Powered By Blogger

Rechercher sur ce blogue

Aucun message portant le libellé failles internet. Afficher tous les messages
Aucun message portant le libellé failles internet. Afficher tous les messages

mercredi 21 septembre 2022

Impor­tant vol de don­nées chez Bell-BST,un de plus des 30,000 brèches depuis 2004

Impor­tant vol de don­nées chez Bell-BST,un de plus des 30,000 brèches depuis 2004


Journal de Québec en édition électronique

JEAN-LOUIS FORTIN

Impor­tant vol de don­nées chez Bell

Les infos per­son­nelles sont acces­sibles sur le dark web,ce qui représente plus de 30,000 grandes violations de données piratés au monde depuis 2004! 

https://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/


Et c'est sans oublier les débordements des surveillances ciblés par Candiru,Prism,XKeyscore, VoiceRT,le projet Muscular,NUCLEON et le vieux programme Échelon(la plupart sont de la NSA) !

https://teodulle.blogspot.com/2013/06/mieux-quechelon-prism-planning-tool-for.html

  • JEAN-LOUIS FORTIN

Les ren­sei­gne­ments per­son­nels de cen­taines de clients et d’employés de Bell Canada ont été déro­bés lors d’une cybe­rat­taque à la fin août.

C’est une filiale de l’entre­prise, Bell Solu­tions tech­niques, qui a été vic­time des pirates, selon une alerte de cyber­sé­cu­rité mise en ligne par Bell Canada. Cette divi­sion effec­tue des ins­tal­la­tions pour les clients rési­den­tiels et les petites entre­prises.

Notre Bureau d’enquête a pu consta­ter que des cyber­cri­mi­nels ont publié cette semaine sur le dark web (le web clan­des­tin) une foule de docu­ments qui contiennent des infor­ma­tions sen­sibles.

On retrouve notam­ment une base de don­nées de près de 900 employés avec des ren­sei­gne­ments per­son­nels, dont le nom, la date de nais­sance, l’adresse de domi­cile et le numéro de télé­phone.

On retrouve notam­ment une base de don­nées de près de 900 employés avec des ren­sei­gne­ments per­son­nels, dont le nom, la date de nais­sance, l’adresse de domi­cile et le numéro de télé­phone.

Des copies de chèques annu­lés ser­vant pour la paie, des copies de billets médi­caux et même des avis internes de sus­pen­sion et de congé­die­ment sont aussi acces­sibles.

CLIENTS TOUCHÉS

Des infor­ma­tions qui concernent les clients ont éga­le­ment été déro­bées, dont « le nom, l’adresse et le numéro de télé­phone de clients rési­den­tiels et de petites entre­prises au Qué­bec et en Onta­rio qui ont pris ren­dez-vous pour une visite de tech­ni­cien », détaille Bell dans son alerte de sécu­rité, sans don­ner une esti­ma­tion du nombre de vic­times.

Des infor­ma­tions qui concernent les clients ont éga­le­ment été déro­bées, dont « le nom, l’adresse et le numéro de télé­phone de clients rési­den­tiels et de petites entre­prises au Qué­bec et en Onta­rio qui ont pris ren­dez-vous pour une visite de tech­ni­cien », détaille Bell dans son alerte de sécu­rité, sans don­ner une esti­ma­tion du nombre de vic­times.

« Nous vou­lons vous assu­rer qu’aucune base de don­nées conte­nant des ren­sei­gne­ments des clients comme les numé­ros de cartes de cré­dit et de débit, des infor­ma­tions ban­caires et d’autres don­nées finan­cières n’a été consul­tée lors de l’inci­dent », pour­suit Bell.

L’entre­prise mène son enquête « avec l’aide d’experts en cyber­sé­cu­rité tiers, en plus de mettre en oeuvre des solu­tions pour ren­for­cer davan­tage la sécu­rité de [ses] sys­tèmes ».

Cette cybe­rat­taque s’ins­crit dans une longue série d’évé­ne­ments qui visent des entre­prises depuis quelques années. Pas plus tard que ce jeudi, Laval affir­mait qu’une cybe­rat­taque avait causé une inter­rup­tion majeure de ses ser­vices infor­ma­tiques.

En juillet, notre Bureau d’enquête révé­lait que le col­lège Mont­mo­rency à Laval avait aussi été vic­time de pirates et que des ren­sei­gne­ments per­son­nels étaient en vente sur le dark web.

– Avec Phi­lippe Lan­glois


REF.: jdq.pressreader.com

Le Journal de Quebec

17 sept. 2022


jeudi 28 mai 2015

L’employé, la première faille de sécurité

 

L’employé, la première faille de sécurité(2)

Mobilité : Une récente étude réalisée dans 11 pays a démontré que bien des employés prenaient inutilement des risques et ne respectaient pas les règles mises en place par les entreprises.


Avoir conscience du danger ne suffit pas 

Dans mon dernier billet, je pointais du doigt les risques que pouvaient être les employés des entreprises quant aux fuites d’informations et aux vols de données personnelles. Deux exemples réels ont ainsi servi de support, avec des vols et des pertes de données majeures chez Coca Cola et Boeing.
La compagnie Blue Coat Systems, spécialiste en solutions de sécurité pour entreprises, vient justement de publier le bilan d'une enquête sur ce sujet menée auprès de 1 580 personnes dans 11 pays différents par le cabinet de recherche Vanson Bourne. Et les résultats sont édifiants : « les employés de tous les pays consultent des sites Web non appropriés au travail, tout en étant généralement parfaitement conscients des risques pour leur entreprise » explique par exemple l’entreprise.
Selon l’infographie de Blue Coat, 20 % des sondés ont par exemple déclaré ouvrir des emails de sources inconnues, tandis que 6 % ont même avoué consulter des sites pornographiques au travail. De quoi multiplier les risques de phishing (hameçonnage) dans les premiers cas, et de malwares (maliciels) pour les seconds.
Dans la même logique, l’étude indique que 26 % des sondés utilisent des applications sans l’aval du service informatique, alors qu’ils sont 65 % à en comprendre les risques. Mieux encore, 41 % utilisent Facebook, Twitter et les autres réseaux sociaux à titre personnel, alors qu’ils sont 46 % a avoir conscience des risques que cela peut impliquer pour leur compagnie.
Concernant les emails d’une source inconnue et les sites pornographiques, ils sont d’ailleurs pour la plupart conscient de leur dangerosité, puisque le sondage montre qu’ils sont 73 % (dans les deux cas) à être au courant des risques. Ce qui ne les empêche pas de braver ces risques, en particulier en Chine (19 % vont sur des sites pornos au travail) et au Mexique (10 %).
« La majorité des répondants admettent comprendre les risques évidents liés au téléchargement de pièces jointes d'e-mails en provenance d'expéditeurs inconnus, ou à l'utilisation de médias sociaux et d'applications non approuvées sur leurs réseaux professionnels sans autorisation. Cette connaissance des risques n'influe pourtant pas sur leurs prises de risques » résume bien l’étude.

"La majorité compte sur la chance"

Des disparités importantes existent toutefois entre les pays. Par exemple, l’utilisation d’applications sans l’accord du département informatique concerne 33 % des Britanniques, contre 27 % des Allemands et 16 % des Français. Du côté de la consommation de p0rn au travail, là encore, derrière la Chine (19 %) et le Mexique (10 %), les écarts ne sont pas négligeables. Si le Royaume-Uni est proche du Mexique (9 %), la France tombe pour sa part à 5 % et l’Allemagne à seulement 2 %.
« Alors que la majorité des employés sont conscients des risques en matière de cybersécurité, dans la pratique, la majorité compte sur la chance, » estime Robert Arandjelovic, directeur des produits chez Blue Coat pour l’Europe, le Moyen-Orient et l’Afrique. Faut-il alors tout bloquer, censurer, interdire ? Non, ce n’est en rien la solution miracle pour la société à l’initiative de ce sondage. Mieux vaut ainsi ne pas contraindre les employés, afin qu’ils ne se sentent pas frustrés par trop d’interdits (qu’ils braveront de toute façon). La meilleure solution à adopter reste alors l’éducation vis-à-vis des risques et la mise en place de systèmes de contrôles. 
« La consumérisation de l'informatique et les médias sociaux ont des bienfaits mitigés pour les entreprises. Il n'est désormais plus possible d'empêcher les employés de les utiliser, et les organisations doivent par conséquent trouver les moyens de prendre en charge ces choix en matière de technologies, tout en limitant les risques pour la sécurité » conclut Robert Arandjelovic.

lundi 21 avril 2014

Les fondations de l'internet sont gérer par des Geeks bénévoles : le SSL, les DNS et le protocole Internet Time Service ?$?

*Heartbleed: Alors que beaucoup de monde était à célébrer la nouvelle année 2012 , Robin Seggelmann écrivait le code de fin de soirée qui conduirait à la pire catastrophe de l'histoire d'Internet récent . Heartbleed , un de faille de sécurité «catastrophique» dans le protocole cryptographique OpenSSL qui a touché les deux tiers de la communication de l' ensemble de l'Internet , a été commis à 22h59 la veille du Nouvel An par Seggelmann , un programmeur Allemand de 31 ans .


 Open SSL: dispose que d' un développeur à temps plein et génère moins de 2000 $ en dons par an , clairement quelque chose ne va pas.Donc, ce qui explique l'écart entre le manque d'attention aux OpenSSL et la grande fortune de Linux ? Le projet OpenSSL a commencé il ya environ 15 ans. 
Le projet est actuellement géré par un noyau de quatre personnes, rejoints par sept autres programmeurs qui sont des contributeurs actifs. Les bénévoles sont la plupart du temps de la Grande-Bretagne et l'Allemagne. L'un est du Canada.
Le bon vieux manque de sensibilisation , disent les experts.Des milliers de téléviseurs vendus chaque jour sont contrôlés par Linux . Quatre-vingt- deux pour cent des systèmes informatiques performants du monde fonctionne sur Linux . Il fonctionne systèmes financiers , l'Internet et les systèmes de contrôle du trafic aérien , les smartphones Android et Kindle.Le fait que OpenSSL a échappé a cette prise de conscience a été " un gâchis ", a déclaré Jim Zemlin , le directeur exécutif de la Fondation Linux . Certains défenseurs open-source dit M. Zemlin c'est exactement ce que OpenSSL a de manquant . «OpenSSL n'a tout simplement pas eu l'avantage d'un leader comme Jim autour de lui ", a déclaré Brian Behlendorf , un membre du conseil de l'Electronic Frontier Foundation et la Fondation Mozilla , un autre projet open-source , qui gère le navigateur Firefox ." Il y a un nouvel ordre mondial où les développeurs sont devenus le nouveau roi - dirigeants et je suis juste leur lobbyiste », a déclaré M. Zemlin . " Vous avez pour financer ces projets d'une manière qui est à la hauteur de leur importance pour notre société . "

Jusqu'à ce que le bug Heartbleed a été divulgué la semaine dernière , pas beaucoup de personnes avaient entendu parler du Dr Stephen Henson , le développeur qui est la seule personne à travailler à temps plein sur OpenSSL , ou le OpenSSL Software Foundation et son directeur , Steve Marquis .M. Raymond dit qu'il y a d'autres systèmes essentiels comme le Domain Name System(DNS) , une sorte de standard pour l'Internet qui est maintenu par des bénévoles à but non lucratif et des sociétés , et le protocole Internet Time Service , une caractéristique essentielle qui permet de synchroniser les horloges des ordinateurs sur l' Internet . Échanges financiers importants dépendent de la santé de protocole , mais il est actuellement géré par un programmateur bénévole dans le Maryland ."La direction est consciente de ce problème d'incitation grave ici et nous allons y remédier ", a déclaré M. Raymond .Ceux qui utilisent ce code (OpenSSL)n'ont pas à payer pour cela aussi longtemps qu'ils donnent le crédit au projet OpenSSL ,donc c'est ,si ont peut dire, Gratuit ,donc sans redevance aucune !«OpenSSL est complètement non capitalisé ", a déclaré M. Laurie . " Il est utilisé par les entreprises qui font beaucoup d'argent , mais presque aucune des sociétés qui l'utilisent ne va y contribuer de quoi que ce soit . "La plupart des utilisateurs d'OpenSSL entreprises ne contribuent pas d'argent pour le groupe , M. Marquis a dit . Google et Cisco disent qu'ils contribuent en encourageant leurs propres ingénieurs à la recherche de bogues dans le code alors qu'ils sont sur l'horloge . Le site OpenSSL montre qu'un ingénieur Cisco et plusieurs ingénieurs de Google ont découvert des bogues et des correctifs créés au fil des ans .

Un ingénieur de Google , Neel Mehta , a découvert le bug Heartbleed plus tôt ce mois , et deux autres ingénieurs de Google est venu avec le correctif .
De même , Microsoft et Facebook ont créé l' initiative Bug Bounty Internet , qui paie les ingénieurs qui divulguent responsable des bugs dans de nombreux systèmes, comme OpenSSL . Le groupe a versé à M. Mehta $ 15,000 pour sa découverte - une aubaine , il a fait don à la liberté de la Fondation de la presse .À tout le moins , les experts en sécurité , les entreprises et les gouvernements devraient payer pour des audits de code régulier , en particulier lorsque la sécurité de leurs propres produits dépend de la fiabilité du code .Après le bug Open SSL, le groupe a reçu $ 17,000 en dons , presque entièrement de personnes de l'extérieur des États-Unis . Les dons individuels étaient de 300 $ maximum ,au plus bas qui était de 2 cents .


Nota: Autrement dit, pour épargner des frais a l'utilisation du SSL et la sécurisation des transactions d'achat,même pas les banques ne verseront de redevance et les utilisateurs ne seront jamais payeurs,car ils ont leurs propres ingénieur de sécurité qui corrige les bugs du SSL ,une fois de temps en temps.Et pour se sauver la face,Microsoft et Facebook ont créé de leurs  initiative le "Bug Bounty Internet" , qui paie les ingénieurs qui divulguent les bug du SSL, entre autres ! Est-ce que le Dr Stephen Henson, et Steve Marquis du OpenSSL Software Foundation,ont délibérément fermés les yeux sur la faille ,pour que la communauté internet se rendre compte qu'ils sont sous payer ? Car en 2008,déja ça se parlaient ,qu'une faille du OpenSSL devrait être médiatisée un jour !
 Bien c'est arrivé !$$!  ;-)



REF.: 

dimanche 22 décembre 2013

Une énorme faille de l’Internet permet de détourner du trafic à volonté

L’aiguillage des flux sur la Toile est faillible. Des experts ont observé, pour la première fois, des détournements massifs permettant de siphonner des données en toute tranquillité. Mais leur origine reste mystérieuse.

Si vous envoyez des données de Paris à Marseille, sachez qu’il est possible de siphonner ce trafic ni vu ni connu, sans avoir besoin d’accéder à une quelconque fibre optique ou à un serveur dans le cloud (comme le fait par exemple la NSA). Une énorme faille de l’Internet permet, en effet, à des organisations malveillantes d’aiguiller n’importe quelles données de telle manière à ce qu’elles passent par des routeurs d’espionnage, avant qu’elles n’arrivent à destination. Comme un train que l’on ferait passer par une voie parallèle pour détrousser les passagers, avant de le remettre sur le trajet initial.
Cette faille a été décrite en 2008 par les deux chercheurs en sécurité MM. Pilosov et Kapela, mais n’était jusqu’à présent que théorique. De récentes observations tendent à prouver qu’elle est désormais exploitée de manière active... et inquiétante. Dans un article de blog datant de novembre, la société Renesys, spécialisée dans l’analyse réseau, a montré pour la première fois de vrais détournements de trafic, avec à la clé une quantité importante de données apparemment siphonnées. Parmi les victimes: des organisations gouvernementales, des institutions financières, des fournisseurs de services, etc.

Une manipulation qui n’est pas à la portée de tous

Ainsi, en février 2013, des flux de données ont été détournés presque quotidiennement pour passer par l’opérateur biélorusse GobalOneTel avant d’arriver à destination. En mai 2013, la société observe une série de détournements où les données passent systématiquement par un opérateur islandais, alors qu’une telle route ne devrait pas exister dans la pratique.
En effet, le routage des données Internet est basé sur le protocole BGP. Son principe est simple : un routeur informe les autres quelles destinations il est capable de desservir rapidement, en diffusant des messages appelés « annonces BGP ». Le problème, c’est que ce système n’est pas du tout sécurisé, mais uniquement basé sur une confiance réciproque. Si quelqu’un falsifie les annonces BGP d’un routeur, les routeurs voisins ne s’en inquiètent pas : les données sont bêtement transférées selon la nouvelle route indiquée.
Mais usurper les annonces BGP n’est suffisant. Pour réaliser un « bon détournement », il faut également faire en sorte que les données siphonnées arrivent à bon port, pour ne pas éveiller des soupçons côté destinataire. Et ça, c’est beaucoup plus compliqué. « Ce n’est pas à la portée du premier lycéen venu. Il faut une équipe de spécialistes et un certain budget pour pouvoir réaliser cette opération », explique Stéphane Bortzmeyer, ingénieur réseau.
Bizarre, bizarre: pour aller de Denver à Denver, les données passent par l\'Islande.
Bizarre, bizarre: pour aller de Denver à Denver, les données passent par l'Islande.
agrandir la photo

Il manque la preuve d’une malveillance

En effet, pour assurer l’acheminement vers le destinataire final, il faut une connaissance approfondie des routes empruntées par les données sur Internet, une sorte de carte IGN pour la Toile. «  Pas la peine d’être un génie, mais c’est un travail long et ennuyeux. C’est facile à faire pour un état. C’est également à la portée d’une entreprise si elle dispose des compétences adéquates », ajoute Stéphane Bortzmeyer. Pour une organisation telle que la NSA, ce serait certainement un jeu d’enfant. On sait d’ailleurs, depuis quelques semaines, que le service secret américain dispose d’une carte mondiale de l’Internet, appelée « Treasure Map ».
Toutefois, la communauté des ingénieurs réseau reste divisée sur la réelle malveillance des détournements observés par Renesys. Aucune preuve n’a été mise en évidence permettant de dire que les annonces BGP ont été intentionnellement modifiées. Cela pourrait être aussi le résultat d’une erreur configuration, estiment certains, même si la probabilité est faible. Et même si on arrive à démontrer une malveillance, il n’est pas du tout certain que l’on puisse remonter aux auteurs, qui pourraient très bien avoir trouvé un moyen pour trafiquer le routeur BGP d’un fournisseur parfaitement innocent.  
Dans ce cas, comment peut-on se prémunir contre ce type d’attaque ? En tant qu’utilisateur d’Internet, le seul moyen actuel est de chiffrer ses échanges de données, par exemple au travers d’un VPN. Même détournées, elles resteraient illisibles. Quant à l’élimination de la faille elle-même, c’est beaucoup plus compliqué. Pour empêcher l’usurpation des annonces BGP, il faudrait introduire un système d’authentification à base de signature électronique. Ce qui suppose une coordination assez poussée entre les différents acteurs de l’Internet. Il n'est pas certain que cela arrive un jour.


REF.: