Tous les articles par admin

Passionner l'informatique, nous travaillons dans la sécurité informatique afin de proposer des conseils à nos lecteurs pour qu'ils évitent de se faire pirater leurs comptes et leurs mots de passe.

Réduire au maximum la vulnérabilité des collaborateurs en entreprise en adaptant l’authentification

Depuis toujours, lancer de manière claire et nette que la vulnérabilité principale en entreprise n’est rien d’autre que l’humain sur le plan de la sécurité informatique.

Avec le coronavirus et le télétravail qui s’est de plus en plus répandu, la question de la sécurité n’a jamais été autant délicate. 48 % des personnes interrogées lors d’une étude dominée par Ipsos pour Welcome to the jungle, ont émis la volonté de recourir au télétravail de manière complète, et cela durant les 5 jours de travail sur 5.

Cet article va aussi vous intéresser : Les entreprises privées face aux vulnérabilités des objets connectés

Pourtant l’on sait très bien que le télétravail apporte son lot de vulnérabilité. Rien que durant les 2 mois pendant lesquels ont duré le confinement général de plusieurs populations à travers le monde, le taux d’attaques informatiques a grimpé en flèche. Ce qui fait que le taux de menaces ne fera que croître lorsque les collaborateurs commencent à envisager une manière de pouvoir travailler depuis chez eux. Surtout avec l’utilisation de terminaux qui ne répondent pas généralement aux mesures de sécurité.

« Les modes de collaboration changent, et avec le télétravail, que certains connaissaient déjà, que d’autres ont découvert au travers de cette crise, la relation avec les autres, les collaborateurs et les fournisseurs notamment changent. Par conséquent, les outils informatiques embarqués évoluent eux aussi, au même titre que les menaces. Il y a donc besoin de s’adapter à ces transformations. Et en matière de cybersécurité, il y a des enjeux assez importants qu’il faut impérativement couvrir. » note Laurent Nezot, Directeur des ventes France chez Yubico.

La question de l’authentification dans le tel contexte et souvent repéré en première ligne. Laurent Nezot pense que cet aspect n’a pas été beaucoup développé voir enrichi par les sociétés durant ces 30 dernières années. Il constate que les entreprises depuis longtemps utilisé continuer d’utiliser des protocoles anciens servant à l’authentification. Notamment les mots de passe à usage unique ou les cartes à puce. Des pratiques qui continuent toujours de toujours exister. Cependant face à la recrudescence de certaines menaces informatiques tel que le phishing, il faut reconnaître que leur efficacité n’est plus à solliciter, en plus de les rendre moins ergonomiques. Vu sous cet aspect, la question essentielle de l’adaptation s’impose. Encore que les entreprises reconnaissent le problème et veuillent véritablement le résoudre.

Alors, pour Laurent Nezot, l’organisation de mesure de sécurité, en l’occurrence celle affectant les authentifications doivent s’adapter en fonction de la sophistication des menaces qui sont de plus en plus répandu de nos jours. Si les techniques de cyberattaques évoluent, les protocoles de sécurité doivent aussi suivre la tendance. Alors l’intervention de la cryptographie où la solution du secret non partagé sont notamment envisageables.

Par ailleurs, les utilisateurs de solutions informatiques en entreprise doivent être surveillés. De même que l’expérience utilisateur va être considéré dans mes différents choix lors des déploiements de solutions. « Nous avons en effet tous envie de dépasser le stade du mot de passe, il en est question depuis longtemps, tout comme les exigences des utilisateurs sur ce point sont supérieures à celles d’il y a 5 ou 10 ans. Il faut donc déployer une méthode avec le niveau de sécurité le plus élevé possible, mais qui réponde aussi aux attentes des consommateurs en termes de simplicité d’utilisation. » note Laurent Nezot. « De manière générale, nous observons une situation contradictoire dans le sens où les entreprises veulent abandonner les mots de passe et élever le niveau de cybersécurité, tout en ayant conscience qu’elles ont des solutions d’authentification qui ne vont pas survivre aux prochaines attaques dans les mois et les années à venir. En parallèle, il y a une certaine inertie due à la taille des organisations, en termes de technologie mais aussi de culture, qui fait que, tant qu’elles n’ont pas été attaquées ou impactées, elles ont du mal à investir dans la cybersécurité » ajoute-t-il.

On peut tout simplement retenir que, à cause des attaques informatiques qui ont survenu lors de la pandémie et qui continuent de se développer, les entreprises ont commencé à consacrer beaucoup plus de priorité à la question de la sécurité informatique. S’il n’est jamais trop tard pour bien faire, il n’en demeure pas moins que cela aurait pu se faire beaucoup plus tôt. Ainsi plusieurs problèmes auraient pu être évités.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Les risques informatiques qui menacent la rentrée

Les risques informatiques qui menacent la rentrée

Récemment, une récente étude publiée par la société de cybersécurité Checkpoint a permis de faire le point des menaces les établissements scolaires qui se préparent pour la rentrée, surtout dans un contexte où par le fait du coronavirus, plusieurs établissements, par exemple aux États-Unis ont décidé d’opter pour l’enseignement à distance.

Cet article va aussi vous intéresser : Les conseils de Checkpoint pour la rentrée

On retiendra à la suite de l’étude comme principales menaces :

– Le zoombombing : un système qui consiste à tout simplement à inviter des personnes à assister à des réunions sur l’application Zoom, et cela dans le but de pouvoir s’amuser à ses dépens. Il n’est pas grave bassiste est souvent à des comportements de grossièreté voir de publications offensantes ou des insultes raciales.

– Le cyber harcèlement qui vas tout simplement consister utiliser les réseaux sociaux ou autres moyens de communication électronique, pour tenter de porter atteinte à l’intégrité ou même à la stabilité des personnes en particulier les élèves ou autres qui utilisant ses moyens pour s’instruire. Et cela a été démontré par une récente recherche publiée par Le Cyberbullying Research Center, qui signifie qu’environ 37 % de jeunes allant de 12 à 17 ans ont une fois été au moins victime d’un harcèlement en ligne. Et selon la même étude plus de 30 % de ces jeunes l’ont déjà vécu plus d’une fois.

– Le phishing : l’hameçonnage ou encore le phishing et une menace informatique assez classique dans le secteur du numérique. Sa portée pourra être encore plus grande lorsqu’il doit cibler des enfants qui sont généralement moins méfiants que les adultes. De ce fait les cybercriminels pourront facilement accéder à des systèmes qui sont pas très bien protégés s’ils essaient de phisher les élèves.

Dans un tel contexte, La société de sécurité donne des conseils aux établissements pour se préparer pour la rentrée. Répondre à la question de savoir comment se protéger ou quelles sont les mesures à mettre en place pour être efficaces sur le plan sécuritaire ? on retiendra pour les élèves et les étudiants, ces conseils sont à mettre en pratiques

1. Obstruer votre webcam

C’est un conseil qui a aussi un classique dans le domaine de la cybersécurité. Lorsque vous ne voulez pas des cours en ligne, il est conseillé de désactiver le microphone et les caméras de terminaux. À l’instar de Edward Snowden, utiliser du scotch noir pour cacher votre webcam.  De la sorte lorsque vous serez piratée, la webcam ne sera d’aucune utilité pour les cybercriminels.

2. Ne jamais cliquer sur des liens dont vous ignorez la véritable provenance

L’objectif bien sûr et de vous protéger contre le phishing. Lorsque que vous ne savez pas d’où provient un lien ou douter de la provenance, ignorer le totalement. Et même si le lien a été publié par l’une des personnes connectées lors d’une session en ligne alors que rien n’a été demandé, ignorer le.

3. Accéder directement le portail de votre école

Lorsque vous voulez vous connecter, quelles sont les formations ou pour suivre un cours, éviter d’utiliser des liens. Allez sur votre navigateur, entrez l’adresse de la plateforme en et connectez-vous. De la sorte, vous éviterez d’être piégés dans une tentative de phishing.

5. Améliorer la difficulté de vos mots de passe

Le détournement de mot de passe ou les attaques par force brute sont généralement les ennemis de l’internaute. Faites-en sorte de constituer un mot de passe le plus complexe possible pour éviter d’être victime d’une usurpation d’identité.

6. Éviter de communiquer des informations confidentielles

Peu importe la raison qui pourrait être évoquée, éviter de divulguer des informations de caractère trop personnelle. Surtout lors d’une session en ligne. Vous ne pouvez jamais être sûr de savoir qui sont les personnes qui ont accès à ces communications.

Du côté des parents, il vous est conseillé de :

– De sensibiliser vos enfants sur certaines menaces informatiques en l’occurrence le phishing ou le cyber-harcèlement. Ils doivent savoir qu’il ne faut pas cliquer sur tous les liens qu’ils reçoivent. Si possible, qu’ils vous consultent avant d’initier n’importe quelle action en ligne. Par ailleurs, faites-leur savoir que tout n’est pas plaisant sur les réseaux sociaux et que certains commentaires peuvent être à caractère injurieux ou blessant voir même choquant. Qu’ils apprennent à dénoncer certaines actions s’ils estiment être au-delà de ce qui doit être normal.

– Apprenez leur à ne pas laisser leurs appareils sans surveillance. Cela est notamment une attitude assez préjudiciable car d’autres personnes peuvent en profiter pour installer des programmes malveillants et l’utiliser à des fins malsaines, comme se connecter à une plate-forme en se faisant passer pour le détenteur de l’appareil.

– Définissez sur les appareils de vos enfants des contrôles parentaux. En particulier les paramètres concernant la confidentialité et la détermination des niveaux de sécurité par rapport à certains sites web et des partages d’informations.

– Formez vos enfants quand à la réalité du monde virtuel.

Du côté des écoles, les spécialistes conseillent :

– D’investir encore plus dans les solutions de sécurité

– D’améliorer la formation des personnels enseignants à l’utilisation en bonne et due forme des outils Informatiques avec l’application des mesures d’hygiène numériques de base

– D’être minutieux quant à l’intervention des prestataires indépendants.

– Surveiller de manière permanente le système et toute la connexion au portails.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Les PDG, responsables de la majorité des incidents informatiques concernant la sécurité cyber physique

Récemment Gartner a publié le résultat d’une étude qu’il a réalisé sur l’impact de certains comportements sur la sécurité les entreprises.

Le rapport est assez ahurissant. En effet, l’étude a démontré que 75 % des responsables d’entreprise, seront d’ici 2024, les premières causes des incidents de sécurité informatiques. Et cela, dans un contexte où les conséquences financières seront de plus en plus lourde pour les entreprises.

Cet article va aussi vous intéresser : Les responsables de sécurité des systèmes d’information sont sous pression à cause de la pandémie du coronavirus

Par incident informatique le rapport de Gartner met en évidence la question de sécurité cyber physique. On fait allusion ici est-ce que c’est un incident puisse avoir des dommages pouvant se répercuter de manière physique sur les personnes, sur les biens et par extension sur l’environnement. Le rapport de garde les met en évidence que ce problème risque de connaître en intensité d’ici les années à venir. Et cela parce que une très grande négligence a été adoptée au niveau des dépenses et des actions menées à l’égard de la cybersécurité

« 75 % des PDG seront personnellement responsables des incidents de sécurité cyber-physique d’ici 2024, à mesure que l’impact financier des violations augmentera » d’après les estimations de Gartner

A la question de savoir ce qui est exactement la sécurité cyber physique intéressons nous de savoir ce qui peut s’appeler systèmes cyber physique. Ces systèmes sont définis par Gartner comme étant des outils informatiques ont été spécialement conçu pour certaines actions tels que :

– la détection

– le calcul

– la mise à niveau

– le contrôle

– l’analyse

Et tout ceci dans un contexte d’interaction avec le monde physique. Ces systèmes sont généralement placés comme étant au fondement même de la majorité des actions dans le domaine :

– des technologies de l’information

– de l’Internet des objets

– des technologies opérationnelles

Des secteurs où l’exigence de sécurité exige des considérations non seulement virtuelles, mais aussi physiques. On peut prendre pour exemple les infrastructures informatiques liés établissements de santé ou encore celles qui touchent généralement les actifs assez sensibles telle que l’industrie.

« Les régulateurs et les gouvernements réagiront rapidement à une augmentation des incidents graves résultant de l’échec de la sécurisation des systèmes cyber-physiques, en augmentant considérablement les règles et réglementations qui les régissent. Aux États-Unis, le FBI, la NSA et la Cybersecurity and Infrastructure Security Agency (CISA) ont déjà augmenté la fréquence et les détails fournis concernant les menaces pesant sur les systèmes liés aux infrastructures critiques, dont la plupart appartiennent au secteur privé. Bientôt, les PDG ne pourront plus plaider l’ignorance ou se retrancher derrière les polices d’assurance », a souligné la vice-présidente de la recherche chez Gartner, Katell Thielemann.

Un autre point très important à signaler, est le coût jugé considérable de ce problème informatique à venir. C’est d’ailleurs pour cette raison que Garner incite les PDG à prendre les choses en main. En effet selon les résultats fournis par la société, les incidents informatiques affectant les systèmes cyber physiques ont causé et causeront des dommages dont l’évaluation pourront atteindre les 50 milliards de dollars d’ici 2023. Sans compter les victimes mortelles que cela créera ainsi que les bouleversements liés à l’organisation les entreprises, les litiges judiciaires qui seront liés aux actions en indemnisation ou encore aux sanctions administratives.

« Les leaders technologiques doivent aider les PDG à comprendre les risques que représentent les systèmes cyber-physiques et la nécessité de consacrer une attention et un budget à leur sécurisation. Plus les systèmes cyber-physiques sont connectés, plus la probabilité qu’un incident se produise est élevée », a noté par la suite Katell Thielemann.

Ce problème doit être plus au sérieux. Gartner le signifie clairement. Et cela est de bonne guerre lorsqu’on sait que l’évolution constante des technologies opérationnelles, l’internet des objets avec l’explosion des bâtiments intelligents, des voitures connectées tendant vers autonomie totale, aussi la naissance de villes intelligentes, le monde numérique n’a jamais été autant exposé à la cybermalveillance, dans les conséquences peut-être beaucoup de plus nocives que dans le passé avec la cybermalveillance classique.

Cependant, il faut monter que beaucoup d’entreprises ont déjà une certaine connaissance du secteur des systèmes cyber physiques. Il n’est pas en effet rare de voir aujourd’hui connecté à un système d’entreprise, un ensemble de programmes connectés répondant à des situations d’autonomisation dans un but de moderniser les pratiques informatiques d’entreprise. Cependant, comme l’a signifié la vice-présidente, chargé de la recherche à Gartner. « Il faut absolument mettre l’accent sur la gestion de la résilience opérationnelle au-delà de la cybersécurité centrée sur l’information ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Les conseils de Checkpoint pour la rentrée

Tout le monde se prépare pour retourner au boulot ou en classe.

Contrairement aux autres années la rentrée de cette année aura son lot de spécialités. Certains enfants ou employés travaillent depuis leur domicile. Et cela à cause de la pandémie à coronavirus qui n’a pas encore dit son dernier mot.

Cet article va aussi vous intéresser : 3 conseils pour un déconfinement en toute sécurité

Par exemple aux États-Unis, 20 districts scolaire sur les 25 plus grands du pays ont décidé d’opter pour l’école à distance selon le Education Weekly dans un écrit de 18 août. Ce qui fait environ 4,3 millions d’élèves. Par exemple, les districts de Los Angeles Unified, de Metropolitan Nashville, et Palm Beach County qui sont parmi les plus grands districts ont déjà signifié qu’ils mettront l’école à distance au centre de leur organisation pratique d’ici l’automne. On ne comptera rien qu’au Etats Unis 13 000 Systèmes scolaires publics. Et il faut s’attendre que les autres districts puissent penser à basculer vers ce mode d’enseignement dans les pensions de protéger les enfants et leur famille.

Dans ce contexte, plusieurs questions deviennent légitimes à poser. Par exemple comment assurer la sécurité des enfants qui apprendrons désormais à distance ? la protection ici fait allusion à la cybercriminalité, dans un contexte particulier le cyber-harcèlement. Les outils qui seront utilisés dans le cadre de l’apprentissage à distance sont-ils véritablement sûrs ?

Ce qu’on peut dire avec certitude, les cybercriminels s’intéressent de plus en plus à la rentrée.

L’intérêt des pirates pour la rentrée scolaire s’accroît. Ce qui rend totalement justifiées les préoccupations des parents d’élèves face à une telle situation. De leur côté les spécialistes de la société de cybersécurité de passer les 3 derniers mois à analyser Internet et les systèmes dans le but d’évaluer l’intérêt que porte les cybercriminels à la rentrée scolaire. Le résultat ne laisse aucun doute. En effet : «

• Plus de 35 149 nouveaux domaines ont été enregistrés autour du thème de la rentrée scolaire ces 3 derniers mois, 512 d’entre eux ont été jugés malveillants, et 3 401 autres suspects

• Le nombre moyen de domaines suspects par semaine au moment du pic était de 356, ce qui dépasse de loin la moyenne hebdomadaire traditionnelle de 115 les semaines précédentes.

• Le pic a été atteint fin juillet/début août, avec un nombre hebdomadaire de domaines suspects pour la rentrée scolaire augmentant de près de 30 % par rapport au nombre hebdomadaire de juin/juillet.

• Le nombre moyen de domaines malveillants par semaine au moment du pic (date d’enregistrement) était de 39, contre une moyenne hebdomadaire de 46 les semaines précédentes. » selon les spécialistes de Checkpoint.

Par ailleurs durant le premier semestre de l’année 2020, les chercheurs en cybersécurité de la société Checkpoint ont réalisé un ensemble d’examens sur les systèmes de gestion et d’apprentissage utilisé par les établissements dans le cadre de l’enseignement en ligne. Il a été découvert lors de ses examens que les systèmes des établissements utilisaient des programmes informatiques liés au célèbre CMS WordPress. Ces programmes informatiques sont touchés par des vulnérabilités, permettant aux cybercriminels de pouvoir mener certaines actions. Ce sont notamment : LearnPress, LearnDash et LifterLMS. Si les failles de sécurité ont déjà été corrigées, il n’en demeure pas moins qu’il faut faire attention c’est pour cette raison que les chercheurs qui continuent leur sensibilisation.

Plusieurs menaces dans ce contexte guettent les enfants ainsi que le personnel scolaire.

– Le zoombombing « est le fait pour une personne non invitée de se joindre à une réunion Zoom pour s’amuser aux dépens des participants. Ces intrus usent souvent d’insultes raciales ou de grossièretés, ou affichent des images offensantes. ». Dans le district scolaire de la région de San Diego, cet incident a été aussi observé. Une personne se faisant appelée « Dee Znuts » portait un masque de ski et un sweat-shirt rouge pendant la réunion et a fait plusieurs signes de la main. Des incidents qui peuvent être de nature a traumatisé des enfants.

– Le cyber harcèlement consiste à tout simplement à utiliser les réseaux sociaux ainsi que d’autres moyens de communication électronique pour moi diffuser ou partager des contenus à caractère choquant et nuisibles pouvant porter atteinte à l’intégrité ou à la stabilité d’une personne en particulier. Cette menace est véritablement réelle. En effet selon Le Cyberbullying Research Center, plus de 37 % de jeunes de 12 à 17 ans ont déjà été une fois victime de cyber harcèlement. 30 % de ces jeunes l’ont déjà vécu plus d’une fois.

– Le phishing. Un classique en matière de cybercriminalité, qui va permettre opérateur informatique d’insister les utilisateurs dans le contexte ici les enfants, à visiter des sites web où ils pourront ainsi récolter non seulement leurs informations personnelles ou installer des programmes malveillants sur leur terminal.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Les erreurs qui ont plombé l’application StopCovid en France

Après littéralement l’échec du projet d’application de traçage du gouvernement Français, les spécialistes sont revenus sur la question qui ont pu être la cause de ce problème.

Parmi plusieurs insuffisances remarquées, il y a 3 qui en particulier qui ont attiré l’attention des observateurs et qui seraient selon eux la cause du fiasco de StopCovid.

Cet article va aussi vous intéresser : Focus sur l’application StopCovid du gouvernement Français : l’heure du bilan est arrivée

Il faut noter que l’application a été approuvée avant son déplacement par l’Assemblée nationale. Mis à la disposition de grand public à partir du 2 juin, l’outil avait pour objectif d’analyser les interactions dans le but d’informer les personnes concernées dans la mesure où elles ont été en contact avec d’autres qui plus tard où ont déjà été dépistées positif au coronavirus. Malheureusement le projet a littéralement été un fiasco. Moi seulement le taux de téléchargement est inférieur à l’attente, mais dans un certain sens, les Français n’ont pas eu confiance à cet outil.

Alors on s’interroge légitimement de savoir quel a été le problème. Qu’est-ce qui n’a pas marché convenablement ? Qu’est-ce qui a été la cause de ses échecs ?

Dans cet article, nous allons aborder les trois problèmes majeurs qui en donner le coup de grâce à l’application de traçage.

Selon les observations le premier problème qui aurait entraîné la suite de l’application de traçage et son design par le comité. Le fait que le comité chargé de piloter le projet était trop étendu donc exposait d’une certaine manière Initiative a beaucoup de contradictions d’imperfection liée à la nature humaine même. « Officiellement, le gouvernement avance sur un projet piloté par l’institut de recherche publique Inria, en lien avec le comité Care nommé par l’Élysée pour faire face à l’épidémie. La Direction interministérielle du numérique (Dinum) et l’Agence nationale de sécurité informatique (Anssi) s’attellent au codage et à la protection de la future application, parfois en écoutant quelques start-up. Par exemple, Unspread (une émanation de l’agence Fabernovel) a fait des propositions sur le design de l’application. ». Avec tous ces structures gouvernementales et agences, il y a eu l’apport de certaines structures privées qui étaient chargées de participer à leur manière à l’effort du développement de l’application dont Dassault Systems, CapGemini, Sopra-Steria, Orange et Sia Partners.

Une ribambelle de structures qu’ils ont plutôt rendue le chose peu plus compliqué qu’abordable. Peut-être que si une agence de l’État avec un acteur privé, s’était contenté et tout simplement de développer le projet cela aurait été encore plus potable voire abordable.

Le fait qu’il y ait eu autant de structures dans la réalisation de projets de l’application de traçage j’appréhende beaucoup plus souvent un aspect politique que technique. Pour un projet aussi limité, avoir autant de participants étaient beaucoup plus un handicap qu’un atout. Et depuis le début tout le monde le savait.  « Outre la lenteur qu’elle induit dans les prises de décision, les risques de cette approche, caricaturée sous le nom de « design par comité », sont bien connus : choix techniques contre-productifs, déresponsabilisation à tous les étages et quasi-impossibilité de changer son fusil d’épaule en cas de pépin, façon Titanic à l’approche de l’iceberg. » explique certains observateurs.

Concernant la seconde erreur, important sur un mauvais choix de l’architecture de l’application. Et cela a même été révélé par le secrétaire d’État chargé du numérique, M Cédric O : « Apple aurait pu nous aider à faire en sorte que cela marche encore mieux sur les iPhones. Ils n’ont pas souhaité le faire, pour une raison d’ailleurs que je ne m’explique guère, a expliqué le ministre. Qu’une grande entreprise qui ne s’est jamais aussi bien portée en termes économiques n’aide pas un gouvernement à lutter contre la crise, il faudra s’en souvenir le moment venu. ».

On se demande alors pourquoi Apple a refusé son aide à l’État français, dans le cadre de StopCovid, comme le mentionne le secrétaire chargé au numérique. Tout simplement parce qu’au détriment de la proposition faite par Google et Apple, de mettre à la disposition des Etats, des outils permettant de faciliter le déploiement de solutions de traçage, la France a voulu développer son architecture propre à elle. Caractérisé par la centralisation des données récoltées. Ce qui est totalement opposé au système développé et proposé par les 2 géants en américains.

La troisième erreur a porté sur la communication. En effet le style de communication envisagée par le gouvernement n’était pas de nature à obtenir la confiance des Français. Par exemple le secrétaire d’État chargé au numérique déclaré ceci : « En fait, il n’y a même pas de données : personne n’aura accès à qui est contaminé, et personne ne sera capable de retracer qui a contaminé qui. ». Il est évident que cela est totalement faux. Car à moins d’être totalement déconnecté de la réalité, toutes applications de ce genre génèrent et collectent bien évidemment des informations susceptibles d’être relié aux utilisateurs.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage