MONTRÉAL, le 12 sept. 2017 /CNW Telbec/
- Canoë.ca, un portail gratuit d'information et de divertissement opéré
par MédiaQMI inc. et qui était la propriété de Corporation Sun Média
filiale de Quebecor,jusqu'en 2015, tient à informer ses utilisateurs qu'un pirate
informatique a réussi à accéder à certaines de ses banques de données
d'archives couvrant la période de 1996 à 2008.
Informée de cet incident
le 2 septembre dernier, Canoë.ca a immédiatement lancé une enquête
approfondie qui a conclu que les banques de données ciblées ne
contenaient aucune information de nature financière comme des numéros de
cartes de crédit ni de numéros d'assurance sociale.
L'analyse a toutefois révélé que les banques de données piratées
contenaient des renseignements personnels pouvant toucher près d'un
million d'usagers anglophones et francophones de cette époque, tels que
des noms, des adresses courriel et postales ainsi que des numéros de
téléphone. Ces données avaient été fournies par ces usagers en lien avec
certaines activités des sites Canoë, soit des concours, des forums de
discussion, des pages de commentaires ou encore l'hébergement de pages
personnelles sur le site.
Aucune donnée recueillie depuis 2008 n'a
toutefois été compromise.
Canoë.ca prend très au sérieux la protection des données. Elle assure
avoir pris tous les moyens nécessaires, avec l'aide de firmes de
sécurité informatique reconnues, afin de remédier à l'intrusion de ses
banques de données. Canoë.ca a également informé la GRC, le Commissariat
à la protection de la vie privée et les commissaires provinciaux de
protection de la vie privée de cet acte de piratage.
Canoë.ca tient à exprimer ses plus sincères excuses envers ses
usagers et assure que tous les efforts sont présentement déployés afin
de retracer et de communiquer avec les personnes concernées par cet
accès illégal de données recueillies au cours de la période 1996-2008.
Toute personne ayant des questions additionnelles au sujet de cet avis est invitée à appeler au 1-833-370-2898. SOURCE.:MédiaQMI inc.
Sécurité : Quatre écoles sur
cinq admettent avoir connu un incident de sécurité, mais seule la
moitié des sondés se déclarent prêts à répondre à une véritable attaque
informatique.
Quatre écoles sur cinq ont été victimes d'un incident de cybersécurité,
telles qu'un phishing ou un logiciel malveillant, et une sur cinq a
signalé un accès non autorisé à ses ordinateurs, réseaux ou serveurs par
ses propres élèves.
Les conclusions proviennent d'un audit de sécurité
effectué dans plus de 430 écoles du Royaume-Uni par le National Cyber
Security Centre (le département cybersécurité de l'agence de
surveillance GCHQ) et le London Grid for Learning (LGfL).
L’audit a révélé
que presque toutes les écoles (97%) estimaient que la perte d’accès à
des services informatiques connectés à un réseau causerait des
perturbations considérables. La grande majorité des écoles (83%) ont été
affectées par au moins un type d'incident de sécurité.
Ainsi, 69% des écoles déclarent avoir été la cible d’attaques par hameçonnage et
35% ont eu des périodes sans accès à des informations importantes,
tandis que 30% ont déclaré avoir été victimes d’un programme
malveillant, notamment de virus ou de ransomware. Et 20% ont déclaré
avoir été victimes d'attaques d'usurpation d'identité, dans lesquelles
les mails de l’école étaient imités par d'autres.
Nos chères têtes blondes
Un peu plus d'une école sur cinq - 21% - a déclaré avoir constaté
l’utilisation des ordinateurs, des réseaux ou des serveurs (y compris
une utilisation accidentelle) par des élèves sans autorisation, tandis
que 11% estimaient avoir déjà vu l’utilisation des ordinateurs, des
réseaux ou des serveurs sans autorisation par des membres de l’équipe.
Seulement 4% ont déclaré qu'il y avait eu une utilisation d’origine
externe non autorisée et encore moins - 3% - ont admis des fuites
d'informations confidentielles à partir de systèmes en ligne.
"Depuis l'entrée en vigueur du GDPR en mai 2018, de nouvelles
exigences ont été imposées aux écoles en matière d'accès et de
protection des données. Néanmoins, 21% déclarent avoir fait face à des
utilisations non autorisées des systèmes par les élèves.", indique le
rapport.
Les pirates informatiques considèrent souvent les écoles comme
une cible intéressante, car elles disposent de fonds et de compétences
limitées en matière de cybersécurité pour se protéger, tout en détenant
de grandes quantités de données sensibles.
Pour un point de vue plus positif, plus de 95% des écoles
disposent de pare-feu, d’antivirus, de sauvegardes de données et de
mises à jour logicielles à jour. 85% avaient un plan de cybersécurité,
mais 41% seulement avaient un plan de continuité des opérations et
l’audit a révélé que les pratiques de cybersécurité strictes, telles que
la gestion des appareils mobiles et l’authentification à deux facteurs,
étaient relativement peu utilisées.
"Les budgets sont serrés, le programme est serré et l'école vise à
assurer la sécurité des enfants et à fournir la meilleure éducation
possible. Vous n'entendrez donc pas souvent les écoles parler de leur
préparation en matière de cybersécurité. Si les hôpitaux ont
particulièrement été affectés par les perturbations causées par le virus
WannaCry, les écoles sont aussi susceptibles que toute organisation de
faire face à des attaques DDoS et de phishing ", a déclaré Mark Bentley,
responsable de la sécurité et de la cybersécurité chez LGfL. Source. : Cybersecurity: One in five schools says students have broken into computer systems
Les données personnelles de 419 millions d’utilisateurs Facebook
ont été découvertes sur un serveur non sécurisé. Parmi ces données se
trouvaient des numéros de téléphones et des identifiants.
Nouvelle gaffe pour Facebook. Alors que le réseau social multiplie ses efforts pour améliorer sa protection de la vie privée, une nouvelle faille de sécurité vient porter un énième coup à sa réputation. Un chercheur vient de mettre la main sur une base de données contenant des millions de numéros de téléphone d’utilisateurs Facebook.
Des données non protégées
«Le futur est privé »,déclarait Mark Zuckerberg en début d’année. Quelques mois plus tard, Facebook a encore du mal à tenir ses promesses.Un chercheur en cyber sécurité nommé Sanyam Jain a pu accéder aux données personnelles de 419 millions d’utilisateurs du réseau social. La base de données se trouvait en effet sur un serveur non sécurisé, accessible sans aucun mot de passe.
Les informations exposées incluaient les numéros d’identifiants Facebook, les numéros de téléphone liés au compte,
des données de localisation et parfois le genre de l’utilisateur. Le
serveur hébergeait les bases de données d’utilisateurs américains,
britanniques et vietnamiens. Sanyam Jain précise avoir même découvert
des numéros de téléphone de célébrités.
Un porte-parole de Facebook a déclaré à nos confrères de Tech Crunch que la base de données avait été récupérée avant le changement de politique sur les numéros de téléphone.«
L’ensemble de données est ancien et semble contenir des informations
obtenues avant les changements que nous avons faits l’an dernier pour
empêcher les gens de trouver d’autres personnes en utilisant leur numéro
de téléphone. », a-t-il expliqué.
Des risques de fraude élevés
Cette information suggère néanmoins que la base de données a pu être accessible pendant au moins un an.
Une telle fuite comporte de nombreux risques pour les utilisateurs
concernés. Les numéros de téléphone peuvent en effet être exploités pour
des attaques de type « sim swapping », qui permettent de voler et d’utiliser le numéro de l’abonné.
Facebook assure que la base de données a été supprimée
et qu’aucun compte n’a été compromis. Ce nouvel incident prouve
cependant que le groupe a encore du chemin à faire pour protéger la vie privée de ses utilisateurs.
Comment limiter les risques ?
On l’a vu, les risques pour vous sont en réalité faibles… mais ils ne sont pas complètement nuls ! Des techniques plus avancées peuvent exister, faisant par exemple appel à des complices chez les opérateurs.
Les conseils à retenir sont donc les suivants :
Ne cliquez jamais dans un email ou un SMS pour accéder à votre compte opérateur
Soyez vigilants par rapport aux messages envoyés par votre opérateur au sujet d’opérations faites sur votre compte : changement d’adresse, changement d’email, demande de nouvelle SIM
En quoi consiste le « SIM swapping » ?
Ce
terme désigne le fait de « voler » le numéro de téléphone portable de
quelqu’un. Cela ne nécessite pas de grande expertise technique. Dans les
cas les plus courants de piratage par « SIM swapping », un pirate
contacte le service client de votre opérateur afin de se faire passer
pour vous. En effet, votre numéro est rattaché à une carte SIM. Cette
petite puce dans votre téléphone vous identifie et vous permet, pour
résumer, de vous connecter aux réseaux téléphoniques, 3G et 4G.
Prétextant
la perte, une malfonction ou le vol de votre carte SIM, le pirate
demande alors à activer votre numéro sur une nouvelle carte SIM, que lui
possède. Pour convaincre le service client au bout du fil, il utilise
des informations personnelles(date de naissance,
adresse, numéro de client, etc.), qu’il a pu trouver sur Internet ou par
d’autres moyens. Une fois l’opération réussie, le pirate peut alors
recevoir à votre place des appels et des SMS qui vous sont destinés.Mais la technique fait régulièrement parler d’elle, comme dans le cas du piratage de centaines d’utilisateurs d’Instagram, qui ont perdu l’accès à leur compte l’été dernier. L’Agence
France-Presse (AFP) souligne que des milliers d’attaques de ce type ont
notamment été recensées dans des pays où les paiements par téléphone
mobile sont monnaie courante, comme le Brésil, le Mozambique, l’Inde ou
l’Espagne. Plus largement, les systèmes de sécurité de nombreux
opérateurs mobiles « sont insuffisants et rendent leurs clients vulnérables aux attaques à la carte SIM »,estiment
deux chercheurs de l’entreprise de sécurité informatique Kaspersky,
Fabio Assolini et Andre Tenreiro, interrogés par l’AFP.
L’USB Promoter Group vient de publier les spécifications
finales de la prochaine version de l’USB. Les premiers produits
compatibles USB4 (et pas « USB 4 ») devraient voir le jour dès l’année
prochaine.
Cette nouvelle version de la norme USB apporte principalement trois
avantages par rapport aux versions précédentes : une vitesse de
transfert plus élevée, une compatibilité Thunderbolt 3 et des
optimisations du côté des flux vidéo.
Débit maximal de 40 Gbps et compatibilité Thunderbolt 3
L’USB4 pourra ainsi atteindre un débit maximal de 40 Gbps, soit
autant que le Thunderbolt 3, contre 20 Gbps « seulement » pour l’USB
3.2. Mais attention, il faudra pour cela utiliser des câbles adaptés. Le
connecteur USB Type-C devient d’ailleurs indispensable pour profiter de
tous les avantages de l’USB4. Autrement dit, utiliser un connecteur
Type-A limitera le débit et la puissance délivrée au niveau de
« l’ancienne » norme USB 3.1.
Trois vitesses devraient être possibles pour les appareils
compatibles USB4. Ces derniers pourront fonctionner à 10 Gbps, 20 Gbps
ou 40 Gbps, selon leurs besoins. Attention donc à bien vérifier ce point
lors de votre futur achat. Les câbles et périphériques actuels pourront
bien entendu être utilisés, mais la vitesse atteignable dépendra de
leur implémentation respective de la norme USB.
La compatibilité Thunderbolt 3 n’est en revanche pas obligatoire dans
la nouvelle norme USB4. Cela signifie que les constructeurs ne seront
pas obligés de l’implémenter dans leurs produits et ordinateurs. L’USB
Promoter Group estime toutefois que la majorité des ordinateurs
compatibles USB4 proposeront tout de même cette compatibilité
Thunderbolt 3.
Gestion améliorée des transferts mixtes vidéo/data
Une grande partie des spécifications de l’USB4 améliore la gestion
dynamique des ressources allouées aux flux vidéo. Il devient ainsi
possible de gérer dynamiquement la bande passante allouée à la vidéo et
aux autres données lors d’un transfert « mixte » sur la même connexion.
Cela permet d’optimiser l’utilisation de la bande passante totale
disponible.
Prise en charge obligatoire de l’USB PD
Enfin, tous les contrôleurs USB4, hôtes comme périphériques,
supporteront l’USB PD (Power Delivery). Cette norme permet de délivrer
un maximum de 100 watts, ce qui ne veut toutefois pas dire que tous les
périphériques et appareils USB4 atteindront cette puissance maximale.
Des chercheurs en sécurité ont révélé qu'une méthode d'attaque par SMS
était utilisée par un vendeur de logiciels de surveillance pour suivre
et surveiller des personnes.
"Nous sommes assez confiants pour affirmer que cet exploit a été
développé par une société privée spécifique qui collabore avec les
gouvernements pour surveiller les individus", ont déclaré des chercheurs
en sécurité d'AdaptiveMobile Security dans un rapport publié hier.
"Nous pensons que cette vulnérabilité est exploitée depuis au moins 2
ans par un acteur hautement sophistiqué et présent dans plusieurs pays,
principalement à des fins de surveillance."
Les chercheurs ont décrit cette attaque comme "un énorme bond en
complexité et en sophistication" par rapport aux attaques précédemment
observées sur les réseaux mobiles et "une augmentation considérable des
compétences et des capacités des attaquants".
Comment fonctionne Simjacker ?
Simjacker nécessite que l’attaquant utilise tout d’abord un
smartphone, un modem GSM ou tout service A2P (application à personne)
pour envoyer un SMS au numéro de téléphone d'une victime.
Ces messages SMS contiennent des instructions SIM Toolkit (STK)
masquées, prises en charge par le navigateur S@T de l’appareil, une
application qui réside sur la carte SIM plutôt que sur le téléphone.
Le navigateur S@T et les instructions STK sont une ancienne
technologie prise en charge sur certains réseaux mobiles et leurs cartes
SIM. Ils peuvent être utilisés pour déclencher des actions sur un
appareil, telles que le lancement de navigateurs, la lecture de sons ou
l'affichage de fenêtres contextuelles. À l’âge des réseaux de téléphonie
mobile, les opérateurs utilisaient ces protocoles pour envoyer aux
utilisateurs des offres promotionnelles ou fournir des informations de
facturation.
Cependant, AdaptiveMobile explique que les attaques de Simjacker
ont révélé une nouvelle utilisation abusive de ce mécanisme, qui vise à
ordonner aux téléphones des victimes de transmettre des données de
localisation et des codes IMEI, que la carte SIM envoie ultérieurement
via un message SMS à un appareil tiers. Cette technique permet aux
attaquants de géolocaliser la victime.
Pour ne pas arranger les choses, l'attaque Simjacker est
complètement silencieuse. Les victimes ne voient aucun message SMS dans
leur boîte de réception ou leur boîte d'envoi. Cela permet aux
attaquants de bombarder continuellement les victimes avec des SMS et de
suivre leurs déplacements à l’envi.
De plus, comme Simjacker exploite une technologie résidant sur la carte
SIM, l’attaque fonctionne indépendamment du type de terminal de
l’utilisateur.
"Nous avons observé que des appareils de presque tous les fabricants
étaient visés avec succès pour récupérer la géolocalisation des
appareils. Les téléphones Apple, ZTE, Motorola, Samsung, Google, Huawei
et même les objets connectés avec cartes SIM ont fait partie des
cibles", ont déclaré des chercheurs.
La seule bonne nouvelle est que l'attaque ne repose pas sur des
messages SMS normaux, mais sur un code binaire plus complexe, envoyé
sous forme de SMS, ce qui signifie que les opérateurs de réseau doivent
pouvoir configurer leur équipement pour bloquer ces messages.
Des attaques effectives détectées
AdaptiveMobile n’ayant pas donné le nom de la société à
l’origine de ces attaques,il est impossible de savoir si cette
vulnérabilité est utilisée pour traquer des criminels ou des
terroristes, ou si elle est utilisée pour traquer des dissidents, des
journalistes ou des opposants politiques.
Néanmoins, AdaptiveMobile a déclaré que les attaques de Simjacker se produisent quotidiennement, en grand nombre.
Dans la plupart des cas, les numéros de téléphone sont suivis plusieurs fois par jour, pendant de longues périodes.
Cependant, des chercheurs ont déclaré que quelques numéros de
téléphone avaient été suivis cent fois sur une période de 7 jours,
suggérant qu'ils appartenaient à des cibles spécifiques.
"Ces
modèles et le nombre de messages envoyés indiquent qu'il ne s'agit pas
d'une opération de surveillance de masse, mais bien d’une opération
conçue pour suivre un grand nombre d'individus à diverses fins, les
objectifs et les priorités évoluant avec le temps", ont déclaré des
chercheurs d'AdaptiveMobile.
Simjacker est le résultat d'améliorations apportées aux réseaux mobiles
Le mystère plane donc sur le réel développeur de cette attaque, mais
AdaptiveMobile déclare que la société privée à l’origine de l’attaque
était un expert dans le domaine.
"En plus de produire ce logiciel espion, cette même société
dispose également d'un accès étendu aux réseaux SS7 et Diameter, car
nous avons vu certaines des victimes de Simjacker être ciblées à l'aide
d'attaques sur le réseau SS7, avec l'utilisation de méthodes d'attaque
SS7 comme méthode de secours lorsque les attaques de Simjacker ne
fonctionnaient pas ", a déclaré AdaptiveMobile.
"Nous pensons que l'attaque Simjacker a évolué pour remplacer
directement les capacités que les attaquants des réseaux mobiles avaient
perdues lorsque les opérateurs ont commencé à sécuriser leurs
infrastructures SS7 et Diameter", ont déclaré des chercheurs.
Cependant, alors que les attaques sur les protocoles SS7 et
Diameter impliquaient une connaissance approfondie des protocoles de
réseau mobile et des équipements coûteux, l’attaque de Simjacker est
beaucoup plus simple et moins chère. Selon un chercheur, il suffirait
d'un modem GSM à 10 dollars et du numéro de téléphone de victime.
Protocole antique, sécurité en toc
La vulnérabilité au cœur de l'attaque de Simjacker aurait pu
être facilement évitée si les opérateurs de téléphonie mobile avaient
fait preuve de retenue dans le code qu'ils ont implémenté sur leurs
cartes SIM.
"Le logiciel S@T Browser n'est pas bien connu, il est assez
ancien et son objectif initial était d’offrir des services tels que
l'obtention du solde de votre compte via la carte SIM", ont déclaré des
chercheurs.
"Globalement, sa fonction a été en grande partie remplacée par d'autres
technologies. Ses spécifications n'ont pas été mises à jour depuis 2009.
Cependant, comme de nombreuses technologies traditionnelles, elles sont
toujours utilisées."
AdaptiveMobile a déclaré que la technologie S@T Browser était
active sur le réseau des opérateurs de téléphonie mobile dans au moins
30 pays du monde. Les chercheurs ont indiqué que ces pays ont une
population cumulée de plus d'un milliard de personnes, qui sont toutes
exposées à cette méthode de surveillance silencieuse. Selon une source
qui a parlé à ZDNet, les pays concernés se situent dans la région MENA
(Moyen-Orient, Afrique du Nord) et quelques-uns en Asie et en Europe de
l'Est.
En outre, la technologie S@T Browser prend en charge plus que les
commandes exploitées par les attaquants - à savoir celles qui consistent
à récupérer des données de localisation et des codes IMEI, et à envoyer
un message SMS.
D'autres commandes prises en charge par le navigateur S@T incluent la
possibilité de passer des appels, d'éteindre les cartes SIM, d'exécuter
des commandes de modem AT, d'ouvrir des navigateurs (avec des liens de
phishing ou sur des sites dotés d'un code malveillant), etc.
AdaptiveMobile indique que cette technologie et cette attaque pourraient
servir à autre chose qu'à la surveillance, et que d'autres acteurs
pourraient également en abuser. Par exemple, Simjacker pourrait
également être utilisé pour des campagnes de désinformation (pour
l'envoi de SMS / MMS avec un contenu factice), pour des fraudes
financières ( via la composition de numéros payants), pour l'espionnage
(pour lancer des appels et écouter les conversations à proximité) et
pour le sabotage (en désactivant la carte SIM de la cible), parmi
beaucoup d’autres.
Les attaques Simjacker ne sont pas nouvelles. Il s’agit juste de
l’exploitation par un acteur malveillant des technologies STK. Ces
attaques sont connues, au moins sur le plan théorique, depuis 2011 : le
chercheur en sécurité roumain Bogdan Alecu décrivait pour la première
fois comment un acteur malveillant pouvait utiliser les commandes STK
pour inscrire des utilisateurs à des services payants [1, 2].
L'équipe de recherche AdaptiveMobile présentera davantage
d'informations sur les attaques de Simjacker lors de la conférence sur
la sécurité VirusBulletin 2019 qui se tiendra à Londres en octobre
prochain. Source : Simjacker attack exploited in the wild to track users for at least two years
