Catégories
informatique Sécurité Service informatique

Decathlon et BlueNove ont exposé des données

Les données d’un peu plus de 7800 employés de la chaîne de magasins de sport ont été révélées après une base de données mal configurée par un fournisseur, comme l’a révélé la société VPNMentor. Un cas d’école sur la détection désordonnée d’une faille de sécurité.

Lorsqu’il s’agit de signaler des fuites de données, il est parfois préférable de se tourner vers le gestionnaire plutôt que vers le fournisseur: début mars, la société vpnMentor a découvert une base de données Amazon S3 Bucket mal configurée qui exposait plus de données. Sur 7 800 collaborateurs et clients Decathlon.

Parmi les données exposées, vpnMentor déclare avoir identifié des données personnelles – noms, prénoms, adresses e-mail, numéros de téléphone, villes et pays de résidence – et des photos ainsi que le jeton d’approbation. Si les données appartiennent aux salariés de Decathlon, la chaîne de magasins de sport n’est pas directement responsable de la configuration de cette base de données: elles ont été confiées à la société BlueNove, qui a agi en tant que prestataire du Decathlon.

Les données ont été collectées dans le cadre d’un projet de recherche interne, appelé Vision 2030, qui visait à consulter les employés et les partenaires de la chaîne de magasins sur les ambitions et les valeurs de l’entreprise au cours des 10 prochaines années. BlueNove, qui se positionne comme une société spécialisée dans «l’intelligence collective», a donc été désignée pour conduire le projet.

Malheureusement, le projet est tombé sur le radar de vpnMentor: cette société qui propose des comparaisons VPN s’est lancée dans un projet de « web mapping », qui vise essentiellement à identifier des bases de données exposant des données sur le web. L’entreprise se charge alors de contacter les entreprises concernées, et une fois le problème résolu, en profite pour publier un article sur son blog contenant tous les détails de leur découverte.

Selon le message de vpnMentor, signaler la vulnérabilité n’était pas si simple. La société affirme avoir tenté de contacter BlueNove et Amazon en mars pour leur signaler les données exposées. vpnMentor rapporte avoir échangé des e-mails avec l’équipe BlueNove sans obtenir de correctif pour l’erreur. La société explique avoir finalement contacté Decathlon le 12 avril. Deux jours plus tard, l’exposition aux données a été corrigée. Il a donc fallu attendre plus d’un mois et demi et contacter plusieurs responsables pour enfin sécuriser la base de données.

L’histoire semble différente lorsque vous demandez à BlueNove: les communications de l’entreprise expliquent qu’elle a pris connaissance de l’avertissement via un e-mail envoyé le 12 avril à l’un de ses dirigeants, qui a écrit un article sur le partenariat avec Decathlon. Un e-mail en anglais faisant référence à une « faille de sécurité importante » sans donner plus de détails, « le genre de chose qui est assez facilement classée comme spam », a commenté un porte-parole de BlueNove. Aucun autre message de BlueNove n’a été identifié, ce qui n’exclut pas la possibilité qu’un message ait été envoyé sous le radar.

Prestataire de services informatique Hyères

Concernant les données en question, BlueNove n’est pas non plus d’accord: « les données en question (noms, prénoms, adresses e-mail, villes) ne sont pas considérées comme CNIL car des données considérées comme » sensibles « . L’analyse d’impact n’a mis en évidence aucune risque pour les personnes touchées De plus, la ville ou le pays peut être lié aux emplacements des magasins Decathlon, nous ne collectons pas les adresses des participants ni leurs photos. »Les données ont donc été effectivement exposées sur le réseau, mais à première vue elles étaient non exploité par des tiers malveillants.

« Nous avons des adresses dédiées, une pour le support technique et une pour le délégué à la protection des données, qui peut être contacté pour signaler ce type de scénario », a rappelé le porte-parole de BlueNove. Ce mécanisme, qui ne semble pas avoir fonctionné comme prévu dans ce cas précis, mais vpnMentor ne précise pas dans son message les adresses utilisées pour contacter l’entreprise. Lorsque ZDNet a été interrogé sur ce sujet, la société n’avait pas répondu à nos questions au moment de la publication de cet article.

Bien que BlueNove regrette cette exposition involontaire de données, la société estime que la publication de vpnMentor n’est donc pas tout à fait exacte. Ils ne sont pas les premiers à se plaindre du signalement de failles de sécurité par l’entreprise, mais on peut toujours affirmer que personne n’aime être exposé publiquement à ses erreurs.

Signaler des vulnérabilités ou des failles de sécurité est toujours un sujet difficile, comme le souligne Rayna Stamboliyska, vice-présidente de la gouvernance et des affaires publiques chez YesWeHack, et auteur d’un livre blanc sur la question du reporting coordonné des vulnérabilités: «dans ce cas, il faut comprendre que il n’y a pas de relation contractuelle entre les parties, ce qui complique bien entendu les choses. Ici, c’est la bonne foi des chercheurs qui entre en jeu ». Ce type de rapport peut en effet rapidement s’avérer complexe pour les deux entreprises: la victime d’une violation de données n’a aucune envie d’être présentée comme négligente avec les données de ses clients, et de l’entreprise ou du chercheur qui a découvert la brèche. La fuite peut faire face à une application légale si ses recherches sont un peu trop approfondies.

Le vol de données n’est pas le seul risque à prendre en compte dans ce type d’entreprise, on peut aussi craindre qu’un tiers ne tombe pour les données et vous fasse une mauvaise publicité: vpnMentor n’est en fait pas la seule entreprise à pratiquer ce type de reporting suivi d’un publication, et il vaut mieux se préparer à cette éventualité à l’avance. «Dans tous les cas, il y aura toujours des failles, alors soyez mieux préparé», résume Rayna Stamboliyska.

LIEN

Catégories
Attaque Ekans Entreprise de construction EvilQuest GandCrab Hakbit informatique maze NetWalker Professionnel Ragnar Locker Ransomware revil Rugby Ryuk Sécurité Service informatique Shade sodinokibi SolarWinds Spectre Sunburst Technologie ThiefQuest

Le président des États-Unis Joe Biden signe le décret sur la cybersécurité

Cette semaine, le président des États-Unis a ordonné la création d’un comité dédié aux cyberattaques ainsi que la création de nouvelles normes de sécurité logicielle pour les agences gouvernementales.

En matière de cybercriminalité, les États-Unis ont été confrontés à une cyberattaque massive menée par le groupe Darkside. En utilisant un ransomware, les pirates ont pu fermer l’opérateur pétrolier Colonial Pipeline, qui transporte généralement près de la moitié du carburant du pays. Une attaque qui a fait souffler un vent de panique chez les Américains. Les stations-service à travers le pays ont été prises d’assaut si loin qu’elles commencent une pénurie nationale.

Si la panique n’a pas duré longtemps car le problème a été rapidement résolu, ce nouvel incident démontre clairement la fragilité de l’Oncle Sam face aux cyberattaques. C’est dans ce contexte que le président américain Joe Biden a signé mercredi 12 mai 2021 un décret qui renforcerait la sécurité du pays contre les cyberattaques.

Pour renforcer la cybersécurité aux États-Unis, Joe Biden a annoncé la création d’un comité chargé d’examiner les cyberincidents. Plus précisément, l’organisation enquêtera sur les principaux hacks qui se sont produits dans le pays pour mieux comprendre les détails de l’affaire. Ce nouveau conseil est modelé par le National Transportation Safety Board, qui est chargé d’enquêter sur les accidents aériens, ferroviaires et maritimes, et peut aider à identifier les coupables potentiels en cas d’attaques supplémentaires. Pour rappel, ce n’est pas la première fois que le gouvernement américain est confronté à une cyberattaque. En décembre dernier, un groupe de pirates informatiques a ciblé le gouvernement avec le piratage massif de SolarWinds. Sans divulguer tous les détails de l’incident, Donald Trump affirmait à l’époque avoir des preuves de l’implication russe. Il y a quelques mois à peine, c’était la Chine qui, cette fois, était soupçonnée d’avoir ordonné une cyberattaque visant le géant Microsoft.

Outre la création d’un comité dédié, Joe Biden a également annoncé la création de nouvelles normes logicielles conçues pour sécuriser plus efficacement les agences gouvernementales américaines et empêcher de nouveaux piratages. Ces nouvelles normes comprendront l’utilisation de l’authentification multifactorielle, mais également le renforcement de la sécurité des échanges entre le gouvernement et les entreprises privées.

Catégories
Attaque Etude informatique Ransomware Sécurité Service informatique

L’assurance ne paie pas toujours la rançon

La compagnie d’assurance Axa a annoncé qu’elle suspendait temporairement son option «cyber rançon», qui proposait de soutenir les entreprises victimes de ransomwares en payant une rançon. Une pratique qui ne fait pas l’unanimité.

L’assurance ne paie pas toujours la rançon!

Axa France ne paie plus de rançon: la compagnie d’assurance a annoncé la suspension de son dispositif de «cyber rançon», option proposée depuis mi-2020 aux entreprises souscrites à l’assurance cybersécurité proposée par Axa. Comme l’explique Axa France, ce revirement brutal est venu directement du discours du directeur de l’Anssi et du parquet de Paris à ce sujet lors d’une audition au Sénat. Guillaume Poupard avait mis l’accent sur le «jeu nuageux» des compagnies d’assurance, qui, en facilitant le paiement de la rançon, faisait donc des entreprises françaises les principales cibles des cybercriminels.

Les compagnies d’assurance en situation délicate
Pour AXA France, qui proposait ce type de service, la déclaration a fait son effet. Comme l’explique un porte-parole de la compagnie d’assurance, «dans ce contexte, AXA France, qui avait fermé sa gamme avec une option dans ce sens, a jugé opportun de suspendre sa commercialisation jusqu’à ce que les conséquences en soient tirées. De ces analyses et que le cadre de l’intervention d’assurance soit clarifié. Il est important que les pouvoirs publics concrétisent leur position sur cette question afin de permettre à tous les acteurs du marché d’harmoniser leurs pratiques « .

Il précise néanmoins que cette suspension n’affecte pas le reste du contrat de cyber-assurance proposé par l’assureur, qui continuera à proposer à ses assurés le reste des services liés à ce contrat. La possibilité de cyber-rachat était offerte aux entreprises ayant mis en place une politique de sécurisation du système informatique et réservée aux «cas marginaux» où le paiement d’une rançon était considéré comme la seule solution disponible. De même, cette option était réservée aux entreprises ayant déposé une plainte. Et dans l’hypothèse où la plainte serait adressée aux services antiterroristes, AXA France déclare avoir alors refusé de rembourser le paiement de la rançon.

L’audience du Sénat a incité les compagnies d’assurance à prendre position sur cette question délicate. AXA France n’est pas le seul du secteur à proposer ce type de service: le mois dernier, la compagnie d’assurance Hiscox expliquait à L’Argus de l’Assurance que ce type de prestation faisait partie de leurs contrats, même si cette éventualité est toujours présentée comme «solution de dernier recours». D’autres acteurs de terrain, comme Generali, en revanche, sont radicalement opposés à ce type de pratique.

Paiements de rançon dans la ligne de mire
A la suite de cette consultation, on apprend notamment que la Direction générale du ministère des Finances a confié au Haut Comité juridique de la Place des Finances de Paris la mise en place d’un groupe de travail sur la question du paiement de la rançon. Cela devrait conduire à une série de recommandations sur le sujet et clarifier la position des autorités sur la légalité de cette pratique.

L’interdiction des paiements de rançon est un problème difficile, mais qui se fait de plus en plus entendre au milieu des nouvelles technologies. Fin 2020, la société de cybersécurité Emsisoft a publié une colonne exhortant les gouvernements à interdire le paiement d’une rançon pour freiner les attaques de ransomwares. Dans le même temps, le département américain du Trésor a rappelé que le paiement d’une rançon à certains groupes pouvait entraîner des sanctions pour l’entreprise victime. Début 2021, l’ancien chef de l’agence britannique de cybersécurité a également appelé à une modification de la loi pour interdire à nouveau le paiement d’une rançon pour éviter de financer un écosystème criminel.

Les montants des rançons faisant l’objet d’un chantage à la suite d’attaques de ransomwares augmentent depuis plusieurs années. Selon une analyse de Palo Alto Networks, la rançon moyenne payée par les entreprises en 2020 a triplé, passant de 115.123 dollars en 2019 à 312.393 dollars en 2020, avec un montant record pouvant atteindre 30 millions de dollars. Cette croissance reflète le changement de tactique des cyber-attaquants qui augmentent le pouvoir de levier de leurs victimes et n’hésitent plus à attaquer les grandes entreprises susceptibles de payer une rançon plus importante.

Catégories
Etude informatique Professionnel Spectre

Spectre et une nouvelle vulnérabilité informatique

Une nouvelle vulnérabilité de sécurité de type Spectre menace la sécurité de nos ordinateurs. Il affecte les derniers processeurs AMD et Intel au cours de la dernière décennie. Une solution entraînerait une baisse drastique des performances du processeur.

La faille de sécurité réside dans l’utilisation du cache micro-up. Ce dernier détecte des instructions simples afin que le processeur puisse les traiter facilement et rapidement pendant le processus d’exécution, ce qui entraîne une augmentation des performances du processeur.

Cette nouvelle vulnérabilité Spectre affecte donc tous les processeurs qui utilisent un micro-up cache, c’est-à-dire Références Intel depuis 2011 et références AMD depuis 2017.

En 2018, nous avons appris que des vulnérabilités affectaient de nombreux modèles de processeurs équipant nos PC. Ces séries d’erreurs sont appelées Spectre et Meltdown. Lorsqu’ils sont exploités, ils peuvent permettre aux attaquants de voler des données sur un ordinateur et d’en prendre le contrôle. Une nouvelle variante de Spectre a été récemment identifiée.

Les nombreux correctifs de sécurité et correctifs mis en œuvre après les premières révélations de la vulnérabilité de Spectre sont inefficaces dans ce cas, car les premières vulnérabilités ont agi tard dans le processus d’exécution spéculative, tandis que ce dernier agissait davantage à la source.

Comme d’autres spécifications de Spectre, cette vulnérabilité exploite l’exécution spéculative, qui permet au processeur de préparer et d’exécuter des tâches qui n’ont pas encore été demandées, afin qu’elles puissent s’exécuter rapidement en cas de besoin.

La vulnérabilité permet de tromper le CPU et de lui faire exécuter des instructions pour ouvrir un passage aux hackers vers le système et ainsi accéder à des données confidentielles.

Cependant, les chercheurs estiment que cette faille de sécurité est compliquée à exploiter et que sa correction entraînera nécessairement une diminution marquée des performances du processeur. Intel et AMD pourraient donc choisir de ne pas couvrir cette vulnérabilité.

Catégories
Attaque informatique Rugby Sécurité Service informatique

Le groupe pharmaceutique Pierre Fabre est victime d’une cyberattaque majeure

Pierre Fabre a été touché par une cyberattaque majeure, au point que certains sites de production ont été fermés. Le groupe pharmaceutique compte une soixantaine de sites, dont 15 en France.

Pierre Fabre sponsor du Castres Olympique

La cyberattaque contre Pierre Fabre s’est déroulée dans la nuit de mardi à mercredi. « Cependant, la distribution des produits ne sera pas interrompue », a indiqué la direction à l’AFP. Elle a également envoyé un SMS à ses employés, qui ont déclaré: «Après l’incident informatique, l’entreprise s’est complètement arrêtée. Un congé payé ou une journée de loisirs en 2020 est également imposé pour la journée du 1er avril ».

La situation a changé depuis. Le groupe affirme que «la propagation des virus informatiques est complètement contenue». Dans le même temps, ses opérations correctives (c.-à-d. Réparation) ont commencé à fournir un retour progressif à la normale.

Le système informatique de Pierre Fabre a été «immédiatement mis en veille pour empêcher la propagation du virus» à la lumière de la cyberattaque. «Cela a conduit à une fermeture progressive et temporaire d’une grande partie des activités de production à l’exception du site de production d’actifs pharmaceutiques et cosmétiques dans le Tarn», précise la direction.

Le groupe s’assure que la disponibilité de ses produits auprès des patients et des consommateurs reste assurée. En particulier, le centre de distribution de médicaments d’Ussel (en Corrèze) distribue des traitements anticancéreux livrés directement aux pharmaciens ou aux hôpitaux.

Catégories
Attaque informatique maze Ransomware Sécurité Service informatique Technologie

Les forums de cybercriminalité des plus élitistes ont été complètement piratés

Le forum cybercriminel de Mazafaka, qui abrite des gangs d’élite, a lui-même été piraté et pas seulement un petit peu. Les attaquants ont pris le contrôle total du site, le supprimant et le défigurant, comme l’a noté The Record. Le site affiche désormais un document contenant les données des près de 3 000 utilisateurs du forum, avec un message d’avertissement: «Vos données ont été divulguées, ce forum a été piraté».

Outre Maza, d’autres forums sur la cybercriminalité ont dû faire face à des incidents de sécurité ces derniers mois: Verified, un pilier de l’industrie, a dû fermer temporairement après avoir volé son nom de domaine; Pendant ce temps, l’exploitation d’une violation de données a souffert; enfin, le criminel a réussi à s’emparer du compte d’un modérateur de Club2crd pour envoyer de fausses publicités. Ces noms de plates-formes ne vous parlent peut-être pas, mais ils font tous partie des marchés les plus populaires. Une chose ressort: les forums de cybercriminalité se battent de plus en plus pour protéger leurs utilisateurs. Cependant, comme il s’agit d’activités illégales, les utilisateurs n’hésiteront pas à les quitter si les utilisateurs ne font pas confiance à l’administration des forums. Le manque de confiance conduit ainsi à la fermeture des forums.

Catégories
Attaque Hôpital informatique Ransomware Sécurité Service informatique

Les FAI ont reçu l’ordre de bloquer l’accès à un site hébergeant des données de santé non chiffrées

Après avoir formellement découragé il y a quelques jours et avec raison d’utiliser tout site suggérant de «vérifier» si vous ne faites pas partie des 500 000 personnes dont les nombreuses données de santé ont été volées à des laboratoires à des fins d’analyses médicales, présidente de la CNIL, Marie-Laure Denis, avait rapidement appréhendé le tribunal de Paris pour bloquer l’accès à un lieu qui héberge juste les informations personnelles et sensibles volées.

Le tribunal de Paris a rendu mercredi une décision exigeant que les FAI bloquent l’accès à un site contenant une base de données d’env. 500 000 patients.

Catégories
informatique Sécurité Service informatique Technologie

L’Europe frappé après les États-Unis par une cyberattaque d’échange

Les États-Unis semblent être la principale cible des attaques sur les serveurs Exchange, mais il y a aussi des victimes en Europe.

Une semaine après les révélations sur les attaques sur les serveurs Exchange, il est encore difficile de donner une estimation du nombre de victimes. D’autant plus que les failles qui ont permis ces attaques sont désormais publiques et facilement exploitables.

Dans l’état actuel des choses, les cibles semblent être situées principalement aux États-Unis. Mais l’Europe n’est pas épargnée. Une marque victime a été signalée sur place: l’Autorité bancaire européenne. Elle a dû fermer ses systèmes de messagerie. Ses recherches n’ont révélé, dit-elle, ni filtrage de données ni propagation sur son réseau.

LIEN

Catégories
Aérien Android Apple Association Attaque Bitcoins COVID-19 Ekans Entreprise de construction Etude EvilQuest GandCrab Hakbit Hôpital hyères informatique Mac MacOS Mairie maze Nefilim NetWalker Non classé Orange presse prix Professionnel Ragnar Locker Ransomware revil Ryuk Sécurité Service informatique Shade sodinokibi SolarWinds Sunburst Technologie ThiefQuest vidéo

Comment la vulnérabilité informatique est-elle mesurée?

Le score CVSS est utilisé presque systématiquement pour évaluer le danger des vulnérabilités. Mais savez-vous quel calcul se cache derrière le score sur 10?

Il faut dire que la cybersécurité regorge de termes spécifiques et autres acronymes (et anglophones, d’ailleurs) pour qualifier les scénarios d’attaque. On parle de RCE, XSS, de « web shell » ou même d’élévation de privilèges. Les balles d’avertissement sont le plus souvent destinées aux spécialistes et n’utilisent que du jargon. Ils soulignent rarement les risques concrets qu’une nouvelle vulnérabilité pose au public.

SUITE… Avec Numerama.com

Catégories
Hôpital hyères informatique Ransomware Sécurité Service informatique Technologie

L’Etat alloue 350 millions d’euros au renforcement de la sécurité informatique des structures hospitalières.

«Depuis le début de l’année, un établissement de santé est victime d’une cyberattaque chaque semaine», a déploré Olivier Véran, avant de laisser entendre que l’État utiliserait «très rapidement» 350 millions d’euros pour renforcer les systèmes de protection informatique des hôpitaux français. groupes, un montant prélevé sur «l’enveloppe numérique» de Ségur de la Santé supérieur à 25 millions d’euros alloué à l’Agence nationale de sécurité des systèmes d’information (ANSSI) pour réaliser des audits et accompagner les établissements de santé.

Cybersécurité dans les hôpitaux

Bien que la pandémie de coronavirus ait secoué la majorité des gens, des industries et même l’État … à l’exception des pirates. En fait, même en pleine crise sanitaire, ces personnes sans scrupules se sont multipliées par les cyberattaques.

Les hôpitaux de Dax (Landes) et de Villefranche-sur-Saône font partie des hôpitaux qui ont subi des cyberattaques. Pire encore, ils ont perturbé les chirurgies et même l’accès des patients aux urgences. Face à ce fléau, le ministre des Solidarités et de la Santé Olivier Véran et le secrétaire d’Etat au Numérique, Cédric O, se sont rendus à l’hôpital de Villefranche-sur-Saône pour rencontrer le personnel soignant et présenter des mesures de sécurisation des réseaux informatiques des hôpitaux.

Cybersécurité Hyères

Le gouvernement aurait effectivement débloqué un budget de 350 millions d’euros de Ségur de Santé, une consultation qui a eu lieu en mai 2020, qui portait sur la révision du secteur de la santé et les mesures de sécurité à prendre pour protéger les hôpitaux contre les cyberattaques.

Apparemment, l’État a l’intention de procéder d’abord à des audits pour soutenir les hôpitaux dans leur processus de sécurité. Par ailleurs, le gouvernement souhaite également accélérer la mise en place du service national de cybersurveillance en coopération avec l’Agence du Numérique en Santé (ANS). Pour rappel, ce dispositif vise à détecter les points faibles du système d’information de l’hôpital afin d’y remédier au plus vite.

1 milliard de l’État

Emmanuel Macron souhaite renforcer la sécurité des entreprises, des hôpitaux et des administrations tout en augmentant le nombre de cyberattaques dans le monde. Le secteur est exhorté par l’État à doubler ses effectifs en quatre ans

Ce service a été mis en place en 2020 et priorise les demandes de 136 groupes hospitaliers de territoire (GHT).

Bien que l’État ait mis en place des mesures pour protéger les hôpitaux contre les cyberattaques, les conditions d’obtention des aides d’État sont nombreuses. D’autant plus que cette aide suscite au final plus de critiques car elle ne garantit finalement aucune protection des établissements de santé.