Archives par mot-clé : gouvernement

Le gouvernement canadien abandonné par les hackers éthiques

La communauté des hackers éthiques reproche au gouvernement canadien de ne pas accorder l’immunité d’un informaticien qui a réussi à trouver une faille de sécurité dans l’application sans se permettre de vérifier les QR codes du passeport vaccinal.

Face à cette situation, le Hackfest a décidé de cesser toute collaboration avec le gouvernement québécois. Une situation il faut le signifier n’a pas débuté récemment.

Les raisons pour se braquer contre le gouvernement de Legault se justifie par le fait qu’il refuse toujours d’accorder l’immunité au pirate informatique qui a proposé d’apporter son aide à la vérification de l’application Vaxicode en recherche de failles de sécurité exploitable.

La communauté de hackers éthiques n’arrive pas à accepter que le gouvernement veuille poursuivre en justice une personne qui s’est engagée à aider comme le signifié le cofondateur du Hackfest. Et dans un message publié aujourd’hui sur sa plate-forme, l’organisation a officiellement déclaré de plus apporter son aide au gouvernement, tant qu’il n’a pas été établi de manière officielle et légale un processus de divulgation de faille de sécurité.

« La majorité des gens dans notre communauté travaillent en sécurité, sont des professionnels, ont des familles… On ne peut pas les mettre à risque parce qu’ils ont voulu aider le gouvernement. » note Patrick Mathieu, expert en sécurité informatique.

À titre de rappel, Radio-Canada avait publier que les formats Tissier qui avait trouvé la faille de sécurité sur l’application Vaxicode avait à plusieurs reprises contacter le gouvernement et proposer son aide. Ce dernier avait même demandé une garantie pour ne pas être considéré comme un criminel. Malheureusement sa demande n’avait pas été accepté par le gouvernement québécois, malgré les déclarations qui semble contradictoire du ministre chargé de la transformation numérique du gouvernement, Éric Caire.

À l’inverse, notre informaticien a été accusé de fraude, et son dossier a été retransmis auprès de la Sûreté du Québec. Selon l’attaché de presse du ministre Nathalie St-Pierre, si le hacker éthique n’avait pas fait une sortie publique, il aurait pu obtenir la collaboration qu’il demandait.

« Aucune plainte n’a été déposée contre « Louis » à la suite de son alerte. Des enquêtes sont en cours concernant l’usurpation de codes QR, mais soyons clairs : nous souhaitons travailler et collaborer avec les citoyens responsables et les experts en cybersécurité. », a déclaré le ministre Éric Caire, sur Twitter ce mardi.

On rappelle que les informaticiens s’étaient tourné vers à Radio-Canada pour exposer la découverte des failles de sécurité. Se qualifiant le même de hacker white hat. Qualificatif qui est généralement donné aux pirates informatiques qui œuvre pour la découverte des failles de sécurité sans les exploiter négativement.

« Ça risque de décourager de futures divulgations [pour] améliorer les systèmes d’information du gouvernement du Québec, » avait réagi Steve Waterhouse, ex officier de sécurité informatique au ministère de la Défense et professeur de cours en cybersécurité à l’Université de Sherbrooke.

Selon le leader parlementaire du parti québécois Martin Ouellet, le ministre Legault aurait dû garantir l’immunité aux pirates informatiques éthique. « Qu’il donne l’immunité aux gens qui veulent l’aider », ajoute le député de Québec solidaire, Vincent Marissal, par ailleurs, porte-parole en matière d’éthique et de santé. « Le gouvernement a tout faux. […] Eric Caire a échoué à son examen et maintenant il s’en prend au correcteur. », ajoute le parlementaire.

Dans les échanges de courriels qui a pu avoir avec le centre gouvernemental de cyberdéfense, l’hacker éthique avait d’ailleurs proposé au gouvernement et même encouragé la mise en place d’un programme de prime de bug pour récompenser, à l’instar de la France, les personnes qui pourraient trouver des menaces et de failles de sécurité dans ses outils informatiques. Et cela avait plus d’avantages que de les menacer.

Selon les informations qui sont en circulation, le gouvernement de François Legault travaillerait sur la mise en place d’un programme de bug Bounty en mettant en avant la possibilité de divulguer les failles de sécurité sans crainte d’être poursuivi. Une annonce qui serait faites dans les jours à venir.

À titre de rappel, il faut préciser que l’application de vérification des QR code du Pass vaccinal sera mis en vigueur à partir de demain le 1er septembre.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Vulnérabilités et menaces informatiques : principaux secteurs à risque

Aujourd’hui la cybercriminalité est en vogue.

Les pirates informatiques ont le vent en poupe et ne laissent passer aucune occasion de s’en prendre à un système informatique, surtout lorsqu’ils savent qu’ils peuvent se faire de l’argent ou de la notoriété. De ce fait, la digitalisation est une aubaine pour eux.

Comment se protéger efficacement face aux risques d’espionnage

En observant seulement l’explosion des attaques informatiques nous avons nos réponses. Intéressons-nous de prime abord aux secteurs qui sont les plus en danger face à cette montée de la cybercriminalité. Dans cet article, nous allons vous donner certains secteurs qui souffrent continuellement de la cybercriminalité et dont les conséquences sont généralement très catastrophiques.

1- Les entreprises

Si l’on doit tenir compte du fait que la motivation première de pirate informatique est de se faire de l’argent, il est évident que les entreprises qui détiennent de gros capitaux ou même des moyens soit régulièrement ciblées. Aujourd’hui tout type d’entreprise en peu importe sa taille est une cible potentielle pour les pirates informatiques. La question n’est pas de savoir si l’on sera attaqué, mais plutôt quand est-ce que on le sera. L’évidence même de la menace informatique et de sa persistance pour les sociétés est claire et nette. Rappelons en 2017, près de 14 millions de petites entreprises avaient été piratées durant les 12 mois qui consistaient l’année. Un chiffre impressionnant qui à augmenter. Surtout avec la pandémie à coronavirus et le développement du télétravail

2- Les établissements de santé

L’année 2020 ils sont prédécesseur 2019, peuvent-être considérées comme les périodes record ou des cyberattaques visant explicitement directement des établissements de santé ont été observées le plus. Que ce soit des hôpitaux ou des laboratoires de recherche de vaccins, passant par des organismes internationaux quelques l’OMS, il a été clair que d’une certaine manière les pirates informatiques foncent sur le secteur de la santé. Depuis le rançongiciel WannaCry qui a failli causé des dommages irréparables National Health Service (NHS) du Royaume-Uni, à la mort d’un patient en Allemagne, les données de santé sont assez précieuses et se place comme étant une denrée intéressante pour les cybercriminels. Avec la pandémie à coronavirus, les choses se sont empirées.

3- Les établissements financiers

Pour des raisons évidentes, le secteur des finances ne peut pas échapper à la faute des cybercriminels. En plus de l’argent qu’ils peuvent se faire directement, ce secteur est une mine à informations personnelles. Surtout qu’avec l’explosion des moyens de paiement en ligne, couplé à de mauvaises pratiques de gestion, Les pirates informatiques s’en donnent à cœur joie. En 2016, près d’un établissement sur 3 étaient victimes d’attaque selon Accenture.

4- Les organismes gouvernementaux

La révolution numérique a ouvert les pratiques du renseignement a un tout autre niveau. L’ère de l’espionnage cybernétique et l’expression qui convient le mieux aujourd’hui. Les rivalités entre les États sont continuelles. Ce qui pousse le plus souvent certains protagonistes à initier des actions de piratage informatique ciblées contre les organismes de leurs adversaires. Il s’appuie le plus souvent sur des groupes de pirate qui travaille en interne ou sur des spécialistes indépendants classés généralement dans la catégorie des APT. Et cela peut prendre plusieurs formes. Du sabotage à l’espionnage industriel en passant par l’exploitation de failles de sécurité en vu d’installer des programmes de surveillance. C’est notamment ce qui s’est vu avec l’affaire Pegasus, dévoilé par le consortium Forbidden Stories.

5- Éducation

On en parle à rarement, cependant les secteurs de l’éducation présentent aussi un intérêt indéniable pour la cybercriminalité. En effet, les pirates informatiques peuvent collecter d’importantes données qui peuvent s’avérer très rentables voir sensibles selon le point de vue. On peut citer par exemple la possibilité d’avoir accès à des propriétés intellectuelles issus de recherches universitaires ou scientifiques tout simplement. Il y a aussi la possibilité d’utiliser les ordinateurs présents dans ces établissements dans le but de générer de la puissance de calcul, chose qui est facile en ce sens que la protection des appareils informatiques dans le domaine de l’éducation n’est pas véritablement au point. En France par exemple, entre l’année 2005 et l’année 2015, le secteur de l’enseignement supérieur a été touché par près de 539 de sécurité portant sur près de 13 millions de dossiers.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Les établissements de santé et la cybersécurité : l’action du gouvernement en faveur d’une amélioration

Selon plusieurs représentants du pouvoir public, il y aurait une certaine opportunité à saisir pour améliorer la cybersécurité des établissements de santé.

C’est ce qui a été retenu lors du congrès de l’association pour la sécurité des systèmes d’information de santé le 22 juin 2021 à Mans.

Cet article va aussi vous intéresser : La sécurisation des appareils de santé

« C’est la première fois qu’il y a un plan de renforcement de la sécurité des systèmes d’information de santé porté au plus haut niveau de l’Etat », s’est prononcé Jean-François Parguet, un fonctionnaire de sécurité des systèmes d’information (FSSI) des ministères sociaux. Ce dernier faisait référence à l’annonce faite par le Président de la République portant sur la mise en place d’une nouvelle stratégie nationale pour une cybersécurité plus accrue des établissements de santé. Dans ce contexte ce dernier estime que tous les acteurs de la cybersécurité des systèmes des formations des établissements de santé ont « l’obligation de ne pas rater cette opportunité ».

« Depuis quelques semaines, le nombre d’attaques [informatiques signalées par des établissements de santé] baisse », toutefois, « pour combien de temps? Nous devons nous préparer à des attaques systémiques, impactant une région entière, voire tout le pays, outre-mer compris », mettait alors en garde le spécialiste.

Comme le signifie Dominique Pon, un responsable ministériel du numérique en santé, et Jean-Jacques Coiplet, le directeur général de l’agence régionale de santé (ARS) Pays de la Loire, « Personne n’est à l’abri » d’une attaque informatique de nos jours. « La question n’est plus si [un établissement de santé va subir une cyberattaque], mais quand et comment », a ajouté ce dernier.

Du côté de l’agence régionale de santé du pays de la Loire, la cybersécurité se présente comme étant une priorité. C’est d’ailleurs pour cette raison qu’elle est devenue membre de l’association pour la sécurité des systèmes d’information de santé. Une intégration qui s’est confirmée en avril 2010.

« On sait tous qu’on est très vulnérables depuis longtemps » a souligné de son côté Dominique Pon. « Il n’y a pas aujourd’hui un seul DSI [directeur des systèmes d’information] ou RSSI [responsable de la sécurité des systèmes d’information] qui peut dire que son système est impénétrable. » ajoute ce dernier. « Les services socles introduits par la feuille de route du numérique en santé et le Ségur numérique sont des « gages d’homogénéisation » de la sécurité des SI », avait ajouté ce dernier.

Selon Jean-François Parguet : « un focus sur la cybersécurité a été mis au niveau national, avec un pilotage par le cabinet [du ministre de la santé Olivier Véran], l’Agence nationale de la sécurité des SI [Anssi], la direction générale de l’offre de soins [DGOS], l’Agence du numérique en santé [ANS], le haut fonctionnaire de défense et de sécurité [HFDS], des ministères sociaux, dont dépend le FSSI des ministères sociaux. ». Il faut noter par ailleurs que ce comité se réunit plus de 5 fois en seulement 3 mois.

Dominique Pon et Jean-François Parguet et tous les autres responsables dans leur contexte ont salué le projet de renforcement de la sécurité informatique des établissements de santé. Ils ont tous deux salué le plan de renforcement de la cybersécurité.

Questionné sur « les leviers pour que les directions générales des établissements de santé s’intéressent à cette question », Dominique Pon s’est appuyé sur le référentiel Maturin-H (Maturité numérique des établissements hospitaliers), qui est déjà développé sur la feuille de retour du numérique en santé qui est censé paraître dans la publication attendu en début 2022.

« Celui-ci permettra d’obtenir un score de maturité qui risque de remettre en cause [l’incitation financière à l’amélioration de la qualité] Ifaq et la certification HAS (Haute autorité de santé) des établissements », as prévenu ce dernier. » L’incitatif c’est bien, mais à un moment donné il faudra du coercitif. ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

L’OTAN face à la cybercriminalité

Lors du récent sommet de l’OTAN qui a eu lieu ce lundi 14 juin à Bruxelles, les 30 chefs de l’État et de gouvernement des pays membres ont discuté de plusieurs enjeux sécuritaires.

En particulier ce qui concerne dans la cybercriminalité.

Cet article va aussi vous intéresser : Fuites de données médicales : vérifier si l’on est concerné par la fuite massive de données de santé

Le président américain comme à l’accoutumé n’a pas cessé d’exister sur les menaces que représente la Chine et la Russie en allant dans ce sens.

Mais qu’en est-il réellement de cette menace que représente la Russie et dans le gouvernement américain ne cesse de décrier. À ce sujet, Xavier Raufer, auteur, criminologue français, directeur des études au Département de recherches sur les menaces criminelles contemporaines à l’Université Paris II explique : « Il faut tout d’abord bien définir le terme de menace. À l’heure actuelle, la Russie ne menace pas grand monde… Mais dans une situation où ce pays gigantesque se trouve exposé à des dangers multiples, il a développé de nouveaux systèmes d’armement impressionnants et révolutionnaires. Ainsi, si on se projette dans la guerre de demain, la Russie a une avance assez considérable.

Il est à noter qu’elle a largement testé aux combats ses armes en Syrie. L’essai au combat donne une meilleure connaissance de son matériel que des outils qui ont servi au Bourget ou dans des festivals militaires internationaux.

Plus précisément, les Russes ont une avance sur des dispositifs de guerre radio électronique. Ces outils bloquent les ondes sur un secteur donné (plusieurs centaines de km2) où ils peuvent interdire à des instruments de guerre tout usage d’onde. Ainsi, le bateau qui se trouvait en capacité de naviguer est complètement paralysé. Ces armes ont été utilisées en Syrie, au Haut-Karabakh pendant la guerre récente. Au vu des retours de nombreux officiels, ces armes sont extrêmement impressionnantes.

Naturellement, dans un contexte où la guerre utilise toujours plus d’informatique le fait de perdre cet atout brutalement et immédiatement est de l’ordre de la catastrophe absolue. Aujourd’hui, même les obus tirés par les canons sont intelligents donc affectés par la paralysie des ondes. Ces systèmes rendent alors la bataille impossible. Sur les quelques semaines de batailles au Haut-Karabakh, le dispositif a été utilisé pendant quatre jours et durant ce laps de temps, aucun drone turc n’a pas pu décoller.

Avec ce type d’armement la Russie arrive à tirer son épingle du jeu. Lorsque la Pologne a fait une simulation de combat pour vérifier si son armée pouvait repousser une offensive militaire russe, Varsovie a été conquise en quatre jours…

Ce que l’on sait c’est que lorsqu’un tel type d’arme est annoncé, il est déjà aguerri et en place. Lorsque les Russes, comme les Chinois, Turcs ou Iraniens ont quelque chose de nouveau et de révolutionnaire ils ne vont pas le crier sur les toits. Il s’agit d’un matériel déjà testé, déjà connu. S’il a été utilisé lors d’opérations, il a été vu par l’OTAN, mais il y aussi probablement d’autres surprises que nous ne connaissons pas. ».

Au niveau de la cybercriminalité, il a été fait mention de plusieurs attaques informatiques imputées à des hackers d’origine russe chinoises. Cependant l’on ne sert à rien véritablement de la capacité réelle des cybercriminels russes, si ce n’est ce qui affirme le gouvernement américain. Mais qu’en est-il véritablement ?

« La Russie a comme caractéristique d’héberger sur ses terres un grand nombre de cybercriminels, des groupes organisés et de très haut niveau, très professionnels. Avec les autorités, ils ont obtenu une certaine bienveillance au vu de leur activité tant qu’ils n’attaquent pas l’Etat et les entreprises Russes et leurs      alliés. En contrepartie de cela, on viendra de temps en temps leur demander des services. Cela permet à la Russie, qui n’a pas de moyens considérables d’avoir une capacité de frappe très conséquente. A coté de cela, ils ont des unités de cyber de très haut niveau au sein de leurs services de renseignement. », note Fabrice Epelboin est enseignant à Sciences Po et cofondateur de Yogosha, une entreprise spécialisée dans la sécurité informatique et l’économie collaborative. « Il y a deux ans, ces unités ont – auraient – attaqué l’entreprise SolarWinds, une société qui propose un logiciel permettant de gérer des réseaux dans les très grosses entreprises et administrations. Les Russes se sont en quelque sorte insérés dans cette technologie et, par rebond, se sont invité dans potentiellement toutes les      grandes entreprises occidentale clientes de Solarwinds, soit une large partie du Fortune 500 ou du CAC40. Avec de telles actions, ils montrent qu’ils ont une importante puissance de frappe et cela les rend beaucoup plus menaçants. La Russie a par ailleurs toujours été une grande nation en termes de mathématiques et c’est ce qui en fait de bons hackers. N’oublions pas que c’est aussi valable pour la France », ajoute le spécialiste.

Mais qu’en est-il de la menace véritablement ? Comment peut-on évaluer l’étendue du risque pour les pays de l’OTAN. Pour Fabrice Epelboin : « Les Chinois aussi ont attaqué une autre technologie, Microsoft Exchange, un service qui est aussi utilisé par la moitié des entreprises occidentales. À partir de cela, ils se sont – comme les russes – potentiellement invités dans la moitié des entreprises de la planète. En Chine aussi la puissance de frappe est colossale, la nation produit un million d’ingénieurs par an et contrairement à la Russie, elle a des moyens financiers colossaux.  Il y a trois ans, la NSA contrôlait tout mais cela a changé. L’équilibre des forces est différent aujourd’hui, nous ne sommes plus dans un monde où les Américains dominent tout sans partage. ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Cybersécurité et établissement de santé : le gouvernement adopte les mesures idoines pour combler le déficit sécuritaire

Depuis le début de cette année, le gouvernement français a exprimé sa volonté d’améliorer au mieux la sécurité informatique des établissements de santé qui sont de plus en plus ciblés et affectés par la vague de cybercriminalité que connaît le secteur du numérique.

Au cours de l’année 2020 et durant le début de l’année 2021, plusieurs dizaines d’hôpitaux et de laboratoires d’analyses ont été la cible des cyberattaques plus ou moins sophistiquées généralement basées sur des rançongiciels.

L’objectif du gouvernement et de faire une priorité la défense des systèmes informatiques de ces établissements. Pour cela plusieurs, propositions et projets ont été développés. Pour cela, l’organisme public chargé de la Défense en matière de sécurité informatique, l’autorité administrative indépendante qu’est l’agence nationale de sécurité informatique décide de déployer les grands moyens. L’objectif ? « Élever le niveau de sécurité de système d’information […] via la mise en œuvre de parcours de sécurité adaptés aux enjeux et aux besoins des organisations », explique l’autorité administrative sur son site Web.

À titre de rappel il faudrait signifier qu’il y a bien longtemps, que les autorités ont été interpellé sur le fait que les systèmes informatiques des établissements de santé étaient particulièrement vulnérables. L’Agence nationale de sécurité des systèmes d’information elle même avec plusieurs fois dresser un portrait de cet aspect. Surtout en mettant en évidence la « menace la plus immédiate […] en terme de volume, de fréquence des attaques et de conséquences » qu’est le rançongiciel.

Le gouvernement français tient à cœur de prendre en priorité Cet aspect très important. Il a d’ailleurs annoncé un déblocage de plusieurs mesures budgétaire à cet effet. « La stratégie nationale pour la cybersécurité a attribué à l’ANSSI une enveloppe budgétaire de 136 M€ pour renforcer la cybersécurité de l’État. Sur cette enveloppe […], 25 M€ seront spécifiquement consacrés à la sécurisation des établissements de santé », expliquait le ministre de la santé, Olivier Veran, et le secrétaire d’État chargé du numérique, Cédric O.

On constate que les mots sont suivis par les actes de mois après.

« L’accompagnement des bénéficiaires est le maître-mot de cette offre de service via la mise en œuvre de parcours de sécurité adaptés aux enjeux et aux besoins des organisations », déclare l’Agence nationale de sécurité des systèmes d’information. Mais ces précisions pour les établissements ne peuvent malheureusement pas être bénéficiaire de ce programme. Pour être en mesure de solliciter l’expertise de l’agence, il faudrait remplir certaines conditions : « L’ensemble des bénéficiaires doit disposer d’un système d’information existant ;

Chaque organisation candidate doit être soutenue par son décideur, détenteur de la responsabilité juridique et administrative, afin de garantir la pleine implication des équipes et le bon déroulement des actions menées », souligne l’autorité administrative.

Par ces critères on peut détailler 4 circuits de sécurité informatique. Qui commence par le parcours fondation et se termine par le parcours renforcé. « Le point de passage des organisations opérant un service de niveau comparable à celui d’un système d’information essentiel ou vital. Une fois le plan d’action sélectionné, il s’agit de mettre en œuvre le parcours. ». Ledit circuit se divise en trois étapes :

« Étape 1, lancement : mise en œuvre du pack initial ». Un prestataire dit de « terrain » assure les actions de sensibilisation, formation et d’audit auprès du bénéficiaire. Ensemble, ils élaborent un plan de sécurisation listant les mesures concrètes à mettre en œuvre. » explique l’agence de sécurité des systèmes d’information sur son site web.

La seconde étape se fonde essentiellement sur l’approfondissement. On parle de la mise en œuvre des packs relais. « La démarche se poursuit par la mise en œuvre des mesures du plan de sécurisation. De nouveaux chantiers peuvent être lancés en fonction de l’évolution du niveau de cybersécurité du bénéficiaire. ».

Quant à la dernière étape, on parlera ici de suivi itératif. En effet, il sera fait en sorte que le prestataire qui est censé accompagner le bénéficiaire du programme doit guider ce dernier pour valider ses objectifs.

Avec ses premiers pas initié par le gouvernement français, il est espéré une certaine amélioration du cadre sécuritaire délai de santé face à la montée en puissance des opérateurs d’actes de cybermalveillance toujours aussi prompts à agir.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage