Arnaque au président

L’actualité récente (une entreprise se fait voler plus de 1 millions d’euros, lien Le Dauphiné Libéré) me donne l’occasion de vous parler d’un type d’arnaque qui a déjà coûté très cher aux entreprises, dont de nombreuses françaises.

La base est ‘simple’ : un escroc se fait passer pour le dirigeant d’une entreprise dans une conversation par e-mail avec un responsable financier et demande un (des) virement(s) sur un compte à l’étranger pour des raisons légitimes. La victime, pensant recevoir les ordres de son supérieur, s’exécute. Mais bien entendu l’argent arrive sur le compte de l’escroc.

Cette usurpation d’identité ne demande que très peu de technique. Elle exploite une faille présente dans les protocoles de messagerie depuis toujours. Pour une personne initiée, il est facile d’envoyer un e-mail en utilisant n’importe quelle adresse existante ou non. Il suffit de paramétrer son logiciel de courrier électronique avec cette adresse en question et d’utiliser un serveur d’envoi de courrier qui l’acceptera (tout simplement le serveur de son fournisseur d’accès à Internet).

Outre la prudence des employés qui devraient demander une confirmation à leurs supérieurs (en appelant ou à minima en envoyant un nouveau courrier électronique sans utiliser la fonction répondre sur le message reçu), il existe pourtant des outils qui permettent maintenant de corriger cette faille. Ces outils identifient les serveurs de courriers qui sont aptes à envoyer un e-mail avec une adresse données. Ca n’empêchera pas des personnes mal intentionnés d’utiliser d’autres serveurs mais dans ce cas, si l’entreprise utilise ces outils, elle sera informé du caractère frauduleux de l’e-mail reçu.

On rencontre aussi encore de nombreuses entreprises qui n’utilisent pas de connexions sécurisées entre leur ordinateur et le serveur de messagerie ce qui simplifie énormément la tâche d’un cybercriminel pour intercepter une conversation entre un employé et son supérieur.

Ces solutions ont un coût très abordable pour la majorité des entreprises. Webatelier propose des hébergements et des formations pour vous prémunir de ce type d’attaque. Renseignez-vous !

Votre nom (obligatoire)

Votre email (obligatoire)

Sujet

Votre message

captcha

Votre voisin vous pirate

Une étude intéressante de ThreatMetrix basée sur une période allant de octobre 2014 à mars 2015 indique que le pays d’origine des attaques est majoritairement le même pays que la cible de cette attaque.

L’étude nous donne également le top 5 des pays dont les attaques sont issues et sont la cible : Le Canada et les Etats-Unis sont en têtes. Juste derrière, 3 pays européens : La France, le Royaume-Uni et l’Allemagne. La France est donc est bonne position avec 87% des attaques issues de notre propre pays… et c’est bien le but de se blog de vous sensibiliser à ce risque.

D’autres informations intéressantes sont apportées par cette étude :
Par exemple le site indique que les attaques par cloaking / spoofing sont en hausses. Sans entrer dans les détails, ce type d’attaque consiste à intercepter votre connexion avec un serveur de pages web et de vous retourner une page différente que celle que le serveur vous aurait envoyé. Ainsi vous croyez communiquer avec un site Internet mais en réalité vous communiquez avec le serveur d’un hacker.
Le commerce sur téléphone mobile est également de plus en plus visé, ce qui est parfaitement logique avec la hausse du nombre d’appareils en circulation. Les  smartphones représentent environ un tiers des attaques.

Fiabilité et importance du mot de passe

Votre mot de passe est-il sûr ? Qu’est-ce qu’un bon mot de passe ? Comment s’en souvenir ? Cet article va tenter de répondre à quelques questions importantes de sécurité du mot de passe.

Les hackers tenteront un jour ou l’autre d’accéder à certaines de vos données personnelles en crackant votre mot de passe. Il est important de leur compliquer la tâche. Pour cela, il est important de savoir comment les hackers s’y prennent. Ils vont en fait « simplement » essayer toutes les combinaisons possibles pour deviner votre mot de passe. Comme ceci prendrait souvent beaucoup trop de temps, ils vont souvent se limiter aux combinaisons les plus simples, c’est à dire celles composées d’un mot du dictionnaire et/ou des combinaisons courantes de caractères.
Donc pour un mot de passe sécurisé, il faut que celui-ci comporte assez de caractères (8 au minimum) et un mélange de lettres majuscules, lettres minuscules, chiffres et caractères spéciaux, et bien évidemment que ce ne soit pas un mot du dictionnaire (dans le sens large du terme : mots avec fautes, prénom, ville, etc…).
Exemples de mauvais mot de passe : azerty, 12345678, chocolat, medor1974
Exemple d’un bon mot de passe : 6$sWunAd
Voici 3 sites Internet vous permettant de choisir un bon mot de passe :

  • http://www.panoptinet.com/panoptipass/
    Ce site vous permet de tester la qualité de votre mot de passe
  • http://calc.opensecurityresearch.com/
    Indiquez quelques critères et vous aurez une estimation du temps nécessaire pour tester la totalité des combinaisons possibles. Il faut par exemple plus de 235 ans pour passer en revue toutes les combinaisons d’un mot de passe de 8 caractères comprenant des majuscules, minuscules, chiffres et caractères spéciaux à raison de 168806 tentatives par seconde.
  • https://identitysafe.norton.com/fr/password-generator
    Norton fourni un générateur de mot de passe sécurisé

Un autre élément important est de ne jamais utiliser 2 fois le même mot de passe sur 2 sites différentes. En effet, si on découvre votre mot de passe quelque part, on pourra alors l’utiliser partout. Toutefois, par simplicité, j’avoue utiliser moi-même un mot de passe unique sur les sites où aucune information sensible me concernant n’est utilisable. Attention toutefois à bien discerner l’utilisation possible de votre compte avant de prendre le risque de choisir un mot de passe moins sécurisé. Par exemple, on pourrait penser que sur un forum, on ne risque pas grand chose. Mais un hacker pourrait très bien poster à votre place des informations avec lesquelles vous n’êtes pas en accord et pour lesquelles votre responsabilité pourrait être engagé (liens vers des sites sensibles par exemple). Utilisez toujours des mots de passe uniques pour vos comptes e-mails, les sites avec des informations bancaires, ou des informations personnelles et privées. Et si vous n’êtes pas sûr, de manière générale, utilisez toujours un mot de passe unique.

Alors se pose un autre problème. Comment se souvenir de tous ces mots de passes ? Je vous propose 2 solutions :

Vous pouvez créer vos mots de passe à partir d’une phrase facile à retenir et d’une méthode que vous aurez défini vous-même. Un exemple vaut mieux qu’un long discours. Prenons par exemple cette méthode : La 1ère lettre de chaque mot + tous les caractères spéciaux + un @ en 3ème position. Prenons ensuite cette phrase : « Je m’appelle Manu et j’habite dans le département 38. ». En utilisant la méthode, on construit le mot de passe suivant : « Jm’@aMej’hdld3. ». On arrive sur un mot de passe sécurisé pour lequel il suffit de se souvenir d’une méthode simple (on peut utiliser toujours la même) et une phrase (là en revanche, il faut changer de phrase à chaque mot de passe). A vous d’être imaginatif pour vous souvenir facilement d’une phrase associée à un site Internet particulier par exemple.

Utilisant pour mon travail énormément d’accès à différents sites, différents serveurs, différentes bases de données, etc… la solution ci-dessus atteint vite ses limites. Je ne pourrais en effet jamais me souvenir de toutes mes phrases. La deuxième solution est donc d’utiliser un logiciel gestionnaire de mot de passe. J’utilise par exemple Keepass. Ce logiciel possède une base de données cryptées (ainsi si on vous vole cette base de données, on n’accède toujours pas à vos mots de passe) qui contient vos différents accès. Lorsque vous créez un accès en ligne à un site ou un service, vous inventez purement et simplement un mot de passe complexe (vous pouvez demander à KeePass de vous le générer) et vous enregistrez ce mot de passe dans le logiciel. Lors de votre prochaine visite, il suffit de faire un copier-coller du mot de passe entre le logiciel et le site Internet. Vous n’avez plus qu’un seul mot de passe à vous souvenir : celui de l’accès à la base de données du logiciel. Mais attention, soyez extrêmement vigilant sur la sécurité et prévoyez donc un mot de passe très sécurisé.
La limite de cette solution est que vous devez avoir le logiciel et la base de données avec vous en cas de mobilité.

 

La cybercriminalité évoqué sur le plateau du Grand Journal

La cybercriminalité a encore beaucoup fait parlé d’elle ces derniers jours dans l’actualité. Entre les photos volées de stars et Valérie Trierweiler qui a annoncé avoir travaillé sur un ordinateur déconnecté et ne jamais évoqué son livre par téléphone, le Grand Journal a invité 2 experts de la sécurité sur Internet pour en parler.

Cette vidéo met le doigt qui nous semble important : la formation et l’éducation face à cette nouvelle menace. Faut-il travailler déconnecté d’Internet ? Faut-il craindre pour ses données personnelles ? Peut-on avoir confiance à iCloud ou DropBox ou d’autres système de Cloud ?

Ce blog reviendra prochainement sur ces questions dans un article complet.

Le Phishing menace par le biais de votre impôt !

Le phishing ou en français « hameçonnage », de quoi s’agit-il ?

Tout commence par des pirates qui trouvent une porte d’accès sur un site Internet qui ne leur appartient pas. Ils utilisent cette faille pour cacher de nouvelles pages sur le site… des pages un peu particulières ! En effet, ils vont copier presque à la perfection le site d’une institution particulière (impôts, banque, CAF, etc…) en plaçant un formulaire où on vous demande votre identifiant ou mot de passe, ou bien directement votre numéro de carte bancaire.

La deuxième étape consiste à envoyer un mailing très massif à un maximum d’internautes en se faisant passer pour l’institution dont le site  a été copié et en leur indiquant quelque chose qui vont les inciter à aller s’identifier ou à entrer leur numéro de carte bancaire tout en leur donnant le lien vers le site copié.

Les internautes qui ne sont pas vigilants et qui vont croire que c’est réellement leur banque ou les impôts qui leurs ont envoyé un e-mail vont cliquer sur le lien et remplir les données demandées. Mais ils ne feront que donner leur mot de passe ou leur numéro de carte bancaire au pirate informatique.

Chaque année, à l’heure ou les impôts sur le revenu arrivent dans les boîtes aux lettres, on constate un phishnig assez massif. Les pirates se font passer pour votre centre des impôts et vous indiquent que cette année, vous avez droit à un remboursement ! Devant cette excellente nouvelle, vous cliquez sur le lien contenu dans l’e-mail, vous arrivez sur ce que vous croyez être le site des impôts et vous entrez votre numéro de carte bancaire pour un remboursement immédiat du trop perçu.

D’une manière générale, le phishing peut facilement être évité en suivant ces quelques conseils :

  • L’e-mail reçu est bourré de fautes… Aucun doute : c’est du phishing.
  • On vous demande votre numéro de carte bancaire pour un remboursement : il est très rare (voir complètement impossible) qu’une institution utilisera cette méthode pour rembourser un trop perçu.
  • Le mail est anonyme. Il ne fait jamais mention de votre nom. Attention si le mail ne fait mention que de votre adresse e-mail, vous pouvez le considérer comme un mail anonyme. Il est très rare qu’une institution vous contact sans citer votre nom dans l’e-mail, surtout lorsqu’il s’agit de quelque chose de très personnel comme un remboursement ou une demande d’information.
  • Vérifier le lien sur lequel vous êtes invités à cliquer. Le lien ouvrira la page dans votre navigateur. Vous avez dans votre navigateur ce qu’on appelle « la barre d’adresse ». Cette barre se présente de différente manière suivant les navigateurs. Mais elle indique l’adresse Internet sur laquelle vous vous trouvez. L’adresse commence souvent par http:// ou https:// ou bien dans certains navigateurs directement par www… L’adresse est une suite de mot séparé par des « . » et des « / ». Cette barre se trouve très souvent dans la partie supérieure de votre navigateur Internet. Elle vous permet de vérifier que vous êtes bien sur le site de l’institution qui vous a contacté et non pas un autre site.
  • En cas de doute : contactez directement votre institution pour vérifier. Soit par téléphone, soit par mail mais dans ce cas ne répondez pas au mail reçu. Allez sur son site officiel et utilisez le formulaire de contact ou bien rédigez un nouveau mail.

Webatelier propose des formations sur les techniques de phishing et les autres arnaques sur Internet. Cette formation vous permet de repérer plus facilement les tentatives de fraude qui vous visent et la conduite à tenir pour les éviter. Contactez-nous !

Votre nom (obligatoire)

Votre email (obligatoire)

Sujet

Votre message

captcha

 

Le chantage sur Internet

Les cas de chantage ont été nombreux à être relatés dans les médias ces derniers temps. C’est une des méthodes employées par les hackers pour obtenir de l’argent de leurs victimes.

Les hackers commencent par trouver une faille sur le site Internet (ou le système informatique accessible depuis Internet) de sa victime. Ils visent en général les bases de données qui stockent toutes les informations concernant les utilisateurs du site (souvent les clients). Ils téléchargent cette base de données puis contactent la victime pour lui demander une rançon afin que cette base ne soit pas rendue publique. Ils accompagnent souvent cette demande d’un extrait du fichier prouvant leurs méfaits.

Récemment, le cas de Domino’s Pizza a fait pas mal de bruit. Il a été suivi de près par un cas similaire visant tout simplement la Banque Centrale Européenne ! Mais combien d’entreprises victimes cèdent au chantage de peur de voir leur réputation s’effondrer ? Selon Symantec, éditeur de logiciels autour de la sécurité informatique, le coût de la cybercriminalité en France en 2013 s’estimait à 738 millions d’euros (source : rapport Symantec sur la cybercriminalité (Edition 2013), téléchargeable au format PDF sur youscribe).

 

Les moyens d’action en France et en Europe

La cybercriminalité est prise au sérieux par les gouvernements… Même si je pense qu’ils ont un TGV de retard et que les moyens mis en œuvres sont bien trop faibles…

En France, la Gendarmerie Nationale a développé des équipes et des moyens pour lutter contre la criminalité en ligne. En 1998, un département cybercriminalité est créé au Service Technique de Recherches Judiciaires et de Documentation. Grosso-modo il assure la surveillance du réseau. En parallèle, le département informatique et électronique de l’institut de recherche criminelle de la gendarmerie nationale possède des développeurs mettant au point des logiciels qui permettent de détecter automatiquement du contenu illicite (pédophilie en première ligne). Dans le même registre, depuis fin 2003, s’est développé le centre national d’images pédopornographiques. Chaque année la gendarmerie forme plusieurs dizaines de spécialistes dans le domaine.

Le site Internet du ministère de l’intérieur possède une page « conseils pratiques sur Internet ». A découvrir en cliquant ici.

l’Europe n’en est qu’à ses balbutiements en matière de lutte contre le crime sur Internet. En effet, une force d’action anti cybercriminalité, appelé J-CAT (pour Joint Cybercrime Action Task Force) verra le jour seulement en septembre 2014 et pour une période d’essai de 6 mois ! N’allons pas trop vite, des fois que les criminels nous attendent !

A l’heure actuelle, le meilleur moyen de lutte est encore de se former contre les techniques de fraude sur Internet. Webatelier propose des formations de prévention contre la cybercriminalité, que ce soit pour les entreprises et collectivités ou pour les particuliers. N’hésitez pas à nous contacter via le formulaire ci-dessous :

Votre nom (obligatoire)

Votre email (obligatoire)

Sujet

Votre message

captcha

Coup de filet chez les pirates informatiques à New York

Cyrus Vance Jr., le célèbre procureur de New York, est peut-être plus connu en France pour l’affaire DSK que pour sa lutte contre la cybercriminalité. Pourtant, il a annoncé en faire une de ses priorités. En 2010, il a annoncé avoir créé une unité chargée d’enquêter sur la fraude sur Internet et les pirates informatiques.

Il s’illustre en ce moment sur ce sujet en annonçant aux médias ce mercredi 23 juillet 2014 une arrestation de 7 pirates informatiques à travers le monde. Les pirates ont été appréhendés en Espagne (un ressortissant Russe en vacance), à Londres (3 personnes),au Canada (1 personne) et aux Etats-Unis (2 personnes).

Le fruit d’une enquête d’une année contre ces pirates qui utilisaient des numéros de cartes bancaires volées pour acheter de la billetterie (concerts et évènements sportifs) sur le service de billetterie en ligne de EBay. Le montant du préjudice s’élève à environ 1,6 million de dollars. Ca en fait des concerts !

Source : http://news.yahoo.com/stubhub-victim-cyber-fraud-ring-arrests-announced-044944275–finance.html

 

La cybercriminalité a encore de beaux jours

Le Dauphiné Libéré aborde le sujet en s’appuyant sur le constat du CLUSIF (CLUb de la Sécurité de l’Information Français). Dans cet article, vous pourrez voir que la cybercriminalité ne s’arrête pas seulement à la petite délinquance.
Source : Le Dauphiné Libéré

La cybercriminalité

Sujet préoccupant. Les médias en parlent beaucoup du fait de l’augmentation du nombre de fraudes et d’arnaques sur Internet. Webatelier propose conseils et formations pour mieux connaître et reconnaître la cybercriminalité afin de s’en protéger. En complément, nous avons décidé d’éditer ce blog qui regroupera actualités et conseils sur le sujet.

Nous vous souhaitons une agréable lecture.