Tous les articles par admin

Passionner l'informatique, nous travaillons dans la sécurité informatique afin de proposer des conseils à nos lecteurs pour qu'ils évitent de se faire pirater leurs comptes et leurs mots de passe.

Le géant américain Microsoft dépense plus de 13 millions de dollars comme récompenses pour la découverte de bugs

Dans un communiqué récemment publié, le géant de Redmond a signifié avoir dépensé près de 13,7 million de dollars dans des programmes de recherche de bug.

Ces dépenses ont couru entre le 1er juillet 2019 au 30 juin 2020 soit en une année. En échange, le géant américain affirme avoir reçu près de 1226 rapports de vulnérabilité. 327 chercheurs en sécurité informatique, répartis sur tous les continents du monde, à travers exactement 15 programmes de recherches de bugs ont profité de cette énorme somme d’argent.

Cet article va aussi vous intéresser : 100 000 dollars pour pirater Microsoft

La plus grosse récompense durant cette année a été à hauteur de 200 000 dollars.

En général, le programme de recherche de bug lancé par Microsoft se place comme étant l’une des principales sources de revenus des spécialistes de la sécurité informatique freelance, qui passent leur temps à rechercher des vulnérabilités dans les différents logiciels pour ensuite avertir le fournisseur. Au lieu de tout simplement le vendre à des pirates informatiques ou encore à des courtiers en passant par le marché noir, se muer en chasseur de bug et une activité légale qui peut rapporter gros selon la trouvaille.

Par rapport à l’année précédente, on dira que Microsoft a tout simplement triplés son budget de prime. En effet l’année dernière c’était 4,4 millions de dollars qui aurait été distribués dans les mêmes conditions. Parfois, les agents de Microsoft Security Response Center déclarent ceci dans un billet de blog : « Les chercheurs en sécurité sont une composante vitale de l’écosystème de cybersécurité qui protège toutes les facettes de la vie numérique et du commerce ». Ces derniers ajouteront que : « Les chercheurs qui consacrent du temps à découvrir et à signaler les problèmes de sécurité avant que les adversaires ne puissent les exploiter ont gagné notre respect et notre gratitude ».

Notons à titre de rappel que le bug Bounty et une prime qui est versée lors d’un programme, qui consiste pour des chercheurs à déceler dans des programmes informatiques (système d’exploitation, applications de gestion, soc.) des failles de sécurité, qui n’auraient pas été décelées par les fabricants et les visiteurs lors de la conception du programmes ou matériel informatique concerné. Tout ceci se déroule dans des conditions légales bien encadrées. Les chercheurs sont souvent connus d’avance. Ils sont tenus au respect de la confidentialité de leur trouvaille et ne sont en aucun cas autorisés à exploiter la vulnérabilité qu’ils découvriront. En ce qui concerne les failles de sécurité découvertes lors de ses programmes, les chercheurs impliqués doivent faire un rapport détaillé de la procédure qui leurs ont permis de découvrir cette vulnérabilité. Notons que les programmes de bug Bounty s’apparentent un peu au tests d’hacking généralement réalisés par des prestataires en particulier. Cependant ces derniers n’offrent pas les mêmes opportunités et les mêmes challenges que les bug Bounty. En effet, le programme de chasse de Primes de bug permet de multiplier le nombre de personnes qui auront la tâche de trouver la vulnérabilité. Et la plupart du temps de compétences qui sont la plupart ignorées par les prestataires de solutions de sécurité les tests d’hacking sont relevés. Sans oublier que le temps accordé à cette tâche et beaucoup de plus élevé que celui qui est généralement est consacré à un audit ponctuel. Sans oublier dans un certain sens que les angles d’attaques sont divers et originaux.

Pour ce qui concerne les primes octroyées par le géant de Redmond, leur subite augmentation s’explique notamment par les nombre de vulnérabilité qui auraient été découvertes, en particulier par l’équipe de Google, le Project Zéro. En effet, le 3 août dernier c’est-à-dire la semaine passée, l’équipe du géant américain mentionnait avoir découvert près de 11 failles de sécurité de type 0 day (ces failles de sécurité qui sont intrinsèquement liées soit à un matériel informatique ou un programme, et qui n’ont jamais été découvertes ni par l’éditeur ni par un chasseur de prime agréé, et donc n’aurait pas été corrigées.) qui auraient été exploitées durant le premier semestre de 2020. Le fait qu’il n’est pas négligeable quand on sait que découvrir des vulnérabilités de type 0 day est extrêmement rare.

Toutefois il ne faudrait pas oublier que durant le mois de mars, Microsoft corrigeait près de 115 failles de sécurité découvertes. Parmi ces vulnérabilités, une en particulière aurait décelée au niveau de l’exécution à distance des codes Microsoft Edge PDF (CVE-2020-1096). D’autres failles offraient la possibilité de corrompre la mémoire des Windows. Ces failles de sécurité ont malheureusement été exploitées avant même que Microsoft puisse produire des patchs de sécurité.

Par ailleurs, Microsoft explique l’augmentation des primes versées par le fait développement de nouveaux programmes informatiques. Il confirme aussi que la crise du au Coronavirus a été l’une des causes à considérer : « En plus des nouveaux programmes de primes, la pandémie de COVID-19 semble avoir eu un impact sur l’activité des chercheurs en sécurité. Dans l’ensemble de nos 15 programmes de primes, nous avons constaté un fort engagement des chercheurs et un volume de rapports plus élevé au cours des premiers mois de la pandémie », a signifié Jarek Stanley, responsable du programme de Microsoft Security Response Center.

Entre autres, on peut noter ces programmes de recherche de bug à titre d’illustration :

– le programme Microsoft Dynamics 365 Bounty lancé en juillet 2019 ;

– le programme Azure Security Lab lancé en août 2019 ;

– le programme Microsoft Edge on Chromium Bounty lancé en août 2019 ;

– Le programme Xbox Bounty lancé en janvier 2020 ;

– Le programme de recherche sur la sécurité d’Azure Sphere lancé en mai 2020.

En outre, le géant américain ne compte pas de divulguer la femme totale qu’il a dépensé depuis le début de ces programmes de chasse au Bug : « Notre programme Bug Bounty a démarré il y a sept ans dans le but de protéger davantage nos milliards de clients alors que les menaces de sécurité continuaient d’évoluer », note Jarek Stanley. Il ajoutera : « Nous ne pouvons pas divulguer le nombre exact de paiements depuis le début du programme de récompenses ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Les responsables de sécurité des systèmes d’information sont sous pression à cause de la pandémie du coronavirus

Si nous devons nous référer à une étude récente mené par HackerOne, 70 % des responsables de sécurité des systèmes d’information français notent qu’il y a de fortes chances que leurs organisations soient touchées par une potentielle violation de données dû à la crise sanitaire que traverse le monde actuellement.

Cet article va aussi vous intéresser : Les professionnels de la sécurité informatique majoritairement touchés par le surmenage

L’étude a été menée à l’échelle mondiale et à impliquer très 1 400 responsables de sécurité informatique. Les pays qui ont été directement concernés sont l’Allemagne, la France, le Royaume-Uni, l’Australie, le Canada, Le Singapour et les États-Unis. Elle a porté sur l’impact de la crise du covid-19 sur le quotidien des responsables de sécurité. 30 % des responsables de sécurité sur le plan mondial et 36 % en France, remarque une forte augmentation des attaques informatiques contre les systèmes et réseaux de leurs organisations.

L’exposition aux fuites de données a été observé par 70 % des responsables français de sécurité informatique. « La crise liée au COVID-19 a fait basculer pratiquement tous les aspects de notre vie en ligne. La pression pour répondre aux exigences du travail à distance et aux demandes des clients en matière de services numériques a considérablement élargi les surfaces d’attaque, laissant les équipes de sécurité à bout de souffle » note Marten Mickos, le PDG de HackerOne. Il ajoute que : « La pandémie de COVID-19 a fait prendre conscience aux entreprises qu’elles ont été trop lentes dans leur transformation numérique. La pression que cela impose aux équipes de sécurité est immense. ».

32 % des responsables français ont signifié avoir connu une accélération de la transformation numérique de leur entreprise, il n’en demeure pas moins que 28 % ont reconnut que leurs organisations n’étaient pas prêtes pour un changement aussi précipité.

L’étude a aussi révélé quelque chose d’inquiétant. En effet 30 % des responsables de sécurité français on déclarer que le budget consacré à la sécurité informatique dans leur organisation a été demande touché à cause coronavirus. Sur le plan mondial de 25 % de responsables pensent pareillement. De côté français 28 % les externes interrogé ont affirmé qu’ils travaillaient avec des ressources moindres par rapport à l’avant coronavirus.

Le contexte a profité à l’entreprise HackerOne pour mettre en avant les profits le programme de chasses de bug. « Dans ce contexte d’urgence, de plus en plus d’organisations ont pris conscience des avantages de recourir à une communauté de hackers pour se protéger contre les activités malveillantes » souligne ainsi Marten Mickos.

De plus selon l’étude HackerOne, 33 % des responsables, et 30 % en moyenne dans le monde on signifier qu’avec leurs budgets qui se restreignent et leurs équipes qui diminuent, ils seraient prêts à accepter des rapports de vulnérabilité provenant d’autres chercheurs en dehors de ceux de leur organisation.

Pour finir, le rapport a aussi souligné que la médiatisation des incidents de sécurité impacte fortement les relations dans le milieu. En effet, 64 % des responsables de sécurité de système d’information dans le monde, ils font pour ce en France ont estimé et ne pas être favorable à entretenir des relations avec un fournisseur qui aurait été victime d’une violation de données médiatisée. C’est la même au cours des 2 dernières années. 61 % des responsables exige le programme de divulgation de vulnérabilité avant de conclure un quelconque contrat avec leurs fournisseurs.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Traçage mobile : le Québec se dirige de plus en plus vers l’adoption d’une application de suivi

Depuis un certain moment, le gouvernement Québécois a annoncé son désir d’instaurer une application de suivi, qui allait permettre d’assurer un bon de confinement et de plus près les interactions sociales face à la pandémie de la covid-19.

Cet article va aussi vous intéresser : Traçage mobile : l’énorme échec de l’application de tracking Australien

Si pour le moment ce gouvernement n’a pas encore pris une décision définitive, on notera que, la situation actuellement à croire qu’il le fera possible qu’elle le fera ces prochaines semaines.

En effet, le sondage lancé par le gouvernement déterminer si les citoyens québécois étaient favorables à l’instauration d’une application de suivi, a mis en évidence résultats c’est positif. Une grande partie des citoyens qui ont participé à ce sondage se sont démontrés favorables à l’idée.

Sur ce point le gouvernement n’a pas hésité à publié les résultats qu’il estime être positifs lors de la consultation publique. Cependant, on attend toujours l’avis des experts en technologie en éthique et même en Droit pour statuer définitivement.

Le temps pour simplement que 75 % des participants au sondage, qui a constitué près de 17 000 citoyens, ont donné un avis favorable à l’instauration de l’application de traçage mobile. L’idée est simple c’est de pouvoir analyser les différentes d’interaction que les citoyens auront pour ensuite informé si l’un d’entre eux a été au contact d’une personne qui sera déclaré positif à la maladie.

Pour la députée Joëlle Boutin, qui représente le gouvernement durant la commission, la décision définitive n’a pas encore été prise par ce dernier. Elle ajoute par ailleurs que les autorités ont déjà commencé à établir un ensemble de protocoles qui sera utilisé pour encadrer l’application. On note que l’application sera non seulement des involontaire mais aussi gratuite. D’un autre côté, la députée de Jean-Talon soulignera le fait que : « Il n’y aurait aucune géolocalisation, aucune technologie de GPS. On s’appuierait sur une technologie de type Bluetooth ». Le principe est que l’application le collecte aura pas de données personnelles ni de données biométriques et son utilisation restera anonyme.

De plus, on apprend que l’application à produire aura les mêmes traits que celle déjà en circulation à Ottawa, Alerte-COVID. Une application qui a été conçu par entreprise Shopify.

Toutefois, il faut noter que le gouvernement n’a pas participé à la commission initiée par certains élus pour l’éclaircissement de certaines questions portant sur la protection de la vie privée des citoyens. Cela se comprend nettement lorsqu’on sait que le mardi dernier, lance une grande partie des experts interrogés sur la question unanimement avoué que l’application jusqu’à présent n’est pas quelque chose qui a démontré son efficacité ailleurs dans le monde. Il exige une phase pilote avant tout déploiement dans le Québec.

Pour Jocelyn Maclure, le président de la Commission de l’éthique en science et en technologie « une application n’est pas une solution majeure à la lutte contre le virus, mais au mieux, il s’agit d’une mesure complémentaire. ». Son inquiétude demeure sur le fait que les employeurs ne peuvent pas leurs employés certaines contraintes à télécharger l’appli et l’installer sur leurs smartphones.

Pour la Ligue des droits et Libertés, les lois québécoises ne sont pas adaptées au développement d’une telle technologie. De son côté, Marwah Rizqy, la porte-parole de l’opposition officielle en matière d’administration gouvernementale déclare : « L’application de traçage ne répondra pas au vrai problème. Les bras qu’on a manqués, là, dans nos CHSLD, bien, c’est l’armée qui est venue répondre à ça, ce n’est pas l’application de traçage. Et au contraire, selon les différents rapports qui sont présentement déposés, ces applications pourraient faire en sorte qu’il y a un faux sentiment de sécurité ». Elle réaffirme concernant la protection des données personnelles et de la vie privée des Québécois : « Je suis très consciente que les GAFAM courent après ces données parce qu’ils font du croisement de données, c’est bien connu. Ils veulent identifier nos comportements, ils veulent savoir ce qu’on aime acheter. ».

Pour Québec solidaire, le gouvernement avant toutes actions doit s’inspirer de ce qui a déjà marché ou non dans les autres pays à propos de ce genre de technologie. Gabriel Nadeau-Dubois note à cet effet : « Ailleurs dans le monde, où ces applications-là ont été mises en place, elles ne sont pas efficaces. Qu’est-ce qui nous garantit qu’au Québec se sera différent? Parce que, pour qu’un outil soit utile il faut qu’il fonctionne, sinon il est inutile. ».

Le porte-parole du troisième groupe d’opposition, Martin Ouellet met en évidence l’enjeu principal du problème concernant cette technologie cette technologie : « Est-ce que le gouvernement du Québec pourrait donner les moyens à des populations plus à risque de mettre la main sur cette technologie? ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

La protection des réseaux industriels et les équipements connectés face à la cybercriminalité galopante

Durant le confinement, les cybercriminels ont profité pour étendre leur activité.

Ils n’ont jamais été autant à l’aise que durant cette période où le télétravail était devenu le standard professionnel pour une grande partie des entreprises. Ces derniers ont ciblé toutes les institutions et structures qu’ils pouvaient. On parle ici d’organisations sanitaires et médicales, d’organisations internationales et gouvernementales, d’entreprises industrielles, etc.

Ce phénomène s’est expliqué par le fait qu’une grande partie des activités sur internet en connu un boom non exigible. Sans oublier la quasi connexion des structures privées et publiques au réseau Internet. Selon une analyse de checkpoint, la société américaine spécialisée dans la fourniture de solutions de sécurité informatique, 92 % des entreprises industrielles, 63 % des entreprises en tout et 82 % des organismes de soins de santé utilisent ou ont utilisé des équipements connectés. Ensemble toutes les entreprises sont exposées à la cybercriminalité dans ce genre de contexte. Car à y regarder de près, presque tous les outils sont connectés à Internet directement ou indirectement, car nous auront forcément :

– caméras IP,

– ascenseurs intelligents,

– moniteurs patients,

– machines d’IRM et

– systèmes de contrôle industriels.

Si cela facilite les activités de la majorité des actions de l’entreprise, il n’en demeure pas moins que tous les appareils connectés sont de nature à rendre encore plus faciles de nombreuses les opportunités de cyberattaque. Pour illustrer nos propos, l’entreprise de cybersécurité Checkpoint avais mentionné dans son rapport que 82 % des organisations de santé et 67 % des entreprises ont connu au moins une fois, des incidents de sécurité touchant leurs équipements connectés.

 Malheureusement, la connexion de ces équipements à votre réseau informatique étend la surface d’attaque et ajoute des points d’entrée que les pirates informatiques peuvent cibler. Le risque est réel puisque 67 % des entreprises et 82 % des organismes de soins de santé ont connu des incidents de sécurité liés aux équipements connectés.

Avec tout soucis, il faudrait tenir compte des infrastructures dites critiques et l’impact de potentiel cyberattaque à l’encontre de ces structures. A ce propos, Olivier Kauf de Checkpoint souligne : « Les infrastructures critiques comprennent l’eau que nous buvons, l’électricité qui alimente nos foyers et le transport de cargaisons dans le monde entier par mer, terre et air. Elles aiguillent les services d’urgence et veillent à ce que notre circulation se déroule sans encombre. Elles automatisent la fabrication des produits que nous utilisons quotidiennement et alimentent notre industrie en pétrole, en gaz et en énergies renouvelables. Elles contrôlent même les systèmes de gestion des bâtiments dans les hôpitaux, les Datacenters et les bureaux.

Comme vous pouvez le voir, une attaque contre les infrastructures critiques peut avoir des répercussions sur presque tout le monde. (…) Le risque pour la sécurité est considérablement amplifié. (…) Les cyberattaques contre les infrastructures critiques ont augmenté de 2 000 % en 2019, perturbant souvent des activités essentielles. Le télétravail, rendu obligatoire par le coronavirus, a amplifié le risque pour la sécurité. Il y a actuellement une pénurie de travailleurs dans les infrastructures critiques et, en raison d’arrêts-maladie et des mesures de quarantaine, davantage d’employés travaillent à distance avec moins de contrôles de sécurité sur leurs réseaux personnels que sur les réseaux de leurs lieux de travail. ».

Avec la multiplication des services à distance, notamment lors de la lutte contre le coronavirus, la mise contact à distance d’un employé et le réseau de son entreprise, a ouvert plus de frontières qu’il ne devrait. Comme le dit les spécialistes, les surface d’attaque se sont élargies. Par exemple si le terminal, où tout autres périphériques de stockage ou de connexion utilisés par un employé qui travaille depuis chez lui est infecté, cela expose grandement les entreprises en particulier lors de retour après le confinement au bureau « car les pirates peuvent utiliser les privilèges de ce collaborateur pour se déplacer latéralement, et passer du réseau informatique au réseau industriel et aux systèmes de contrôle des usines. Une fois parvenus aux systèmes de contrôle, les pirates peuvent superviser et manipuler les composants opérationnels, notamment en lisant les commandes ou en les modifiant pour perturber les activités. » mentionne l’expert de Checkpoint. « La surface d’attaque des systèmes de contrôle et la fréquence des attaques augmentent, avec 61 % des incidents perturbant les réseaux industriels des entreprises et touchant les processus de production. Sécuriser les infrastructures critiques d’aujourd’hui contre les cyberattaques est plus difficile que jamais pour plusieurs raisons. » s’inquiète ce dernier.

Protégez vos données contre la cybercriminalité

Avec la pandémie du covid-19, l’utilisation des solutions de collaboration à distance ont connu un boom non négligeable.

Dans tous les secteurs en particulier l’éducation, il a fallu développer des méthodes permettant de continuer les actions pédagogiques même à distance. Cela n’a pas manqué d’attirer comme à l’accoutumée les cybercriminels. Qui passe de service informatique à distance mal de données informatiques générées. Ces mêmes données qui sont fournies par les utilisateurs de ces services peuvent avoir une certaine valeur au regard de la cybermalveillance.

Face à une telle situation, il est clair, qu’il faut développer mg ensemble de pratique destiné à protéger les informations qui peuvent souvent relever un contexte confidentiel.

Conseil 1 – éduquer le personnel éducatif au risque cyber

Il faut monter quelque chose d’important, dans le domaine scolaire et académique, le personnel enseignant et autres ne sont pas véritablement aujourd’hui en ce qui concerne les risques cyber. De la sorte, il est encore plus difficile de connaître et d’appliquer avec soin une bonne hygiène numérique. Il est donc essentiel de leur apprendre les rudiments nécessaires pour maîtriser au mieux le contexte de la cybermalveillance en particulier liée à l’usage des services de collaboration à distance ainsi que les pratiques les plus régulières de malveillance avérées. Il sera alors plus facile de repérer une tentative d’attaque informatique surtout quand on sait où chercher véritablement. Comme nous le savons, la majorité des cyberattaques qui vit le plus souvent ce genre de structures sont l’hameçonnage et l’ingénierie sociale. Les collaborateurs et personnel n’étant pas expérimenté pour déterminer ce genre de risques, ils s’en trouvent alors très exposés. Il est plus facile de cliquer sur un lien qu’on reçoit par mail sans chercher à savoir si le destinataire est bel et bien un correspondant légitime.

Dans ce contexte, il est recommandé aux établissements d’initier des séances régulières de formation.

Conseil 2 – améliorer la gestion des mots de passe

« La réutilisation des mêmes anciens mots de passe ou anciennes informations d’identification (ou des versions légèrement modifiées) sur différents comptes est toujours un risque de sécurité majeur. Si un attaquant parvient à obtenir des informations d’identification (par exemple, l’identifiant Zoom d’un enseignant), il tentera rapidement de les utiliser pour accéder à plusieurs autres comptes (par exemple des disques de stockage cloud, des informations d’identification Windows, etc.). Tout cela peut conduire à une infiltration plus grave, et beaucoup plus difficile à contenir. Heureusement, un léger changement de comportement des collaborateurs, combiné à des protocoles d’expiration régulière des mots de passe, peut rapidement atténuer cette menace. Une bonne discipline de gestion des mots de passe est un point essentiel à aborder dans le cadre d’une formation de sécurité régulière afin que l’ensemble des intéressés le garde à l’esprit. » explique Tim Bandos, vice-président de la cybersécurité chez Digital Guardian

Conseil 3 – La mise à jour régulière des systèmes d’exploitation et logiciels

Le conseil est vieux comme le monde si bien sûr nous pouvons utiliser cette citation. En effet l’une des bases de la cybersécurité, et de s’assurer avoir tous les logiciels, primaires ou secondaires totalement à jour. Si les mises à jour sont connues apporter de nouvelles fonctionnalités, ils m’ont demeure pas moins que l’une de leurs fonctions est de combler les failles de sécurité. Il n’est donc pas rare que les constructeurs et les éditeurs d’applications de manière régulière proposent des mises à jour permettant de pallier à certaines vulnérabilités qu’ils sont découvertes, en particulier les failles 0-day. En d’autres termes, ne pas appliquer les mises à jour correctement et régulièrement et une manière rendre vulnérable son système informatique s’assurer que les cybercriminels pourront bel et bien accéder

Conseil 4 – Protéger ses systèmes par une solution de sécurité

« Malgré leur popularité et leur utilisation répandue, les antivirus traditionnels n’offrent qu’une protection de base contre les logiciels malveillants bien connus. C’est tout simplement insuffisant pour arrêter de nombreux pirates, qui utilisent des méthodes plus sophistiquées pour pénétrer les systèmes et subtiliser des données sensibles. Pour une protection plus complète, envisagez l’utilisation d’un logiciel de protection des données situé au niveau du noyau des points de terminaison des appareils, offrant alors une visibilité complète de toutes les données consultées et transmises. Ce logiciel doit pouvoir verrouiller complètement les données confidentielles, qu’elles soient structurées ou pas, et d’y intégrer des politiques d’application pour empêcher complètement leur suppression de l’environnement informatique dans lequel elles résident sans autorisation. » précise Tim Bandos.

Conseil 5 – anticiper les menaces internes

L’erreur fondamentale est de croire que la menace est toujours externe. Le problème doit aussi venir de l’intérieur. Un collaborateur véreux peut aussi infiltrer le réseau en y implantant de manière physique des logiciels malveillants, initier des attaques informatiques depuis l’intérieur ou encore tout simplement exfiltrer des données par des moyens classiques. C’est pour cette raison qu’il faudrait surveiller de manière minutieuse toutes personnes ayant un accès contrôler ou non aux informations sensibles.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage