Archives pour la catégorie Cyber-sécurité

La cyber-sécurité est un domaine très spécial que les experts qualifient comme « redoutable ». Elle concerne à la fois les ordinateurs, les smartphones, les appareils connectés… tout ce petit monde sensible à la sécurité Internet.

Des données sensibles divulguée par un fournisseur de services d’hébergement

Dans le secteur de l’informatique, les fuites de données sont légions.

La majeure partie d’entre elles sont souvent causés par des erreurs de configuration des serveurs imputables au personne chargée d’organiser tout ceci. C’est à peu près ce qui est arrivé ces jours-ci. 60 millions d’enregistrements de personnes clientes d’une entreprise spécialisée dans la fourniture de services d’hébergement d’applications dans le cloud. Cela a été mis à nu dans un article publié par le média Secure Thoughts. La découverte a été le fait d’une collaboration avec un spécialiste de la sécurité informatique du nom de Jeremiah Fowler. Une fuite massive jugée par rapport à la quantité des données qui ont échappé au contrôle de l’entreprise responsable, Cloud Clusters Inc. cependant l’entreprise affirme avoir depuis lors sécurisée les données concernées.

Selon les informations qui est disponible dans l’article du média, sécurité informatique a fait sa découverte précisément le 5 octobre dernier. La base de données était disponible en ligne sans aucune protection. Pouvant ainsi être consultée par n’importe qui. Plusieurs types d’informations pouvaient être aussi consultées. On Parle notamment :

– De sauvegardes de données ;

– D’enregistrements de monitoring ;

– De journaux des erreurs ;

– D’identifiants des utilisateurs ;

– Des mots de passe pour Magento ;

– De comptes WordPress et MySql ;

À titre de rappel, notons que Magento est une plateforme de e-commerce qui sert à commercialiser des services ou des produits.

Selon les spécialiste, aucun piratage informatique était nécessaire pour accéder aux informations disponibles sur la base de données. En clair les 63,7 millions d’enregistrement. Qui peut être qualifié d’une mine d’or pour les cybercriminels si jamais ils ont pu découvrir cela. Plusieurs sites internet et compte de commerce électronique sont alors menacés. Le problème dans cette histoire, c’est que même les spécialistes on ne sais pas pendant combien de temps ces informations ont été autant exposées. Ce qui fait dire que les clients de l’hébergeur sont réellement dans une situation à risque.

En effet car, après la découverte de l’exposition, le chercheur en sécurité informatique a immédiatement informé l’entreprise en charge de ces informations. Même après avoir reçu le message de réception qui disait : « Merci d’avoir signalé les problèmes pour améliorer la sécurité du site Web. Nous prenons également la sécurité des données très au sérieux ».  L’entreprise n’a pas répondu immédiatement. Et selon le chercheur, il n’est pas sûr que les autorités et les clients ont été informés de cette fuite.

Pour ce qui concerne la sensibilité les informations exposées Fowler notait : « les journaux peuvent exposer un large éventail de données, telles que les connexions, les échecs de connexion et d’autres transactions critiques. C’est un problème important auquel de nombreuses entreprises sont confrontées et, dans la plupart des cas, elles ne se rendent même pas compte que leurs systèmes de monitoring ou de journalisation des erreurs exposent des données avant qu’il ne soit trop tard (…) Presque tous les systèmes génèrent un certain type de journalisation et il est important de s’assurer que tout fonctionne correctement et de garder une trace des événements. Il est essentiel que les politiques de sécurité ou de protection des données comprennent un plan de surveillance et d’examen des messages provenant de ces journaux. Ainsi, si les journaux exposent des données sensibles, des mesures peuvent être prises pour les traiter comme un actif à haut risque », souligne le rapport.

Au total, le rapport précise : 63 747 966 enregistrements avec les données suivantes :

– Les noms d’utilisateurs ;

– Les adresses électroniques des utilisateurs ;

– Les mots de passe de plusieurs services ; (Magento, WordPress, MySQL) ;

– Un panneau de clients ;

– Des chemins de connexion ;

– Des données de connexion des employés ;

– De preuves de l’attaque du bot Meow ;

– Des logiciels intermédiaires ;

– Des informations de compilation ;

– Des ports ;

– Des adresses IP ;

– Des informations de stockage ;

– Des chemins d’accès ;

Toutes les informations peuvent permettre à des pirates informatiques d’initier différents types d’attaques informatiques contre plusieurs sites internet.

« Une violation de données ou un incident de sécurité est un cauchemar pour toute entreprise ou organisation, mais c’est encore pire si vous êtes une entreprise qui fournit des services d’hébergement de données. Les clients et les consommateurs ne peuvent prendre qu’un certain nombre de précautions en matière de protection des données et doivent finalement faire confiance à leur fournisseur de stockage de données », note Jeremiah Fowler.

« Les cybercriminels font preuve de plus en plus de créativité dans la manière dont ils ciblent leurs victimes afin de commettre des vols d’identité par logiciels malveillants ou des campagnes de phishing. Les entreprises doivent faire plus pour protéger leurs utilisateurs des menaces en ligne et utiliser tous les outils nécessaires pour assurer la meilleure protection de la vie privée en ligne. Il s’agit notamment de sécuriser les enregistrements des journaux et du monitoring qui peuvent exposer des données sensibles », conclut le chercheur.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Avez-vous une bonne maîtrise des accès aux données sensibles de votre entreprise ?

Les données numériques sont au cœur de tous les échanges pratiqués au niveau informatique.

Elles ont de l’importance pour l’entreprise qui la génère ou qui la traite. Elles sont constamment partagées, générées et utilisées pour diverses raisons et à travers plusieurs types d’outils informatiques. En cas de fuite de données, cela mettrait dans une situation inconfortable l’entreprise concernée. On parlera alors de la sécurité des personnes concernées par ces données et bien sûr des amandes que les autorités imposeront à la société victime. C’est pour cette raison, que toutes les entreprises doivent mettre en place tous les moyens nécessaires pour s’assurer que ces informations ne sont pas vulnérables à une attaque informatique.

L’erreur que commet beaucoup d’entreprises et sûrement de se croire à l’abri des incidents informatiques. Elle ne consacre à pas vraiment de ressources et moyens pour minimiser les risques internes au détriment des risques externes.

Ce dernier point est à prendre avec beaucoup de pincettes. En effet avec le télétravail qui s’annonce de nouveau en masse, chaque employé devrait avoir des accès aux données des entreprises pour lesquelles ils travaillent. Et cela ne sera pas sans risque. C’est pour cette raison qu’il n’est pas nécessaire qu’un employé ait accès à toutes les données disponibles sur le système informatique de l’entreprise, surtout si la fonction ne nécessite pas l’accès à ces données. Malheureusement les entreprises dans le grand ensemble ne respectent pas cette réserve. Lorsque la responsable le système d’information ne sont pas en mesure de déterminer quel employé a accès à quel type d’information avec précision, se pose automatiquement une question de sécurité d’accès.

« La gouvernance identitaire d’aujourd’hui a pris des années d’avance sur ce qu’elle était. Ce n’est plus « seulement » quelque chose que les entreprises utilisent pour certifier l’accès et pour rester en conformité. C’est une question d’habilitation et donc une question de sécurité. L’identité est devenue le fondement de la sécurité de l’entreprise numérique d’aujourd’hui. Elle peut être à la fois votre ailier informatique et l’accélérateur de votre activité. Sans elle, vous êtes en quelque sorte à l’âge de pierre. Avec elle, vous pouvez ouvrir de nouvelles voies en toute confiance. Qu’allez-vous faire aujourd’hui pour répondre à la question « qui a accès à quoi ? » sans être dubitatif ? ». Explique : Herve Liotaud, Vice-Président Europe de l’Ouest chez SailPoint.

La question de l’accès sécurisé aux données les entreprises est devenue plus compliquée avec le confinement qui s’est annoncé de nouveau. Les pirates informatiques sont de ce fait à l’affût. La moindre erreur de la part des responsables IT peut occasionner beaucoup plus de dégâts que cela en a l’air. La vigilance est donc de mise et il faudra faire très attention avec la collaboration à distance. Les équipements qui devront être utilisés doivent homologués et équipés de sorte à créer un couloir numérique vrai sûr. Les collaborateurs doivent être formés aux bonnes pratiques numériques pour s’assurer qu’ils ne commettent pas d’erreur lors de leurs différents choix.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Sécurité des données : Que faire de ses anciens clés USB

Généralement lorsqu’on n’utilise plus un outil informatique, nous avons tendance à le vendre.

Que ce soit un ordinateur ou même une clé USB, il est facile de s’en débarrasser en retirant quelque chose. Pourtant, il n’est pas du tout conseiller de vendre ce genre d’outils informatiques en particulier la clé USB. En effet, une étude réalisée récemment par des universitaires a démontré que les clés USB vendu à l’occasion ne sont pas véritablement vides. Car il est possible de récupérer les fichiers qui ont été enregistré auparavant. En clair, effacer des fichiers ne veut pas du tout dire s’en débarrasser totalement.

Cet article va aussi vous intéresser : La clé USB de Google en soutien des mots de passe

Sur les plateformes de vente, que ce soit en ligne ou physique, dans les marchés et dans les magasins ou encore sur eBay ou Leboncoin, il n’est pas rare de trouver en vente des disques durs ou des clés USB d’occasion. Les prix sont très intéressants surtout pour ses outils informatiques permettant de stocker des données importantes. En clair, il y en a pour tous les prix. Cependant, cela s’avère très dangereux. En effet grâce à une étude réalisée par des chercheurs de l’université d’Abertay, en Écosse, il a clairement possible de récupérer les données numériques au préalables enregistrées (ensuite effacées) sur des clés USB achetée en ligne.

Dans leurs études, les chercheurs de l’université écossaise ont réussi à extraire plusieurs données assez sensibles alors qu’elles étaient censées être effacées sur des clés USB achetée en ligne. Il s’agit notamment de :

– Déclaration fiscales ;

– De relevés de compte bancaire ;

– Des mots de passe ;

– Des adresses géographiques ;

– Des adresses postales ;

– De photos ;

– D’autres documents administratifs, etc.

Ces spécialistes universitaires ont décidé de mener leur enquête sur 100 outils de stockages USB achetés au hasard sur un site web spécialisé dans les ventes aux enchères et de produits d’occasion. Avec des logiciels informatiques qui sont facilement accessible au grand public, ils ont réussi à extraire les données sensibles ci-dessus décrites sur 98 d’entre elles qui semblaient vides lors de leur achat. Les chercheurs affirment n’avoir pas eu de grands soucis pour extraire les données.

Et le problème est à prendre au sérieux. Car plusieurs sont ceux qui négligent cet aspect lorsqu’ils se débarrassent de leur ancien clé USB. Par exemple dans certains pays, il n’est pas rare que la musique soit vendue sur des clés USB qui ont déjà été utilisées, où il est possible d’extraire des données personnelles. À ce propos, Reddit, le site spécialisé écrivait là-dessus: « Dans certains pays, la musique est vendue sur des clés USB sur lesquelles on peut aussi trouver d’anciennes données personnelles. »

En clair, selon les chercheurs de l’université écossaise que :

– Les données avaient été mal effacées sur 40 % voire plus des clés analysées ;

– Seulement 32 % des clés USB analysées avait les données correctement effacées sans qu’on puisse les récupérer partiellement ou totalement, soit moins d’un tiers;

– Il avait été possible pour les chercheurs de récupérer sur 20 clés et de manière partielle, certaines données qu’ils ont précédemment contenues ;

– 40 % des clés soit 42 clés analysées par les universitaires contenaient belle et bien des données qui ont pu être extraites par les spécialistes.

Trop de données sensibles ont pu être extraites lors de l’étude. Et le pire dans tout ça, les propriétaires ne s’en rendent même pas compte. Ils sont exposés et cela peut causer de graves ennuis dans l’avenir. Surtout su les cybercriminels commence à s’intéresser à cela.

Cependant, l’étude n’a pas démontré que la semaine négative. En effet sur aucune clé qui a été analysée, il n’y a eu de trace de virus ou d’autres programmes malveillants. Ce qui signifie que les utilisateurs ne cessent de mieux en mieux à se protéger.

Pour ce qui concerne la vente des clés USB, même si cela est déconseillé, il n’est pas impossible de la faire en toute sécurité. En effet il est possible avec des outils intégrés à Windows, tel que l’outil diskpart, de formater intégralement son connecteur de stockage. Il existe d’autres outils téléchargeables sur les stores habituels pour procéder à cela. Cependant, il est conseillé de le faire à plusieurs reprises. Ensuite, essaye de récupérer soi-même ses données informatiques pour voir si le formatage a bel et bien réussi. Ces conseils sont valables pour tout type de matériel de stockage et même pour les ordinateurs. Car le problème est le même.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

La protection des données personnelles et l’utilisation des fiches papiers

Contrairement à ce que les gens tendance à croire, le règlement européen sur protection des données personnelles ne régit pas seulement que la donnée numérique.

Il concerne aussi l’ensemble des données contenues sur support papier. Ils doivent aussi être protégé cela va de soi. C’est qui soumet généralement les distributeurs d’assurance au respect des règlements de la RGPD.

Cet article va aussi vous intéresser : RGPD, rançongiciels : les inquiétudes du Clusif sur les collectivités

« L’essor des nouvelles technologies bouleverse notre société : la manière de travailler est modifiée (délais réduits, par­tage d’informations instantané…), les rapports humains évoluent (exigence de disponibilité accrue…) et le traitement de données personnelles se développe de façon exponentielle au point que lesdites données sont devenues le premier actif de la plupart des acteurs économiques. Courtiers, agents généraux et même compagnies n’échappent pas à ces règles et recherchent toujours de nouveaux moyens de faire évoluer la gestion des contrats, les relations avec les clients via des outils digitaux.

C’est dans ce contexte numérique et dématérialisé que le règlement européen sur la protection des données personnelles (RGPD) encadre les flux de données pour protéger les personnes physiques. Cependant, la digitalisation n’est pas une règle universelle et les données personnelles sont encore traitées par de nombreux distributeurs sans outil numérique. L’application du règlement européen à ces traitements de fichiers papier reste ainsi une source d’interrogation pour ces acteurs « traditionnels » signifie Pierre Craponne, avocat du conseil au sein du cabinet Choisez & Associés – et DPO certifié.

Pourtant, ce problème elle était tranchée par le règlement général sur la protection des données. En effet il faut signifier que la norme européenne, dans sa formulation ne fait aucune distinction entre le format papier ou le format numérique. Une donnée personnelle reste une donnée personnelle peu importe son support. Pourtant lorsqu’on aborde la question de fichier papier, on perçoit un véritable enjeu pour ce qui concerne les obligations les acteurs au niveau du traitement des données. À ce propos, rappelons la disposition de l’article 2 du règlement général de la protection des données qui signifie qu’il « s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier ». En clair, on retient que les données doivent être traitées quelle que soit la procédure. Elles doivent être contenues dans un fichier pas de format. Pour ce qui est de la notion du « traitement”, au sens du règlement européen. L’article 4 de la norme européenne le définit comme définit comme « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation […] ». La même disposition définie le fichier comme « tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés ».

On revient alors, au vu du règlement européen, que la question de données ne se limite pas seulement numérique. Le document papier n’est pas exclu donc doit être soumis au même régime que le document informatique. « Rien ne permet donc d’exclure les fichiers manuscrits ou les documents papier du champ d’application du RGPD dès lors qu’ils contiennent des données à caractère personnel, quand bien même elles seraient uniquement collectées et stockées. Or Ubi lex non distinguit, nec nos distinguere debemus (Là où la loi ne distingue pas, il n’y a pas lieu de distinguer) » précise Pierre Craponne

Pour ce qui est de l’obligation qui pèse sur les entreprises qui traite ses données, il est important de savoir que la sévérité de la loi ne va pas fluctuer. L’objectif du règlement général la protection des données et de permettre aux individus de pouvoir maîtriser leurs données personnelles. De savoir comment elles sont traitées et dans quelles conditions, de sorte à pas leur porter atteinte.

Dans la pratique, on verra que la sanction de la négligence de la part des personnes qui possèdent au traitement automatisé des données, généralement moindre que si c’était le cas des données numériques.

« La problématique est la même en ce qui concerne les risques d’atteinte aux données. Hormis l’hypothèse d’une effraction ou d’un dommage classique (incendie ou dégât des eaux), les risques de perte, vol, altération ou destruction des données compilées sur des fichiers papier sont limités. Si ces risques ne doivent jamais être écartés dans la gestion de l’entreprise, il n’en demeure pas moins que la conformité au RGPD d’entités ne traitant pas ou peu de données numériques, bien qu’obligatoire, reste moins contraignante dans sa mise en œuvre. Entre principe d’application et risques réels, le droit de la protection des données reste affaire de subtilité. » conclut Pierre Craponne.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Le café de l’audit et la sécurité informatique des PME en France

Le 15 octobre dernier, la Compagnie régionale des commissaires aux comptes d’Aix-Bastia (CRCC Aix-Bastia) avait organisé son habituel café de l’audit à la Coque.

Pour l’événement, le président de l’institution Farouk Boulbahri avait fait venir des personnes assez importantes du secteur, à savoir le fondateur et CEO de Privowny, Hervé Le Jouan et Me Alexandra Barberis, la vice-présidente du Clusir Paca.

Cet article va aussi vous intéresser : Environ 40 % des vulnérabilités détectées risque d’être divulguées

« Parce que les commissaires aux comptes traitent du risque de fraude dans les entreprises, nous voulions aborder ce sujet lors de notre Café de l’audit », note le président de la Compagnie régionale des commissaires aux comptes d’Aix-Bastia (CRCC Aix-Bastia), Farouk Boulbahri.la thématiques abordée lors de cet événement a été la question de sécurité informatique des petites et moyennes entreprises et les entreprises à taille intermédiaire.

On retiendra de manière sommaire que les petites et moyennes entreprises sont de plus en plus cibler depuis un certain moment. Comme le rappelait la vice-présidente du Clusir Paca, Mme Alexandra Barberis, environ 9 entreprises on était ciblés par des cybercriminels. Que leurs attaques aient réussies ou non. La réalité est la, les PME sont sur la sellette car elles sont « qui sont les plus faibles pour résister à ce type d’actes de malveillances » précise Alexandra Barberis.

Les PME sont les cibles principales de la sensibilisation initiée par Farouk Boulbahr « parce qu’une attaque peut fortement déstabiliser une entreprise, voir la mettre à terre. » « Il faut que les chefs d’entreprise anticipent la menace et la prennent en compte de façon sérieuse. ». Note ce dernier.

Concernant les conséquences immédiates de cet intérêt de la cybercriminalité à l’égard des petites et moyennes entreprises. « On vole essentiellement des données et cela peut faire très mal », exprime Hervé Le Jouan. En tant que spécialiste en cybersécurité et en protection des données numériques, il affirme que 81 % des attaques informatiques soulier généralement aux « vols d’adresses mail et le mot de passe, parce que ce sont des données qui ont de la valeur et peuvent se revendre facilement sur le dark web ». « Avec ce type d’informations, on peut usurper une identité, récupérer des données confidentielles, s’introduire dans des réseaux, etc. ». Il conseille aux PME de mettre en place une politique qui permettra de mieux gérer les mots de passe. Il préconise alors l’utilisation de différents mots de passe pour les différents services professionnels mails, personnel, et réseaux sociaux. « 25 % des personnes utilisent le même mot de passe pour leurs réseaux sociaux et leur compte en banque. Il faut changer nos habitudes. » souligne Hervé Le Jouan. Pour cela il propose l’utilisation de gestionnaire de mot de passe pour aider à créer les différents identifiants, en particulier lorsqu’il faut laisser son adresse mail sur un site public ou commercial.

En outre, pour ce qui concerne dans la sécurité informatique des PME, montant de prime abord que les spécialistes sont bel et bien disponible pour aider. Les outils de protection existent aussi, cependant, il faudrait encore mettre l’accent sur la formation et la sensibilisation des acteurs. « Sensibiliser l’ensemble des collaborateurs à ces questions de sécurité. Il nous manque une véritable culture de la sécurité informatique. Elle passe par des gestes de bon sens. » « J’insiste sur le fait que c’est tout le monde dans l’entreprise qui doit changer de comportement, de la direction aux salariés », déclare le président la Compagnie régionale des commissaires aux comptes d’Aix-Bastia, Farouk Boulbahri. Dans ce contexte, il conseille aux PME de mettre tout en Europe pour respecter les différentes recommandations fournies par l’Agence nationale de sécurité des systèmes d’information, l’organisme étatique chargé le veiller à l’état de la cybersécurité en France. Ces recommandations peuvent consulter sur le site de cette dernière.

Les Initiatives visant à aider les PME à mieux sécuriser leurs systèmes d’information ne sont pas légions surtout en France. En particulier lorsque ces derniers continuent de négliger cet aspect important de la vie informatique. Avec le télétravail qui s’annonce difficile, ces entreprises sont les plus vulnérables du moment. Il faudrait alors leur assurer un encadrement sain et potable pour plus de sécurité informatique. La tâche s’annonce difficile.