière de ransomware, en retrait de 20% pour la première fois depuis 2013 (avec toutefois une baisse relative de 12% pour les entreprises). Il insiste également sur une baisse de plus de 50% de fraudes relatives au cryptojacking liée à la baisse de près de 90% de la valeur des cryptomonnaies sur l’exercice précédent (le cryptojacking est une technique visant à exécuter un script à l’insu d’un utilisateur pendant qu’il consulte une page web, afin de se servir de son ordinateur dans le but de générer de la cryptomonnaie).

Pour autant, la cybercriminalité a horreur du vide et les pirates trouvent toujours de nouveaux moyens pour s’enrichir au détriment des internautes. C’est le cas avec la montée en puissance de la technique du « Formjacking », technique simple qui peut nous piéger lorsque nous remplissons un formulaire à l’occasion d’un achat sur un site marchand…

La technique du Formjacking :

Habitué des achats en ligne, vous ne connaissez que trop la page qui vous invite à remplir des champs où vous devez compléter votre nom, adresse, e-mail, numéro de téléphone et bien évidemment vos données de paiement avant de clôturer votre achat. C’est une page un peu rébarbative que l’on remplit sans plus y prêter attention, persuadés que nous sommes dans un processus sécurisé. C’est précisément le moment que choisissent les pirates pour piéger leurs victimes.

Ce nouveau procédé émergent, peut se traduire par "vol de formulaire". C’est une technique qui s’apparente aux attaques « man in the middle » (dont nous vous parlions dans la Newsletter N°8 ) puisque le hacker s’insère dans le processus d’enregistrement d’un achat sur le Web et arrive à détourner et utiliser de façon malveillante les données des moyens de paiement. Côté utilisateurs c’est totalement transparent, ceux-ci pensent légitimement saisir les données de leur carte bancaire auprès du site d'e-commerce.

Cette faille est possible car les cybercriminels parviennent à s'infiltrer dans des sites marchands et à y installer un script malveillant qui réussit à intercepter et transférer les données des cartes de crédit. Dans son rapport Symantec, qui mentionne le chiffre astronomique de plus de 3,7 millions d’attaques apparentées au Formjacking bloquées en sur l’année précédente, fait tout de même état de l’enrichissement des pirates qui ont pu malgré tout empocher en 2018 des dizaines de millions de dollars…

Chaque mois il s’agirait de près de 4800 sites Web qui seraient compromis par cette nouvelle technique. Ce sont malheureusement les Pme et Tpe qui sont principalement visées en raison de protections moins efficientes face à ce type de menace.

Une pratique très lucrative :

Le nombre de subtilisation de données de moyens de paiement est en croissance exponentielle selon la firme américaine, et cette pratique n’est pas prête de faiblir… En effet, chaque carte dérobée peut se revendre jusqu’à 45$ sur le marché noir (le fameux « Dark Web ») et lors d’une récupération massive le pactole peut rapidement grimper de façon vertigineuse.

Ainsi l’éditeur d’antivirus indique que la seule attaque du site de la compagnie aérienne British Airways en décembre 2018 qui avait entraîné la compromission de plus de 380000 cartes bancaires, a potentiellement généré un gain de plus de 17 millions de dollars par les pirates.

Sans parler davantage des grandes entreprises qui pourraient faire les frais de ce type d’attaque, Symantec indique que sur des attaques ciblées et multiples à l'encontre de petites entreprises (comme indiqué plus haut, 4800 par mois), seulement 10 cartes volées sur chacun des sites visés pourraient générer un revenu de près de 2,25 millions de dollars par mois !

Que faire pour s’en protéger ?

Le danger principal est, comme nous l’avons vu, que ce type d’attaque est indolore…le paiement de votre achat n’est pas affecté et les conséquences du vol de vos données de paiement peuvent se faire sentir des semaines voire des mois après la discrète subtilisation.

La première des précautions et une recommandation souvent faites dans nos lignes, celle de protéger votre ordinateur avec un antivirus, comme nous l’avons vu plus haut celui-ci peut s’avérer efficace pour bloquer ce type d’attaque. Une autre solution qui peut s’avérer également utile est l’installation d’un bloqueur de publicité, car celui-ci peut bloquer des éléments extérieurs qu’un pirate serait susceptible d’ajouter à une page web.

Il est également impératif de s’assurer a minima de la sécurisation de vos achats sur des sites en https et de privilégier les systèmes de paiement en ligne dotés d’une sécurisation accrue comme le 3D-Secure préconisé par notre Caisse Régionale.

Sachez enfin que vous êtes protégés, si vous n’êtes pas à l’origine d’une transaction vous pouvez la contester auprès des services moyens de paiement de votre banque (attention toutefois à ne jamais communiquer par téléphone à un tiers un code SMS reçu sur votre mobile validant ainsi une transaction frauduleuse…).

Une attaque DNS au niveau mondial

NOUS ALERTER SUR UNE SUSPICION DE FRAUDE

Contactez-nous

DECLARER LA PERTE OU LE VOL DE VOTRE CARTE BANCAIRE

De la France ou depuis l’étranger, 7j/7 et 24h/24, appelez immédiatement SOS CARTE du Crédit Agricole au 00 33 9 69 39 92 91