30 oct. 2008
Les vacances de Parad-IE
Parad-IE est parti en vacances quelques jours et n'a pu publier le rendez vous de lundi dernier mais il sera rentré en fin de semaine donc profitez bien de la pause et à très bientot.
20 oct. 2008
Les lundis SSI : le Spam
Le spam, pourriel en français, désigne une communication électronique non sollicitée par les destinataires, expédiée en masse à des fins publicitaires ou malhonnêtes. Le terme de Pourriel provient de la contraction de poubelle et de courriel. On entend parfois parler de Polluriel qui est le résultat de l’association de pollution et de courriel.
Historique :
* Le premier spam a été réalisé par un américain, Gary Thuerk, le 3 mai 1978, qui dans le cadre d’une démarche marketing a fait suivre, à plusieurs centaines de personnes, un email les invitant à la démonstration d’un nouveau produit. Aujourd’hui cette attitude pourrait également porter le nom d’emailing. Elle consiste à envoyer à une cible définie un courrier annonçant un évènement.
* Pour autant, le spam recouvre un effet néfaste puisqu’il constitue désormais un moyen très pratique pour les publicitaires pour « harceler » vos boîtes mails. La vente de fichiers d'emails renforce d’autant plus ce phénomène.
* Si la terminologie de spam trouve son origine dans la récurrence de la publicité pour un produit, le nom de SPAM lui même provient d’un jambon épicé….. Les Monty Python, agacés par la répétition de la marque dans une publicité, avaient réalisé un sketch tournant en dérision ce produit.
Procédés :
* Le but des campagnes de spams, hormis l’explication publicitaire, est de permettre aux pirates de confirmer votre adresse mail soit :
- à l'aide de backdoors (méthode non repertorié permettant de s’introduire illégalement sur un ordinateur. Technique proche du Hacking), et d'espiogiciels (logiciel qui réalise le backdoor) qui vont communiquer nos carnets d’adresses
- à l'aide de robots qui scannent les sites, les news, les blogs
* Lionel Goussard, le responsable du nouveau bureau français du groupe Webroot explique que les pirates commencent à développer des techniques de « BackScatter » (en anglais). Dans ce cas, le domaine (nom du serveur sur lequel l’internaute reçoit des messages ou sur lequel sont hébergées ses pages personnelles) est pris pour cible. Le pirate qui lance la campagne de spam met ce serveur en destinataire des retours spam et le noie ainsi sous les réponses.
* Cela peut représenter jusqu’à 90% d’une boite aux lettres.
* Le volume des spams est multiplié par 3 chaque année.
* Les Etats-Unis relaient 28,4 % des spams loin devant la Chine, la Corée du Sud, et …. La France
* En 2007 cela représente 99% du trafic mail mondial et environ 100 milliards de spams envoyés par… jour.
Actualité :
La fin pour le plus important réseau de spam : la FTC ( Federal Trade Commission ) à annoncer la semaine passée, le démantèlement d'un important réseau de spams, à l'origine de l'envoi de plusieurs milliards de courriers électroniques indésirables. Les e-mails proposant des produits de santé très connu pour leurs effets sur le poids ou les performances sexuelles. L’auteur de ces spams était un ressortissant Néo-zélandais et un texan.
Les solutions :
* Porter plainte. La justice américaine et la commission américaine ont reconnu le spamming comme un délit. En 2006, un Fournisseur d’accès Internet (FAI) avait obtenu la condamnation de 3 spammeurs au paiement de dommages et intérêts s’élevant à 1 milliard d’euros. Les 3 spammeurs avaient noyé les serveurs du FAI.
* Ne pas donner son adresse mail. Eviter de laisser votre adresse sur les sites internet, notamment votre adresse usuelle ou professionnelle. Il est tout à fait envisageable de créer une adresse dédiée aux sites commerciaux qui absorbera les spams. Il existe d’ailleurs des adresses email jetables.
Sachez que si un ami est contaminez par ce type de « virus », vous êtes presque sûr d’en être victime à votre tour.
* Utilisez l’anti-spam de votre FAI ? un bon début mais loin d’être suffisant. En effet comme le signal le site comment ça marche, ils vous proposent la création d’une liste noire, ou des règles de filtrage
-
- A partir de mots clés recherchés dans le sujet du mail. Il faut donc définir des mots clés de tous les mails que nous sommes susceptibles de recevoir.... Autant jeter ces spams tous les jours!! En plus bien souvent le texte est dans une pièce jointe, dans un lien ou dans une image donc nettement plus difficile à isoler.
* Essayer un logiciel anti-spam installé directement sur votre PC ? Cela permettra de renforcer les fonctions de tri et donc de constituer des blacklists plus solides.
* Ne cliquez pas sur les liens des spams. Comme pour le phishing de lundi dernier. Si vous cliquez sur les liens, ou tentez de vous désinscrire, vous confirmez votre existence.
* Configurer votre boite mail pour que la l'ouverture des mails ne se fasse qu’après autorisation. En effet, la simple prévisualisation provoque la confirmation de l’adresse.
* Des solutions payantes existent, c’est le cas de webroot. Pour les budgets les plus maigres, les spécialistes conseillent l’utilisation de Mozilla thunderbird à la place des clients mails actuels (Outlook notamment). Il permet un filtrage assez complet des spams.
Si vous souhaitez plus de détails techniques, wikipedia réalise un bon récapitulatif des différentes techniques de filtrage et puis si vous avez une remarque, l'espace commentaire est à vous. Bonne semaine.
19 oct. 2008
La semaine de Parad'ie
- Les assises de la Sécurité ont eu lieu entre le 15 et le 18 octobre à Monaco. Plus de 12 000 participants venus échanger sur la sécurité des systèmes d'information (SSI) et la cybercriminalité. Je n'ai hélas pu me déplacer jusqu'à la principauté donc voici un condensé de la presse.
*Le Directeur de la DCSSI (direction centrale de la sécurité des systèmes d'information), Patrick Pailloux, a ouvert la conférence et a rappelé que la SSI était désormais une des principales priorités de la Défense Nationale.
* Le Directeur a également souhaité une amélioration des interventions de l'ENISA (European, Network and Information Security Agency) qui n'apporte pas des réponses suffisamment concrètes à la problématique de la SSI. Il a également souligné la volonté du Président Sarkozy (actuellement Président de l'UE) de faire émerger des règles communes de sécurité.
* L'annonce de la naissance d'une agence nationale pour la sécurité à l'horizon 2009 a été prononcée. Elle reprendra les moyens et effectifs de l'ex-future DCSSI et prolongera ses prérogatives au conseil au secteur privé et aux particuliers. Il ne faut pas voir dans la création de cette structure, une raison également politique!! Il était sûrement plus simple de créer une nouvelle structure que d'améliorer l'existent......
* Pour finir la conférence a été l'occasion d'une piqûre de rappel des principes de sécurité. Un investissement des petites entreprises comme des grandes sociétés est nécessaire afin de mettre en place des procédures d'audit. Les sociétés doivent réellement prendre en compte les règles de bon sens que sont par exemple, une modification régulière de son mot de passe, une vigilance d'autant plus forte lors de voyage internationaux....
- La conférence mondiale Informatique et Libertés a ouvert ses portes à Strasbourg. Alex Türk, président de la CNIL (Commission Nationale Informatique et Liberté), a évoqué, dans une interview à 01net , ses inquiétudes vis-à-vis de la protection des données personnelles et a suggéré la "création d'un prix Nobel de la protection des données. Il pointe l'ambigüité des français face à la protection de leurs données et la véritable conscience des risques. En effet, les détracteurs du fichier Edvige et les adeptes de My Space et Facebook sont souvent les mêmes personnes.
- La Ministre de l'Intérieur prône la sensibilisation des chefs d'entreprise à la sécurité lors de l'ouverture de la session 20e promotion de l'Institut des hautes études de sécurité (INHES). Avec quelques exemples précis, Michèle Alliot Marie a rappelé les risques auxquels s'exposaient toute entreprise et le rôle éducatif confié aux préfets et aux divers organismes publics. J'aurai tendance à dire que ce n'est pas une question de volonté mais de méthode. Les CCI notamment et également les forces de l'ordre réalisent régulièrement des sensibilisations à la problématique mais cela ne semble pas porter ses fruits.
* Dans le cadre de mes fonctions, je réalisais dernièrement un audit sécurité dans un service dit "stratégique" d'une grande entreprise. Les résultats ont été.... affligeants. Alors Mesdames et Messieurs, chefs d'entreprise, grands comptes ou PME, salariés et utilisateurs d'un outil nécessitant un accès sécurisé ne donnez jamais votre mot de passe, même à votre conjoint. Que diriez vous si demain je vous appelle pour obtenir votre code de carte bleue.....
* Pour autant difficile de contredire MAM, quand les exemples sont toujours aussi nombreux. Cette semaine mention particulière à Deloitte. L'un des plus grands cabinets d'audit révèle avoir égaré les données de 150 000 employés britanniques de Vodafone. Il faut tout de même souligner les progrès de la société. Contrairement au malheureux précédent de 2006 ( un CD Rom, non crypté et non encodé, contenant les données de 9000 employés de Mac Affee avait été perdu), cette fois la société affirme que les données étaient cryptées et l'accès au PC protégé.
Le reste de l'actualité
- Un réseau de contrefaçon mis à jour dans le 18ème arrondissement de Paris. Les douanes ont réalisé une bonne prise en saisissant plusieurs milliers d'accessoires et de produits de luxe.
- Les chinois et Skype : Une étude canadienne vient de révéler l'existence d'une version chinoise du logiciel de communication, qui permet aux autorités de filter et d'enregistrer les messages textes, comprenant un charge politique. la filiale d'Ebay a reconnu l'existence de cette dérive chez TOM skype, son partenaire chinois, sans pour autant pouvoir expliquer les modifications de protocoles qui ont été effectuées.
- La suite de l'affaire Besancenot. Le PDG de Taser France, ainsi que plusieurs policiers ont été placé en garde à vue dans l'affaire qui a fait la une de l'été et qui devrait alimenter les meilleurs romans d'espionnage.
Ceci n'est sans doute pas exhaustif de l'actualité de la semaine alors si vous avez un ajout, un commentaire, libre à vous ?
13 oct. 2008
les lundis SSI : le phishing
Définition :
Le phishing (en français l’hameçonnage ou le filoutage) est une tentative d'escroquerie basée sur l'usurpation d'identité d'une personne ou d'une organisation de confiance, dans le but de voler des renseignements personnels.
Derrière la page web de l’institution à laquelle vous pensez accéder se cache un fraudeur qui va utiliser ces données à des fins personnelles.
Voici un exemple de mail que vous êtes susceptible de recevoir :
Le site http://www.cases.public.lu réalise une très bonne explication animée du phising, je vous la recommande en cliquant sur l’image.
Pour la petite histoire :
* Le terme phishing s'inspire du terme phreaking : mot-valise de « phone » et « freak ». Originellement, le phreaking était un type d'arnaque utilisé afin de profiter de services téléphoniques gratuits surtout présent à l'époque des appareils analogiques (années '70).
Le terme phishing aurait été inventé par les pirates qui essayaient de voler des comptes AOL. Il serait construit sur l'expression anglaise password harvesting fishing, soit « pêche aux mots de passe ».
* Le phishing, pratique de plus en plus courante, qui coûte cher aux clients, notamment des banques et des organismes de crédits et à ces institutions elles-mêmes. Cette fraude est estimée à 95 millions de dollars pour 2007. Elle touche également fortement les sites de ventes aux enchères tels qu’Ebay ou Paypal
* Le dernier cas de phishing médiatisé a eu lieu vendredi ou un jeune roumain, Sergiu Daniel Popa, a reconnu avoir participé à des opérations de phishing aux Etats-Unis. Ses escroqueries Internet se seraient échelonnées sur une période de trois ans et auraient généré pour les 7 000 victimes, un préjudice net de 700 000 dollars.
Quelques chiffres :
* Des analyses tendent à prouver que près de 40% des utilisateurs d'Internet ayant reçu une attaque de phishing à l'encontre de Citibank sont tombés dans le piège.
* Lors d'un test effectué par la compagnie anti-spam MailFrontier, 28% des adultes américains n'ont pu reconnaître l'e-mail frauduleux qui leur avait été envoyé.
* Le volume des victimes abusées, et donc de la réussite des attaques, varie de 3% à 5%. La loi du silence et la honte liées au fait de s'être fait extorquer des informations personnelles ou de l'argent gênent les enquêtes cherchant à mettre fin à ce système et empêchent de connaître les véritables chiffres.
Se protéger :
Savoir reconnaître le phising :
· Dans l’exemple proposé, la multiplication des fautes d’orthographe est un bon premier indice….
· De plus, votre boite email trie souvent les courriers indésirables et vous retrouverez donc cette « attaque » dans cet espace.
· Si vous vous êtes connectés au site par inadvertance, contrôler l’adresse email. Elle doit forcément commencer par https//. Le « S » est l’indication de sécurité qui apparait sur tous les sites réalisant la confidentialité des données personnelles.
· Soyez également vigilant si dans l’adresse URL (adresse de votre site internet) le symbole arobase (@) existe. Cela signifie que le site sur lequel vous vous connectez va essayer de vous connecter à un autre site frauduleux.
Et ensuite avoir les bonnes réactions :
- Ne pas cliquer sur les liens qui sont communiqués.
- Informer votre banque de la réception de ce courrier. Cela vous permet de vérifier qu’effectivement il n’existe aucune erreur sur votre compte.
- Ensuite votre banque fera remonter l’information au service de sécurité informatique qui se chargera d’éviter toutes conséquences plus lourdes à la fois pour leurs systèmes et pour les comptes des particuliers et professionnels.
Sachez qu’un site de phishing dure en moyenne 3-4 jours. Notre réactivité permettra de l’interrompre plus vite
- Si vous n’arrivez pas à joindre votre banque, connectez-vous au site en ouvrant une nouvelle page de votre navigateur (internet explorer, firefox, netscape…), vérifiez qu’il n’y a aucune erreur sur votre compte.
- Les banques sont très attentives à ces informations. Si la banque n’est pas réceptive à votre requête, insistez ! Quitte à parler à la direction ! Par contre ne soyez pas surpris si vous n’êtes pas remercié pour toute votre attention…..
- Et puis conformer vous aux recommandations pour lutter contre le hacking de la semaine dernière.
Cet exemple s’applique à la banque mais il peut avoir pour expéditeur « officiel » toute institution financière, votre assurance, votre mutuelle, ou toute entreprise commerciale. L’objectif de cette technique de récupérer des données personnelles permettant de procéder à des mouvements financiers ou des achats de masse sur votre compte, restez donc vigilant.
N’hésitez pas à compléter cet article de vos expériences, et à la semaine prochaine pour un nouveau lundi SSI.
11 oct. 2008
La semaine de Parad-ie
- Les vols de données au cœur de la semaine :
Les poubelles, véritables mines d’informations. Voici une donnée que les entreprises sont censées ne plus ignorer et pourtant les chiffres du CREDOC (centre de recherche pour l'étude et l'observation des conditions de vie), publiés par Le Figaro sont catastrophiques. En faisant l’effort de ne pas imprimer un certain nombre de documents inutiles sous format papier et en détruisant les documents jetés, les entreprises limiteraient ce phénomène.
En matière de sécurité, le risque informatique n’est pas le seul à être en cause. En effet, une étude publiée par Vérizon met en avant les vulnérabilités externes mais également internes (personnels ou partenaires) qui apparaissent comme non négligeables. D’ailleurs, Shell vient de réclamer la vigilance de ses employés après le vol de données personnelles par un sous traitant. Cette étude de Verizon est également confirmée par l'étude d'ITRC (Identity Theft Ressource Center) qui démontre que 2008 a déjà été une « excellente année » pour la perte de données.
Et ce n’est pas l’opérateur téléphonique allemand qui va contredire cette étude ! Après avoir reconnu la semaine passée, le vol de données de 17 millions de clients en 2006, Deutsche Telekom commet une nouvelle erreur en rendant consultables les données de 30 millions de clients.
Cela est d’autant plus inquiétant que même les plus grands responsables politiques sont victimes de cette maladresse. Après le piratage de la boite mail de Sarah Palin, c’est au tour de John Mac Cain de se faire voler un ordinateur portable contenant des données stratégiques (article en VO)
- La semaine de la sécurité informatique :
* Le bilan mensuel du journal du net : l’actualité financière qui stimule les attaques et notamment le phishing (rendez vous lundi pour en savoir plus).
* 200 000 identifiants, 100 000 serveurs FTP, et c'est 80 000 sites web qui sont touchés par un serveur pirate : Les explications de Ian Amit, chercheur chez aladdin.
* Les défis informatiques que doivent relever les grandes entreprises françaises : compte rendu de la 38ème assemblée générale des DSI du CIGREF.
- L’actualité juridique en matière de sécurité des entreprises :
Les employés qui gagnent contre leurs patrons espions en France et en Allemagne, le TGI de Paris compétent en matière de contrefaçon au Chili, l’actualité juridique vue par Maître Murielle Cahen, spécialiste des NTIC, sur ZATAZ.
- Les bonnes actions et les avancées de la semaine à souligner :
* Thalès vient d’inaugurer un centre dédié aux solutions de sécurité. Ce dernier viserait à améliorer la sécurité des personnes, la protection des infrastructures sensibles, la prévention des catastrophes et la lutte contre la cybercriminalité
* Le premier réseau de cryptographie quantique a été inauguré à Vienne