Accéder au contenu principal

Articles

Affichage des articles du décembre, 2015

Comment les technologies vont bouleverser la banque en 2016

Face aux nouveaux conquérants (Apple, Google ou autres FinTech), les géants du secteur bancaire vont devoir revoir leur stratégie et affiner leurs liens avec leurs clients tout en baissant leurs tarifs pour rester compétitifs. Au cours de l’année 2015, les grandes banques européennes ont continué à investir dans la modernisation de leurs infrastructures et se sont employées à délivrer des services par canaux numériques. Mais, alors qu’elles se battent sur plusieurs fronts, la concurrence s’intensifie, et la menace représentée par les startups FinTech, les challengers numériques et les géants de la technologie n’est pas près de disparaître. Dans le même temps, la série d’innovations qui touche le secteur offre un certain nombre d'opportunités aux acteurs capables d’évoluer rapidement. L’exemple de la technologie blockchain est certainement le plus bel exemple de l’année 2015. Alors, comment va évoluer le paysage technologique du secteur bancaire en 2016 ?

un malware dans le système de gestion de cartes bancaires des hôtels Hyatt

L'hôtelier américain indique avoir lancé une enquête mais encourage ses clients à surveiller de près leurs relevés de paiements par cartes. La période des fêtes semble bien être la période favorite des hackers . Après des attaques informatiques visant le groupe Starwood - propriétaire des chaînes Sheraton et Le méridien - et le groupe Hilton , c'est au tour de l'hôtelier américain Hyatt d'être visé par un acte malveillant. Dans un communiqué Hyatt Hotels indique avoir identifié « récemment » un programme informatique malveillant sur des ordinateurs habituellement utilisés pour gérer le système de paiement de ses sites. « Sitôt l’activité découverte, la société a lancé une enquête et engagé les meilleurs experts en sécurité », dit le groupe. « Les clients peuvent avoir confiance quand ils utilisent une carte de paiement dans des hôtels Hyatt dans le monde ».  Preuve tout de même que cette corruption de système est prise très sérieusement, Chuck

Grub2 Linux la demande de mot de passe peut être court circuitée par la touche retour arrière

Grub2, utilisé par un grand nombre de distributions Linux, est victime d’un bug ouvrant la voie à une importante faille de sécurité : si un utilisateur appuie précisément 28 fois sur la touche retour arrière, il peut passer outre la protection par mot de passe. Le problème a été découvert par deux chercheurs espagnols, qui proposent déjà un patch correctif. Grub2 est un  bootloader , un gestionnaire de démarrage que l’on retrouve dans un grand nombre de distributions Linux. Il sert à initialiser la machine et peut prendre notamment en charge les menus multiboot, permettant de choisir le système d’exploitation que l’on veut lancer. Il est particulièrement connu comme solution autorisant par exemple une machine à pouvoir démarrer sur Windows ou Linux. Il peut par ailleurs ajouter une couche de protection à la machine en réclamant un mot de passe, en plus de celui que l’on attribue d’ordinaire à la session Linux. Une faille introduite dans le code de Grub2 il y a six ans Deux chercheurs d

AVIS D'EXPERT : Mot de passe, chronique d’une mort annoncée

L’authentification par mot de passe est morte. Ce n’est pas encore entré dans les mœurs de la plupart des acteurs de l’Internet, et encore moins chez les utilisateurs, mais c’est pourtant le cas. Au même titre que telnet est mort et enterré au profit de ssh - à tel point que l'on a presque du mal aujourd'hui à se souvenir que l'on a pu jadis utiliser telnet - l’authentification par mot de passe est morte, et l’entrée dans l’ère de l’authentification à deux facteurs généralisée est inévitable. Il y a plusieurs raisons à cela. D'abord, les utilisateurs, bien sûr. De plus en plus nombreux, et de moins en moins sensibilisés aux principes de sécurité informatique (corollaire de la démocratisation et de la généralisation d'Internet dans les sociétés), ils offrent une surface d'attaque toujours grandissante. L'augmentation du nombre de plateformes web très populaires en nombre d'abonnés accroît également le risque, la plupart des personn

Google et Facebook, futurs maîtres de l'infrastructure Internet?

Selon un article du Wall Street Journal, deux géants du web, Facebook et Google, sont en train progressivement d'acheter des milliers de lignes de fibres optiques non utilisées à travers le monde pour étendre leurs réseaux et contrôler le trafic. Un moyen aussi de résister à l'espionnage de la NSA. Facebook et Google redoublent d'efforts pour créer leurs propres réseaux de fibres optiques, souligne un article du Wall Street Journal. Le quotidien rapporte que le réseau de Google comprend plus de 160 000 km de fibres à travers le monde. Pour comparaison, le réseau de l'opérateur Sprint comprend 45 000 km de fibre sur le territoire américain. Cela signifie que le réseau de Google est suffisamment dense pour concurrencer celui des opérateurs télécoms. Facebook a de son côté investi dans la fibre noire à travers l'Europe pour la connecter à son datacenter en Suède au niveau du cercle polaire. Par ailleurs, le quotidien rappelle que le

Sécurité informatique : les prédictions 2016

Cloud, ransomware, Internet des Objets, trafic chiffré... Que nous réserve 2016 en matière de sécurité ? Le point. Bijoux dans le cloud ; Voleurs dans le cloud Les clés du royaume sont maintenant dans le cloud. Puisque de plus en plus d’entreprises stockent leurs données les plus précieuses (données clients & employés, propriétés intellectuelles, etc.) dans le cloud, tôt ou tard les méchants trouveront bien un moyen d’accéder à ces données. En 2016, nous prévoyons de voir une augmentation des failles dans les services cloud, en effet les pirates utiliseront les identifiants liés aux services cloud comme principal vecteur d’attaque. Les tactiques de social engineering vont imiter les écrans d’authentification à ces services cloud pour récupérer les identifiants. Ransomware Road trip ! Les menaces mobiles et particulièrement les ransomwares font gagner beaucoup d’argent aux cybercriminels, nous verrons donc augmenter les deu

WhatsApp victime d'un dangereux malware qui escroque les utilisateurs

Les utilisateurs de WhatsApp sont actuellement la cible d'un dangereux malware qui vient s'incruster dans leur téléphone par le biais d'une fausse mise à jour de l'application et vient extorquer leurs données bancaires. Plusieurs utilisateurs de l'application WhatsApp pour Android originaires de Singapour viennent d'être victimes d'une arnaque. Également présent au sein de l'application Adobe Flash Player, ce malware identifié par Sophos comme Andr/InfoStl-AZ et Andr/InfoStl-BM demandera continuellement les privilèges administrateur du téléphone jusqu'à ce que ce dernier accepte. Pour l'instant, seulement les utilisateurs de smartphones Samsung auraient été victimes de ce malware. Une fois l'autorisation accordée, une fenêtre pop-up va alors s'ouvrir, invitant l'utilisateur à entrer ses informations de carte bancaire de façon à renouveler son abonnement à WhatsApp. Une fois cette étape effectuée, les hackers ser

Comment faire en cas de piratage de sa boite mail? qui contacter?

Il peut arriver que votre boîte mail soit piratée par des professionnels de l'informatique qui peuvent alors avoir accès à tous vos mails mais également à vos données personnelles. Il faut savoir qu'une fois le piratage effectué, il est impossible de revenir en arrière. Or, il est important que le pirate n'ait plus accès à votre boite mail et qu'il ne puisse pas accéder à votre espace personnel.  Il peut arriver que votre boîte mail soit piratée par des professionnels de l'informatique qui peuvent alors avoir accès à tous vos mails mais également à vos données personnelles. Il faut savoir qu'une fois le piratage effectué, il est impossible de revenir en arrière. Or, il est important que le pirate n'ait plus accès à votre boite mail et qu'il ne puisse pas accéder à votre espace personnel. Il faut donc changer au plus vitre votre mot de passe qui vous connecte à votre adresse mail. N'oubliez pas également d'envoyer un mail à tous v

GeoHot s’attaque aux voitures autonomes

George « GeoHot » Hotz s’est fait connaître en jailbreakant l’iPhone et en hackant la PlayStation 3. Cet exploit lui a d’ailleurs valu de nombreux  désagréments . Il a ensuite travaillé pendant un moment pour Facebook et il a décidé de se lancer dans une nouvelle aventure : réinventer la voiture autonome. Et vous savez quoi ? Il est bien parti pour atteindre ses objectifs. Tout le monde ne le sait pas forcément mais GeoHot a grandi dans une petite ville du New Jersey, à Glen Rock. Né d’un père boulanger et d’une mère libraire, il a eu une éducation assez stricte et c’est sans doute ce qui l’a poussé du côté obscur de la Force. Il a commencé à faire parler de lui en 2000 après avoir construit un appareil capable d’émettre des… bruits de pets. GeoHot a eu un parcours assez chaotique Manque de bol, il a eu la mauvaise idée d’utiliser sa machine en cours et il s’est alors fait exclure de son établissement. Il faut croire qu’on ne plaisante pas avec les bruits de p

Joomla victime d’une faille zero day exploitée

Utilisée par des entreprises comme Peugeot, Citibank ou Honda, la plate-forme de gestion de sites web Joomla est victime d’une faille zero day. Patchée aujoud’hui. Si WordPress fait (trop) souvent parler de lui pour les failles de sécurité de ses plug-in et les risques d’infection induits pour les visiteurs des sites qui les exploitent, un autre outil populaire de développement web est aujourd’hui victime d’une vulnérabilité infectieuse : Joomla. Le système de gestion de contenus web, également massivement utilisé par les développeurs, a alerté l’existence d’une vulnérabilité zero day « qui peut être facilement exploités » , annonce la firme de sécurité Sucuri. « Si vous utilisez Joomla, vous devez mettre à jour [le correctif] immédiatement » , poursuit-elle dans sa page de blog. Deux jours d’exploitation Toutes les versions de Joomla, de la 1.5 à la 3.4.5, sont concernées par la faille. Ce qui inquiète particulièrement Sucuri, c’est que « cette vulnérabilité est d

Le télétravail : talon d’Achille de la sécurité informatique en entreprise ?

L’entreprise sans frontières intensifie les besoins en solutions de sécurité en mode Cloud. La nouvelle ère de l’IT a définitivement introduit un changement de dynamique professionnelle. Charles Milton, directeur de la distribution EMEA chez Zscaler, souligne les efforts des responsables de la sécurité des systèmes d’information pour sécuriser un réseau d’entreprise sans frontières. L’adoption rapide des applications de Cloud Computing et des réseaux sociaux dans les entreprises a fait de la mobilité la priorité des départements IT. L’accessibilité des réseaux permet désormais de travailler à tout moment et en tout lieu, inaugurant l’ère de l’entreprise sans frontières. Ce changement de lieu de travail offre certes des avantages en termes d’agilité et de productivité, mais introduit également un certain nombre de problématiques de sécurité et de menaces s’il n’est pas géré correctement. Et effectivement, selon la 18ème étude du cabinet d’audit et conseil EY, 88% des

MacKeeper laisse fuiter 13 millions de comptes client

Souvent qualifié de virus, MacKeeper s'apparente surtout à l'une des plus belles arnaques de la décennie en matière de logiciel pour Mac. Grâce à des publicités intrusives et agressives, l'éditeur vous faire croire que votre Mac a besoin d'être «  nettoyé  » et «  accéléré  » . Dans les faits, le programme ne fait rien de tout cela, certains estiment même qu'il a plutôt tendance à en ralentir son fonctionnement. Pire encore, un utilisateur de Reddit a réussi à récupérer les 13 millions de compte client stockés sur les serveurs de Kromtech, sans avoir besoin d'un quelconque piratage . Si ce dernier a depuis sécurisé l'accès à sa base de données, il aurait utilisé un vieux chiffrage MD5 des familles pour les mots de passe, que l'on peut «  casser  » avec un simple algorithme. Voilà qui démontre une fois de plus le manque de sérieux de cette entreprise, qui continue pourtant à harceler les utilisateurs de machines Apple sur le web . Ne vou

Comment réussir un projet Big Data ?

Le « Big Data » figure en tête de l’agenda des entreprises, sur un marché qui progresse de 25 % par an selon le cabinet d’étude IDC. Cet engouement peut laisser penser que de tels projets se mettent en œuvre aisément. Il n’en est rien et les entreprises en sont bien conscientes, en particulier en ce qui concerne les aspects techniques et les infrastructures. Plusieurs études (1) le révèlent, ce sont là les obstacles les plus redoutés par les entreprises. Maîtriser la collecte des données et agréger de multiples formats   Les projets « Big Data » reposent sur deux processus complexes. Le premier consiste à agréger et corréler de multiples sources de données, internes ou externes à l’entreprise. Celles-ci peuvent provenir du système d’information existant (bases de données relationnelles, fichiers Excel…), des bases de données de revendeurs spécialisés, des réseaux sociaux, des messageries, du Web, ou de « l’Open Data » (par exemple data.gouv.fr)…

Vivre connectés nous rend-il plus vivants ?

La vie connectée, fantasme des gourous du transhumanisme et de l’intelligence numérique du vivre-ensemble ou promesse d’un futur meilleur au travers d’une data respectueuse de notre vie privée ? Tout un débat n’est-ce pas ! INfluencia et Dentsu Aegis ont alimenté la discussion au Cristal Festival. Debrief d'une belle conférence ! Entre l’Homme et la technologie, le rapport a toujours été paradoxal, masochiste, anxiogène, fantasmatique et utopique. Dans la Silicon Valley , berceau de la révolution libertarienne du tout technologique data-dépendant, les géants du web sont persuadés qu’en faisant du monde un village interconnecté, ils le rendent meilleur. Le paradigme louant le 2.0 sauveur de l’humanité casse toutes les frontières. Dans une époque où le label smart deviendrait presque le seul sceau du partage et de l’interaction entre les marques et les consommateurs, la technologie connectée fascine et interroge. Sommes-nous prêts à définir nos lignes rouge

Evolution des menaces contre la sécurité informatique dans lesentreprises

A la fin de l'année 2014, nous avions publié nos  prévisions sur les types d'événements qui marqueraient 2015 sur le front des menaces et de la sécurité cybernétiques . Sur les neuf prévisions que nous avions formulées, quatre concernaient des menaces pour les entreprises. Il s'avère que nos prévisions étaient sérieuses car 75 % d'entre elles se sont déjà confirmées : Les cybercriminels vont assimiler les attaques ciblées de catégorie APT : confirmé. Les attaques des groupes APT vont se fragmenter et se diversifier : confirmé. Les attaques contre les distributeurs automatiques de billets et les terminaux de point de vente vont se renforcer : confirmé. Les systèmes de paiement virtuels vont être attaqués : non confirmé. Revenons un instant sur les incidents les plus marquants de 2015 et sur les nouvelles tendances liées à la sécurité de l'information que nous avons observées dans les milieux professionnels. Chiffres de l'année En 2015, au moins une

Sécurité informatique : les 3 tendances à retenir pour 2015

Si la digitalisation conduit inévitablement vers la transformation digitale des entreprises, elle laisse planer un climat menaçant qui défie la sécurité de leurs systèmes d’information. Les cyber-attaques se démultiplient et constituent un véritable challenge pour les DSI. Des études se sont concentrées sur ce phénomène préoccupant et révèlent 3 tendances à retenir pour cette année. Accepter le piratage informatique et l’anticiper Si les tentatives d’attaques restent inévitables, elles peuvent en revanche être anticipées. Les DSI doivent impérativement être pro-actifs pour toujours mieux protéger l’environnement IT de leur entreprise. Prévenir les cyber-attaques va donc signifier allouer des ressources expertes qui permettront de gérer les opérations de sécurité quotidiennement et en temps réel. Sous-traiter la sécurité IT La sophistication croissante des attaques informatiques impose de consacrer beaucoup de temps à la surveillance et à la protection des systèmes

CryptoWall : un racket à 325M$ pour les cyberpirates

D'après une étude réalisée par la Cyber Threat Alliance, dans laquelle Intel et Symantec sont notamment présents, le tristement célèbre ransomware CryptoWall aurait rapporté près de 325 millions de dollars à un seul et unique groupe de cyberpirates. extorsion Selon une étude publiée hier par la Cyber Threat Alliance (CTA), les recettes provenant du ransomware CryptoWall 3.0 tomberaient toutes dans la poche d’un seul et même groupe de cybercriminels. Le programme malveillant infecte les ordinateurs, crypte les fichiers et les victimes doivent payer une rançon pour retrouver l’accès à leurs fichiers. La dernière campagne aurait rapporté 325 millions de dollars aux attaquants. Ce constat a été fait par le CTA, un groupe créé l’an dernier pour étudier les menaces émergentes, qui compte parmi ses membres Intel Security, Palo Alto Networks, Fortinet et Symantec. CryptoWall fait partie de cette famille de ransomwares qui représente un danger croissant pour les e

Des millions de données sensibles exposées dans le back-end des apps mobiles

Les données mobiles ne sont toujours pas assez sécurité selon une étude menée par des chercheurs de l'Université Technique et de l'Institut Fraunhofer SIT de Darmstadt. Selon une étude récente, les services back-end dans le cloud sur lesquels s’appuient des milliers d’apps mobiles, dont certaines très populaires, exposent à tout vent des masses de données sensibles créées par les utilisateurs. Tel est le constat fait par des chercheurs de l'Université Technique et de l'Institut Fraunhofer SIT pour les technologies de l'information sécurisées de Darmstadt, en Allemagne, qui ont présenté leurs résultats vendredi dernier lors de la conférence sur la sécurité Black Hat Europe qui s’est tenue à Amsterdam du 10 au 13 novembre. Leur étude s’est intéressée aux applications qui utilisent les frameworks Backend-as-a-Service (BaaS) de fournisseurs comme Facebook, Parse, CloudMine ou encore Amazon Web Services. Les frameworks BaaS tournant dans le cloud pren