Catégories
informatique Sécurité Service informatique

Decathlon et BlueNove ont exposé des données

Les données d’un peu plus de 7800 employés de la chaîne de magasins de sport ont été révélées après une base de données mal configurée par un fournisseur, comme l’a révélé la société VPNMentor. Un cas d’école sur la détection désordonnée d’une faille de sécurité.

Lorsqu’il s’agit de signaler des fuites de données, il est parfois préférable de se tourner vers le gestionnaire plutôt que vers le fournisseur: début mars, la société vpnMentor a découvert une base de données Amazon S3 Bucket mal configurée qui exposait plus de données. Sur 7 800 collaborateurs et clients Decathlon.

Parmi les données exposées, vpnMentor déclare avoir identifié des données personnelles – noms, prénoms, adresses e-mail, numéros de téléphone, villes et pays de résidence – et des photos ainsi que le jeton d’approbation. Si les données appartiennent aux salariés de Decathlon, la chaîne de magasins de sport n’est pas directement responsable de la configuration de cette base de données: elles ont été confiées à la société BlueNove, qui a agi en tant que prestataire du Decathlon.

Les données ont été collectées dans le cadre d’un projet de recherche interne, appelé Vision 2030, qui visait à consulter les employés et les partenaires de la chaîne de magasins sur les ambitions et les valeurs de l’entreprise au cours des 10 prochaines années. BlueNove, qui se positionne comme une société spécialisée dans «l’intelligence collective», a donc été désignée pour conduire le projet.

Malheureusement, le projet est tombé sur le radar de vpnMentor: cette société qui propose des comparaisons VPN s’est lancée dans un projet de « web mapping », qui vise essentiellement à identifier des bases de données exposant des données sur le web. L’entreprise se charge alors de contacter les entreprises concernées, et une fois le problème résolu, en profite pour publier un article sur son blog contenant tous les détails de leur découverte.

Selon le message de vpnMentor, signaler la vulnérabilité n’était pas si simple. La société affirme avoir tenté de contacter BlueNove et Amazon en mars pour leur signaler les données exposées. vpnMentor rapporte avoir échangé des e-mails avec l’équipe BlueNove sans obtenir de correctif pour l’erreur. La société explique avoir finalement contacté Decathlon le 12 avril. Deux jours plus tard, l’exposition aux données a été corrigée. Il a donc fallu attendre plus d’un mois et demi et contacter plusieurs responsables pour enfin sécuriser la base de données.

L’histoire semble différente lorsque vous demandez à BlueNove: les communications de l’entreprise expliquent qu’elle a pris connaissance de l’avertissement via un e-mail envoyé le 12 avril à l’un de ses dirigeants, qui a écrit un article sur le partenariat avec Decathlon. Un e-mail en anglais faisant référence à une « faille de sécurité importante » sans donner plus de détails, « le genre de chose qui est assez facilement classée comme spam », a commenté un porte-parole de BlueNove. Aucun autre message de BlueNove n’a été identifié, ce qui n’exclut pas la possibilité qu’un message ait été envoyé sous le radar.

Prestataire de services informatique Hyères

Concernant les données en question, BlueNove n’est pas non plus d’accord: « les données en question (noms, prénoms, adresses e-mail, villes) ne sont pas considérées comme CNIL car des données considérées comme » sensibles « . L’analyse d’impact n’a mis en évidence aucune risque pour les personnes touchées De plus, la ville ou le pays peut être lié aux emplacements des magasins Decathlon, nous ne collectons pas les adresses des participants ni leurs photos. »Les données ont donc été effectivement exposées sur le réseau, mais à première vue elles étaient non exploité par des tiers malveillants.

« Nous avons des adresses dédiées, une pour le support technique et une pour le délégué à la protection des données, qui peut être contacté pour signaler ce type de scénario », a rappelé le porte-parole de BlueNove. Ce mécanisme, qui ne semble pas avoir fonctionné comme prévu dans ce cas précis, mais vpnMentor ne précise pas dans son message les adresses utilisées pour contacter l’entreprise. Lorsque ZDNet a été interrogé sur ce sujet, la société n’avait pas répondu à nos questions au moment de la publication de cet article.

Bien que BlueNove regrette cette exposition involontaire de données, la société estime que la publication de vpnMentor n’est donc pas tout à fait exacte. Ils ne sont pas les premiers à se plaindre du signalement de failles de sécurité par l’entreprise, mais on peut toujours affirmer que personne n’aime être exposé publiquement à ses erreurs.

Signaler des vulnérabilités ou des failles de sécurité est toujours un sujet difficile, comme le souligne Rayna Stamboliyska, vice-présidente de la gouvernance et des affaires publiques chez YesWeHack, et auteur d’un livre blanc sur la question du reporting coordonné des vulnérabilités: «dans ce cas, il faut comprendre que il n’y a pas de relation contractuelle entre les parties, ce qui complique bien entendu les choses. Ici, c’est la bonne foi des chercheurs qui entre en jeu ». Ce type de rapport peut en effet rapidement s’avérer complexe pour les deux entreprises: la victime d’une violation de données n’a aucune envie d’être présentée comme négligente avec les données de ses clients, et de l’entreprise ou du chercheur qui a découvert la brèche. La fuite peut faire face à une application légale si ses recherches sont un peu trop approfondies.

Le vol de données n’est pas le seul risque à prendre en compte dans ce type d’entreprise, on peut aussi craindre qu’un tiers ne tombe pour les données et vous fasse une mauvaise publicité: vpnMentor n’est en fait pas la seule entreprise à pratiquer ce type de reporting suivi d’un publication, et il vaut mieux se préparer à cette éventualité à l’avance. «Dans tous les cas, il y aura toujours des failles, alors soyez mieux préparé», résume Rayna Stamboliyska.

LIEN

Catégories
Attaque Ekans Entreprise de construction EvilQuest GandCrab Hakbit informatique maze NetWalker Professionnel Ragnar Locker Ransomware revil Rugby Ryuk Sécurité Service informatique Shade sodinokibi SolarWinds Spectre Sunburst Technologie ThiefQuest

Le président des États-Unis Joe Biden signe le décret sur la cybersécurité

Cette semaine, le président des États-Unis a ordonné la création d’un comité dédié aux cyberattaques ainsi que la création de nouvelles normes de sécurité logicielle pour les agences gouvernementales.

En matière de cybercriminalité, les États-Unis ont été confrontés à une cyberattaque massive menée par le groupe Darkside. En utilisant un ransomware, les pirates ont pu fermer l’opérateur pétrolier Colonial Pipeline, qui transporte généralement près de la moitié du carburant du pays. Une attaque qui a fait souffler un vent de panique chez les Américains. Les stations-service à travers le pays ont été prises d’assaut si loin qu’elles commencent une pénurie nationale.

Si la panique n’a pas duré longtemps car le problème a été rapidement résolu, ce nouvel incident démontre clairement la fragilité de l’Oncle Sam face aux cyberattaques. C’est dans ce contexte que le président américain Joe Biden a signé mercredi 12 mai 2021 un décret qui renforcerait la sécurité du pays contre les cyberattaques.

Pour renforcer la cybersécurité aux États-Unis, Joe Biden a annoncé la création d’un comité chargé d’examiner les cyberincidents. Plus précisément, l’organisation enquêtera sur les principaux hacks qui se sont produits dans le pays pour mieux comprendre les détails de l’affaire. Ce nouveau conseil est modelé par le National Transportation Safety Board, qui est chargé d’enquêter sur les accidents aériens, ferroviaires et maritimes, et peut aider à identifier les coupables potentiels en cas d’attaques supplémentaires. Pour rappel, ce n’est pas la première fois que le gouvernement américain est confronté à une cyberattaque. En décembre dernier, un groupe de pirates informatiques a ciblé le gouvernement avec le piratage massif de SolarWinds. Sans divulguer tous les détails de l’incident, Donald Trump affirmait à l’époque avoir des preuves de l’implication russe. Il y a quelques mois à peine, c’était la Chine qui, cette fois, était soupçonnée d’avoir ordonné une cyberattaque visant le géant Microsoft.

Outre la création d’un comité dédié, Joe Biden a également annoncé la création de nouvelles normes logicielles conçues pour sécuriser plus efficacement les agences gouvernementales américaines et empêcher de nouveaux piratages. Ces nouvelles normes comprendront l’utilisation de l’authentification multifactorielle, mais également le renforcement de la sécurité des échanges entre le gouvernement et les entreprises privées.

Catégories
Attaque Etude informatique Ransomware Sécurité Service informatique

L’assurance ne paie pas toujours la rançon

La compagnie d’assurance Axa a annoncé qu’elle suspendait temporairement son option «cyber rançon», qui proposait de soutenir les entreprises victimes de ransomwares en payant une rançon. Une pratique qui ne fait pas l’unanimité.

L’assurance ne paie pas toujours la rançon!

Axa France ne paie plus de rançon: la compagnie d’assurance a annoncé la suspension de son dispositif de «cyber rançon», option proposée depuis mi-2020 aux entreprises souscrites à l’assurance cybersécurité proposée par Axa. Comme l’explique Axa France, ce revirement brutal est venu directement du discours du directeur de l’Anssi et du parquet de Paris à ce sujet lors d’une audition au Sénat. Guillaume Poupard avait mis l’accent sur le «jeu nuageux» des compagnies d’assurance, qui, en facilitant le paiement de la rançon, faisait donc des entreprises françaises les principales cibles des cybercriminels.

Les compagnies d’assurance en situation délicate
Pour AXA France, qui proposait ce type de service, la déclaration a fait son effet. Comme l’explique un porte-parole de la compagnie d’assurance, «dans ce contexte, AXA France, qui avait fermé sa gamme avec une option dans ce sens, a jugé opportun de suspendre sa commercialisation jusqu’à ce que les conséquences en soient tirées. De ces analyses et que le cadre de l’intervention d’assurance soit clarifié. Il est important que les pouvoirs publics concrétisent leur position sur cette question afin de permettre à tous les acteurs du marché d’harmoniser leurs pratiques « .

Il précise néanmoins que cette suspension n’affecte pas le reste du contrat de cyber-assurance proposé par l’assureur, qui continuera à proposer à ses assurés le reste des services liés à ce contrat. La possibilité de cyber-rachat était offerte aux entreprises ayant mis en place une politique de sécurisation du système informatique et réservée aux «cas marginaux» où le paiement d’une rançon était considéré comme la seule solution disponible. De même, cette option était réservée aux entreprises ayant déposé une plainte. Et dans l’hypothèse où la plainte serait adressée aux services antiterroristes, AXA France déclare avoir alors refusé de rembourser le paiement de la rançon.

L’audience du Sénat a incité les compagnies d’assurance à prendre position sur cette question délicate. AXA France n’est pas le seul du secteur à proposer ce type de service: le mois dernier, la compagnie d’assurance Hiscox expliquait à L’Argus de l’Assurance que ce type de prestation faisait partie de leurs contrats, même si cette éventualité est toujours présentée comme «solution de dernier recours». D’autres acteurs de terrain, comme Generali, en revanche, sont radicalement opposés à ce type de pratique.

Paiements de rançon dans la ligne de mire
A la suite de cette consultation, on apprend notamment que la Direction générale du ministère des Finances a confié au Haut Comité juridique de la Place des Finances de Paris la mise en place d’un groupe de travail sur la question du paiement de la rançon. Cela devrait conduire à une série de recommandations sur le sujet et clarifier la position des autorités sur la légalité de cette pratique.

L’interdiction des paiements de rançon est un problème difficile, mais qui se fait de plus en plus entendre au milieu des nouvelles technologies. Fin 2020, la société de cybersécurité Emsisoft a publié une colonne exhortant les gouvernements à interdire le paiement d’une rançon pour freiner les attaques de ransomwares. Dans le même temps, le département américain du Trésor a rappelé que le paiement d’une rançon à certains groupes pouvait entraîner des sanctions pour l’entreprise victime. Début 2021, l’ancien chef de l’agence britannique de cybersécurité a également appelé à une modification de la loi pour interdire à nouveau le paiement d’une rançon pour éviter de financer un écosystème criminel.

Les montants des rançons faisant l’objet d’un chantage à la suite d’attaques de ransomwares augmentent depuis plusieurs années. Selon une analyse de Palo Alto Networks, la rançon moyenne payée par les entreprises en 2020 a triplé, passant de 115.123 dollars en 2019 à 312.393 dollars en 2020, avec un montant record pouvant atteindre 30 millions de dollars. Cette croissance reflète le changement de tactique des cyber-attaquants qui augmentent le pouvoir de levier de leurs victimes et n’hésitent plus à attaquer les grandes entreprises susceptibles de payer une rançon plus importante.

Catégories
Etude informatique Professionnel Spectre

Spectre et une nouvelle vulnérabilité informatique

Une nouvelle vulnérabilité de sécurité de type Spectre menace la sécurité de nos ordinateurs. Il affecte les derniers processeurs AMD et Intel au cours de la dernière décennie. Une solution entraînerait une baisse drastique des performances du processeur.

La faille de sécurité réside dans l’utilisation du cache micro-up. Ce dernier détecte des instructions simples afin que le processeur puisse les traiter facilement et rapidement pendant le processus d’exécution, ce qui entraîne une augmentation des performances du processeur.

Cette nouvelle vulnérabilité Spectre affecte donc tous les processeurs qui utilisent un micro-up cache, c’est-à-dire Références Intel depuis 2011 et références AMD depuis 2017.

En 2018, nous avons appris que des vulnérabilités affectaient de nombreux modèles de processeurs équipant nos PC. Ces séries d’erreurs sont appelées Spectre et Meltdown. Lorsqu’ils sont exploités, ils peuvent permettre aux attaquants de voler des données sur un ordinateur et d’en prendre le contrôle. Une nouvelle variante de Spectre a été récemment identifiée.

Les nombreux correctifs de sécurité et correctifs mis en œuvre après les premières révélations de la vulnérabilité de Spectre sont inefficaces dans ce cas, car les premières vulnérabilités ont agi tard dans le processus d’exécution spéculative, tandis que ce dernier agissait davantage à la source.

Comme d’autres spécifications de Spectre, cette vulnérabilité exploite l’exécution spéculative, qui permet au processeur de préparer et d’exécuter des tâches qui n’ont pas encore été demandées, afin qu’elles puissent s’exécuter rapidement en cas de besoin.

La vulnérabilité permet de tromper le CPU et de lui faire exécuter des instructions pour ouvrir un passage aux hackers vers le système et ainsi accéder à des données confidentielles.

Cependant, les chercheurs estiment que cette faille de sécurité est compliquée à exploiter et que sa correction entraînera nécessairement une diminution marquée des performances du processeur. Intel et AMD pourraient donc choisir de ne pas couvrir cette vulnérabilité.