Powered By Blogger

Rechercher sur ce blogue

lundi 14 avril 2014

Faille Heartbleed: faille inconnu des Banques depuis deux ans et plus ?

Et si la banque CIBC et autres Banques Canadienne avaient été exposé a cette faille,il y a deux ans ?(Je me souviens ?)
Personnes ne le dira,car la faille était pas connu des Banques,ni de Revenu Canada etc.......ainsi que 500,000 serveurs sur la planète web.D'ailleurs encore beaucoup de sites perso n'ont pas le HTTPS encore !
Certains adeptes du phishing (vous faire croire que vous allez sur le site de votre banque, par exemple, alors qu'il s'agit d'un site pirate), pourraitutiliser certaines des données interceptées pour vous cibler.



Mais ,beaucoup de personnes clients des Banques ont changées de cartes débits en 2012,les banques ont demandées a leurs clients de se rendre a leurs comptoir pour changer de carte débit, avec une puce ,en changeant de mot de passe ! Bizarre quand même.C'est sûr que personne ne dira qu'il y avait une faille Heartbleed en 2012 ,mais beaucoup de programmeurs le savaient,ainsi que la communauté des Pirates a chapeau blanc,la NSA ,le dernier a être au courant de cette faille a été un ingénieur en sécurité chez Google "Neel Mehta" en Avril 2014, le jour de sa découvert médiatique(c'est lui qui découvra le bug underground) !

Pourquoi Google,Microsoft sont protégé,c'est qu'ils ont des doublons,du Cloud et du back-up en miroir sur leurs serveurs ! C'est comme si vous ferez des back-up instantannés a la secondes près, et que vous garderiez des copies virtuelles et sur disques physiques en lieux sûre.Google a des sous-marins et des containners sur bateaux flottants !

Après ça, vous connaissez l'histoire ;-)

Le problême est dans la validité des certificats,....................très connu des Hackers !


Ce qu'a dit Symantec:  (Avis de sécurité - OpenSSL Heartbleed Bug )   https://knowledge.verisign.com/support/ssl-certificates-support/index?page=content&id=AD831
En tant que premier organisme de certification dans le monde, Symantec a déjà pris des mesures pour renforcer nos systèmes. Nos racines ne sont pas en danger; Cependant, nous suivons les meilleures pratiques et avons retapées tous les certificats sur les serveurs Web qui ont les versions affectées d'OpenSSL. 

Après les entreprises ont mis à jour leurs systèmes ou recompilés, Symantec recommande que les clients remplacent tous les certificats-indépendamment de l'émetteur sur leurs serveurs web pour atténuer les risques de violation de la sécurité. Symantec offrira des certificats de remplacement gratuits pour tous nos clients. 

Enfin, Symantec demande des clients pour réinitialiser les mots de passe de leur SSL et consoles de gestion de signature de code. Encore une fois, il s'agit d'une meilleure pratique et nous encourageons les entreprises à demander à leurs clients finaux à faire de même après leurs systèmes ont appliqué le correctif. Nous continuerons à travailler avec nos clients afin de minimiser l'impact des risques de sécurité de cette vulnérabilité.

Ce qu'ont disaient en 2008 sur le SSL:(sur le site de SID)
Premièrement, cette vulnérabilité n'a absolument pas fait parler d'elle ! Certes celle-ci n'est pas aussi critique que celle deOpenSSL dans Debian, mais GnuTLS est quand même très utilisée. Mais bon, il aurait sûrement suffi d'annoncer la plus grosse vulnérabilité du mois, ne pas releaser les détails, etc. pour la transformer en faille médiatisée ;) Je vous renvoie d'ailleurs sur un post plus ancien de Sid qui reprend des failles peu médiatisées et à celui de FX sur la perception des vulnérablités.

Et la,on parle pas encore de cette possible faille(non rendu publique) du https,avec plus de 360 millions d’identifiants contenant des adresses emails, accompagnées de mots de passe,provenant du DeepWeb ! A lire ICI !

Comptes en banques, réseaux d'entreprises visés ? Entre les mains des pirates, ces données sont considérées comme beaucoup plus dangereuses que les coordonnées de cartes bancaires, surtout lorsque les usagers se servent des mêmes identifiants et mots de passe, ce qui est souvent le cas. Selon Hold Security, cela pourrait notamment permettre d’accéder à des comptes en banque, des réseaux d’entreprise ou des données médicales.Il est important de souligner que ces révélations sont utilisées par Hold Security pour promouvoir son nouveau service de surveillance du web invisible ou deep web.
**********************


Alors,si les Banques Canadienne perdent de l'argent avec le vol de mots de passe de vos cartes Bancaires,il y a aussi la fraude,le clonage de carte, mais aussi il ont le droit de légaliser leurs filiales dans des paradis fiscaux,   c'est pire !

Les banques canadiennes et leurs filiales:
Les grandes banques canadiennes ne sont pas en reste. Elles possèdent 75 filiales dans desparadis fiscaux, de la Suisse à Singapour. On trouve, par exemple, des succursales de CIBC et de Scotiabank dans les îles Vierges britanniques, des filiales de la Banque Royale sur l'île Jersey, une succursale de la Banque de Montréal au Luxembourg et la présence de TD aux Bermudes et à la Barbade.Ça prend des couilles pour faire ça ;-)
Le Canada a joué et continue de jouer un rôle de premier plan dans le développement des paradis fiscaux dans les Caraïbes et ailleurs.C’est la thèse explosive que défend l’auteur Alain Deneault dans un livre à paraître mardi, Paradis fiscaux: la filière canadienne.
Le Québec n’échappe pas non plus à la vague, lui qui subventionne les bureaux montréalais d’un des cabinets d’avocats les plus en vue aux Îles Caïmans.Environ 25% des investissements étrangers du Canada sont aujourd’hui réalisés dans des paradis fiscaux.

Selon l’auteur, le gouvernement conservateur en place à Ottawa n’a fait qu’accenter le phénomène en légalisant des pratiques qui étaient autrefois considérées comme illégales.
«Il est devenu clair que la politique fédérale canadienne consiste à lutter contre la fraude fiscale en la légalisant.»


Aucun commentaire: