Human backdoors



[Jacques Cheminat – Silicon.fr – 13/05/2014]

La source ne semble pas se tarir. Si Edward Snowden est un homme très demandé, les documents qu’il a révélés continuent de fournir des renseignements sur les méthodes d’espionnage de la NSA. Les dernières révélations en date ont été faites par The Guardian et plus exactement Glenn Greenwald, un des journalistes disposant des documents confiés par « le lanceur d’alertes » et qui vient de publier un livre « No Place, to Hide ». Dans cet ouvrage, on y apprend que la NSA injecte des backdoors dans du matériel IT américain destiné à l’export. Parmi ces équipements, on retrouve des routeurs, mais aussi des serveurs. Le journaliste cite un rapport du département « Access and Target Development » de l’agence américaine de renseignement qui montre qu’il « reçoit et intercepte régulièrement des routeurs, des serveurs et d’autres équipements réseaux destinés à l’exportation pour des clients internationaux ».

A l’occasion de cette interception, « la NSA implante des backdoors dans les appareils, les reconditionne et les renvoie avec le cachet d’usine ». L’agence peut ainsi écouter et surveiller n’importe quel réseau. Selon le document, il ne semble pas que les constructeurs soient au courant de cette pratique. Au mois de décembre dernier, Der Spiegel avait publié un article sur les documents d’Edward Snowden montrant que la NSA disposait d’un catalogue de méthodes de hacking pour les équipements réseaux de Juniper, Cisco et Huawei. (suite…)


[iShen – MacPlus  31/12/2013]

Voilà qui devrait faire du bruit, même si l’on est plus vraiment surpris par la teneur des propos du hacker/chercheur Jacob Applebaum : La NSA se serait intéressée à l’iPhone et aux moyens de contourner sa sécurité dés l’année 2008, et pourrait aujourd’hui injecter à distance des logiciels espions qui rapporteraient tout, absolument tout ce qui transite par le biais du smartphone d’Apple. Des preuves de logiciels espions sur smartphones Android avaient déjà été fournies il y a quelques mois mais c’est la première fois que l’iPhone est nommément pointé dans un document officiel.

s3222_dropoutjeep-640x828Applebaum assoit ses déclarations sur un document de la NSA (classifié top secret) publié dans Der Spiegel, document décrivant de façon précise les modes de fonctionnement du logiciel DROPOUT JEEP, celui-là même qui casse toutes les clefs de cryptage dans l’iPhone et permet d’accéder à l’intégralité des données par des portes dérobées. En 2008 néanmoins, rien ne dit que le projet était effectif puisqu’il demandait l’accès physique à l’appareil et qu’Apple n’avait pas, selon les documents de Snowden concernant le projet PRISM, de liens particuliers avec la NSA, que ces liens soient contraints ou forcés. Mais les choses semblent avoir changé depuis la mort de Steve Jobs (qui est donc celui qui a dit « non » à la NSA de son vivant, aucun autre patron d’une grande firme technologique américaine ne peut en dire autant) et la NSA indique de façon troublante qu’elle peut implémenter quand elle le souhaite et sans aucune difficulté DROPOUT JEEP dans n’importe quel iPhone, des propos qui selon Applebaum pourraient indiquer une participation active de la part d’Apple à partir du début 2012, même si aucune preuve tangible ne vient étayer ce soupçon. (suite…)


Vous ne voulez pas que la NSA vienne fouiner dans votre ordinateur et espionne vos données ? Ne vous connectez pas à Internet.

[Bruce Schneier – WIRED – 7 Octobre 2013 – Traduction: Gregor Seither – IES News Service]

Note: Bruce Schneier est un auteur spécialisé dans les questions de technologies de sécurité. Son dernier livre est paru chez O’Reilly  : « Liars and Outliers: Enabling the Trust Society Needs to Survive ».

Depuis que j’ai commencé à travailler avec les documents révélés par Edward Snowden, j’ai utilisé un certain nombre d’outils pour essayer de me mettre à l’abri des regards indiscrets de la NSA. Parmi les choses que je recommande jusqu’ici est l’utilisation de Tor, (https://www.torproject.org/) de préférer certaines méthodes cryptographiques à d’autres et d’utiliser autant que possible le cryptage du domaine public. (NdT: Tor est une des cibles prioritaires de la NSA, qui attaque directement ses nodes) 

J’ai également recommandé d’utiliser un espace tampon (« air gap« ) qui isole physiquement un ordinateur ou un réseau local d’ordinateurs du réseau Internet. (Le concept du « air gap » est antérieur à l’époque des réseaux sans-fil, il fait référence à l’espace vide qui sépare physiquement l’ordinateur du réseau Internet).

Mais un tel dispositif est plus compliqué à mettre en oeuvre qu’il n’y parait. Alors laissez moi vous expliquer. (suite…)


[Jacques Cheminat – Le Monde Informatique – 10/09/2013]

Si la NSA dépense des milliards de dollars pour casser les technologies de cryptage, des experts en sécurité estiment que, correctement mis en oeuvre, le chiffrement est encore le meilleur moyen pour garantir la confidentialité sur le web.

Le journal The Guardian et d’autres médias ont publié la semaine dernière des documents issus de l’informateur Edward Snowden montrant que la NSA travaille à casser les technologies de chiffrement par différents moyens : backdoor, attaques par force brute, interceptions légales et partenariats avec des acteurs IT. A la lecture de ces documents, il semble que l’agence de renseignement et son homologue britannique GHCQ soit capable de venir à bout de nombreux algorithmes de chiffrement utilisés pour sécuriser les communications en ligne, les services bancaires et les secrets industriels.

Steve Weis, directeur technique chez PrivateCore et titulaire d’un doctorat en cryptographie du MIT a expliqué que malgré les activités de la NSA, les mathématiques utilisées pour le chiffrement sont très difficiles à casser. Il suggère que l’agence a réussi à briser des technologies dépassées ou peu fiables. Ainsi, dans les documents publiés, il y en a un qui suggère que la NSA aurait implanté un backdoor dans une norme de chiffrement approuvée par le NIST et nommée Dual EC DRBG. Cette dernière a pour vocation de générer des nombres aléatoires. « Elle date de 6 ans et a rarement été utilisée depuis que deux ingénieurs de Microsoft ont découvert le backdoor de la NSA », explique Steve Weis. Il s’interroge sur le fait que les experts de la NSA disposent de la capacité de fracturer des technologies de cryptage plus robustes. « Jusqu’à présent, je n’ai pas constaté que l’algorithme AES (Advanced Encryption Standard) a été cassé », confie le spécialiste.

Une mise en oeuvre correcte et une saine gestion des clés

De son côté Dave Anderson, directeur de Voltage Security, société spécialisée dans le chiffrement, indique « s’il est appliqué correctement, le cryptage assure une sécurité inviolable » et d’ajouter qu’« il s’agit normalement d’une sécurité qui prendrait des millions d’années à des supercalculateurs à casser ». Il émet cependant des limites, « si la mise en oeuvre a été négligée et que le processus de gestion des clés n’est pas bon, alors le niveau de sécurité peut être mis en défaut en quelques heures par un pirate avec un PC moyen de gamme ». (suite…)


En même temps, si ma secrétaire accepte de suivre les ordres d’un « Vice-Président » au téléphone, sans même vérifier son nom dans l’organigramme et sans s’assurer que l’appel est légitime, elle dégage dans la minute… Comme disait Jesse James « It’s morally wrong to let suckers keep their money »

L’ingénierie sociale se renforce d’un cran

[Valéry Marchive – LEMAGIT –  02 sept. 201]

Les cybercriminels semblent gagner en agressivité, ajoutant un canal de communication physique à leurs tentatives de tromperie pour pénétrer les systèmes d’information de leurs cibles.

Les découvertes faites par Symantec en avril dernier, en France, montrent une escalade dans les stratégies déployées par les cybercriminels pour tromper leurs cibles. Dans un billet de blog, l’éditeur explique ainsi que, «en avril 2013, l’assistante d’un vice-président d’une multinationale française a reçu un e-mail faisant référence à une facture hébergée sur un service de partage de fichiers populaire.» Ce qui ressemble, jusque là, à une tentative de hameçonnage ciblé classique prend ensuite une tournure inédite : «quelques minutes plus tard, la même assistante a reçu un appel téléphonique de la part d’un autre vice-président de l’entreprise lui demandant de traiter ladite facture.» Une personne que Symantec décrit comme «parlant avec autorité et utilisant un français parfait.» De quoi largement tromper l’assistante.

Selon Symantec, la facture n’était autre qu’un cheval de Troie chargé de délivrer un outil de prise de contrôle à distance dès son ouverture. Outil permettant d’enregistrer les frappes au clavier, de consulter l’écran, et de ouvrir et télécharger des fichiers. (suite…)


[Gregor Seither – IES News Service – 18/05/2013]

Il ya tellement de données disponibles sur l’Internet que même les cyberespions gouvernementaux ont besoin d’un peu d’aide de temps en temps pour passer au crible toute cette masse d’informations. Pour les aider dans leur travail, la NATIONAL SECURITY AGENCY a donc produit un Guide technique afin aider ses espions a localiser les informations cachées sur le web.

[Note de L&I – la version rendu publique datant de 2007, une TRES GROSSE PARTIE des outils vraiment intéressants qui sont mentionnés, n’existe plus en 2013  –> PDF disponible dans la bibliotèque de L&I – Téléchargez le guide ici : « Untangling the Web: A Guide to Internet Research » ]

L’ouvrage de 650 pages environ, intitulé « Untangling the Web: A Guide to Internet Research » (dispo en PDF dans la Bibliothque L&I) vient d’être rendu public par la NSA suite d’une demande FOIA déposée en Avril par MuckRock, un site qui propose des services payants de traitement de données publiques pour des associations militantes et autres.

Le Guide a été publié par le « Center for Digital Content » de la NSA et regorge de conseils pour l’utilisation des moteurs de recherche, le Internet Archive et autres outils en ligne. (suite…)


Trop facile ! Le malware c’est une industrie sérieuse maintenant…

[Le Monde du cloud – 29/03/2011 –  Jean Elyan / IDG News Service]

Les cybercriminels ont entrepris de détourner le modèle de software-as-a-service des offres Cloud pour vendre des kits de piratage complets. Ils proposent même de l’hébergement et font payer les clients en fonction du temps effectif pendant lequel leurs attaques infectent les ordinateurs ciblés.

Ces kits vendus sont composés d’une variété de techniques de piratage, ou séquences de codes, capables de tirer parti des failles logicielles afin de les infecter par des programmes malveillants. Des chercheurs de Seculert ont trouvé au moins deux kits – Incognito 2.0 et Bomba – livrés avec leur propre solution d’hébergement et leur interface de gestion. « Le nouveau business model rend la tâche facile aux cybercriminels qui pouvaient avoir certaines difficultés à sécuriser leur hébergement ou à trouver des FAI prêts à héberger leurs serveurs malveillants, » dit Aviv Raff, CTO et cofondateur de Seculert. L’entreprise offre un service cloud spécialisé chargé d’alerter les clients sur les logiciels malveillants en circulation, les exploits et autres cyber-menaces.

Les offres globales sont destinées aux criminels qui souhaitent atteindre un grand nombre d’ordinateurs tournant sous Microsoft Windows. Une fois les ordinateurs piratés, les machines peuvent être utilisées pour voler des données personnelles, envoyer des spams, mener des attaques par déni de service ou à d’autres choses encore. C’est aussi moins cher. Les clients ne payent que le temps pendant lequel leurs attaques sont actives. « Autrement dit,  si pour une raison ou une autre le FAI décide de fermer les serveurs pirates, ils n’ont rien à payer, » explique le CTO de Seculert. Celui-ci a estimé que ce type d’hébergement et de service coûtait entre 100 et 200 dollars par mois. «Tout est géré par le prestataire de services, » indique Aviv Raff. « Le client ne paye que pour le temps pendant lequel ses attaques sont hébergées. Nous ne connaissons pas les tarifs exacts, mais comme pour n’importe quel autre service cloud, il est clair que cette offre revient beaucoup moins cher que l’achat séparé d’un kit et de son hébergement, » a t-il dit.

Les clients doivent fournir leurs propres malware constituant les exploits à diffuser. Ils doivent également prendre en charge le piratage des sites web à partir desquels ils veulent rediriger leurs victimes vers le serveur malveillant hébergé par les opérateurs d’Incognito. Quand une victime potentielle visite l’un des sites web infecté, une balise iframe active le transfert de contenu à partir des serveurs Incognito d’où sont menées plusieurs attaques contre les machines en vue de réussir une ou plusieurs intrusions.

Les réseaux sociaux et l’actualité comme planche d’appel

Jusqu’à présent, Seculert a dénombré qu’environ 8 000 sites légitimes avaient été piratés et touchés par des exploits hébergés par Incognito. « Certaines victimes sont infectées quand elles vont visiter ces sites selon un mode de navigation normale, » explique Aviv Raff. Les pirates ont également mené des campagnes de spam pour tenter d’attirer les internautes vers ces sites infectés. Comme l’a récemment remarqué Seculert, un de ces messages prétendait venir de Twitter, manifestant son soutien au Japon et invitant les gens à cliquer sur un lien pour voir une vidéo des réacteurs de la centrale de Fukushima endommagée par le tsunami. En réalité, le lien de ce faux message ne débouchait sur aucune vidéo. Au lieu de cela, un cheval de Troie était téléchargé et installé sur l’ordinateur, dans le cas où celui-ci présentait une vulnérabilité logicielle.

« Incognito 2.0 fournit une interface de gestion basée sur le web qui permet aux clients de vérifier combien d’ordinateurs ont été infectés et quel type d’exploit a été utilisé, » ajoute le CTO de Seculert qui a posté des captures d’écran sur son blog. Incognito 2,0 semble en pleine croissance : les chercheurs de Seculert ont pu établir après analyse de son infrastructure, qu’au moins 30 clients utilisaient la plate-forme pour installer toute sorte de malware, depuis le Trojan Zeus de piratage des comptes bancaires, jusqu’aux faux logiciels antivirus et aux chevaux de Troie génériques qui provoquent le téléchargement et l’installation d’autres logiciels malveillants sur un ordinateur infecté. Sur une quinzaine de jours en janvier, au moins 150 000 machines ont été touchées : environ 70 % de ces ordinateurs ont été infectés avec un exploit utilisant une vulnérabilité dans l’environnement d’exécution Java, et 20 % en profitant d’une faille dans Adobe Reader.

http://www.lemondeducloud.fr/lire-les-cybercriminels-vendent-des-kits-d-attaques-as-a-service-33283.html


[Kevin Bullis – MIT Technology Review – 07/10/2010 – Trad. Gregor Seither]

Des assaillants pourraient manipuler des systèmes de données mal protégés pour s’enrichir ou bien pour causer des coupures d’électricité. La technologie utilisée (aux Etats-Unis NdT)  pour gérer les réseaux de distribution d’électricité est vieille de plusieurs décennies et est en conséquence vulnérable aux attaques et aux manipulations, selon une étude publiée cette semaine.

Il serait facile pour des assaillants de manipuler les données de contrôle du réseau en pénétrant par effraction dans des sous-stations et en interceptant des communications entre les sous-stations, les opérateurs du réseau et les fournisseurs d’électricité. Ces données sont utilisées par les opérateurs du réseau pour définir les prix de l’électricité et gérer l’offre et la demande, ont expliqué les chercheurs. Un hacker travaillant pour un spéculateur dans le domaine de l’énergie pourrait gagner des millions de dollars, aux frais du consommateur, en s’introduisant dans le réseau et en faisant varier des prix de l’électricité de manière arbitraire. Il pourrait également rendre le réseau instable et causer des coupures généralisées d’électricité en certains points du réseau.

Lors d’une conférence donnée à l’occasion de la rencontre IEEE SmartGridComm2010 à Gaithersburg, (Maryland), le professeur adjoint en ingénierie électrique et informatique Le Xie, de  à la Texas A&M University a expliqué que ce type d’attaques serait difficiles à tracer , étant donné que ces vulnérabilités existent sur le réseau depuis plusieurs dizaines d’années. Mais, expliquent les experts, la menace à eu tendance à se renforcer ces dernières années étant donné que de nombreuses sous-stations sont désormais entièrement automatisées et n’ont plus de personnel humain sur place, ce qui en simplifie l’accès par effraction pour un assaillant. De plus, la migration en cours vers un « réseau intelligent » basé sur des standards ouverts rend encore plus  facile l’interception et la manipulation des données échangées par les utilitaires ou bien la prise de contrôle à distance de ces utilitaires.

[La suite en anglais] How to Hack the Power Grid for Fun and Profit

http://www.technologyreview.com/energy/26472/?nlid=3603


L’indiscipline des managers est à l’origine des principales menaces contre la sécurité des données.

[Bertrand Lemaire – CIO Online – 16/03/2010]

Le vol d’ordinateurs portables est un incident fréquent. Or un tel vol implique celui des données contenues sur les disques durs. Lorsque le propriétaire était le PDG ou même un commercial, la sensibilité des données peut être très élevée.
Une méthode de sécurisation consiste bien entendu à ne disposer d’aucune donnée sur les disques durs, celles-ci n’étant accessibles que sur le SI de l’entreprise en mode web et qu’au travers qu’un tunnel VPN avec identification de l’utilisateur et non seulement de la machine. Une autre méthode est de crypter le contenu du disque dur.


Or, selon une étude de Ponemon Industrie, « Human Factor in Laptop Encryption », sponsorisée par Absolute Software, 60% des managers américains, 53% des Anglais, 52% des Canadiens et 50% des Français contournent les mesures de sécurité mises en place par les DSI sur leurs ordinateurs mobiles. A l’inverse, en Europe du Nord, la discipline reste la règle : 15% des Allemands et 13% des Suédois agissent sans respect des procédures de sécurité. Il s’agit en particulier pour les utilisateurs de contourner les processus de cryptage des données. La relative indiscipline plus forte dans tel ou tel pays serait en fait, toujours selon la même étude, liée au cryptage plus ou moins généralisé : plus les DSI décident de crypter systématiquement, plus les utilisateurs contournent ce qui est vécu comme une gêne.

Il en résulte que le vol d’un portable n’aboutit pas nécessairement à une violation de données. Une telle corrélation, toujours selon la même étude, n’a été admise que par 28% des Français interrogés, mais par 72% des Américains, 61% des Britanniques, 50% des Canadiens, 49% des Suédois et 46% des Allemands. Une telle différence peut être aussi due, sur du déclaratif, à une sensibilité aux données perdues.

L’absence totale de données sur le poste portable reste donc la solution la plus sure, comme cela a déjà été signalé en cas de voyage à l’étranger.

http://www.cio-online.com/actualites/lire-la-principale-menace-pour-la-securite-se-situe-entre-le-clavier-et-le-siege-2783.html


[Intelligence Online – 05/02/2009]
Depuis deux semaines, les réseaux informatiques du ministère de la défense sont infectés par un virus qui a immobilisé certains systèmes d’armes, à l’instar des Rafale de l’Aéronavale – L’origine et les caractéristiques exactes de ce virus restent encore inconnues, mais la crise – dont Intelligence Online révèle l’ampleur – pose de sérieuses questions sur la sécurité des réseaux militaires français et leur capacité à faire face à une cyber-attaque d’envergure.

http://www.intelligenceonline.fr


[VNU Net – Anne Confolant 26-09-2008]
La navigation sur le Net par les employés entraînerait des failles dans la sécurité Web de leurs entreprises, encore mal protégées.

Et si les employés surfant sur Internet, faute de mesures appropriées, étaient responsables des failles de sécurité Web dans leur entreprise ? Selon une étude publiée par Webroot, éditeur de logiciels de sécurité, 85% des malwares sont maintenant disséminés par le Web, et non plus plus seulement à travers les e-mails. Problème : aujourd’hui les entreprises « prennent des mesures pour se protéger des menaces liées aux courriels, mais elles ne sont pas encore exercées à la plus grande menace d’aujourd’hui : les menaces provoquées par l’utilisation du Web par l’employé ».

Ainsi, virus, logiciels espions et vers prolifèrent sur la Toile et les cybercriminels en profitent pour attaqués les employés qui naviguent sur Internet à leur travail. Trois entreprises sur dix ont affirmé lors de l’étude que la sécurité de leur organisation était compromise par les employés qui utilisent au bureau leur boîte e-mail personnelle, ou qui sont adeptes des réseaux sociaux, des sites communautaires et du téléchargement de vidéos.

Mieux éduquer les salariés aux dangers du Web 2.0

Le Web 2.0 représente en effet une menace particulière : les blogs et les encyclopédies en ligne (type Wikipedia) sont de véritables nids pour les malwares et les pirates informatiques. En effet, ces contenus sont générés par plusieurs personnes anonymes (qui peuvent aussi être des cyber-criminels…), ce qui multiplie les possibilités de failles de sécurité.

Il est donc nécessaire pour les entreprises de mettre en place des solutions de sécurité dédiées au Web capables de protéger au mieux l’ensemble de leur réseau. Mais il convient aussi de mieux éduquer les salariés aux dangers que peut représenter le Web 2.0.

Ce qui est encore bien loin d’être le cas. 15% seulement des entreprises interrogées ont effectivement renforcé les procédures d’utilisation d’Internet, quand environ une sur deux permet à ses employés d’accéder librement et sans contrôle ou filtrage à des réseaux sociaux susceptibles d’héberger des malwares.

http://www.vnunet.fr/news/les_employes_menacent_la_securite_web_de_leur_entreprise-2028787


On se marre bien dans les Back-Office des banques françaises, avec les comptes en banque des « stars », je peux en témoigner, j’y ai bossé pendant neuf mois… 🙂

[JDN 30.10.08]
L’enquête sur l’affaire du compte bancaire piraté du Président de la République prend une nouvelle tournure. En effet, la justice vient d’écrouer un nouveau suspect qui aurait essayé d’ouvrir des abonnements de téléphonie mobile à partir des coordonnées bancaires du père de Nicolas Sarkozy et de sa première épouse, Marie-Dominique Culioli. Doutant de voir derrière cela le simple fait du hasard, la police cherche maintenant à savoir comment ces données ont été récoltées.

Selon « Mediapart », l’enquête aurait mené jusqu’à la Société Générale, la banque qu’ont en commun Nicolas Sarkozy et ses proches. La police y a notamment découvert que 150 employés de la banque avaient consulté par simple curiosité les comptes du président.

Néanmoins, les autres victimes de cette fraude – une cinquantaine – n’avait pas toutes un compte domicilié à la Société Générale. La police suspecterait donc l’existence de plusieurs « taupes » disséminées dans les banques françaises.

http://www.journaldunet.com/breve/france/33025/le-compte-de-sarkozy-n-a-pas-ete-pirate-par-hasard.shtml


[Frederic Rolllin – 09/09/2008]

Après avoir lu les différents points de vue sur la question du fichier Edvige (et de sa cousine Cristina), j’ai eu du mal à me faire opinion precise sur le contenu de ces fichiers, ou plus exactement, sur les modifications qu’ils emportaient par rapport aux versions précédentes de ce qu’il était convenu d’appeler le « fichier des RG ».

Considérant qu’il était de la vocation originelle de ce blog d’essayer d’apporter quelques éclairages sinon dépassionnés, du moins plus structurés sur les questions d’actualité comprenant des aspects juridiques, j’ai essayé de reprendre les choses à la base. Et la présente note est le compte-rendu de cette recherche. Il ne faut donc pas essayer d’y retrouver un argumentaire cohérent en faveur d’une thèse ou d’une autre.

L’histoire, me semble-t-il, ne commence pas en 2008, avec l’adoption du décret précédé de l’avis de la CNIL et de l’avis sans doute largement favorable du Conseil d’Etat. Elle débute en réalité en 2002.

Il se produit en effet ici une conjonction de deux évènements : la volonté des services spéciaux, après les attentats du 11 septembre, d’obtenir les coudées plus franches dans la collecte et le recoupement du renseignement, et la nécessité de transposer dans notre droit interne la directive communautaire 95/46 CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel.

Et cette conjonction conduira, comme souvent, à un tour de passe passe visant à faire endosser par une supposée initiative communautaire ce qui est en réalité une initiative purement nationale.

http://frederic-rolin.blogspirit.com/archive/2008/09/09/fichier-edvige-un-pas-de-plus-vers-la-soft-dictature.html


[AFP 26/08/08]

Les données bancaires d’un million de clients, numéros de compte et signatures compris, ont été retrouvées sur le disque dur d’un ordinateur vendu sur le site d’enchères eBay, a indiqué mardi la presse britannique.

Selon le Daily Mail, un ancien employé de Graphic Data, une société archivant les données personnelles de clients de la Royal Bank of Scotland (RBS), a vendu sur eBay un ordinateur usagé, pour un peu plus de 35 livres (44 euros), sans en effacer les coordonnées concernant plus d’un million de clients.

Parmi ces données, figuraient les numéros de compte, de téléphone ainsi que les signatures de plus d’un million de clients d’American Express, NatWest et de la RBS, selon le journal.

L’acheteur a retrouvé l’ensemble de ces coordonnées sur le disque dur de l’ordinateur, alertant les autorités, précise le quotidien.

« Graphic Data nous a confirmé que l’une de leurs machines semble avoir été vendue par l’intermédiaire d’un tiers », a indiqué une porte-parole de RBS. « Les données historiques liées aux demandes de cartes de crédit de certains de nos clients et des données d’autres banques n’ont pas été effacées. Nous prenons cette affaire très au sérieux et nous nous efforçons de remédier de manière urgente à cette perte regrettable avec Graphic Data », a-t-elle ajouté.

La bévue fait suite à une série de pertes de données sensibles récemment survenues au Royaume-Uni. Début avril, la première banque britannique, HSBC, avait dû présenter ses excuses pour avoir perdu un cédérom contenant des renseignements précis sur quelque 370.000 de ses clients.

L’an dernier, les services fiscaux avaient égaré des cédéroms contenant les données personnelles (noms, adresses, numéros de sécurité sociale…) de tous les bénéficiaires d’allocations familiales du pays, soit 25 millions de personnes.

http://afp.google.com/article/ALeqM5gq6hwC9GdXY3-9lXjCU3Qvqyj6eQ


[Le Post – 10/09/2008]

Depuis le 10 juillet, les personnes qui souhaitent l’annulation du fichier de renseignements Edvige peuvent signer une pétition en ligne, intitulée  » Pour l’abandon du fichier EDVIGE ». Hier, la pétition comptait plus de 130.000 signatures.

1. La liste des pétitionnaires accessible en moins de 3 minutes! « Les pétitionnaires ont donné l’autorisation de donner leur nom, le temps de la campagne », écrit Le Canard Enchaîné de ce mercredi. Et naturellement, « les autres informations, comme l’adresse, l’e-mail ou l’identification de l’ordinateur, doivent rester confidentielles. Le Réseau associatif et syndical (RAS), qui héberge cette pétition, s’y est engagé ».

« Mais la base de données est si mal protégée qu’en moins de trois minutes », un journaliste du Canard « a pu accéder à l’ensemble du fichier » -qui contient de nombreuses infos personnelles sur les signataires de la pétition- « mot de passe de l’administrateur compris ».

Les signataires de la pétition contre Edvige sont-ils déjà fichés dans Edvige?

Big brother, illustration.2. « Les gens qui ont mis en place cette pétition en ligne ont fait l’installation de base sans se soucier vraiment de la sécurité »

Contacté par Le Post, le journaliste du Canard qui a réussi à consulter le fichier explique comment il s’y est pris.

« C’est assez simple. La pétition a été mise en ligne via des logiciels libres, des petits scripts à télécharger, qu’il faut installer sur son serveur ». Ces logiciels présentent de nombreux avantages selon le journaliste: « C’est tout prêt, c’est gratuit, c’est tout beau… ». Le hic: « Si on ne fait pas attention, par exemple en oubliant d’enlever le mot de passe par défaut, il peut y avoir des failles dans la sécurité de ces logiciels. »

Du coup, comme il s’y connait un peu en informatique, « en rentrant une simple URL dans son navigateur », il a réussi à consulter « très facilement » le fichier « sans aucun piratage car le fichier n’est pas protégé ». Qu’a-t-il pu voir sur ce fichier? « La liste des signataires, avec leur nom, leur prénom, leur adresse, leur mail et leur adresse IP ».

« En fait, les gens qui ont mis en place cette pétition en ligne ont fait l’installation de base sans se soucier vraiment de la sécurité », explique le journaliste, qui trouve « assez pathétique » de voir que des gens mettent des pétitions en ligne sans se soucier de la sécurité du fichier. « Il ne faut pas non plus faciliter le travail des services de police! »

3. Impossible de se connecter à la pétition en ligne Ce mercredi matin, il était impossible de se connecter à la pétition en ligne. Est-ce l’hébergeur qui a volontairement détruit cette page pour éviter que d’autres petits malins n’infiltrent la base de données de cette pétition? Le journaliste du Canard ne le pense pas: « Leur serveur a dû être saturé par un trop grand nombre de visites ».

http://www.lepost.fr/article/2008/09/10/1261754_les-signataires-de-la-petition-contre-edvige-deja-fiches-dans-edvige.html


Pour les amateurs d’histoire de flicage que nous sommes, les possibilités d’un troyen comme Turkoyan sont infinies… il suffirait d’obliger les FAI d’en inclure une variante dans la ROM de tous leurs modems ADSL et hop !

[Laurent Montserrat – AgoraVox – 23/07/2008]
Vous avez envie de surveiller vos petits camarades, savoir ce que l’ordinateur de votre petite copine contient sans qu’elle ne s’en rende compte, alors laissez-vous tenter par l’achat d’un Cheval de Troie proposé par les éditeurs Turkojan.

Plusieurs solutions s’offrent à vous, le Turkojan Bronze, Silver ou Gold Edition. Les capacités de vos chevaux de Troie varieront en fonction de la somme dépensée pour satisfaire votre névrose. En effet, la force de la petite bête qui vous permettra de prendre possession de l’ordinateur de vos amis, changera en fonction du prix. Inutile de vous préciser que vous ne pourrez pas observer vos camarades via leur webcam pour la modique somme de 99$. Il vous faudra débourser 249$ pour avoir le droit d’observer à son insu tous les faits et gestes de votre petite copine devant son écran.

Pour tous ceux qui craignent de ne pas pouvoir faire fonctionner Turkojan, ne vous en faites pas, car les programmeurs turcs ont pensé à réaliser un didactiel sous forme de vidéo vous expliquant comment envoyer à vos meilleurs amis un petit paquet cadeau contenant une délicate bestiole qui ouvrira leur ordinateur et vous permettra d’avoir accès à l’intégralité de leurs applications et dossiers.

On pourrait croire à une plaisanterie, mais malheureusement ces petits malins de l’informatique en provenance de Turquie entendent bien séduire aussi les entreprises en proposant un ensemble de services qui ne cesse de se développer. Même si le concept reste encore limité, la très sérieuse société Panda antivirus a dénoncé dans ses communiqués de presse, ces nouveaux éditeurs de programmes malveillants qui désormais ne se cachent plus.

D’ailleurs, même si le site Internet de Turkojan et la dance music turque qui tourne en boucle dans les vidéos, affichent encore un certain amateurisme, des entreprises plus sérieuses pourraient être tentées de profiter des vides juridiques de certains pays pour développer des applications malicieuses capables de faire cette fois de réels dégâts.

Aussi incroyable que cela puisse paraître, nos éditeurs de Turkojan ont le culot d’indiquer que des poursuites judiciaires pourraient être engagées contre les personnes qui ne respecteraient pas les licences d’utilisation de leur logiciel. De plus, et vous ne rêvez pas, le Turkojan ne sera ni repris ni échangé si vos amis possèdent des ordinateurs équipés de Linux ou de Mac Os. Car le logiciel ne peut prendre possession des ordinateurs que s’ils sont équipés de Windows. Vous voilà prévenus !

Site internet de Turkojan


[Bruno Kerouanton – 23/05/2008]

Ce billet est sans doute polémique. Je ne cherche pas à provoquer, mais il y a quand même des points sur lesquels j’ai des inquiétudes et qui méritent réflexion. Par coïncidence, la semaine dernière – une fois n’est pas coutume – je me suis retrouvé à regarder la télévision en pleine nuit, ne souhaitant pas dormir. Me voilà donc devant Arte à 1h30 du matin, face à une émission fort intéressante traitant avec force détails la raison pour laquelle peu de personnes même brillantes n’ont pas vu venir la seconde guerre mondiale, malgré ce que son instigateur avait pourtant marqué noir sur blanc. Tout était écrit… Mais vu que cet ouvrage est censuré dans de nombreux pays, difficile pour les historiens et les prospectivistes de faire correctement leur travail. De plus la veille j’avais vu l’excellent film La vie des autres, une histoire de la Stasi et de ses conséquences, ce qui a contribué à renforcer mon ressentiment.

La vision de ce documentaire ne m’a pas laissé indifférent, puisque je venais le soir même de prendre connaissance puis de lire en détail les différents appels d’offres de l’armée américaine concernant leur nouvel armageddon numérique, j’en parle plus loin. Je me risque en tout cas ici à faire un parallèle pouvant être discuté et critiqué : Le réarmement massif de Berlin en 1936 a laissé beaucoup de monde indifférent. Et pourtant de nombreux pays se réarment en ce moment – ce qui ne semble manifestement pas être le cas de la France, soit dit en passant. Tout comme la Chine qui connaît un accroissement phénoménal de ses forces armées depuis quelques années et qui inquiète sincèrement Washington depuis 2007, l’armée américaine continue à s’équiper en technologies de toutes nature.

Sur le plan qui m’intéresse plus particulièrement, à savoir la guerre numérique, les travaux de recherche et d’équipement vont bon train. Le Pentagone avait déjà créé en 2006 une branche de son armée de l’air spécialisée dans les combats numériques, le Cyber-Command, mais depuis peu les chantiers avancent à grand pas. Tiens, vous pouvez même directement aller zieuter leur site pour juger.

En tout cas, quatre évènement ont défrayé la chronique ces dernières semaines : La déclaration du secrétaire du Homeland Security Department au sujet du projet Cyber-Manhattan, un article paru dans la presse militaire faisant état du souhait de l’armée américaine de s’équiper d’un botnet militaire, un appel d’offres concernant l’étude et la mise en place d’une telle arme, et un second appel d’offres concernant la mise en place d’un simulateur de batailles numériques Internet. (suite…)


[VNU Net – 13/05/2008]
Des routeurs contrefaits pourraient contenir des malwares, déclare l’agence d’investigation gouvernementale américaine.

Le Federal Bureau of Investigations (FBI) a dévoilé certains détails concernant son enquête sur du matériel Cisco acheté par le gouvernement américain mais piraté. L’opération Cisco Raider a été mise en route après que les départements gouvernementaux se soient plaints d’avoir acheté du matériel de réseau qui, bien que de marque Cisco, avaient été construits par des fabricants tiers.

Après enquête, il a été déterminé que plus de 3500 articles piratés ont été vendus au gouvernement pour une valeur de 3,5 millions de dollars. « La vente libre de matériel de réseau contrefait est un facteur de risque significatif pour la sécurité publique et doit être arrêtée », déclare Alice S. Fisher, Procureur général adjoint au niveau fédéral.

« Il est d’une importance capitale que les administrateurs de réseaux des secteurs privé et gouvernemental fasse rapidement le nécessaire pour empêcher l’installation de matériel contrefaits dans leurs réseaux. »»…

http://www.vnunet.fr/fr/news/2008/05/14/le_fbi_se_preoccupe_de_l_equipement_reseau_cisco_qui_a_ete_pirate


[Nouvel Observateur – 5/05/2008]

Un pirate informatique dit avoir été recruté par News Corp SANTA ANA, Californie (Reuters) – Un pirate informatique a déclaré mercredi sous serment qu’une filiale du groupe News Corp l’avait recruté pour mettre au point un logiciel-espion mais a nié s’en être servi pour contourner les dispositifs de sécurité d’un bouquet de télévision par satellite.

Christopher Tarnovsky témoignait dans le procès intenté contre NDS, filiale de News Corp, par le réseau DISH Network Corp. et qui pourrait déboucher sur des dommages et intérêts chiffrés en centaines de millions de dollars.

Selon les plaignants, la mission de Tarnovsky était de s’introduire dans le système informatique du réseau de télévision par satellite de DISH pour dérober les codes de sécurité et inonder le marché de cartes piratées permettant un accès gratuit aux chaines payantes du bouquet.

http://tempsreel.nouvelobs.com/depeches/medias/20080424.REU3341/un_pirate_informatique_dit_avoir_ete_recrute_par_news_c.html


[Hubert Guillaud – Internet Actu – 07/04/2008]

Jan Chipchase a trouvé une bonne image pour nous dire que nous passons d’une société de surveillance à une société de sousveillance (1) en opposant le concept de “Big Brother” à celui de “Little Sister”. Où comment la persuasion amicale de notre entourage ou la pression sociale, peuvent faire plus de dégâts à notre intimité que la surveillance :

“Quand on parle de surveillance, la plupart des gens pensent à Big Brother, alors que c’est de plus en plus de votre petite soeur (Little Sister) qu’il est question, une petite soeur friande d’innovations, compétente en technologie, toute équipée de capteurs. A cause d’elle, faire usage du droit de ne pas adopter la technologie (opt out) revient à se mettre en marge de la société.”

facebookchercherdanslesmails.jpgSur un sujet proche, Leisa Reichelt, spécialiste de la conception orientée utilisateur, appelait, il y a quelques mois, les sites sociaux à plus de responsabilité dans leurs pratiques d’interopérabilité, et plus d’éthique dans leur conception.

Elle décrit comment les pratiques de Little Sister des sites sociaux, sous couvert de commodité pour l’utilisateur, se muent en Big Brother, en nous demandant nos identifiants et nos mots de passe pour mettre en place des passerelles entre nos comptes mails et leurs services (notamment pour trouver de nouveaux amis). Une démarche certes commode, mais qui donne au site un niveau de connaissance de notre vie sociale dont nous devrions prendre conscience.

“Mais est-ce qu’on réalise vraiment ce que nous faisons quand nous donnons cette information ? Réalisons-nous à quel point nous faisons confiance à Facebook par exemple, pour jouer convenablement avec cette information ? (…)

Bien sûr, ils “disent” qu’ils ne vont pas stocker ou utiliser cette information… Mais êtes-vous vraiment prêts à les prendre au mot ?” La présentation de cette information fait doucement pression pour nous suggérer que si on n’y répond pas, nous aurons un service “inférieur” :

“Nous sommes habitués à penser que la remise de nos informations personnelles est la seule chose à faire. (…) Pourtant, si l’éthique joue un rôle dans la façon dont vous concevez une application ou un site, alors ces pratiques devraient vous faire vous dresser les cheveux sur la tête !”

(1) La sousveillance, également appelée surveillance inverse est un terme proposé par Steve Mann pour décrire l’enregistrement d’une activité du point de vue d’une personne qui y est impliquée, souvent réalisée par un objet enregistreur portable.

http://www.internetactu.net/2008/04/07/de-big-brother-a-little-sister/


Le fournisseur d’accès BT espionne ses clients pour mieux les cibler

[CNET France – 07/04/2008]

The Register vient de révéler que British Telecom aurait installé un spyware chez 18 000 de ses clients Internet afin de mieux cibler leurs habitudes de consommation et augmenter ainsi le prix de la publicité facturée aux annonceurs.

L’affaire remonte à 2006 et concernerait 18 000 clients à l’Internet haut débit de l’opérateur historique britannique. Celui-ci aurait installé un spyware mis au point par la société Phorm, afin d’épier leurs habitude sur Internet et de mieux cibler leurs sujets d’intérêts. Des données personnelles qui auraient permis à British Telecom (BT) de vendre plus cher la publicité à certains annonceurs en leur promettant un ciblage tout particulier. Mais obtenue sans le consentement des intéressés, cette manoeuvre est illégale en droit britannique.

BT se défend en argumentant sur le fait que ces données personnelles n’ont pas été conservées ni associées à des adresses physiques ou à des noms d’abonnés. Du côté de Phorm, on va même plus loin, en indiquant au site The Register, qui a révélé l’affaire, que « leur technologie améliore la confidentialité en ligne ». Virgin Media et Carphone Warehouse, deux autres FAI britanniques, ont eux aussi des partenariats avec Phorm.

En France, le projet de loi gouvernemental de lutte contre la cybercriminalité, dévoilé en février dernier, contient certaines dispositions permettant à la police d’effectuer des « cyberperquisitions » via un logiciel de prise de contrôle à distance ou d’utiliser des spywares pour surveiller certains ordinateurs, à la manière des célèbres écoutes téléphoniques.

http://www.cnetfrance.fr/news/internet/le-fournisseur-d-acces-bt-espionne-ses-clients-pour-mieux-les-cibler-39380254.htm


[Rue 89 – 09/04/2008]

Jusqu’à lundi, les coordonnées bancaires de clients d’Entreparticuliers.com, un site d’annonces se présentant comme le « premier site immobilier des particuliers », étaient accessibles sur Internet.

Alors que les policiers de la Brigade d’enquêtes sur les fraudes aux technologies de l’information (BEFTI) ont été saisis par le parquet de Nanterre, la direction du site nie toute faille informatique.

En tâtonnant sur le site et en injectant une requête SQL, un pirate informatique a pu accéder à des dizaines de numéros de cartes bancaires de clients d’Entreparticuliers.com, avec date d’expiration, cryptogramme de sécurité et, bien sur, nom du propriétaire. Le lien hypertexte nanti de la requête SQL a ensuite circulé sur Internet.

Denise R., José M., Michèle G., Jean-Marie W. et plus d’une centaine d’autres clients, qui ont mis un bien immobilier en vente sur le site, peuvent s’inquiéter pour leur compte en banque. Quarante-huit heures après le début de l’enquête de police, le parquet de Nanterre n’est pas en mesure de se prononcer sur ses premières orientations. Selon les recherches menées par Rue89, le problème rencontré par le site d’annonces ne pourrait avoir que deux explications: soit une faille dans le système de sécurité, soit une malveillance interne ayant conduit à la publication des données sur une partie ajoutée au site pour l’occasion.»…

http://www.rue89.com/2008/04/09/entreparticulierscom-a-des-fuites-de-carte-bleue


[Le blog de Cédric « Sid » Blancher – 19/11/2007]

La nouvelle avait fait un peu de bruit début septembre. Un blog monté pour l’occasion, aujourd’hui fermé, Deranged Security, annonçait avoir collecté plus d’un millier d’identifiants de comptes de messageries d’ambassades, agences gouvernementales, ONGs et grosses multinationales… Et en publiait un échantillon d’une centaine…  C’est pourtant ce que le Sydney Morning Herald qualifie de « Hack of the year » dans un long article sur Dan Egerstad, le suédois derrière cette attaque. Principe ? On ne peut plus simple : l’écoute du trafic sortant de cinq nœuds Tor montés pour l’occasion. Ahhh, l’anonymat et la confidentialité…

Plus récemment, dans un registre similaire, Wired nous révèle que Hushmail, célèbre fournisseur de messagerie chiffrée, divulguerait en fait le contenu des boîtes aux lettres de ses utilisateurs aux autorités. Américaines en l’occurence, pour une une affaire de stupéfiants.

Dan Egerstad explique clairement sa démarche. Pour prouver que Tor seul ne fournit pas l’anonymat, il a installé cinq nœuds. Une fois ceux-ci promus au rang de nœuds de sortie, il a capturé le trafic clair sortant à la recherche d’identifiant de connexion POP3 et IMAP. Il ne faut pas être un génie pour s’imaginer que la moisson fut abondante. Mais si la nouvelle fait trembler dans les chaumières, il n’en reste pas moins qu’il s’agit d’un non-évènement de taille. L’écoute des flux sortant du nuage Tor a déjà été discuté au SSTIC 2006, et ici même, en commentaire du compte-rendu que j’en faisais. C’est non seulement précisé sur la page de téléchargement de Tor mais aussi détaillé dans la documentation :

Tor anonymise l'origine de votre trafic et chiffre tout à
l'intérieur du réseau Tor, mais il ne peut pas chiffrer
votre trafic entre le réseau Tor et sa destination finale.
Si vous envoyez des informations sensibles, vous devriez
employer autant de précautions que lorsque vous êtes sur
l'internet normal - utilisez HTTPS ou un chiffrement final
similaire et des mécanismes d'autentification.

Bref, Tor ne protège votre anonymat que… si vous ne laisser pas trainer d’éléments permettant de vous identifier dans les flux que vous lui confiez. Surprenant ? Non. Loin de là. Juste évident. Les contenus de vos communications sont nettement plus intéressants que leur enveloppe. Par exemple, on a beaucoup plus de chances d’identifier l’expéditeur et le destinataire d’un email en lisant son contenu qu’en ayant accès à l’IP qui l’a émis ou même aux adresses de messagerie des correspondants… (suite…)


[Gregoire Seither – IES News Service – 28/03/2008]
Au début du mois, à Washington D.C., le « hacker éthique » Babak Pasdar, PDG de Bat Blue Corporation, a fait circuler un affidavit (une déclaration faite sous serment) dans lequel il décrit comment, dans le cadre d’une mission d’intervention technique, il a découvert par hasard une « trappe d’accès » électronique, c’est à dire un port de connexion non surveillé et sans aucune limitation, permettant à une tierce personne d’accéder à tous les flux de données de la totalité du réseau d’un des plus gros opérateurs de télécommunications du pays. L’opérateur n’est pas nommé dans l’affidavit, mais tout le monde a vite compris qu’il s’agissait de Verizon.

Les clients de Pasdar – qui l’avaient embauché en intérim pour réaliser une migration de système d’exploitation sur leurs serveurs – lui ont expliqué que cette « backdoor » tout à fait inhabituelle portait le nom de code interne de « Quantico Circuit » et qu’il ne devait « en aucun cas en restreindre l’accès ou la bloquer par le Firewall (pare-feu électronique) « . L’académie du FBI en Virginie est basée à Quantico.

Alerté par le nom donné à ce cette trappe d’accès, Pasdar a regardé la chose de plus près et s’est rendu compte qu’il s’agissait en fait d’un accès direct au « coeur du réseau » de son client, « permettant un accès complet et sans aucune restriction au système de facturation, aux SMS et aux systèmes de détection de fraudes » de son client opérateur téléphonique. Cet accès permet, par exemple, « de se connecter à n’importe quelle conversation en cours sur n’importe quel téléphone portable utilisant les services de l’opérateur. Idem pour les SMS et la localisation de l’appelant et du destinataire« .

Pour Pasdar, « permettra à une tierce partie d’accèder au coeur de votre réseau, sans aucune restriction » est une aberration « qui va à l’encontre des règlements internes de la société » . Il proposa de mettre au moins en place un système de surveillance de cet accès, afin d’enregistrer « la source, la destination et le type de données » qui sortaient par ce circuit DS3.

Mais ses employeurs refusèrent et appelèrent le directeur de la sécurité qui, « me pointant du doigt comme si j’étais un petit garçon qui avait fait une bétise, m’informa que je dépassais mes attributions et que ce n’était pas pour cela qu’on me payait. »

Pasdar, qui travaille depuis 19 ans sur les protocoles de sécurité Internet, se vit ordonner de « continuer à faire ce pourquoi on l’avait embauché« , « de ne plus se préoccuper de ce circuit » et « d’en oublier l’existence« … sinon l’opérateur de télécoms se chargerait de le « remplacer par quelqu’un de plus docile« .

Jusqu’à présent, le Foreign Intelligence Surveillance Act (FISA) interdisait expressément aux services secrets U.S. d’écouter les conversations téléphoniques et de surveiller les échanges électroniques à l’intérieur des Etats-unis. Mais en 2002, l’Administration Bush autorisa secrètement la National Security Agency à passer outre la loi FISA et d’intercepter librement toutes les communications Internet et téléphoniques, ainsi que consulter les logs de connexion de milliards de citoyens U.S.. Quand la presse révéla l’affaire, le Congrès vota des amendements à FISA (et en changea le nom pour mieux faire passer la pillule, l’appelant la loi Protect America).

Dorénavant les services secrets peuvent espionner les citoyens U.S. mais seulement s’ils fournissent un mandat de perquisition signé par un juge. Dans ce cas, les sociétés de télécommunications n’ont pas d’autre choix que de coopérer et fournir les logs et données aux services d’espionnage domestique – comme certaines le faisaient déjà, illégalement, auparavant. Les entreprises de télécom ont d’ailleurs demandé au Congrès de leur accorder une immunité rétroactive afin d’annuler les nombreux procès intentés par les défenseurs de la vie privée.

Affidavit disponible ici : http://blog.wired.com/27bstroke6/files/Affidavit-BP-Final.pdf


[Technology Review – 24/03/2008 – Trad. Grégoire Seither]

S’il ya une leçon à tirer des mésaventures qui ont forcé à la démission le gouverneur de New York, Eliot Spitzer (hormis la plus évidente), c’est ceci: les banques surveillent avec attention la moindre de vos transactions. . . et si elles trouvent quelque chose qui leur paraît pas net, elles vont commencer par appeler le FBI, avant de vous en parler.

Dans le cas de Spitzer, si on en croit la presse, ce sont trois petits virements de 5 000 dollars chacun qui ont déclenché l’alarme. Bon, le fait qu’il s’agissait d’une figure politique a contribué à rendre la banque plus vigilante. Mais même les transactions banquaires les plus banales de citoyens ordinaires sont soumises à ce type de contrôle informatisé.

«Toutes les grandes banques utilisent ces logiciels», explique Pete Balint, co-fondateur du Dominion Advisory Groupe, qui aide les banques à développer des stratégies de lutte contre le blanchiment et la fraude. « En fonction de leur volume, ils peuvent recevoir des milliers de messages d’alerte chaque mois. »

La plupart des systèmes suivent des règles assez simples, recherchant des anomalies dans le fonctionnement du compte et déclenchant des alertes qui entraînent une surveillance renforcée. L’éditeur informatique Metavante affirme, par exemple, que son logiciel contient plus de 70 règles de  « bonnes pratiques », couvrant une large variété de transactions allant des dépôts et retraits de liquide à l’achat de contrats d’assurance vie. (. . . )

La façon la plus simple d’identifier un mouvements de fonds suspect est un changement de routine. Par exemple, une personne qui dépose juste deux chèques de paie par mois pendant deux ans, se fera répérer si elle dépose soudain 6 grosses sommes d’argent en 15 jours . . .

La plupart des logiciels sophistiqués sont capables de classer les comptes en plusieurs catégories : un compte client pourra être comparé à celui d’autres membres du corps enseignant, ou bien aux personnes qui effectuent toutes leurs transactions au guichet de la même agence… ou encore comparer les revenus de cette personne à ceux de personnes ayant des revenus stables, par exemple des retraîtés ou des fonctionnaires. Certaines catégories sociales ont des comportement banquiers et fiscaux similaires. Si l’un d’eux s’écarte des chemins battus, il devient suspect.

http://www.technologyreview.com/Infotech/20435/?nlid=947&a=f


Des milliers de citoyens américains se trouvent privés de leurs droits sociaux après des erreurs de saisie dans la banque de données centrale.

[Iain Thomson (Vnunet.com) 04-03-2008]

Des dizaines de milliers de personnes ont été déclarées ‘décédées’ en raison d’un mauvais traitement des données de l’US Social Security Administration (SSA). Ces problèmes ont été mis en évidence dans un rapport publié en 2006, mais n’ont semble-t-il toujours pas été résolus.

Des dizaines de milliers de personnes se voient ainsi privées de leurs droits aux avantages sociaux, aux soins et aux rabais fiscaux après avoir été identifiées par erreur comme ‘décédées’ dans le système informatique de la SSA.

« La précision des informations relatives aux décès est essentielle pour la SSA et ses bénéficiaires, ainsi que pour les autres organismes fédéraux, régionaux et locaux« , indique ce rapport de 2006. « L’entrée d’un décès par erreur peut mettre fin aux avantages sociaux d’un bénéficiaire et le conduire à des difficultés financières. »

Le rapport cite le cas d’une citoyenne américaine appelée Laura Todd, déclarée morte huit ans plus tôt à la suite d’une erreur de saisie. « Une fois qu’ils m’ont déclarée morte, ils sont allés jusqu’à résilier mon assurance santé« , raconte-t-elle à MSNBC. « Je ne pense pas que vous imaginiez à quel point il est difficile d’être considérée comme morte quand ce n’est pas le cas. »

La majorité des grands organismes gouvernementaux se fie aux données de la SSA, ce qui signifie qu’une erreur dans la base de données centrale peut causer des ravages dans la vie des citoyens.

Les erreurs ne peuvent être rectifiées qu’une fois le motif de l’erreur initiale dûment identifié et la modification validée par un superviseur. Cela peut provoquer une énorme frustration pour les personnes concernées. « Ils m’ont vue à quatre reprises, ils savent donc que je suis en vie« , explique Toni Anderson, déclarée morte après le décès de son mari, la mention ‘Mme’ ayant été saisie à la place de ‘M.’. « Il s’agit juste d’indiquer au système que je suis bien vivante. Mais ce n’est pas aussi simple que de se présenter à l’agence de Sécurité Sociale. »

La SSA a promis d’améliorer son système dans les meilleurs délais.

http://www.vnunet.fr/fr/news/2008/03/04/traitement_des_donnees___des_milliers_de_citoyens_americains_laisses_pour_morts


[Silicon.fr – 29-02-2008]

GB : un CD du Home Office planqué dans un portable d’occasion
La machine, probablement perdue ou volée, s’est retrouvée en vente sur eBay

Difficile de garder son flegme. Même pour les sujets de sa très gracieuse Majesté. Car une nouvelle affaire de perte de données vient d’être révélée en Grande-Bretagne. On ne les compte plus  !

Cette fois, l’histoire est plutôt rocambolesque. Tout commence par le banal achat d’un PC portable sur eBay. Mais visiblement, la machine a un problème et son nouveau propriétaire l’apporte chez un réparateur à Bolton.

Surprise, en démontant le laptop, le mécano informatique découvre, bien planqué sous le clavier, un disque clairement estampillé « Home Office », l’équivalent de notre ministère de l’Intérieur et « Confidentiel ».

En constatant que le CD est crypté, le technicien comprend que le portable devait bel et bien appartenir à un membre du ministère et qu’il a été perdu ou volé. Puis revendu sur le site d’enchères en ligne. Par chance, il s’empresse d’appeler la police.

Pour une fois que les autorités mettent la main sur une machine ou un disque de données perdu, elles sortent le grand jeu. Associated Press révèle ainsi que six agents du contre-terrorisme sont venus récupérer l’appareil et ont prélevé les empreintes digitales et des échantillons d’ADN de tous ceux qui y avaient touché. Très vite, la machine est officiellement authentifiée par le Home Office qui annonce l’ouverture d’une enquête.

Une débauche de moyens qui s’explique par la véritable série de bourdes informatiques qui a frappé différentes administrations britanniques et a scandalisé le pays.

En janvier dernier, c’est un notebook appartenant à un officier de la Royal Navy qui a été volé à Birmingham, dans le centre de l’Angleterre. Le PC avait simplement été oublié dans la voiture du militaire… Il contenait des informations à caractère personnel concernant tous ceux qui se sont engagés dans la marine, le corps des « royal marines » (fusiliers-marins) et l’armée de l’air et de tous ceux qui y postulent…, soit 600.000 personnes !

Fin 2007, trois millions de fiches de candidats au permis de conduire stockées sur un CD ont été perdues….

En décembre, la secrétaire aux Transports, Ruth Kelly, avoue au Parlement que deux disques contenant des informations sur 7.500 véhicules (noms, ainsi que les adresses de leurs propriétaires) s’étaient évaporés.

The last but not the least : en novembre 2007, les données fiscales de 25 millions de contribuables, soit la moitié de la population britannique, sont « égarées ».

Deux CD-Rom en provenance du HMRC (Her Majesty’s Revenue and Customs), l’administration fiscale britannique, ont disparu après avoir été confiés à la société néerlandaise de messagerie TNT NV. Expédiés en courrier simple, les CD ne sont jamais arrivés à destination…

Rappelons que le laxisme dans la gestion des données personnelles n’est pas une spécialité strictement britannique. Aux Etats-Unis, selon une étude, 162 millions de dossiers contenant des données personnelles ont été perdus ou volés en 2007. Un chiffre qui a triplé par rapport au 49,7 millions de données dérobées en 2005. Et en France ?


Hacking : le malware se cache dans les pages de recherche

[PCWorld 14/03/2008]

Selon des chercheurs en sécurité, un nouveau type d’attaque se développe depuis une semaine sur le Web. Les hackers utilisent une nouvelle technique de scam basée sur des iFrame positionnés dans des milliers de pages Web. Objectif : rediriger les internautes vers des sites conduisant à l’installation de malware, afin de prendre le contrôle des machines.

Selon le chercheur bulgare spécialisé dans la sécurité informatique, Dancho Danchev (voir son blog pour de plus amples informations), l’attaque s’est encore amplifiée ces derniers jours. Le chercheur répertorie ainsi 20 sites, dont celui de la bibliothèque de l’université de Caroline du Nord ou plusieurs sites gouvernementaux américains (dont le programme de Medicare), qui ensemble renferment plus de 400 000 iFrame injectés par les pirates. L’analyse de Danchev est confirmée par Ben Greenbaum, de Symantec.

Concrétement, les pirates utilisent les résultats de recherche sauvegardés par les sites pour insérer des iFrame, certainement à l’aide d’un outil automatisant le travail. Ces iFrame redirigent les internautes vers un second site, qui affiche alors une fenêtre demandant l’installation d’un nouveau codec (voir ci-contre, un exemple). Accepter l’opération amène l’internaute vers un troisième site, qui héberge le malware à installer sur le PC de la victime. Il s’agit d’une variation du troyen Zlob.

« Cette tactique, basée sur l’exploitation des récents résultats de recherche, est nouvelle, explique Ben Greenbaum. Mais éviter le piège s’avère assez aisé ». Il suffit par exemple à l’internaute de refuser l’installation du codec pour la battre en brèche. Les webmestres des sites peuvent eux mettre fin à l’attaque tout simplement en empêchant la mise en mémoire cache des précédents résultats de recherche.

http://www.pcworld.fr/lire/breves/3591/1/hacking-malware-cache-dans-les-pages-recherche/


Pour les services secrets de l’Oncle Sam vos ordinateurs sont des portes ouvertes.
[Zataz – 27/12/2007]
Le célèbre site Cryptome(1) vient de frapper un nouveau coup. Le site, spécialisé dans les documents traitant des services secrets, vient d’indiquer que la National Security Agency, le service de contre-espionnage Américain, aurait acquis des possibilités d’outre-passer les protections mises en place par des éditeurs de solutions de sécurité informatique. Cryptome vise très clairement McAfee, Symantec ou encore Zone Alarm. La NSA passerait par les ports IP/TCP 1024 à 1030 sans que les firewalls, des options censées protéger de toutes intrusions un ordinateur, n’indiquent aux propriétaires des machines piégées la visite des espions de l’Oncle Sam.

Cryptome enfonce le clou en indiquant que Hushmail, Safe-mail.net et Guardster.com, des sites permettant d’envoyer des courriers chiffrés, donc normalement illisibles, seraient eux aussi piégés par le NSA “Certains services d’hébergement de courriels privés et/ou par session SSL ont été achetés ou leur contrôle opérationnel modifié par la NSA et ses affiliés ces derniers mois, par le biais d’entités intermédiaires privées”. Guardster demande des preuves et hurle à la conspiration.

Pour le cas de Hushmail, nous vous indiquions le 8 novembre dernier(2), comment la société avait fourni à la justice des backups de trois comptes de courriers électroniques appartenant à un chinois vendeur de médicaments. Des backups prouvant que Husmail possédait bien des sauvegardes non chiffrés des courriers envoyés par ses clients.

Le 15 novembre(3), nous apprenions que la NSA avait installé des serveurs chez AT&T afin de surveiller le trafic. Des révélations qui n’étonnent plus… surtout à la veille des élections présidentielles américaines.

(1) http://cryptome.org/
(2) http://www.zataz.com/news/15608/
(3) http://www.zataz.com/news/15673/

http://www.zataz.com/news/16039/portes-cach%C3%A9es-dans-firewall-service-secret-NSA.html


[Le Monde Informatique 22/11/2007]
Conçus pour inspecter nos courriers électroniques, analyser notre navigation sur le Web et de manière générale espionner tous les fichiers à la recherche du moindre indice qui laisserait entendre qu’on est victime d’une attaque, les anti-virus pourraient être la porte par laquelle entreraient les virus… C’est du moins les conclusions d’une enquête menée par la société de conseil allemande n.runs AG, spécialisée notamment dans la sécurité.

D’après Thierry Zoller, consultant en sécurité de n.runs AG, les entreprises qui essaient de renforcer leur sécurité en multipliant les anti-virus ne font en fait qu’accroître les risques. Son enquête démontrerait en effet que les anti-virus contiennent des ‘parseurs’ (ou analyseurs de code), programmes indispensables pour ouvrir des fichiers de format, susceptibles de comporter des bugs, lesquels pourraient être facilement exploités par des programmes malveillants.

Menée sur deux ans, l’enquête aurait démontré que la majorité des grands acteurs du marché de l’anti-virus sont touchés par ces bugs, Thierry Zoller affirmant avoir trouvé plus de 80 bugs différents dans les parseurs des logiciels d’anti-virus qui n’ont pas été corrigés. La plupart de ces bugs autoriserait l’exécution de code malveillant sur un système.

http://www.lemondeinformatique.fr/actualites/lire-les-antivirus-aussi-vulnerables-que-les-logiciels-qu-ils-protegent-24656.html


[Le Monde Informatique – 21/09/2007]
Alors que la virtualisation se glisse de plus en plus dans les systèmes d’information, une équipe de chercheurs IBM a mis la main sur une série de failles touchant de près ESX Server. Si VMWare, son éditeur, comblait dans la foulée cette série de douze trous dans une mise à jour livrée hier jeudi 20 septembre, cet épisode mettait en avant les quelques faiblesses d’une technologie très à la mode. Les trois failles, pointées du doigt par IBM et jugées critiques pour les utilisateurs d’ESX Server, frapperait le serveur DHCP (Dynamic Host Configuration Protocol) livré avec l’application. Ce logiciel, qui répartit les adresses IP entre les différentes machines virtuelles, pourrait ainsi servir à prendre la main à distance sur le serveur. Pour Tom Cross, chercheur à l’Internet Security Group d’IBM : « en prenant le contrôle de la machine, l’attaquant peut accéder à n’importe quelle machine virtuelle présente. » Un point gênant car les chercheurs – et les entreprises – utilisent souvent des machines virtuelles pour isoler certaines applications sensibles.

http://www.lemondeinformatique.fr/actualites/lire-les-bogues-de-vmware-soulignent-les-failles-de-la-virtualisation-24053.html 


[IES News Service – GoogleWatch – 09/08/07]
Google s’était illustré en refusant de fournir aux services de sécurité des Etats-unis les logs de connexion et les données de recherche sur le Web de ses utilisateurs. Mais les services secrets n’ont pas besoin de l’autorisation de la direction de Google pour accéder aux logs, ils peuvent utiliser les nombreuses « portes de derrière » humaines qu’ils ont planté dans l’entreprise.

Lors d’un atelier consacré à la sécurité informatique qui s’est tenu à l’occasion de DEFCON, un certain B., prétendument chef de projet chez Google a affirmé que sa société comportait des « human backdoors« , des taupes recrutées par les services de renseignement des Etats-unis et qui permettent aux agents fédéraux d’accéder aux informations recherchées sur certaines personnes. (suite…)