Tous les articles par admin

Passionner l'informatique, nous travaillons dans la sécurité informatique afin de proposer des conseils à nos lecteurs pour qu'ils évitent de se faire pirater leurs comptes et leurs mots de passe.

Suite à un test, 20 % des employés de Gitlab se font avoir par une attaque au phishing

Le phishing ou encore l’hameçonnage est une technique très connue dans le secteur de la cybercriminalité.

C’est littéralement et classique du genre, qui permet au cyber malveillant de récolter des informations sur des internautes imprudents.

Cet article va aussi vous intéresser : Une campagne de phishing contre les utilisateurs PayPal

Des informations qui peuvent souvent se révéler sensibles ou confidentiels. On pense notamment aux identifiants de connexion ou à toutes données qui permettent l’authentification d’une personne en particulier lors d’une quelconque connexion. Cette technique et souvent utilisé par le biais d’outils de messagerie dont les utilisateurs de services numériques ont tendance à le plus utilisé. Il pourrait s’agir par exemple de l’email tout simplement qui constitue à lui seul une grande majorité des campagnes de phishing. Il pourra aussi s’agir d’applications de messagerie classique tel que Messenger ou encore Whatsapp, ou tout simplement les SMS.

Pour réussir son coup, le cybercriminel enverra un message dans le but d’attirer l’internaute vers un site Web factice. Le message piège porte généralement sur une thématique courante telle que le covid-19 que nous vivons aujourd’hui, ou sont axés autour de jeux qui pourront permettre à la personne ciblée de gagner de l’argent. Si cette dernière manque par exemple de vigilance, et qu’elle clique sur le lien proposé dans les messages qui’il reçoit, elle sera rédigée vers un site qui est géré par les cybermalveillants. Ces derniers profiteront pour lui demander de remplir des formulaires qui leur permettront ensuite de récupérer les informations qui les intéressent. Stan Adkens, Notait à cet effet : « Les attaques de phishing sont conçues pour voler des identifiants ou pour tromper le destinataire afin qu’il télécharge ou exécute des pièces jointes dangereuses. C’est une technique utilisée par des fraudeurs qui consiste à faire croire à la victime qu’elle s’adresse à un tiers de confiance. »

Pour ceux qui nous intéresse dans cette histoire, notons tout simplement que l’entreprise GitLab a tendance à effectuer des tests d’hameçonnage sur son personnel employé chaque trimestre. Mais à chaque fois, le résultat obtenu donne l’impression qu’il est pratiquement impossible d’éradiquer ce phénomène. Le dernier test de la société remonte depuis la semaine dernière. Dans cette campagne de phishing, l’entreprise avait pour but en ciblant certains employés d’obtenir certaines informations telles que les identifiants gitlab.com. Les équipes ont été testée par des courriels reçus en trombe faisant passer pour une campagne de communication commerciale tout à fait normale. Et bien sûr certains se sont fait prendre par le jeu.

L’entreprise a signifié un fait important, l’objectif n’est pas du tout de punir les personnes qui ne suivent pas les mesures d’hygiène numérique convenablement, mais dans un certain sens les sensibiliser, leur montrer que la faille provient en grande partie d’eux, dans le but de les ramener sur le droit chemin. Cela y va de la sécurité de l’entreprise ensemble.

La simulation du phishing n’a pas pris en compte certains détails, qu’est-ce que le moyen de défense supplémentaire, notamment L’authentification à multiples facteurs. L’équipe de test a mis en ligne le domaine GitLab.company. Ils se sont servi de G Suite pour balancer les courriels corrompus. Les services et le nom de domaine utilisés dans ce contexte ont été configurés avec configuration SSL de sorte à donner l’image aux courriers comme étant des e-mails légitimes provenant de l’entreprise. GitLab a soulevé le fait que de telles infrastructures peuvent être mise en place par un cybermalveillant gratuitement et sans beaucoup trop d’efforts.

Sur cinquante employés ciblés lors de ce test, 17 se sont fait prendre par le piège. Ils ont malheureusement cliqué sur le lien proposé. À la suite de cet acte ils furent automatiquement redirigés vers un manuel conçu par GitLab pour sensibiliser contre l’hameçonnage. Les victimes seront alors encouragés à suivre des cours de formation ou de solliciter l’équipe de sécurité afin de leur prodiguer certaines recommandations pour que cela ne se reproduise pas. Par ailleurs, 6 de personnes ciblées ont signalé automatiquement le courrier comme étant malveillant après l’avoir reçu. Leur intuition sur la question a été la bonne.

L’exemple de GitLab sur ce test met en évidence un certain fait. L’hameçonnage reste toujours quelque chose difficile à combattre, voir éradiquer. Chris Rothe, le fondateur et chef produit de Red Canary, une société spécialisée dans la détection de menace notait un peu près observation : « Le phishing est un excellent exemple de quelque chose qui ne peut pas être totalement empêché (…) Parce que le courrier électronique est une fonction commerciale essentielle, il doit être optimisé pour sa fonction commerciale et non pour la sécurité dans la plupart des cas. Il existe de nombreuses stratégies que les équipes informatiques peuvent utiliser pour réduire le nombre d’attaques de phishing réussies – blocage des e-mails, dépouillement et analyse des pièces jointes, formation de sensibilisation –, mais il n’existe pas de solution à 100 % ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

La protection des données de santé, un casse-tête pour les autorités et les particuliers

Depuis l’annonce de StopCoviD, l’application de traçage, plusieurs débats ont été initiés, menés et continueront de naître au fur et à mesure.

La question essentielle pour ne pas dire l’inquiétude au centre de taux surmenage n’est rien d’autre que la gestion des données de santé. Les données de santé sont des données personnelles qui permettent d’avoir certaines informations sur une personne en particulier.

Cet article va aussi vous intéresser : La protection des données personnelles à l’épreuve de la pandémie du coronavirus

Il peut s’agir de son état de santé mais encore plus. C’est-à-dire, des informations nominatives tels que des noms, des prénoms et mêmes des statuts matrimoniaux sans oublier la localisation géographique. Pour dire que parlant de données personnelles de santé, la nature délicate de la chose pousse certaines personnes en particulier les défenseurs des droits humains et les spécialistes de la sécurité informatique à réagir.

L’idée de l’application et l’objectif derrière ne sont pas mauvais en soi. Cependant, plusieurs réalités sont à prendre en compte. Comme le fait que tous les intervenants dans ce programme, pourraient avoir accès à l’ensemble des données qui seront collectées et gérées. Et les acteurs de cette chaîne de pistage à ce jour sont assez nombreux. On parle notamment de médecins, de pharmacies, de laboratoires, les services de santé de l’armée, d’établissement de santé, des assurances maladie, des communautés professionnelles territoriales dédiées à la santé et l’ensemble des structures qui ont été créé depuis les débuts de la pandémie pour lutter contre la maladie. Beaucoup trop d’intervenants pour toutes ces données. De quoi à rendre difficile une quelconque transparence dans la gestion de celles-ci.

Dans de telles conditions, appliquer certaines règles seraientt impossible. Même si d’un autre côté le conseil constitutionnel essaie d’élargir le champ d’application des principes existants en essayant d’inclure certaines ideaux de nécessité publique. L’institution juridique suprême notait à cet effet : « le champ des personnes susceptibles d’avoir accès à ces données à caractère personnel, sans le consentement de l’intéressé, est particulièrement étendu, cette extension est rendue nécessaire par la masse des démarches à entreprendre pour organiser la collecte des informations nécessaires à la lutte contre le développement de l’épidémie ». Dans le contexte actuel, il serait anticonstitutionnel si et si seulement des travailleurs sociaux prenais connaissance des fichiers appartenant à des individus sans leur consentement, car : « rien ne justifie que la communication des données à caractère personnel traitées dans le système d’information ne soit pas subordonnée au recueil du consentement des intéressés ».

Notons par ailleurs que le ministère de la Santé a mobilisé un groupe d’agents dénommé « brigades d’anges gardiens », leur objectif étant étant d’assurer le pistage des personnes détectées positives au coronavirus ainsi que les personnes avec lesquelles on pilote en contact. Pour assurer la sécurité des informations qui serait connecté sur les personnes impliquées dans ce pistage, les structures acteures devraient mettre en œuvre un moyen pour respecter la norme en vigueur à ce sujet, notamment le règlement européen 2016/679 du 27 avril 2016, où l’existence est faite aux intervenants : « respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée. À cette fin, une matrice d’habilitation définissant les droits d’accès en lecture et en écriture selon les profils des personnels habilités est un élément central de la sécurité du traitement ».

Cependant, le ministère de la Santé avait signifié à la Commission Nationale de l’Informatique et des libertés qu’il ne comptait pas reconfigurer les dispositifs de pistage pour limiter les accès pour le seul besoin des utilisateurs en raison « des contraintes opérationnelles rencontrées ». Une posture qui pour les juristes est totalement contraire aux règles du règlement général de la protection des données dans le cadre des « mesures techniques ou organisationnelles appropriées » (art. 5.1). En effet, vous en article 32. 2 la RGPD dispose que : « il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite ».

En outre, un autre point est mis en évidence concernant la gestion des données après sa collecte. C’est la centralisation des informations collectées. Pour les spécialistes, procéder ainsi expose grandement les personnes impliquées dans cette dynamique de pistage. Car cela permet très facilement les abus de la part de l’autorité en charge de cette collecte et de cette gestion. Dans le cas de l’application de traçage français, l’idée a été émise de crypter les informations quand bien même qu’elles seront stockées sur un serveur unique et centralisé. Une idée qui n’est certes pas parfaite, mais qui a le mérite d’être validée par la Commission Nationale de l’Informatique et des libertés, que le 24 avril 2020 écrivait ceci : « […] la conception de l’application StopCovid témoigne du souci de protéger la vie privée des personnes, notamment en évitant que soit centralisée dans un serveur une liste des personnes qui se déclarent malades ».

En dépit de toutes ces tentatives, il n’empêche que le problème demeure. Les informations des particuliers relatives à la santé n’ont pas encore trouvé un cadre technique et juridique pour assurer la protection des personnes qui sont liées.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

La Commission Nationale de l’Informatique et des libertés donne un avis favorable au déploiement de StopCoviD

À quelques jours de son déploiement officiel, la future application de traçage mobile, développé par le gouvernement français en vue d’aider au déconfinement et circonscrire la maladie, a reçu de la part de l’autorité indépendante administrative chargé de la gestion des données personnelles et des droits liés au numérique, un avis positif sur certains points.

Cet article va aussi vous intéresser : Traçage mobile et déconfinement : l’application de gouvernement ne fait toujours pas l’unanimité auprès des experts

Il faut noter que le tout premier avis émis par la Commission Nationale de l’Informatique et des libertés à l’égard du projet gouvernemental de l’application de traçage avait été positif que certaines exigences y avaient été adjointes. Pour le second avis, les initiateurs du projet ne pourraient pas espérer mieux. Cet avis est tombé aujourd’hui le 26 mai 2020. Il porte essentiellement sur le décret de création de l’application « StopCoviD ».

Dans la soirée d’hier, le secrétaire d’État au numérique, qui est rattaché directement au ministère de l’Économie lors d’une annonces publiques signifié que : « l’application est techniquement opérationnelle et les tests » qui ont été menés avaient été « conclusifs », de telle sorte, que l’autorité en charge a partagé des captures d’écran du programme informatique.

Mais avant tout déploiement définitif, l’Assemblée nationale doit au préalable donner son accord, et cela après un débat parlementaire en présence de secrétaire en charge du projet, Édouard Philippe. Un débat qui est censé avoir lieu dans la journée de demain, mercredi 27 mai.

Si l’autorité administrative chargée de la protection des données personnelles n’a pas manqué de soulever certaines exigences en matière de gestion des informations des utilisateurs de l’application, elle a aussi soulevé plusieurs points qui l’ont satisfaite. D’abord il faut soulever que la raison particulière qui a permis à la Commission Nationale de l’Informatique et des libertés de valider le projet était la question de l’utilité sanitaire, faisant primer ici un droit général au détriment de certaines prérogatives particulières. C’est pour cette raison que dans son avis, l’autorité administrative indépendante notifie : « l’utilité de l’application et la nécessité du traitement [de données] sont suffisamment démontrées en amont de la mise en œuvre du traitement ». Et ajoute par la suite que « nombreuses garanties sont prévues par le ministère ». De plus, le ministère en charge aurait pris en compte certaines recommandation faite par l’autorité administrative il y a quelques semaines de cela. Cette dernière a remarqué que « le ministère a confirmé qu’il n’envisage pas d’attacher des conséquences juridiques défavorables au fait de ne pas avoir téléchargé l’application et qu’aucun droit spécifique ne sera réservé aux personnes qui l’utiliseront ». La CNIL a ajouté que le décret portant création du StopCoviD sera modifié pour permettre que l’application puisse être utilisé par les individus comme bon leur semble, mais que personne ne pourra faire de fausse déclaration sur son statut comme se déclarer, faussement malade et que certaines collectes d’informations portant sur l’identification des personnes touchées par le coronavirus, les zones où les malades ont pu se déplacer… La CNIL s’est aussi assurée que le consentement des utilisateurs soit exigé pour l’installation de l’application, les nodifications relativement aux résultats positifs et notamment l’activation et l’usage du bluetooth.

En outre, la Commission Nationale de l’Informatique et des libertés a salué le choix du gouvernement d’utiliser le protocole Robert pour sécuriser la gestion des identifiants. Elle estime que : « Ce choix est protecteur de la vie privée », alors que l’architecture a beaucoup été critiqué par les spécialistes de la sécurité informatique et les défenseurs de la vie privée du fait qu’elle octroie trop d’importance à un serveur central.

Toutefois, elle a relevé certains points qui pourraient être améliorés. Par exemple, l’application de traçage « ne permet pas de tenir compte du contexte dans lequel les personnes se trouvaient au moment où une exposition à une personne infectée a été enregistrée », ce qui peut être assez limite pour les professionnels de santé qui sont ou qui seront forcément en contact avec des personnes potentiellement de malades. À ce propos la CNIL a demandé d’ajouter à l’application une fonctionnalité « de désactivation temporaire, aisément accessible, sur l’écran principal de l’application, [qui] pourrait être de nature à réduire le nombre de fausses alertes ». Pour les utilisateurs mineurs ou pour des parents, l’autorité administrative recommande d’ajouter un texte spécifique « afin que l’application soit utilisée à bon escient et que le message d’alerte susceptible de leur être adressé soit adapté et bien interprété ».

Concernant le débat portant sur la publication intégrale au partielle du code source de l’application, la Commission Nationale de l’Informatique et des libertés à trancher le litige en estimant qu’il « est important que l’intégralité du code source soit lui rendue publique ». Une exigence qui risque de ne pas plaire au gouvernement qui bien sûr ne l’avais pas prévu.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Traçage mobile : l’énorme échec de l’application de tracking Australien

Les Etats sont de plus en plus tentés d’initier les applications de traçage mobile permettant d’évaluer les interactions et déterminer à quel moment tel ou tel individu a été en contact avec tel autre, de sorte à circonscrire la propagation du coronavirus.

Cet article va aussi vous intéresser : Covid-19 : comment garder votre vie privée sur le net ?

Une solution parmi tant d’autres. Cette la solution, qui de jour en jour est adoptée à travers le monde. L’Australie fait partir de l’un des premiers pays à avoir opté pour ce système de tracking. Cependant le résultat attendu n’a pas été celui qui a été observé. Les autorités australiennes ont dû faire face à un énorme échec.

Dès le début projet, les autorités australiennes comptaient véritablement sur cette stratégie pour indiquer le plus tôt possible la pandémie. Mais après un mois de déploiement, il a été constaté que l’application n’a pas su répondre aux objectif gouvernement australien et pour des raisons diverses.

Connu sur la dénomination de Covidsave, l’application du traçage mobile australienne est l’équivalent de StopCoviD en France, projet informatique qui est actuellement en cours de développement en France. Cette dernière n’a pu permettre de détecter un seul cas durant ce dernier mois. Cet unique cas a été observé grâce à l’application d’une personne qui aurait été dépistée positive au CoviD- 19, et décidé spontanément de mettre à jour ses données sur l’application. Cette dernière par la suite auraient été contactée par les autorités afin de l’encadrer et la conseiller.

Une telle situation a poussé les élus Australien a quelque peu revoir leur copie. Covidsave n’est plus l’élément clé du déconfinement et cela au grand dam du premier ministre Australien qui n’a cessé de vanter les mérites de ce projet. « […] l’application reste un bide. Fin avril, le Premier ministre australien Scott Morrison avait pourtant vanté les mérites de l’outil et la nécessité d’y avoir recours. Mais devant le manque de succès de l’application, même les hommes politiques ont baissé le ton et changé quelque peu de discours : Covidsafe n’est plus l’instrument primordial pour limiter le nombre d’infections au Covid-19 mais un outil supplémentaire venant appuyer les mesures déjà en place pour identifier les cas contacts de personnes contaminées. » notait Ambre Deharo, journaliste.

À l’instar de la future application française, Covidsave se base sur la technologie Bluetooth pour fonctionner. L’idée est à peu près similaire que le projet StopCoviD. Elle est censée permettre de retracer les interactions sur une durée d’au moins 21 jours. Pour que cet outil soit efficace, les autorités australiennes avaient espéré une utilisation de 41 % de la population. Malheureusement, 6 millions d’habitants l’ont téléchargé. Et pire, ce nombre diminue de jours en jours. Selon le journal britannique the Guardian, le nombre d’utilisateurs espéré par les autorités serait en deçà d’au moins 1,5 millions. Sans compter le nombre d’Australiens ne disposant pas de téléphones équipés d’une technologie bluetooth ou encore ceux qui n’en veulent pas sur leur smartphone tout simplement.

Pour le moment la raison de l’échec n’a pas encore été découverte. Ce que l’on sait, le gouvernement avait mis en place tous les moyens pour réussir ce pari. Malheureusement, les citoyens n’ont pas, il semble, convaincu. Cela, en dépit de toutes les campagnes de sensibilisations menées. À ce propos, l’inquiétude majeure se situerait au niveau de la gestion des données personnelles qui aurait pu être récoltées par l’application. Et d’un autre côté, la population a sans doute été découragée par la baisse de la contamination et n’a pas jugée utile d’installer une application et l’utilisée.

En outre, lors de sa conception, Covidsafe a connu quelques problèmes techniques. Le média britannique a même soulevé le problème de transparence concernant l’application durant son développement. Ce qui n’a pas manqué de révéler certaines failles après que cette dernière ait été déployée. En particulier sa version pour iOS. Mais aujourd’hui, Ces failles ont été comblées grâce à des mises à jour mais il n’empêche que l’application a toujours du mal à fonctionner sur les iPhones. le problème aujourd’hui se situe lorsque l’application doit tourner en arrière-plan. Un souci technique qui est typique à iOS, car, sur Android en tout se passe correctement. Pour le moment, le gouvernement australien n’a rien indiqué quant à un potentiel de retrait l’application.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Les 2 ans du règlement général des données personnelles : quel bilan peut-on faire ?

Norme européenne édicté, il y a 2 ans de cela, le règlement général de la protection des données personnelles se trouve aujourd’hui dans une situation assez délicate.

Cet article va aussi vous intéresser : 6 notions à connaître en matière de cybersécurité moderne

Avec la pandémie qui secoue monde entier, il devient alors difficile pour les états de garantir l’intégralité des dispositions présentes dans cette norme. Car la situation ne s’y prête pas. Si ce n’est les autorités elle-même qui font souvent impasse à certains endroits détenus par les particuliers en application dudit règlement, ce sont les entreprises ou autres structures privées qui le font. Il peut s’agir des raisons d’intérêt général tel que la santé publique, ou de nature économique. Mais ça ce n’est que pour ces mois récents. Avant même la pandémie, la norme européenne sans se défendre les droits des utilisateurs des services numériques a eu un bilan à peu près une mitigé. À ce propos, Greg Day responsable et superviseur des opérations de la firme Palo Alto Networks sur la zone EMEA, par ailleurs, le chargé du développement des renseignements sur les cybermenaces et sur les pratiques d’hygiène en matière de sécurité notait à cet effet : « Alors que nous fêtons le deuxième anniversaire de l’entrée en vigueur du RGPD, l’une de mes principales inquiétudes est que, d’une façon ou d’une autre, l’objectif éducatif de cette régulation s’est perdu. Nous avons, semble-t-il, raté l’opportunité d’aider les entreprises à apprendre de leurs erreurs. Or pour moi, c’était l’un des aspects positifs du RGPD. Celui-ci a été conçu comme une feuille de route pour améliorer en continu la sécurité et le respect de la vie privée des entreprises. Toutefois, je ne crois pas qu’il y ait eu un effort international pour recenser les erreurs les plus courantes commises par les sociétés, quelle que soit leur taille, en appliquant le RGPD et pour les éviter. ».

Dans le contexte actuel, les entreprises pour être d’accord qu’avec l’expert. Car nous assistons aujourd’hui à une recrudescence des menaces informatiques et une situation où les règles et protocoles habituelles ont du mal à s’appliquer convenablement.

L’un des problèmes majeurs de règlement général de la protection des données, serait son adaptabilité à l’évolution constante de la technologie. En effet, pour une règle qui fut édicté il y a 2 ans de cela, il est fort probable qu’à l’heure actuelle, l’avancée technologique a rendu caduques ou difficilement applicables plusieurs de ses dispositions. Ce n’est pas seulement que la technologie qui a évolué. Mais aussi les pratiques en matière de collectes, de productions, et de gestion des données. « Il est important de s’assurer que l’application du RGPD reste claire malgré les différents changements technologiques. Ainsi, depuis que le RGPD est entré en application, de nombreuses sociétés ont migré dans le cloud, dont l’usage s’est fortement généralisé avec de forts taux d’adoption. Il faut que ces entreprises réfléchissent à la façon dont le RGPD s’y applique alors que les données circulent dans le cloud de façon nettement plus importante que prévu. Ceci pour documenter les risques spécifiques qui s’y posent, et pour définir une feuille de route pour un respect continu de la vie privée et une amélioration de la sécurité. » conseillait l’expert Greg Day.

Certaines situations telle que la pandémie du coronavirus à pousser les spécialistes de tout bord à remettre en question certains principes, du moins jusqu’à ce que la lutte contre cette maladie arrive à son fin. Et bien sûr, certaines pratiques qui ont débuté depuis le début du coronavirus, risque difficilement de prendre fin du jour au lendemain. De ce fait, la norme européenne gagnerait à s’adapter le plus rapidement possible une nouvelle technologie qui ne cesse de naître tout en essayant de contrôler au mieux l’aspect juridique de la gestion des données personnelles qui devient de plus en plus complexe.

Un autre point négatif et à souligner contre le RGPD. C’est la diversité des interprétations et de la transposition dans les pays de l’Union européenne. Ce fut l’un des points faibles majeur à soulever durant ces 2 années. Si l’on devait compter plusieurs pays, chacun avec sa propre interprétation de la règle, il devient alors difficile d’accorder la valeur obligatoire nécessaire à une disposition particulière face à un fait particulier.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage