Les Tribunaux français victimes d’un vol de données sans précédent

Les Tribunaux français victimes d’un vol de données sans précédent
Source de l’image : succo via Pixabay

Pendant plusieurs mois, les tribunaux français ont reçu des milliers d’e-mails provenant de cybercriminels, se faisant passer pour des avocats, afin de récupérer des décisions de justice.

Comment les greffiers et le personnel administratif ont pu tomber dans le piège?

Grâce à la fameuse pratique du typosquatting. Cette arnaque se base sur les éventuelles fautes de frappe ou erreur orthographique, qu’un internaute pourrait faire lors de la saisie du nom de domaine. Par exemple : inverser les lettres, doubler certaines lettres, mettre un zéro (0) à la place de la lettre O… Le pirate va chercher à acheter un nom de domaine proche du nom de domaine officiel, qu’il souhaite cybersquatter, pour tromper l’internaute, dans le but de récupérer des données telles que des numéros de carte bancaire, des adresses e-mails, des mots de passe …

Dans notre cas du jour, les e-mails frauduleux provenaient du site avocatlime.fr et non du nom de domaine officiel, avocatline.fr (messagerie la plus importante en France pour les professions juridiques). L’internaute peu vigilant lors de la lecture de l’adresse e-mail de l’expéditeur ne se rendra pas compte de cette supercherie.

Cette pratique encore trop courante peut être facilement détectée grâce à des surveillances de nouveaux dépôts de noms de domaine, qui permettront d’agir rapidement et donc de faire des déclarations de phishing afin de protéger les internautes.

Un des rôles des sociétés, qui font l’objet d’attaques sur le web, est de protéger leurs salariés, leurs clients ou les internautes, dans notre ère digitale. Le chemin est encore long avant d’avoir un internet sécurisé. Nous devons tous redoubler de vigilance.

Le Slamming : une arnaque encore trop courante

Le Slamming : une arnaque encore trop courante !

Le slamming est une escroquerie visant à tromper des sociétés afin de leur vendre des services non sollicités pour les noms de domaine, par mail.

Ces tentatives de slamming sont facilement reconnaissables et jouent du manque de connaissance de leurs interlocuteurs dans certains cas. Les slammers vous proposent des services que vous n’avez pas sollicités auprès de votre Registrar officiel (enregistrement, mise à jour du whois, transfert de titulaire ou de Registrar …) à des tarifs excessifs. Ces mails sont très anxiogènes et vous poussent à prendre une décision rapide.

Par exemple, un mail type de slamming vous inciterait à enregistrer des noms de domaine en urgence car un tiers aurait fait une demande de dépôt de noms de domaine reprenant exactement votre dénomination sociale ou votre produit phare, à l’identique (comme par hasard). Ils vous recommandent de les enregistrer sur le champ pour éviter tout cybersquatting.  Evidemment, le « faux registrar », dans sa grande magnanimité, a mis en stand by la commande de dépôt du nom de domaine pour le bien de votre société…

Attention, le slammer utilise des références visuelles et le bon vocabulaire technique, induisant ainsi en erreur l’entreprise. Il peut aussi faire référence ou mettre le logo de certains Registres ou acteurs du milieu internet, pour crédibiliser son discours.

Que faire si vous avez un doute ?

Transmettez vos mails à Nameshield, qui vous confirmera si ces mails sont frauduleux.

Nous recommandons une gestion de vos noms de domaine centralisée et gérée par une personne informée des opérations liées aux noms de domaine. Ne prenez pas de décision dans l’urgence. Vous pouvez également faire un whois pour vérifier l’identité de l’expéditeur et l’existence de la société « Registrar ». Vous remarquerez alors que la plupart des noms de domaine qui sont utilisés pour des campagnes de slamming ont été enregistrés récemment et que les sociétés titulaires des noms n’ont aucun rapport avec l’activité de bureau d’enregistrement.

Soyez vigilants, vos noms de domaine sont des actifs immatériels à protéger, sécuriser et à valoriser.

Nameshield vous accompagne quotidiennement dans la gestion de votre portefeuille de noms de domaine, la protection de vos marques digitales et la gestion des risques sur le web.

Sale histoire de phishing

Sale histoire de phishing

Une victime d’un phishing de 2015 a demandé à sa banque de lui rembourser la somme de 3 300€ détournée par l’auteur de la fraude. Pourtant, lors de la procédure judiciaire, la Justice a annulé le jugement de la juridiction de proximité d’octobre 2017, qui avait alors ordonné à la banque de la victime de rembourser les sommes correspondantes à l’opération de phishing.

Le motif de cette annulation ? La victime a délibérément communiqué certaines de ses données confidentielles relatives à sa carte bancaire, en tombant dans le piège d’un mail de phishing (l’arnaqueur s’y faisait passer pour l’opérateur téléphonique de la victime).

L’argumentation de cette annulation avance en effet que le courriel ne comportait aucun nom de destinataire ni d’expéditeur et que la mention d’un rejet ou d’un impayé était inexacte. Aussi la victime aurait-elle pu éviter le piège tendu et ne pas communiquer ses données bancaires. La responsabilité lui incomberait donc, annulant de fait la demande de remboursement de l’argent dérobé auprès de la banque.

La grande majorité des sites de phishing utilisent des noms de domaine associés à une activité existante ou se référant à une activité,  dans le but de tromper les utilisateurs, en les invitant à cliquer sur les liens de sites légitimes. Cela permet d’augmenter ainsi la probabilité de réussite des attaquants.

Le principe du phishing est de récupérer des données personnelles sur Internet via l’usurpation d’identité, adaptée au support numérique.

S’il est vrai que le paiement frauduleux en ligne est directement dû à la négligence de la victime, elle n’avait pourtant pas communiqué ni le code confidentiel de sa carte, ni le code 3D SECURE à 6 chiffres qui lui avait été adressé par SMS pour valider le paiement. La victime avait fait opposition le jour même à sa carte bancaire, après réception de 2 messages de 3D Secure.

Toutefois, dans cette affaire, la banque affirme qu’elle sensibilisait et communiquait régulièrement auprès de ses clients, afin de les alerter des risques de phishing et sur la mise en garde de ne jamais communiquer ses données bancaires confidentielles.

Ainsi, la Cour de cassation a jugé que la victime avait agi négligemment et aurait pu éviter de tomber dans le panneau du fraudeur.

Les cybermenaces reposent beaucoup sur les mauvaises pratiques des internautes, comme le confirme le SANS Institute. Les menaces les plus fréquemment rencontrées dans les entreprises sont l’hameçonnage ou phishing (72% des répondants), les logiciels espions (50%) et les ransomwares (49%).

D’après la société américaine Webroot, environ 1.385.000 sites uniques de phishing sont créés chaque mois, avec un pic impressionnant de 2,3 millions en mai de 2017.

Il faut savoir que ces sites de phishing restent actifs durant une très courte période : entre 4 et 8 heures au maximum, pour éviter d’être suivis ou blacklistés.

Cette affaire rappelle bien sûr que la vigilance reste plus que jamais de mise !

L’attaque par phishing, de plus en plus sophistiquée

L’attaque par phishing, de plus en plus sophistiquée

Dernièrement, certains utilisateurs d’Amazon ont été victimes d’un phishing assez sophistiqué.

Ils ont reçu un faux e-mail d’Amazon les prévenant qu’une personne avait essayé de se connecter à leur compte en essayant de changer leur mot de passe. Un code à six chiffres a été transmis, avec la consigne d’appeler un numéro pour vérifier l’identité de l’utilisateur.  Si les internautes n’étaient pas à l’origine de cette action, ils étaient invités à suivre une procédure bien spécifique pour sécuriser leur compte. En appelant le numéro d’« Amazon », ils tombaient sur un SAV, basé à l’étranger. Lors de l’appel ils devaient se rendre sur un site internet et communiquer le code, pour assurer la sécurisation du compte.

Voici une copie du message de phishing:

L’attaque par phishing, de plus en plus sophistiqué

Heureusement, de nombreux internautes ont détecté ce phishing et ne sont pas tombés dans le panneau. Mais pour les autres, ont-elles été victimes d’un malware ou d’un vol de données ?

Tous les internautes sont touchés par ces tentatives de phishing. Elles font partie de notre quotidien, mais de nombreuses marques sensibilisent leurs clients contre ces manipulations (surtout le secteur bancaire qui est la cible privilégiée des hackers).

To be continued.

Conséquences désastreuses du non renouvellement d’un nom de domaine

Conséquences désastreuses du non renouvellement d’un nom de domaine
Source de l’image : SEO Link Building

La société américaine de Télécommunication, Sorenson Communication, a oublié de renouveler un nom de domaine seulement quelques jours en juin 2016. La décision est tombée fin septembre 2017, Sorenson Communication doit payer une amende de 3 Millions de dollars. Pourquoi un montant aussi élevé ?

Le nom de domaine qui est retombé dans le domaine public était porteur d’un service critique pour certains usagers ! Il s’agit du « Video Relay System » que les entreprises de télécommunication doivent fournir aux sourds et aux personnes avec des déficiences vocales pour faire des appels vidéo et contacter le numéro d’urgence des Etats-Unis, le 911, en utilisant la langue des signes. Les résidents de l’Utah présentant ces handicaps se sont vus dans l’incapacité d’appeler le 911 pendant 3 jours !

Sorenson Communication s’est en effet rendu compte assez tardivement de son oubli et a fini par renouveler le nom de domaine seulement au bout de 3 jours.

Mais ce genre d’oubli peut être facilement évité, grâce à l’option « renouvellement automatique » pour l’ensemble de votre portefeuille de noms de domaine. Vos noms de domaine critiques, porteurs de services, de site web et/ou de messageries ne seront pas interrompus par un simple oubli de renouvellement.

Sur les 3 millions de dollars d’amende, 252 000$ sont reversés à « The Federal Communication Commission » et 2,7 millions, à la société de « Telecommunications Relay Services Fund », qui a trouvé une solution temporaire pour louer sa bande passante lors de ces 3 jours sensibles.

Equifax victime d’une cyberattaque massive

Equifax victime d'une cyberattaque

La société américaine Equifax, basée à Atlanta, présente dans 24 pays, a été la proie d’une attaque particulièrement préoccupante. Equifax récolte et analyse les données personnelles de clients sollicitant un crédit. Début septembre, la société a révélé une intrusion dans ses bases de données.

Ce piratage informatique pourrait concerner potentiellement environ 143 millions de clients américains, ainsi que d’autres clients au Canada et au Royaume-Uni. Les criminels ont exploité une faille dans une application web entre mi-mai et juillet. Ils ont obtenu les noms, numéros de sécurité sociale, dates de naissance, adresses et certains numéros de permis de conduire. Le vol de ces données est très préoccupant. Ces informations faciliteront les usurpations d’identité et le piratage de comptes. Le numéro de sécurité sociale est indispensable aux Etats-Unis pour travailler, ouvrir un compte en banque ou encore obtenir un permis de conduire et souvent louer un appartement. Il se pourrait même que certaines de ces données soient déjà en vente sur le Dark Web [une partie du web non indexée par les principaux moteurs de recherche généralistes].

Cette attaque touche directement le cœur de l’identité et de l’activité d’Equifax. La société a mis en place un site internet (www.equifaxsecurity2017.com) et un numéro de téléphone à la disposition de ses clients et leur promet «gratuitement» une aide contre l’usurpation d’identité. Equifax collabore avec les autorités et une société de sécurité pour évaluer les dommages.

Equifax victime d'une cyberattaque
Site Internet Equifaxsecurity2017.com

Toutes les sociétés devraient voir cette attaque comme un avertissement. Cet exemple est bien la preuve que les entreprises peuvent peiner à voir ce qui est en train de se passer au sein de leurs propres réseaux informatiques. Les nouvelles attaques, chaque jour plus sophistiquées, passent de plus en plus inaperçues.

De surcroît, Equifax affirme avoir découvert l’attaque le 29 juillet. Pourtant, la communication faite aux clients n’intervient que début septembre : un délai anormal quant à la protection de données aussi sensibles. Aujourd’hui ces données ont disparu dans la nature.

Ce piratage de grande ampleur est loin d’être le premier. L’année dernière, le groupe Yahoo annonçait qu’un milliard de comptes avaient été piratés tandis que d’autres entreprises américaines ont elles aussi été victimes de piratages, comme le site de rencontres Adult Friend Finder, ou encore le groupe de distribution Target. Les voleurs n’ont cependant, pas eu accès aux numéros d’assurance sociale ou de permis de conduire.

Cette attaque ne vient que renforcer la nécessité pour les entreprises d’envisager dans leur stratégie de sécurité toutes les failles susceptibles de servir d’entrée aux cybercriminels.

Schmidt lance son nouveau site en .marque : Home-design.schmidt

Schmidt est une des premières marques françaises de cuisines, mais aussi le premier exportateur de meubles de cuisine en France.

Le réseau Schmidt a décidé de lancer son nouveau site web en « .marque » (Dot Brand), .schmidt et a ainsi rejoint plusieurs grandes sociétés qui ont fait ce pari telles que BNP Paribas (mabanque.bnpparibas), la Maif (voyagepro.maif), le Club Med (corporate.clubmed) ou la dernière en date, SNCF (oui.sncf).

Schmidt a choisi de regrouper ses activités sous la dénomination « home design », qui reflète bien son cœur de métier. L’enseigne ne s’est pas seulement dédiée au monde de la cuisine, mais propose également des salles de bain et des meubles sur mesure pour toute la maison : dressing, meubles TV, rangements, …, le tout avec une touche design.

Le nom de domaine home-design.schmidt permet d’une part d’optimiser son référencement sur les moteurs de recherche (SEO) et d’autre part de faciliter son développement et sa communication à l’international. Après avoir été lancé fin avril en Grande-Bretagne, le site arrive en Belgique, et poursuivra avec l’Espagne, l’Italie et la Suisse d’ici le 4 juillet prochain.

Le nom de domaine home-design.schmidt est facilement reconnaissable et mémorisable pour le grand public.

Site en .marque home-design.schmidt
Site internet home-design.schmidt

Mais quel est l’intérêt pour les marques d’avoir leur propre extension ?

Certaines entreprises en 2013 (dont une trentaine d’entreprises françaises) ont souhaité détenir leur propre extension « .marque » afin de capitaliser sur leur marque phare. La plupart d’entre elles ont voulu sécuriser et protéger leur espace de nommage (limiter les intermédiaires dans la chaîne des acteurs intervenant sur l’enregistrement d’un nom de domaine). Le but aussi est d’avoir un nom de domaine réellement distinctif et rassurant pour le consommateur final. Les marques se battent contre le cybersquatting, mais c’est une guerre sans fin. Cela représente un budget annuel important et ne limite pas suffisamment les dégâts. Le message des marques détentrices d’un « .marque » (dot brand) est le suivant : si vous n’êtes pas sur mon site en .marque, c’est que vous n’achetez pas des produits ou services de ma marque.

Cette pratique de communiquer en « .marque » n’est pas encore assez connue du grand public. Il va bien sûr falloir sensibiliser les internautes afin de redoubler de prudence lors de leur navigation, et cela passe par la vérification du nom de domaine.

Donc avoir son « .marque » est un élément différenciateur et sera de plus en plus utilisé à des fins marketing.

 

Site en ".marque" ma.cuisinella
Site internet ma.cuisinella

Cyber-blurring : la technique mise en place par l’équipe de Macron face aux cyberattaques

Cyber-blurring - la technique mise en place par l'équipe de Macron face aux cyberattaques
Photo : www.gouvernement.fr

 

A deux heures de la clôture de la campagne pour l’élection présidentielle 2017, le 5 mai 2017, des dizaines de milliers de documents appartenant à l’équipe de campagne d’Emmanuel Macron ont fuité et ont été rendus publics sur le forum américain 4Chan, relayés par WikiLeaks. Les réseaux sociaux ont joué un rôle important dans la diffusion de cette attaque et du contenu des documents : des discussions internes du mouvement, des notes de synthèses, des photos, des factures ainsi que sa comptabilité. Cela représente 9 gigaoctets de données piratées.

Les équipes du candidat d’En Marche n’étaient pas confrontées à leur première attaque depuis le début de la campagne présidentielle. Alertées depuis longtemps sur de potentiels risques d’attaque, elles ont mis en place la stratégie du cyber-blurring (qui signifie cyber flou) pour essayer de se défendre. Cette technique consiste à créer une quantité massive de faux documents (faux emails, faux mots de passe, faux comptes) pour tenter de ralentir le travail des hackers. Cette parade est souvent utilisée dans le milieu bancaire, pour protéger leurs clients. Cette technique de diversion est aussi appelée floutage numérique.

 

Twitter L'Express - Mounir Mahjoubi - cyber-blurring pour faire face aux cyberattaques
Compte Twitter de L’Express

 

Même si le directeur de la campagne numérique d’En Marche, Mounir Mahjoubi, pense avoir considérablement ralenti le travail des hackers par cette technique de cyber-blurring, malgré ces précautions, l’attaque n’a pas été empêchée.

Les pirates informatiques n’ont pas cherché à demander une somme d’argent en échange de la non publication des documents. Ces documents non compromettants pour l’équipe d’Emmanuel Macron, n’étaient pas monétisables car il fallait s’amuser à trier 9 gigaoctets en peu de temps.

Les conséquences sont minimes sur l’impact de la campagne présidentielle et l’équipe d’En marche n’a pas été réellement touchée. Cette contre-offensive a été bien mise en place. Les pirates anti-Macron n’ont pas eu le succès souhaité. En revanche, cet échec va les pousser à être encore bien plus malins, plus ingénieux, moins visibles, mieux préparés pour une prochaine attaque.

To be continued.

Les objets connectés : incontournables dans les attaques DDoS ?

IoT- Attaques DDoS

 

Aujourd’hui, tous les consommateurs côtoient et utilisent des objets connectés. L’Internet des Objets (IoT) peut comprendre un réfrigérateur, un capteur, une ampoule, des caméras de vidéosurveillance, des routeurs et thermostats connectés. Leur point commun ? De disposer d’une adresse IP et d’être connectés pour communiquer.

D’après la société américaine, Gartner,  d’ici 2020, les objets connectés devraient dépasser les 20,5 milliards d’unités. Nous allons faire face à une croissance phénoménale de l’Internet des Objets dans les années à venir.

La Chine, l’Amérique du Nord et l’Europe occidentale représenteront 67% de l’ensemble de l’Internet of Things (IoT) en 2017.

Toutefois, ces objets connectés sont fréquemment déployés avec des vulnérabilités et une sécurité hasardeuse, une véritable aubaine pour les attaques DDoS. 

Les attaques par déni de service distribué (Distributed Denial of Service ou DDoS) sont aujourd’hui fréquentes. Pour les hackers, il est relativement simple de les mettre en place contre une cible non protégée. Ces attaques sont susceptibles d’engendrer des pertes financières non négligeables pour les sociétés, par l’interruption de service (site web ou boîtes email)  ou encore indirectement, par l’atteinte portée à l’image de la cible (bad buzz, mauvaise réputation…).

Avec l’arrivée des objets connectés, les chances d’être confronté à une attaque DDoS sont élevées.

Ces attaques ont pour but de rendre indisponible un service, par inondation de requêtes. Avec l’aide de nos objets numériques et connectés, les pirates envoient des requêtes en masse sur un ou plusieurs serveurs DNS. Ils arrivent à prendre le contrôle de nos objets à distance, car ils sont porteurs de failles de sécurité. Si les serveurs DNS ne sont pas protégés par un filtrage anti-DDoS puissant, alors les serveurs risquent de ne pas absorber le volume de requêtes et donc de ne plus répondre à la demande de l’utilisateur.

En octobre 2016, la société DYN, fournisseur de service DNS, a été victime d’une attaque DDoS via les objets connectés. Les services d’infrastructure DNS ont été indisponibles et ont donc impacté les services de ses clients: Twitter, Netflix, Spotify …

Plusieurs heures hors ligne, pour ces pure players du web, impactent directement le chiffre d’affaires. DYN affirme que  « des dizaines de millions d’adresses IP étaient impliquées » lors de cette attaque.

La semaine dernière, le Registrar Melbourne IT a également été victime d’une attaque DDoS. Certains de ses clients ont été touchés par cette rupture de service.

Ces attaques risquent d’être plus nombreuses, et plus puissantes en 2017. Avant les attaques étaient menées par des ordinateurs, aujourd’hui, les objets connectés sont une arme incontournable. Heureusement, certains fabricants ont affirmé vouloir renforcer la sécurisation de leurs produits connectés.

Le DNS est une priorité absolue. Il est indispensable de sécuriser ses noms de domaine stratégiques en les plaçant sur des DNS hautement sécurisés, afin de garantir une haute disponibilité permanente. Nameshield propose une solution DNS Premium pour gagner en performance et assurer une disponibilité à 100%.

Trouver assistance lors d’une cyber malveillance : c’est possible grâce à ACYMA

acyma

Fin janvier 2017, lors du FIC (Forum International de la Cybersécurité) à Lille, ACYMA « Actions contre la cyber malveillance »,  a été dévoilé au public. C’est un nouveau dispositif du gouvernement français d’aide aux victimes de cyber malveillance pour les TPE, les PME, les collectivités locales et les particuliers face au piratage informatique tels que les ransomware, les botnets, les vols de données, et autres tentatives d’espionnage ou de sabotage devenus malheureusement de plus en plus fréquents ?

Aujourd’hui, nous constatons que les victimes des cybers attaques ne sont pas seulement les sociétés du CAC40 et les entreprises les plus connues du grand public, mais aussi et de plus en plus les TPE et PME. Avoir un rayonnement national ou international pour les entreprises n’est plus un critère de choix pour les cybersquatteurs. Tout le monde y passe, il faut parvenir à cette prise de conscience. C’est en réponse à ce constat que ce nouveau dispositif entend apporter une assistance aux victimes de cyberattaques et anticiper leurs questions.

Ce portail permettra ainsi aux victimes de poser un premier diagnostic sur leur attaque et rédigera les utilisateurs vers des prestataires de proximité capables de les aider à résoudre leur problème. Cette mise en relation débloquera de nombreuses situations techniques.

De plus, l’ACYMA sera également chargé d’une mission de sensibilisation sur les bonnes pratiques en matière de cyber sécurité et de sécurité numérique grâce notamment à une campagne de publicité pour toucher le plus grand nombre.

Enfin, cette plateforme sera la naissance d’un observatoire du risque numérique  grâce au recueil de statistiques et de données concernant les actes de cyber malveillances en France.

Aujourd’hui, cette plateforme se développe au sein de l’ANSSI (Agence Nationale de Sécurité des Systèmes d’informations) Pour remplir ces objectifs, un Groupement d’intérêt public (GIP) permettant l’implication financière et opérationnelle d’acteurs privé sera constitué.

La plateforme sera lancée dans une phase pilote dans la région des Hauts de France dans deux mois.

#FIC2017 #ACYMA #CyberSecurité #Ransomware #ANSSI