Vidéo: HISTOIRES OUBLIEES 3 : LA SECURITE SOCIALE (Novembre 2024)
En regardant en arrière, 2013 a été une véritable montagne russe, alors que nous passions de bonnes nouvelles à de mauvaises nouvelles toutes les quelques semaines: violations de données, vie privée, cyberespionnage, espionnage gouvernemental, programmes malveillants avancés, arrestations importantes, fonctionnalités de sécurité améliorées, etc.
La plus grande histoire - ou plutôt, une série d'histoires - de l'année tourne autour des documents que l'ex-entrepreneur, Edward Snowden, de l'Agence de sécurité nationale, a volés et publiés aux médias. Cependant, ce n'était pas la seule histoire majeure de 2013. Pour la première fois, une société de sécurité a exposé de manière précise comment la Chine espionnait les entreprises américaines, et le gouvernement américain a officiellement discuté de la question avec le gouvernement chinois. Les forces de l'ordre ont remporté d'importantes victoires, brisant un important réseau de voleurs de cartes de crédit et arrêtant le créateur du Blackhole Exploit Kit. Les violations de données se sont poursuivies, mais la violation d'Experian a mis en évidence le problème des courtiers de données agrégeant des informations personnelles. Les utilisateurs habituels ont commencé à parler de la confidentialité en ligne lorsque les utilisateurs de Google Glass ont envahi la rue. Les entreprises se sont engagées à adopter de meilleures pratiques de sécurité, telles que le cryptage des données en transit, la mise en œuvre d'une authentification à deux facteurs et la transparence des informations fournies au gouvernement.
L'année 2013 a été chargée pour les professionnels de la sécurité et les particuliers. Voici un aperçu des événements de sécurité importants de l'année, sans ordre particulier.
Programmes de surveillance secrets de la NSA
Nous pourrions remplir une colonne entière avec rien d'autre que les révélations de la NSA. Les articles initiaux sur le programme de collecte des enregistrements téléphoniques étaient assez choquants, mais il semble que chaque révélation suivante est plus explosive qu'auparavant. L'agence espionnait les activités Web, surveillait le trafic en provenance et à destination des centres de données Google et Yahoo, interceptait des envois destinés à installer des logiciels espions et des backdoors dans du matériel électronique, et aurait prétendument échappé aux dirigeants d'autres pays et aux joueurs. Alors que le chef de la NSA, le général Keith Alexander, continue d’insister pour que l’agence agisse sur son territoire et veille à préserver les libertés civiles, les appels à une réforme se font de plus en plus pressants. Le Congrès discute de ce qu'il faut faire à propos du problème de la NSA, un juge fédéral conservateur a statué, dans Klayman v. Obama, que le programme d'enregistrement téléphonique de la NSA était susceptible de violer le quatrième amendement, et le panel indépendant sélectionné par la Maison Blanche a recommandé à la NSA les programmes doivent être réduits.
Un groupe de géants de la technologie, notamment Tim Cook d'Apple, Eric Schmidt de Google et Marissa Mayer de Yahoo, ont parlé avec le président Barack Obama de leurs préoccupations concernant les activités de la NSA. AOL, Apple, Facebook, Google, LinkedIn, Twitter, Yahoo et Microsoft se sont unis pour demander aux gouvernements de prendre des mesures pour protéger la sécurité de leurs citoyens, mais "les lois et pratiques en vigueur doivent être réformées".
De plus en plus de sociétés publient des rapports de transparence afin de révéler le type d'informations qu'elles transmettent au gouvernement. Le service de messagerie électronique crypté Lavabit a été fermé afin d'éviter de devoir transmettre des informations sur ses utilisateurs. RSA, la division de sécurité d’EMC, défend actuellement sa réputation à la suite d’un rapport de Reuters selon lequel il a fallu 10 millions de dollars à la NSA pour intégrer un algorithme cryptographique compromis dans ses produits de sécurité.
Chine, Chine, Chine
Nous avons été tellement captivés par les vagues d'informations sur les activités de la NSA qu'il est facile d'oublier que nous avons commencé l'année 2013 avec un rapport explosif décrivant le rôle de la Chine dans le cyberespionnage. Le rapport APT1 de Mandiant était la première déclaration définitive exposant clairement les mesures prises par les cyberattaquants originaires de Chine pour pénétrer dans les réseaux commerciaux et gouvernementaux américains. Le rapport décrit comment ces attaquants ont volé la propriété intellectuelle, installé des portes dérobées et endommagé des systèmes.
Peu de temps après la publication du rapport, divers responsables gouvernementaux se sont exprimés sur les activités de la Chine. En mai, le rapport annuel du Pentagone sur la Chine accusait directement le gouvernement de ce pays d'attaques gouvernementales et militaires contre les États-Unis. Le président Obama a même évoqué les accusations lors d'une rencontre avec le président chinois Xi Jinping. Le gouvernement chinois a même accusé les États-Unis de faire essentiellement la même chose. (Un peu de préfiguration pour Snowden?)
Attaques contre les médias
Les médias ont été la cible d'attaques cette année. Le New York Times, le Washington Post et le Wall Street Journal ont révélé qu'ils avaient été infectés par des programmes malveillants sophistiqués. Le doigt de suspicion pointé - où d'autre? - La Chine. L'armée électronique syrienne s'est lancée dans une frénésie contre les comptes Twitter de The Onion, Guardian et d'autres points de vente. Le faux post sur le compte Twitter de AP, "Breaking: Two Explosions à la Maison Blanche et Barack Obama est blessé", a même provoqué une petite chute en Bourse, le Dow Jones perdant temporairement 140 points.
L'attaque contre le site Web du New York Times, où la SEA a réussi à modifier les paramètres système du nom de domaine du site, a mis en évidence la facilité avec laquelle des attaquants pouvaient interférer avec les opérations Web. La SEA dans cette attaque n'a même pas piraté le réseau - le groupe a mené cette attaque via le harponnage.
Focus sur la sécurité des applications
La Loi sur les soins abordables et le lancement du site Web d'échange de soins de santé ont mis en avant l'importance des tests de sécurité. Les professionnels de la sécurité savent à quel point il est essentiel que les applications soient testées pour les problèmes de sécurité avant de les mettre en service, mais lorsque le temps presse et que le temps est compté pour expédier le produit à temps, la sécurité disparaît. Certains des problèmes identifiés dans le fichier HealthCare.gov après son déploiement bâclé ont soulevé la possibilité que des attaquants ciblent le site. Il a été signalé que des personnes voyaient des informations sensibles appartenant à d'autres utilisateurs du site.
Les dirigeants qui ont suivi toute la saga ne seront probablement pas si prompts à ignorer les tests de sécurité la prochaine fois qu’ils déploieront une application majeure. Ou alors nous l'espérons.
Attaques de déni de service distribuées
Les DDoS ne sont pas nouveaux, mais cette année, nous avons assisté à deux développements majeurs. Les attaques DDoS étaient fréquemment utilisées contre des sites financiers, notamment dans le cadre de l'opération Ababil, mais les assaillants ont élargi leurs cibles à d'autres industries. L’une des plus grandes attaques de l’année a été dirigée contre Spamhaus en mars, avec des pics atteignant 300 Gbps.
Principales arrestations de cybercriminalité
En mai, le procureur américain du district est de New York a annoncé des accusations dans un vol de banque de 45 millions de dollars impliquant des informations sur un compte volé. Le gang aurait piraté des institutions financières pour voler des informations sur des comptes, puis aurait retiré des millions de dollars à des guichets automatiques.
En juillet, le procureur américain du New Jersey a porté plainte contre un autre réseau de cybercriminalité pour avoir violé les réseaux informatiques d'au moins 17 grands détaillants, institutions financières et processeurs de paiement, pour avoir volé plus de 160 millions de numéros de cartes de crédit et de débit. Les réseaux ciblés comprenaient Nasdaq, 7-Eleven, Visa et JC Penney, entre autres.
Les autorités russes ont affirmé avoir arrêté Paunch, le créateur du Blackhole Exploit Kit. Les experts en sécurité estiment qu’avec l’arrestation, il ya un vide juridique que les cybercriminels ont du mal à combler. "En l'absence de successeurs clairs de Blackhole, les gangs de cyber-criminels pourraient investir dans d'autres pays pour compenser les pertes de revenus dues aux mécanismes moins sophistiqués de diffusion des programmes malveillants", a déclaré Alex Watson, directeur de la recherche sur la sécurité à Websense.
Arroser les trous
Les attaques contre les trous d'arrosage ont été plutôt importantes cette année, les sites Web ayant été piratés afin de compromettre les employés des grandes entreprises technologiques telles que Facebook, Apple, Microsoft et Twitter, ainsi que contre les entrepreneurs de la défense et les employés du gouvernement. Ces attaques de points d'eau ont tiré parti des vulnérabilités «jour zéro» d'Internet Explorer, de Java et d'autres technologies couramment utilisées.
Des attaques contre des points d'eau ont également été découvertes à l'encontre de militants pro-tibétains, alors que les assaillants ciblaient des personnes de langue chinoise en visite à l'administration centrale tibétaine et à la fondation du Tibetan Homes, ainsi que sur le site Web ouïghour de l'Association islamique du Turkestan oriental.
Violation de données Experian
Nous avons tendance à nous souvenir de la dernière faille informatique majeure et à oublier toutes les autres précédentes. Alors que la récente violation de données subie par Target dans laquelle près de 40 millions de numéros de cartes de débit et de crédit ont été compromis au cours de la période de magasinage des fêtes est plutôt importante, la violation de données la plus effrayante impliquant des informations utilisateur était la violation de données Experian.
Experian est l’une des organisations du secteur de l’achat et de la vente d’informations personnelles - numéros de sécurité sociale, adresses et coordonnées bancaires. Cette information a été vendue à un groupe de criminels d'outre-mer, selon une enquête de l'écrivain de sécurité Brian Krebs. La violation a également mis en évidence le fait que de nombreux systèmes d'authentification basés sur les connaissances, dans lesquels les personnes sont invitées à vérifier leur identité en indiquant leur voiture ou l'endroit où elles vivaient auparavant, sont encore plus vulnérables.
Les gens se réveillent à la confidentialité en ligne
Lorsque Google a dévoilé l’avenir de la technologie portable avec sa première vague d’explorateurs de Google Glass, les gens ont paniqué. Les gens ont enfin pris conscience de l’impact de la reconnaissance faciale et de la possibilité de publier des informations en ligne sur leur vie privée. L'avenir de la technologie est-il celui où il n'y a pas de vie privée, ou où les gens peuvent être expulsés des restaurants et autres établissements pour menacer la vie privée?
Nous nous sommes déjà penchés sur 2014, avec nos prévisions concernant de nouvelles attaques, un Internet national, des paiements en ligne, la sécurité mobile et l'Internet des objets. Bienvenue en 2014. Sera-ce une année d'incertitude ou de victoires? Restez avec Security Watch dans la nouvelle année alors que nous suivons les hauts et les bas de la sécurité.
