Nurun Services Conseils

Blogue de l'offre "Services Conseils" de nurun, chef de file en technologies de l’information pour la conception et le développement de solutions d’affaires, d’entreprises et de stratégies de marketing interactif.

Ce blogue est animé par Véronique Landry, conseillère en communication, avec la collaboration des ses collègues

Visitez le site de Nurun

Suivez-nous sur...

Recherche

Catégories

Nous aimons

Un retrait sécuritaire!

Technologie et sécurité

29 septembre 2010 – 14h40

Billet 4 de 6

Les guichets automatiques bancaires (ATM) ne sont pas aimés de tous dû à leur coût, mais sont souvent utilisés par nous tous lors de soirées lors desquelles nous oublions de passer à la banque. Mais avez-vous déjà pensé que ces machines pourraient être vulnérables et utilisées par des pirates informatiques?

Les ATM sont facilement exploitables. Parmi les attaques possibles, on retrouve bien entendu le vol d’argent, mais également le vol d’informations confidentielles de l’utilisateur. Bref, il est possible de contrôler entièrement ces machines, et ce, très facilement.

Lors du BlackHat et du Defcon un chercheur européen est venu présenter pour démontrer les vulnérabilités qu’il a découvertes sur ces machines.

Plusieurs dizaines de modèle de ATM existent, chacun ayant un boîtier externe différent et un ordinateur interne contrôlant les demandes du client et les sorties d’argent. Chaque boîtier comporte une serrure complexe à ouvrir et requiert une clé spéciale.

Le problème? Par le biais du site Web eBay, le chercheur a réussi à trouver des vendeurs de clé permettant d’ouvrir pas un, mais tous les modèles de boîtiers des ATM. Lorsqu’il a pu ouvrir un ATM près de chez lui, il a pu voir que tous les ATM fonctionnait avec le même type d’ordinateur et que tous avait un port pour les clés USB.

La vulnérabilité vient du fait que le port USB sur les ordinateurs permet de mettre à jour le « firmware ». En d’autre mot on peut mettre à jour le système d’exploitation fonctionnant sur la machine ATM par le biais d’une clé USB. On peut ainsi modifier les commandes de l’ATM et vider la machine de tout son argent ou encore voler les informations de comptes des clients de l’ATM et plus encore.

Je n’ai malheureusement aucune recommandation spécifique à vous faire si ce n’est que de d’effectuer vos transactions à l’aide de vos cartes de débit ou crédit à puce ou d’aller dans une vrai banque/caisse pour retirer de l’argent.

Je vous invite à m’écrire personnellement à patrick.rousseau-mathieu@nurun.com pour toute question et à laisser vos commentaires ci-bas!
Patrick

Publié par admin

2 commentaires


SÉCURITÉ DES RÉSEAUX SOCIAUX

Technologie et sécurité

22 septembre 2010 – 15h12

Billet 3 de 6

Les réseaux sociaux sont de plus en plus populaires. Facebook et Twitter rejoignent à eux seuls plus de 660 millions d’utilisateurs avec respectivement 500 millions et 150 millions d’adeptes.

La plupart de ces réseaux offrent la possibilité d’effectuer des mises à jour de notre statut, ces statuts indiquant souvent ce que nous pensons, faisons, allons faire ou pensons des autres ou d’une certaine situation. Il arrive toutefois qu’ils véhiculent nos renseignements personnels, date de naissance, lieu de résidence, etc. Ainsi, ces réseaux contiennent une mine d’or d’informations. Mais est-ce que ceux-ci sont considérés sécuritaires et est-ce que notre information reste privée?

Facebook, le social-engineering, les outils de « datamining » et les renseignements confidentiels étaient tous en cause dans plusieurs conférences du BlackHat et du Defcon cette année. Plusieurs techniques, concepts et méthodes de sécurisation ont été présentés, mais l’attention était davantage mise sur le vol de données confidentielles.

Robin Sage

Tel que décrit lors du dernier article, plusieurs applications provenant de compagnie tierce à Facebook peuvent être vulnérable ou simplement peuvent effectuer des vols de données « sans » votre consentement puisque vous avez accepté de partager vos informations personnels en utilisant l’application.

Mais sans utiliser ces vulnérabilités, il est aussi simple d’obtenir ces renseignements par le biais de l’ingénierie sociale (social-engineering). Un cas spécifique, le cas de Robin Sage, à été démontré dans les derniers mois et présenté lors du BlackHat.

Un spécialiste en sécurité informatique, à l’aide d’une complice, ont mis en place de faux comptes Facebook, LinkedIn et Twitter représentant le profil d’une jeune et jolie belle femme dans le domaine de la sécurité informatique et reliée au domaine militaire et de l’intelligence gouvernementale.

À l’aide de ces comptes, le spécialiste à débuté ses tests en se connectant à plusieurs personnes reliées à son domaine et à certaines compagnies respectables. Ainsi, au fils des semaines, des centaines de personnes étaient connectées à ces comptes.

Après plusieurs discutions avec tout ces nouveaux contacts, il commença à demander des photos, des documents et des renseignements personnels et confidentiels reliés tant au domaine militaire que professionnel. Résultat? Des dizaines, voir des centaines de renseignements ont été obtenus. Des emplacements de bases militaires secrètes, des stratégies de la guerre en Afghanistan et plus encore. Tout cela, sans aucune vulnérabilité et piratage informatique. Que de l’ingénierie sociale…

Vol d’identité

Le cas de Robin Sage est impressionnant et sophistiqué, mais le même genre d’attaque peut survenir pour des vols d’identité simples avec vos profils Facebook et LinkedIn personnels. Pourquoi? Simplement parce que la plupart des gens ne verrouillent pas leurs comptes et permettent ainsi à n’importe qui d’aller soutirer leur information sans aucune attaque ou tour de passe-passe.

Mon conseil? Commencez par supprimer votre date de naissance et vos renseignements personnels de tous ces réseaux sociaux. Vous serez sur la bonne voie!

En espérant vous avoir fait réagir et réfléchir aux différents enjeux de la sécurité et du piratage. Je vous invite à suivre mes trois (3) autres articles sur d’autres sujets et tendances en sécurité qui suivront dans les prochaines semaines. Je vous invite aussi à m’écrire personnellement à : patrick.rousseau-mathieu@nurun.com pour toute question et commentaire.

Publié par admin

1 commentaire


Twitter et piratage: un retour sur l’incident

Technologie et sécurité

22 septembre 2010 – 10h55

Onde de choc hier sur Twitter, le site est victime de piratage. Le problème? Un simple survol des messages engendrait automatiquement des retweets ou exécutait des programmes plus ou moins inoffensifs. Le problème a rapidement été maîtrisé mais le sujet a été vivement discuté tout au long de la journée.

Steve Tremblay, directeur exécutif CETI chez Nurun et animateur connu sous le nom de Steve the Geek à Radio Haute Résolution sur XM172 a discuté de la nouvelle avec Patrick Rousseau Mathieu, analyste en sécurité chez Nurun et auteur de nos billets pour les mercredis de la sécurité!

Voilà l’entrevue!

N’hésitez surtout pas à nous faire part de vos commentaires

Véronique

Publié par admin

1 commentaire


Billets plus anciens

Billets plus récents