Un petit billet pour vous présenter Secu-Insight.fr, un portail d’information dédié à la cyber-sécurité et à la cyber-défense. Animé par le pôle Risques Opérationnels de CEIS, le site propose de suivre l’actualité de la sécurité des systèmes d’information tant sous l’angle sécurité d’entreprise que sous l’angle géopolitique et stratégique.
Le site est régulièrement mis à jour sous forme de brèves issues de l’actualité infosec mais aussi d’articles rédigés par les équipes de CEIS traitant plus en profondeur de problématiques en matière de sécurité des systèmes d’information. A lire notamment un dossier sur le spear-phishing, une synthèse de la cyber-attaque contre Bercy et un retour sur le rapport de Booz Allen Hamilton jetant un regard prospectif sur le cyberespace en 2020.
Secu-Insight.fr présente également les tendances en matière de cyber-attaques sous forme de cartes mensuelles générées à partir de données publiques de référence (Malware Domain List notamment) mais aussi des recherches menées par les équipes de CEIS.
Ma sélection des infos #infosec et #cyberwar à retenir de cette semaine du 18 mars 2011 :
- Investing in People is Key’ at Cyber Command http://1.usa.gov/h7kKXr#DoD #Cyberwar
- SecurityVibes: RSA Piraté et les clients SecuriID alertés http://bit.ly/hj3bL9
- Rustock botnet’s operations disrupted http://feedly.com/k/eyKh6f
- RT @ericfreyss: « Skimming » de codes PIN sur cartes bancaires EMV http://j.mp/hrJdYY #SécuritéNumérique
- RT @secu_insight: Secu(Insight).fr – Nouvelle technique de phishing http://dlvr.it/KkJ1J
- En 2011, 73 000 souches de malwares sont créées chaque jour ! http://feedly.com/k/glW4jn
- RT @Defenseidentity: RT @cyberdomain: #CyberWar – Critical Infrastructure Protection II http://tinyurl.com/5rpluvl #Cyber #Stuxnet#Social
- Social Engineering: The Art of Human Hacking http://feedly.com/k/eAJiy0
- RT @PhysicalDrive0: #Twitter Supports #HTTPS Encryption to Bolster Security http://bit.ly/ie3Jeu
- ZeuS Innovations: ‘No-$H!+ Reports’ http://feedly.com/k/hofQDi
- Les fichiers Adobe PDF : Un vecteur d’attaque en plein boom – [Fr] Orange Business Sécurité http://bit.ly/ewQxGA
- BackTrack 5 nom de code « Revolution » http://feedly.com/k/fpGjjL
- RT @yo9fah_ro: Iran is Recruiting Hacker Warriors for its #Cyber Army to Fight ‘Enemies’ - http://fxn.ws/hkSVnG #iran #hacher
- RT @sempersecurus The Underground Economy of Spam: A Botmaster’s Perspective of Coordinating Large-Scale Spam Campaigns http://bit.ly/giLp2N
- RT @InfowarMonitor: How a USA doctrine of pre-emptive cyberwar may be driving Chinese responses and vice versa
- Alerte Microsoft : la vulnérabilité 0 day « MHTML » est exploitée http://feedly.com/k/gAC22D
Les noms de domaine font, aujourd’hui, partie intégrante de l’image d’une société ou d‘une marque sur Internet. Ils ont donc un rôle majeur à jouer dans la stratégie de communication des entreprises et de fait sur leur e-réputation et leur visibilité sur la Toile.
Établir une véritable stratégie de veille et de protection de leur marque sur Internet en prenant en compte la variable des noms de domaine est donc devenu indispensable à toute entreprise.
Quelle stratégie de protection ?
Protéger ses marques sur Internet est donc devenu un passage obligé pour la maîtrise de l’identité numérique de son entreprise. Le nom de domaine est en effet un symbole de confiance mais aussi et surtout de différenciation de la marque pour ses clients. Le nom de domaine est une véritable cible pour les détracteurs mais aussi pour les cybercriminels.
Le cybersquatting reste une pratique très développée qui consiste à détourner du trafic, porter atteinte à l’image de marque d’une entreprise ou à revendre à un prix élevé le nom de domaine cybersquatté. Le cybergriping, plus agressif, s’attaque à la marque en y associant un terme péjoratif et est un véritable risque pour son image.
Le phishing, enfin, va créer un risque pour l’entreprise et pour ses clients en tentant de dérober les données personnelles et confidentielles des internautes abusés. Une fois de plus, c’est l’image de marque mais aussi et surtout la confiance des clients envers l’entreprise qui sera touchée.
Avant 2000, protéger ses noms de domaine consistait essentiellement à en déposer le plus possible, en les déclinant dans différentes extensions et différentes orthographes. L’efficacité de cette méthode a rapidement montré ses limites, les portefeuilles de noms de domaine des entreprises ont explosé et l’imagination des pirates est restée sans limite.
Une stratégie pro-active
En 2010, une politique de réservation massive n’est plus adaptée. La multiplication des nouvelles extensions et l’internationalisation des noms de domaine a multiplié les possibilités. L’entreprise doit être en mesure de définir une stratégie de réservation qui va de pair avec une stratégie de surveillance mais aussi de référencement. La surveillance doit vous informer du dépôt des noms de domaine approchant ou usurpant la marque de l’entreprise, ainsi que de la création de nouvelles extensions, par exemple. Une analyse de risque (sous le double angle image et juridique) va permettre de sélectionner les actions à mener pour défendre (ou au contraire ne pas défendre) tels ou tels noms de domaine.
Les noms de domaines jugés critiques, car portant préjudice à l’image de marque ou violant la propriété intellectuelle de l’entreprise, pourront être défendus à travers de procédures administratives ouvertes auprès de l’Organisation Mondiale de la Propriété Intellectuelle ou de l’AFNIC pour les .fr avec PREDEC ou PARL. L’action judiciaire reste également une option, plus longue et plus onéreuse mais elle peut être utilisée pour son effet publicitaire et dissuasif à l’attention des cybersquatteurs. La négociation à l’amiable directe (ou par l’intermédiaire d’un cabinet spécialisé) peut également être une possibilité, à condition de prendre toutes les précautions nécessaires afin d’éviter de se retrouver dans une situation de chantage.
Conclusion
La pro-activité doit prédominer sur la réactivité en matière de protection des noms de domaine. Une stratégie de réaction reste indispensable mais elle est nécessaire seulement pour l’analyse des cas à traiter en priorité. L’entreprise doit privilégier une gestion préventive de son portefeuille de noms de domaine à une gestion réactive. Cette stratégie proactive ne va pas seulement protéger la marque de l’entreprise mais elle va permettre d’améliorer sa visibilité et son référencement, de part une politique réfléchie de gestion du portefeuille de noms de domaine.
Point sur les procédures extrajudiciaires :
Quelques chiffres :
- 16800 affaires,
- Provenant de 150 pays différents,
- Concernant plus de 31 000 noms de domaine.
Les conditions de réussite d’une procédure OMPI :
- L’identité ou la similarité entre une marque et un nom de domaine,
- L’absence de droits et d’intérêts légitimes sur le nom de domaine,
- L’enregistrement ou l’utilisation de mauvaise foi du nom de domaine.
Sources :
Une petite sélection des articles marquants de ces derniers jours.
Quand les DSI rencontrent Amazon, un géant du Cloud Computing
Louis Naugès revient sur son blog sur une manifestation du CIGREF (un club de directeur des Systèmes d’Information des grandes entreprises françaises) qui a permis au Chief Technology Officer d’Amazon de présenter les offres d’Amazon Web Services (AWS) en matière de Cloud Computing.
L’article est très développé et présente de façon complète les offres d’AWS sous l’angle de son modèle économique.
« Amazon a été créé il y a une dizaine d’années sur une culture «low cost»pour son site de ventes ; cette même culture se retrouve sur AWS.
AWS fonctionne avec de très faibles marges, mais avec de très gros volumes d’activité. Toute réduction de ses coûts internes se traduit immédiatement par une réduction des prix de vente comme cela vient de se produire pour EC2 ; le prix de base pour une heure de processeur est passé de 10 centimes à 8,5 centimes de dollar. » Source : Louis Naugès, Quand les DSI rencontrent Amazon, un géant du Cloud Computing
Le responsable d’Amazon, le Dr Werner Vogels, insiste également sur les motivations des entreprises à choisir une solution du type Amazon Web Services.
- « Agilité : Les entreprises peuvent, très vite, déployer de nouvelles applications, tester des usages nouveaux ou faire évoluer leurs offres au gré de demandes fluctuantes. Les clients d’AWS n’ont aucun engagement de durée et peuvent, à tout instant, arrêter d’utiliser les services proposés.
- Flexibilité vis-à-vis de la charge de travail : une entreprise peut faire monter ou descendre, en quelques heures, les ressources informatiques dont elle a besoin.
- Dimensions financières : pas d’investissements initiaux, budgets de fonctionnement à la place de dépenses d’investissements, coûts d’usages très compétitifs, dépenses qui évoluent au même rythme que la demande (pay as you go)…
- Performances : de 1 à 1 000 serveurs, processeurs mono-cœur ou avec 24 cœurs, les entreprises trouvent chez AWS une capacité de calcul «infinie» qui peut varier heure par heure. » Source : Louis Naugès, Quand les DSI rencontrent Amazon, un géant du Cloud Computing
Après un peu de blabla commercial, le thème de la sécurité est enfin abordé. Les réponses du Dr Vogels me semblent un peu légères personnellement, surtout la première… « L’intérieur de l’organisation » devient une notion plus complexe quand on utilise des solutions pour stocker et utiliser des données internes à l’extérieur de l’organisation.
- « La sécurité est plus un problème émotionnel que technique.
- 90 % des failles de sécurité viennent de l’intérieur des organisations.
- Tout le système d’Amazon est ouvert sur l’extérieur, depuis le premier jour ; la sécurité est stratégique pour nous.
- Amazon travaille beaucoup sur des outils d’automatisation des procédures de sécurité, pour éliminer au maximum le facteur humain ; ils utilisent ASPEN, un langage spécifique de gestion de la sécurité.
- Amazon est «Safe Harbor compliant» pour tout ce qui concerne les données mémorisées aux USA.
- Les entreprises peuvent choisir dans quelle zone géographique leurs données et leurs processus sont localisés.
- Il n’a pas occulté la question «Patriot Act», qui permettrait à des organismes gouvernementaux américains d’essayer d’accéder à des données sans l’aval de la justice ; Werner a été très clair : nous luttons contre ces pratiques, mais nous sommes bien sûr respectueux des lois, comme le sont toutes les entreprises. » Source : Louis Naugès, Quand les DSI rencontrent Amazon, un géant du Cloud Computing
Et pour conclure, pour Amazon, un Cloud privé n’est pas un Cloud. Et de ce côté là, ils n’ont pas forcément tort.
En résumé, un article très bien développé, on y apprend beaucoup de choses sur Amazon Web Services mais de façon trop peu critique à mon goût tout particulièrement sur la partie sécurité où les différents incidents qu’a connus Amazon n’ont pas été évoqués (panne électrique, infection par un Trojan bancaire…).
Source :
Ouverture du .co, à ne pas confondre avec le .com
L’article de Jurilexblog revient sur l’ouverture, depuis le 1er mars dernier, du .co aux internautes et entreprises du monde entier. Les entreprises pourront profiter d’une phase d’ouverture prioritaire pour réserver leurs marques en .co. En effet, à partir du 20 juin l’ouverture sera accessible à tous les internautes de la planète.
En quoi cette information peut-elle nous intéresser ?
Les pirates et autres cybersquatters ne vont pas se gêner pour déposer des noms de domaines en .co jouant sur la proximité typographique avec le .com. En effet, la probabilité de mal orthographié une adresse Internet reste assez importante pour que les pirates du monde entier s’y intéresse. Le typosquatting est une forme de nuisance qui va détourner illégitimement certains internautes vers des pages de « parking » ou plus dangereux encore vers des sites web malveillants infectés de malwares ou des pages de phishing. Dans tous les cas, c’est l’image de marque de l’entreprise qui sera touchée.
Mais selon une étude (dont on peut remettre en cause la parfaite objectivité), le typosquatting ne ferait pas que des malheureux. Google (mais aussi Microsoft et Yahoo!) serait gagnant en empochant près de 500 millions par an grâce aux erreurs de frappe qui redirigent les internautes vers des pages de « parking » constituées de publicités… Google AdSense.
Source :
The rising risk of online banking fraud
Une étude publiée par l’UK Cards Association montre que les pertes liées à des fraudes bancaires en ligne ont augmenté de 4% en 2009 pour atteindre près la somme de 65 millions d’euros.
Cette forte hausse serait due à une complexification des méthodes d’attaques utilisées par les cybercriminels pour cibler les internautes. Le phishing, avec 51 000 cas recensés, reste une technique privilégiée par les pirates pour abuser leurs victimes. C’est 16% de plus qu’en 2008.
Les malwares et autres virus sont aussi une technique d’attaque appréciée des cybercriminels. Des e-mails accompagnés de pièce-jointe sont utilisés pour infecter les ordinateurs des victimes. Ensuite, un Trojan va se mettre au travail et récupérer les identifiants de sa victime lors de sa connexion sur le site de sa banque.
Comment se protéger ?
On peut déjà se protéger en mettant à jour régulièrement son OS, son navigateur web et ses logiciels de sécurité (antivirus, antispyware, firewall…).
Mais le plus important est de rester prudent et attentif aux sites Internet que l’on peut visiter. Il faut également toujours faire attention aux e-mails reçus et ne pas ouvrir n’importe quelle pièce-jointe, surtout si l’expéditeur est inconnu (et encore plus si c’est un fichier PDF…).
Pour lutter contre le phishing, il faut apprendre à reconnaître les faux e-mails malveillants des vrais envoyés par votre banque, par exemple. Jamais votre banque (et encore moins les Impôts ou la CAF) ne vous demandera par e-mail vos données de connexion ou vos informations bancaires…
Cadeau : un lien pour tester ses connaissances et surtout sa capacité à détecter des e-mails de phishing.
Source :
