bulletin de veille cyber - Mont

BULLETIN
DE VEILLE CYBER
N° 4
09 Juin 2016
IMPORTANT : Recueilli EXCLUSIVEMENT à partir de sources ouvertes, le contenu du bulletin est public. Mis à disposition à titre
d'information, de prévention et de sensibilisation, les articles présentés ne subissent aucune action éditoriale et ne saurait en
aucun cas engager la responsabilité du rédacteur du présent document.
Pour aller plus loin, les lecteurs sont invités à visiter les sites internet sources figurant sous le titre de chaque article.
SOMMAIRE
Euro 2016 : une application « alerte attentat »
Page 01
TPE-PME : 3 conseils pour sécuriser ses réseaux informatiques
Pages 02 & 03
Comment supprimer une information gênante sur Internet ?
Pages 04 à 09
Alerte ransomware : ZCRYPTOR, le virus qui se propage via les clés USB et les disques
durs externes
Pour vous prémunir des ransomwares... commencer par protéger vos données
"dadada" ! L'honteux mot de passe du patron de Facebook
Page 10
Page 11 à 13
Page 14
INSOLITE - Le moteur de recherche de Castorama piraté
Pages 15 & 16
Israël, refuge pour les escrocs français
Page 17 & 18
Euro 2016 : une application « alerte
attentat »
par Guillaume Périssat, le 08 juin 2016 15:26
http://www.linformaticien.com/actualites/id/40724/euro-2016-une-application-alerte-attentat.aspx
Le ministère de l’Intérieur a mis au point une application mobile afin de prévenir les
utilisateurs en cas de catastrophe, humaine ou naturelle. Objectif : libérer les réseaux
mobiles au profit des secours et des forces de l’ordre en cas de crise.
Système d'alerte et d'information des populations. A lire cet
acronyme, on ne pense pas vraiment application mobile. Plutôt un
service au sein d’une administration, rattaché au ministère de
l’Écologie ou de l’Intérieur…Il s’agit bien d’une application mobile
Android et iOS, lancée hier par le ministère de l’Intérieur. SAIP
servira à informer les utilisateurs en cas de catastrophe.
Quatre cas de figures ont pour l’instant été implémentés : l’attentat,
l’incident chimique, l’incident nucléaire et la rupture de barrage.
L’application demande un accès à vos notifications (logique !) et à
votre géolocalisation afin de vous transmettre les informations
concernant votre zone. Il est également possible de choisir huit
zones géographiques, afin d’être informé quant à la situation de ses
proches.
Simple mais efficace
Côté interface, SAIP est basique, mais cela suffit à ce qu’elle
remplisse sa tâche. Tant qu’il n’y a rien à signaler, elle se contente
de rappeler quelques conseils généralistes. En cas de problème,
l'écran vire au rouge et SAIP vous avertit de la nature de la menace
et des moyens spécifiques pour se protéger. Par ailleurs,
l’application fournira des informations (en moins de 15 minutes) sur
les événements, relativement fiables puisque passant directement
par le ministère.
Evidemment, il s’agit de libérer les réseaux GSM, souvent saturés lors de catastrophes aux dépens
de leur utilisation par les secours (bien que disposant d'autres réseaux spécifiques) ou les
personnes dans une situation de danger. Cette initiative fait suite aux attentats de novembre, Manuel
Valls voulait la mise en place de ce système pour l’Euro 2016, c’est chose faite. Notons que SAIP
proposera la possibilité de partager une information sur les réseaux sociaux, afin de contrôler un
minimum l’information.
Comment télécharger l'application SAIP ?
L'application est disponible pour IOS et Android. Vous pouvez la télécharger en saisissant le terme
"SAIP" dans l'APP store ou dans Google Play
Pour l'APP store : https://itunes.apple.com/fr/app/saip/id1116703676?mt=8
Pour Google play : https://play.google.com/store/apps/details?id=com.deveryware.saip&hl=fr
Pour aller plus loin :
• Le dossier de presse lancement de l'application mobile SAIP : Système d'alerte et d'information des populations
• La rubrique "le Système d'alerte et d'information des populations en 4 clics"
1
TPE-PME : 3 conseils pour sécuriser ses
réseaux informatiques
http://www.zdnet.fr/actualites/tpe-pme-3-conseils-pour-securiser-ses-reseaux-informatiques-39838054.htm#xtor=RSS-1
08 Juin 2016
Avenir de l'IT : Pour une PME, sécuriser ses réseaux relève à la fois d'une nécessité absolue
et d'un casse-tête. Mais avoir en tête trois règles d'or permet d'y voir clair et de hiérarchiser
les priorités pour éviter le pire.
Pourquoi c'est important pour vous ?
Pour comprendre comment sécuriser les données de votre PME.
"Fais pas ci !" "Fais pas ça !" Un dirigeant de TPE-PME qui se penche sur le lourd dossier de sa
sécurisation de ses réseaux ne sait rapidement plus où donner de la tête. Bien sûr, il faut choisir un
bon mot de passe (et pas "dadada", comme Mark Zuckerberg), bien sûr, il faut consulter le "Guide
des bonnes pratiques" de l'ANSSI et de la CGPME, bien sûr, il faut mettre à jour régulièrement ses
logiciels, oui, bien sûr, il faut sécuriser son réseau par tous le moyens. Mais avant tout, il faut garder
la tête froide, procéder par ordre, et se rappeler 3 grandes règles d'or, comme l'explique Cédric
Bigay, consultant indépendant en infrastructures et sécurité.
1/ SE DOTER D'UN BON PARE-FEU PHYSIQUE
L'idée est de considérer l'infrastructure informatique comme une ville, avec plusieurs portes d'entrée.
Il s'agit donc d'en sécuriser les accès, avec des pare-feu physiques (à ne
pas confondre avec les pare-feu logiciels, moins performants). Les
grandes marques de pare-feu sont Cisco, Fortigate, ou encore
Checkpoint. Ils peuvent être plus ou moins riches en fonctionnalités : ainsi,
un pare-feu traditionnel comme ASA de Cisco effectuera un filtrage simple,
d'autres pare-feu comme ceux de la gamme Next Gen de Palo Alto
proposent aussi des fonctionnalités d'anti-virus, d'anti-spam, de contrôle
d'applications, ou encore de détection de comportements suspects.
Enfin, il faut définir une "stratégie de rétention" : savoir quel type de données on veut absolument
conserver, pendant combien de temps.
2/ ÉTABLIR UN BON PLAN DE SAUVEGARDE
L'idéal est de partir du principe qu'aucun piratage n'est impossible. Et donc de se préparer au pire,
pour y faire face en limitant les dégâts. Pour ce faire, il est recommandé d'effectuer des
sauvegardes en quasi temps réel, avec une synchronisation au moins une fois par jour -en général
en pleine nuit. Ces sauvegardes, dans l'idéal, doivent être délocalisées, via une liaison fibre directe
vers les locaux du prestataire hébergeur physique -lequel bien sûr, aura interdiction par contrat
d'accéder à vos données. La solution DPM (Data Protection Manager) permet de sélectionner quels
dossiers et quels serveurs on veut sauvegarder, et fait automatiquement des points de restauration.
Si vous utilisez un boîtier RAID (boîtier de plusieurs disques durs), évitez le type RAID 1 : si un seul
disque tombe en panne, l'ensemble ne fonctionne plus. Mais avec un RAID 5, si un disque est
défectueux, un autre disque peut prendre le relais.
3/ CONTRÔLER ET LIMITER LES DROIT DES UTILISATEURS
Il ne faut jamais sous-estimer l'impact des utilisateurs sur la sécurité d'un système d'information. Le
plus sûr est de limiter l'accès à l'administrateur système et à quelques personnes-clé.
2
En cas de souci, plus le nombre d'utilisateurs est réduit, plus grandes sont les chances que le
problème reste cantonné à ces quelques utilisateurs, sans contaminer l'ensemble du système. Il est
utile également de disposer d'un annuaire LDAP : il s'agit d'un annuaire où sont référencés les
comptes utilisateurs, les machines, les postes, les serveurs… Là, on va créer des "groupes de
sécurité" : tel groupe aura accès peut accéder à tel logiciel ou à telle info, tel groupe ne le peut pas.
Ceux qui ne veulent pas investir dans un tel annuaire peuvent aussi, dans Windows, cliquer sur
"propriété d'un dossier", onglet "sécurité", et interdire ou autoriser l'accès en fonction des utilisateurs.
(Source : Bpifrance)
3
Comment supprimer une information gênante
sur Internet ?
Juin 2016
https://www.lenetexpert.fr/comment-supprimer-de-informations-sur-internet/
Victime d’usurpation d’identité, d’insultes ou de propos diffamatoires, vous
désirez faire disparaître une information compromettante d’Internet ? Il est
temps d’agir sur votre e-réputation. Les conseils de Denis JACOPINI, expert
informatique assermenté.
1 - Où supprimer
Nous pouvons considérer plusieurs niveaux de suppression :
– Au niveau des supports (sites Internet) stockant les informations à supprimer vers lesquels pointent les outils
permettant de trouver l’information ;
– Au niveau des outils permettant de trouver les informations ;
– Au niveau des supports ayant une copie des informations à supprimer vers lesquels pourraient pointer les outils
permettant de trouver l’information ;
Supprimer la totalité des informations ne peut être garanti
En effet, les actions menées sur Internet par les utilisateurs sont Internationales. En 2016, dans le monde, nous
comptons un peu plus de 3,3 milliards d’internaute et un peu plus d’un milliard de sites Internet. C’est autant
d’utilisateurs susceptibles d’enregistrer une information dans leur ordinateur ou la diffuser sur Internet, sur un blog
ou un forum dans le plus grand secret.
A ce jour, les seuls moyens à notre disposition pour trouver de l’information sur Internet sont :
•soit de connaître l’url (Uniform Resource Locator) utilisées pour identifier les pages et les sites web (par
exemple
: http://www.lenetexpert.fr/contacter-denis-jacopini-expert-judiciaire-en-informatique-correspondantcnil-cil/)
•soit on passe par des outils permettant de rechercher de l’information (ex : http://www.google.fr et on
recherche « Contacter Denis JACOPINI »)
•soit on passe par des outils spécialisés dans la recherche d’information qui vont scruter dans différents type
de services Web (annuaires, réseaux sociaux, espaces de partage, de microblogage…)
1.1 Suppression d’informations à une adresse précise
Prendre contact avec le responsable du site Internet ou le propriétaire du compte contenant l’information est la
première étape que nous recommandons.
Par
exemple,
si
une
information fausse ou compromettante est
constatée à l’adresse
suivante : http://www.lenetexpert.fr/contacter-denis-jacopini-expert-judiciaire-en-informatique-correspondant-cnil-cil,
le plus simple est de contacter la personne en charge du site internet racine soit http://www.lenetexpert.fr en
expliquant la raison de notre demande de suppression d’informations
Retrouver la personne responsable du contenu du site Internet peut s’avérer simple (dans le meilleur des cas, le
site dispose d’une rubrique « Contact » ou « contactez-nous », ou bien d’une rubrique « Mentions légale »
contenant un numéro SIREN, SIRET, l’identité d’un « responsable de la publication »…) ou parfois compliquée
(aucune rubrique précédemment citée n’est présente). Il sera alors nécessaire de trouver les coordonnées de la
personne en charge de l’hébergement du site internet en question par d’autres moyens en fonctions des
informations pouvant être trouvées sur le site Internet ou sur des sites proposant des services de « Whois »,
répertoriant les informations administratives et techniques relatives au noms de domaines.
Enfin, vous pouvez aussi contacter le responsable d’un site internet en recherchant le nom du site, de la marque
ou du service dans des annuaires internet, des moteurs de recherche ou sur des réseaux sociaux ou d’anciennes
versions du site internet.
4
Notez toutefois qu’en France, tous les sites internet édités à titre professionnel ont l’obligation de créer une
rubrique « mentions légales » dans laquelle vous pourrez peut-être aussi trouver un numéro SIREN ou SIRET si le
site Internet appartient à un professionnel ou une association déclarée à l’INSEE.
1.2 Suppression d’informations dans les outils de recherche
Supprimer une information sur un site Internet n’a pas d’action directe et immédiate sur le contenu des annuaires
et des moteurs de recherche. Cependant, supprimer une information sur un site Internet peut avoir des actions à
posteriori comme c’est le cas pour les moteurs de recherche, tels que Google, qui disposent de Bots (par exemple
les robots GoogleBot) qui scrutent le contenu des sites Internet et le contenu derrière leurs liens, à la recherche de
toute modification, ajout ou suppression d »informations.
Supprimer une information sur un site Internet peut ainsi avoir pour effet de supprimer l’information dans l’index de
recherche du moteur de recherche mais ceci sera sans garantie en terme de réalisation ou de délai.
Cependant, si le préjudice porte sur la présence sur Internet d’une information compromettante, il ne faut pas
perdre de vue qu’un internaute lambda recherche sur Internet dans la quasi totalité des cas en passant par un
moteur de recherche.
Notez qu’en France, le moteur de recherche Google est utilisé dans plus de 93% des cas et draine chaque mois un
plus de 40 millions de recherches, Bing est utilisé dans un peu plus de 4% des cas et Yahoo dans un peu plus de
2% des cas. Cela laisse très peu de place (moins de 1%) aux autres moyens utilisés pour rechercher de
l’information sur Internet.
De plus, une étude de Advanced Web Ranking de février 2015 nous informe que sur la première page de google,
le premier résultat récoltera 33% des clics, le second résultat 15,6% des clics, le troisième résultat 10% des clics,
le 4ème résultat 7% des clics, le 5ème résultat, 6% des clics, les 5 derniers résultats récoltant seulement 4% des
clics.
Il est donc facile de remarquer que 75% des consultations seront réalisées sur la 1ère page. Les liens présents sur
la seconde page des résultats de Google récolteront 5% des clics.
Ainsi, plus de 80% des recherches ne concernant que les deux premières pages de Google et ces habitudes de
consultation étant quasiment similaires sur appareils mobiles et sur d’autres moteurs de recherche,
compte tenu qu’il sera impossible d’agir sur tous les annuaires, tous les moteurs de recherche et tous les sites
Internet,
compte tenu que du coup, les prétendants à l’existence numérique concentrent leurs efforts pour être présents sur
ces outils de recherche,
compte tenu que ne pas y être présent sur ces outils de recherche revient à ne tout simplement pas avoir
d’existence numérique,
alors, concentrer ses efforts pour disparaître des 3 premières pages des 3 principaux moteurs de recherches sur
Internet permettra de faire disparaître 98% des informations indésirables.
A la suite d’une plainte déposée en 2010 auprès de l’Agence espagnole de protection des données, dans son Arrêt
du 13 mai 2014, la Cour de Justice de l’Union Européenne accorde aux individus le droit de s’opposer au
traitement de leurs données personnelles.
À la suite de cette décision, Google a publié un formulaire en ligne le 31 mai 2014 permettant à chaque citoyen
européen de demander le déréférencement des liens qui apparaissent dans une recherche associée à leur nom,
tout en prenant en compte l’intérêt prépondérant du public à avoir accès à l’information.
Le mercredi 16 juillet 2014, le moteur de recherche Bing a mis à disposition son formulaire de demande de blocage
des résultats de recherches sur Bing en Europe et en décembre de cette même année, Yahoo a mis à disposition
son formulaire.
2 - Comment supprimer
2.1 - En résumé, pour supprimer une information sur un site Internet à une adresse précise :
A) Aller sur le site Internet et rentrer en contact avec le site Internet ou avec le responsable de la publication
– rubrique « Contact », « Contactez-nous » ou similaire ;
– rubrique « Mentions légales » ou similaire ;
5
B) Rechercher le représentant légal de l’activité professionnelle associée au site Internet à partir de son numéro
SIREN ou SIRET (liste non exhaustive)
– www.infogreffe.fr
– www.societe.com
– www.europages.com
– www.hoovers.com
C) Rechercher la personne en charge de l’hébergement de l’information avec des outils de Whois (liste non
exhaustive)
– www.afnic.fr/fr/produits-et-services/services/whois/
– www.gandi.net/whois?lang=fr
– www.whois-raynette.fr/
– http://whois.domaintools.com
D) Rechercher la personne en charge de l’hébergement de l’information sur les réseaux sociaux (liste non
exhaustive)
– plus.google.com
– www.facebook.com
– www.twitter.com
– www.linkedin.com
– www.viadeo.com
E) Rechercher la personne en charge de l’hébergement de l’information dans les annuaires et les moteurs de
recherche (liste non exhaustive)
– www.google.com
– www.google.fr
– www.bing.com
– www.yahoo.com
– www.yahoo.fr
F) Rechercher d’anciennes versions du site Internet qui pourraient contenir des informations par la suite
supprimées
– http://archive.org/web (Wayback machine)
Si l’information à supprimer est personnelle, en France, vous disposiez d’un droit d’accès, de modification ou de
suppression à cette information (Article 34 et suivants de la Loi Informatique et Libertés du 6 janvier 1978).
La CNIL met à votre disposition un générateur de courrier (https://www.cnil.fr/modeles/courrier) destiné à vous
aider à faire exercer vos droits auprès des responsables de sites Internet.
Exemple de courrier :
Conformément à l’article 40 de la loi du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés,
je vous prie de [objet_de_la_demande]
Vous voudrez bien m’adresser copie de l’enregistrement ainsi modifié.
Je vous rappelle que vous disposez d’un délai maximal de deux mois suivant la réception de ce courrier pour
répondre à ma demande, conformément à l’article 94 du décret du 20 octobre 2005 pris pour l’application de la loi
du 6 janvier 1978 modifiée.
Je vous prie d’agréer, Madame, Monsieur, l’expression de mes salutations distinguées.
Si l’information à supprimer fait l’objet d’une demande de suppression judiciaire, l’Expert informatique désigné pour
réaliser cette mission pourra directement contacter le responsable du site internet pour lui communiquer
l’ordonnance justifiant son action et demander le retrait pur et simple de le’information.
En cas de difficulté, remontez la au juge en charge du suivi de votre affaire.
Enfin, si vous n’arriver pas à trouver ou à contacter une personne en charge du site Internet contenant l’information
à supprimer, vous avez la possibilité de signaler un acte d’injure ou de diffamation sur le site Internet du ministère
de l’Intérieur : http://www.internet-signalement.gouv.fr ou saisir une juridiction de proximité (https://www.servicepublic.fr/particuliers/vosdroits/F1785).
6
2.2 En résumé, pour supprimer une information dans les 3 moteurs de recherche les plus utilisés en
France :
A) Google : Accéder au formulaire de demande de suppression de résultats de recherche au titre de la législation
européenne en matière de protection des données :
https://support.google.com/legal/contact/lr_eudpa?product=websearch&hl=fr
B) Bing : Accéder au formulaire de de demande de blocage des résultats de recherches sur Bing en Europe
https://www.bing.com/webmaster/tools/eu-privacy-request
C) Yahoo :
https://fr.aide.yahoo.com/kb/search/Demande-de-blocage-de-r%C3%A9sultats-de-recherche-sur-Yahoo-Search–
Formulaire-pour-r%C3%A9sidents-europ%C3%A9ens-sln24378.html
D) Une technique appelée le Flooding consiste à produire beaucoup de contenus et de liens pour apparaître dans
les premiers résultats et de faire passer le contenu incriminé sur les pages moins consultées.
2.3 Si vous pouvez modifier le contenu des pages Web du site Internet :
A) Supprimez les fichier sou les dossiers contenant l’information
B) Modifiez la ou les pages d’index ou d’accueil en rajoutant dans l’entête « <meta name= »robots »
content= »noindex » /> »
C) Par le biais d’un fichier .htaccess vous pouvez aussi rendre privé et protégé par mot de passe l’accès à un
dossier
7
TABLEAU RÉCAPITULATIF
COMMENT SUPPRIMER UNE INFORMATION GÊNANTE SUR INTERNET
Étapes (Ordre à titre indicatif)
1) Localiser l’information
Moyen
Outil
Pas sur le moteur de recherche, sur le site
Internet
www.google.fr
www.bing.com
www.yahoo.fr
2) Contacter le propriétaire du
site
Site Internet sur lequel se trouve l’information
Rubrique « Contact », « Contacteznous » ou similaire
Rubrique « Mentions légales » ou
similaire
3) Retrouver le représentant
légal
A partir du numéro SIREN ou SIRET du
professionnel
www.infogreffe.fr
www.societe.com
www.europages.com
A partir du nom de domaine ou de l’adresse IP
www.afnic.fr/fr/produits-etservices/services/whois
www.gandi.net/whois?lang=fr
www.whois-raynette.fr
http://whois.domaintools.com
http://network-tools.com
A partir d’informations trouvées sur les réseaux
sociaux
plus.google.com
www.facebook.com
www.twitter.com
www.linkedin.com
www.viadeo.com
www.tumblr.com
www.medium.com
www.skyblog.com
www.tsu.co
copainsdavant.linternaute.com
www.trombi.com
www.pinterest.com
www.flickr.com
www.instagram
www.weheartit.com
www.dailymotion.com/fr
www.vimeo.com
www.youtube.com
08
A partir d’informations trouvées dans les moteurs
www.google.com
www.google.fr
www.bing.com
www.yahoo.com
www.yahoo.fr
4) Contacter le représentant
légal
5) Faire fermer le compte
6) Exercer son droit à l’oubli
A partir d’anciennes versions du site Internet
http://archive.org/web (Wayback
machine)
A l’amiable
E-mail ou courrier
Sur justificatifs auprès du fournisseur du service
E-mail ou courrier
Auprès des moteurs de recherche
Formulaire droit à l’oubli Google
Formulaire droit à l’oubli Bing
Formulaire droit à l’oubli Yahoo
7) Noyer l’information
8) Modifier le contenu du site
Flooding
Référencement manuel pour
envoyer l’info gênante aux oubliettes
Si accès FTP : Restreindre les accès des
moteurs
Balise meta « <meta
name= »robots »
content= »noindex » /> »
.htaccess pour rendre privé l’accès à
un dossier
9) Exercer son droit d’accès
10) Faire constater le contenu
11) Saisir la justice
Auprès de la CNIL
Courrier
(https://www.cnil.fr/modeles/courrier)
Procès Verbal d’Huissier
Huissier
Déposer une requête de demande de retrait
Avocat ou directement Tribunal de
Grande Instance
Bien évidemment cette liste de conseils n'est pas exhaustive
09
Alerte ransomware : ZCRYPTOR, le virus qui
se propage via les clés USB et les disques
durs externes
juin 2016
http://www.globalsecuritymag.fr/Alerte-ransomware-ZCRYPTOR-le,20160607,62697.html
Wooxo, éditeur français spécialisé dans la protection et l’exploitation sécurisée du
patrimoine numérique, alerte sur la propagation du rançongiciel ZCRYPTOR. Dernier
né des virus de ce type, il s’attrape généralement comme ses prédécesseurs via une
pièce jointe infectée attachée à un courriel et crypte les données.
UN RANSOMWARE AUX ALLURES DE VER
ZCRYPTOR a la spécificité de détecter les supports amovibles de type clé USB ou disque dur
externe et copie ses fichiers dans la séquence d’initialisation de ces derniers. Les fichiers sont
alors modifiés et rendus invisibles à l’utilisateur. L’infection va alors se propager et infecter de
nouvelles machines lorsque l’appareil contaminé sera branché sur un nouvel ordinateur.
En ouvrant le fichier contaminé ou en connectant l’appareil infecté, le destinataire libère le
rançongiciel qui va alors chiffrer le contenu de son ordinateur. Une demande de paiement d’une
rançon (généralement 1,2 bitcoins, soit environ 500€) s’affiche à l’écran au travers d’une boîte de
dialogue. Le montant réclamé à la victime augmente si la somme n’est pas réglée rapidement. Trop
souvent utilisés comme support de sauvegarde dans les petites et moyennes organisations, les
supports de stockage USB doivent être bannis d’une utilisation professionnelle.
A minima, les utilisateurs doivent prendre soin de désactiver la fonction autoplay des clés USB et
disques durs afin de limiter la possibilité pour ZCRYPTOR d’infecter d’autres stations de travail.
QUE FAIRE EN CAS DE SURVENANCE D’UNE TELLE ATTAQUE ?
Si un collaborateur a malencontreusement cliqué sur un lien contenu dans une pièce jointe, Wooxo
recommande d’éteindre immédiatement le poste infecté et de le déconnecter du réseau. L’idée est
de bloquer le travail du parasite, et si possible sa diffusion sur le réseau. Il est important de
rechercher et de supprimer tous les messages similaires dans les messageries des utilisateurs
connectés au réseau, puis de procéder à une réinstallation complète du poste infecté et à la
restauration des fichiers à partir d’une sauvegarde réputée saine. Si l’entreprise dispose d’un Plan
de reprise d’activité, chaque collaborateur pourra récupérer l’ensemble de ses données après un
reformatage complet du disque dur et une restauration complète des sauvegardes.
10
Pour vous prémunir des ransomwares...
commencer par protéger vos données
http://www.usine-digitale.fr/article/pour-vous-premunir-des-ransomwares-commencer-par-proteger-vos-donnees.N395837
07 JUIN 2016
Les logiciels de demande de rançon, plus communément appelés ransomwares,
sont des programmes malveillants qui prennent en otage les données des
entreprises ou des particuliers afin de leur soutirer de l’argent. Daniel Model,
responsable senior des techniques de vente pour l’Europe, explique comment
s’en prémunir grâce à une stratégie de sauvegarde bien établie.
Pour vous prémunir des ransomwares... commencer par protéger vos données
© dr
Les ransomwares ont évolué au fil du temps, dans leur mode opératoire notamment, même si leur
objectif reste invariable : extorquer les entreprises et les particuliers. Après Zerolocker, Cryptowall et
Sypeng en 2014, est apparu CTB-Locker (Changed Block Tracker), premier programme à exiger des
rançons en Bitcoins, quasiment impossibles à tracer.
Depuis février 2016, c’est Locky qui se propage à toute vitesse, usant d’un large éventail
d’approches. Ces programmes malveillants s’attaquent aussi bien aux systèmes sous Windows que
sous Mac. McAfee en dénombre 155 % de plus chaque trimestre en moyenne ; une prolifération qui
devrait s’accélérer encore, avec des méthodes de plus en plus agressives et dangereuses.
11
Les utilisateurs dont le système a été infecté par un logiciel de demande de rançon voient
généralement apparaître un message leur annonçant que toutes leurs données ont été chiffrées et
qu’ils n’obtiendront le code de déchiffrage qu’après avoir versé la somme indiquée. Certaines
versions menacent également de supprimer définitivement les données si les utilisateurs ne
procèdent pas au paiement. Mais céder au chantage ne règle pas nécessairement le problème, de
nombreuses victimes n’ont jamais récupéré leurs données une fois la rançon payée.
Ces attaques peuvent avoir des effets dévastateurs, en particulier pour les établissements
hospitaliers, les administrations ou les grandes sociétés privées, comme les institutions financières,
les fournisseurs d’accès à Internet ou encore les entreprises du secteur alimentaire. Aussi la majorité
des victimes préfère-t-elle payer dans l’espoir de rétablir au plus vite l’accès à ses systèmes.
LA SOLUTION : UNE STRATÉGIE DE SAUVEGARDE BIEN FICELÉE
Le meilleur moyen de se prémunir contre cette forme de chantage est encore la sauvegarde. Mais
créer une copie de toutes les données ne suffit pas. Pour contrer efficacement ce type de
cybermenaces, il faut mettre en place une véritable stratégie de sauvegarde, qui prévoit notamment
la restauration des données après sinistre. Pour cela, il est essentiel de suivre la règle du 3-2-1, à
savoir : conserver trois copies des données, les stocker sur deux types de supports (disque dur local
et cloud privé, par exemple) et garder une copie des données hors site, pour parer à toute
éventualité, comme les incendies, inondations et autres sinistres qui risqueraient d’endommager les
copies du site principal.
Les sauvegardes doivent être chiffrées et conservées hors site (dans le cloud, sur des supports
amovibles, etc.) pour empêcher toute tentative d’exploitation par des hackers ou des programmes
malveillants. Les sauvegardes externalisées présentent toutefois un inconvénient : elles ne peuvent
pas être actualisées de manière incrémentielle et sont donc souvent moins complètes que les
sauvegardes locales ou dans le cloud. Au mieux, elles sont programmées toutes les semaines, au
pire une fois par mois seulement.
La sauvegarde locale et dans le cloud permet de disposer de données plus actuelles. Mais en cas
d’attaque par un logiciel de demande de rançon, les copies locales peuvent être infectées dès lors
que le système de sauvegarde est connecté au même réseau que le système infiltré.
LA SAUVEGARDE DANS LE CLOUD, DÉSORMAIS INCONTOURNABLE
S’il est possible de restaurer des systèmes de production et de sauvegarde locale infectés par un
logiciel de demande de rançon grâce à des sauvegardes de données externes, l’opération peut
prendre un certain temps, sans compter que les données risquent de ne pas être complètement à
jour. Ces problèmes ne se posent pas avec les sauvegardes dans le cloud, qui offrent par ailleurs
toutes les garanties de sécurité nécessaires.
Certaines solutions permettent aux utilisateurs de copier leurs données dans le cloud en toute
simplicité et d’assurer la restauration automatisée des données, en sélectionnant la méthode de
sauvegarde optimale selon l’emplacement des données de chaque système.
En cas de sinistre, les utilisateurs peuvent récupérer leurs données numériques via une connexion
réseau ou les transférer vers un disque dur si les volumes sont trop conséquents, pour les restaurer
rapidement, indépendamment de la capacité réseau disponible.
LES TESTS : UNE ÉTAPE AUSSI INDISPENSABLE QUE LA PLANIFICATION ET
LA SAUVEGARDE
Le succès d’une restauration repose entièrement sur la qualité des sauvegardes ou du plan de
sauvegarde, laquelle ne peut être garantie qu’après des tests rigoureux.
12
Beaucoup de particuliers et même d’entreprises négligent cette étape, qu’ils jugent trop fastidieuse
et compliquée à planifier. Les tests sont pourtant essentiels pour s’assurer de sauvegarder toutes les
données nécessaires et de pouvoir les exploiter en cas de sinistre. Cela vaut autant pour les
données stockées en local que dans le cloud.
Certaines solutions de sauvegarde permettent d’ailleurs d’automatiser ces tests. En plus de contrôler
la lisibilité des informations sauvegardées, ce type de solution procède également aux tests de
restauration recommandés par les experts, pour vérifier l’intégrité des données sauvegardées.
L’avantage de ces tests automatisés, en particulier pour les PME, est qu’ils ne requièrent pour ainsi
dire aucune ressource supplémentaire.
En se dotant d’une stratégie de sauvegarde à la fois locale et dans le Cloud, obéissant à des règles
prédéfinies et dont l’efficacité peut être testée, les entreprises et particuliers n’auront plus à craindre
les logiciels de demande de rançon. Mieux vaut parfois une "ancienne" méthode correctement
planifiée, mise en œuvre et testée pour venir à bout des menaces les plus récentes. En cas
d’infection par un ransomware, il suffira à l’administrateur IT de déconnecter tous les systèmes du
réseau, d’identifier ceux infectés et de les restaurer à l’aide de sauvegardes non corrompues.
Daniel Model, responsable senior ventex chez Acronis
Les avis d'experts et points de vue sont publiés sous la responsabilité de leurs auteurs et
n’engagent en rien la rédaction
13
"dadada" ! L'honteux mot de passe du patron
de Facebook
04 juin 2016
http://www.planet.fr/technologies-dadada-lhonteux-mot-de-passe-du-patron-de-facebook.1092140.29339.html?xtor=ES-11082372[Planet-a-la-Une]-20160608
NEWBIE - Le fondateur de Facebook utilisait un seul et unique mot de passe pour ses
comptes Twitter, Pinterest et LinkedIn. Une négligence qui a valu au fondateur du
réseau social le plus populaire de la planète de se faire pirater par un groupe de
hackeurs ce week-end.
Mark Zuckerberg utilisait le même mot de passe
pour se rendre sur Pinterest, Twitter et LinkedIn.
Photo: Kay Nietfeld/AP/SIPA
Personne n’est pas à l’abri d’un piratage. Même Mark
Zuckerberg, le patron de Facebook. Le fondateur du
réseau social le plus populaire de la planète a vu en
effet ses comptes Twitter et Pinterest se faire pirater
au cours du week-end dernier. Et plutôt bêtement,
pour le coup… Comme beaucoup d’entre nous, le big
boss de Facebook utilisait un seul et unique mot de
passe pour se connecter à ces deux plate-formes,
ainsi qu’au site LinkedIn.
Victime d’un piratage massif, il y a quatre ans, ce réseau social professionnel à nouveau dans la
tourmente après l’irruption, le mois dernier, d’une base de données contenant plus de 100 millions
d'identifiants et de mots de passe est actuellement en vente sur le DarkWeb, sur une place de
marché nommé "The Real Deal". Et il semble en effet que les données de Mark Zuckerberg se
soient trouvées dans cette liste.
"Nous sommes juste en train de tester votre sécurité"
Le fichier en question est proposé à la vente pour 5 bitcoins, soit un peu plus de 2000 euros. Il
concerne 167 millions de comptes, dont 117 millions sont associés à un mot de passe. Les pirates
n’auraient eu alors qu’à rechercher son nom...
14
INSOLITE - Le moteur de recherche de
Castorama piraté
Le 08/06/2016
http://www.leprogres.fr//france-monde/2016/06/08/le-moteur-de-recherche-de-castorama-pirate
Ce mercredi en début de soirée, le site de Castorama, la chaîne de bricolage, n'est pas
disponible. La faute à un piratage.
Le moteur de recherche a été "hacké". Les suggestions convenues ont laissé place à
d'autres, plus... créatives.
Capture d'écran
Ce mercredi, vers 21 heures,
le site de Castorama ne
fonctionnait plus.
Ainsi, si l'on tapait "outil", on se voyait proposer "Outil téléphone maison" en référence au célèbre
film "E.T.".
Capture d'écran
Pareil, si l'on tapait "scie", on se
voyait proposer "scie pour
couper un corps" ou "scie clope"
(jeu de mots pour "Cyclope").
15
Capture d'écran
Évidemment, d'autres suggestions
- tournevis ou table, par exemple sont l'occasion de suggestions bien
plus coquines...
Les
responsables
de
la
communication de la chaîne de
bricolage assuraient que le "bug"
était en cours de résolution.
En attendant, les internautes
s'amusent beaucoup...
16
Israël, refuge pour les escrocs français
http://www.liberation.fr/planete/2016/06/07/israel-refuge-pour-les-escrocs-francais_1457983
7 juin 2016
Arnaud Mimran arrive au tribunal à Paris derrière son avocat Jean-Marc Fedida le 25 mai. Photo BERTRAND GUAY. AFP
Réticent à extrader vers la France, l’Etat hébreu permet à de nombreux suspects
d’arnaques financières d’échapper aux poursuites de la justice hexagonale.
Israël, refuge pour les escrocs français
Arnaud Mimran n’était pas jugé seul à Paris pour l’«escroquerie au carbone». Mais six des douze
co-inculpés de cette affaire hors du commun étaient absents du tribunal : ils étaient en Israël. C’est
le cas entre autres d’Eddie Abittan, de Michaël Haïk, de Gabriel Cohen, de Jérémy Grinholz et de
Frédéric Sebag (1). Avant eux, d’autres personnes impliquées dans l’«escroquerie du
siècle» s’étaient également réfugiées dans l’État hébreu, mais elles avaient fini par rentrer en France
pour y rendre des comptes. C’est notamment le cas de Cyril Astruc, alias Alex Khan, un flamboyant
Franco-Israélien longtemps à l’abri en Israël et arrêté en janvier 2014 alors qu’il débarquait à Paris
en provenance de Tel-Aviv.
Jacuzzi : Si la très grande majorité des juifs français effectuant leur «alyah» («montée» vers Israël)
sont parfaitement honnêtes, quelques centaines d’autres ont choisi de s’installer dans l’État hébreu
pour échapper à des poursuites judiciaires. Ou alors, ils utilisent Israël comme base de départ pour
leurs arnaques commises à l’étranger. Ces dernières années, c’est à partir du centre d’Israël qu’ont
ainsi été menées les «arnaques au président» ou aux «faux ordres de virement» (Fovi) grâce
auxquelles des aigrefins ont pu pomper dans les caisses de grandes entreprises en se faisant
passer pour leurs dirigeants.
17
Considéré comme le père fondateur de cette combine, Gilbert Chikli, le plus connu de ces escrocs,
coule en tout cas des jours tranquilles dans sa villa d’Ashdod avec piscine, jacuzzi et gardes armés,
malgré sa récente condamnation en France à sept ans de prison et à un million d’euros d’amende.
Aujourd’hui, nombre d’«élèves» de Chikli sont d’ailleurs encore actifs, comme en témoigne la
récente tentative contre l’Olympique de Marseille (2). Ou le culot de ces escrocs francophones
basés en Israël qui se font passer pour le ministre français de la Défense, Jean-Yves Le Drian, afin
de plumer une dizaine d’états africains. L’imagination n’ayant pas de limite en la matière, d’autres
ont également essayé de profiter de l’Euro 2016 pour plumer des pigeons. Huit d’entre eux ont été
arrêtés au cours d’un coup de filet lancé le mois dernier en Israël.
Tchatche : Fort présents également, les Français et les Belges impliqués dans l’arnaque au
«Forex» (pour «Foreign exchange market»), une plate-forme d’investissements sur le marché des
changes où les arnaques sont légion. Ces sites de trading en ligne promettent, grâce à la tchatche
de prétendus «conseillers financiers», des gains mirobolants à ceux qui leur confient une partie de
leurs économies. Plus d’une centaine de ces sites employant environ 3 000 personnes fonctionnent
actuellement dans l’État hébreu. Selon le procureur de Paris, François Molins, ils auraient rapporté
4 milliards d’euros en six ans. Bien plus que l’arnaque au carbone.
Certes, en mars, une quinzaine de perquisitions relatives à des dossiers Forex ont été menées dans
le centre d’Israël grâce à une collaboration entre les justices française et israélienne. Mais d’une
manière générale, l’État hébreu fait traîner les demandes d’extradition émanant de France. En 2014,
on en comptait près d’une centaine liée à des escroqueries de tous ordres et de tous styles.
Quelques suspects ont été extradés. Mais la plupart n’ont jamais été inquiétés et, à en juger par la
confiance qu’ils affichent, ils ne sont pas prêts de l’être.
(1) Le procureur a requis entre cinq et six ans de prison et un million d’euros d’amende pour chacun
d’entre eux. Le jugement sera rendu le 7 juillet.
(2) L’OM aurait été victime en 2014 d’une escroquerie au virement de l’ordre de 700 000 euros pour
laquelle deux suspects, s’étant fait passer pour des agents de joueurs, ont été arrêtés en Israël.
Nissim Behar (à Tel-Aviv)
18