5 choses que nous avons apprises sur la sécurité en ligne en 2013
L'époque où les radiodiffuseurs s'inquiétaient pour tout Internet pouvait être fermée par un simple ver informatique (mais efficace) est révolue, mais cela ne signifie pas pour autant que la sécurité en ligne ne soit plus un souci. Les menaces sont devenues plus complexes et, pire encore, proviennent d’endroits auxquels la plupart ne s’attendraient jamais - comme le gouvernement. Voici 5 leçons difficiles que nous avons apprises sur la sécurité en ligne en 2013.
Le gouvernement vous surveille…
Le principal sujet de discussion sur la sécurité informatique de 2013 était, bien sûr, la révélation que des parties du gouvernement des États-Unis (principalement la National Security Agency) espionnaient des citoyens sans restriction..
Selon des documents divulgués par l'ancien contractant de la NSA, Edward Snowden, et renforcés par d'autres sources telles que l'ancien responsable de la NSA, William Binney, les services de renseignement américains ont accès à des enregistrements téléphoniques et à des métadonnées de réseaux sociaux, mais peuvent également accéder à une large gamme de services, y compris le téléphone portable. appels téléphoniques, courriels et conversations en ligne, soit via des écoutes téléphoniques directes, soit en exécutant des mandats secrets.
Qu'est-ce que cela signifie pour toi? C'est difficile à dire car la NSA insiste sur le fait que le programme est un secret de sécurité nationale. Bien que les dénonciateurs aient souligné que la taille des centres de données de la NSA implique que le gouvernement enregistre et conserve un volume assez important de données vidéo et audio, il est impossible de savoir avec certitude ce qui a été enregistré et stocké aussi longtemps que les espionneurs américains continuent faire de l'obstruction au public.
La conclusion troublante est qu'il y a rien que tu puisses faire pour assurer la confidentialité de vos informations personnelles, car nous ne connaissons que partiellement la mesure dans laquelle elles peuvent être compromises et la manière dont elles pourraient être compromises.
… Et tout le monde est différent
Le gouvernement ne souhaite pas seulement espionner les gens. Les individus peuvent également utiliser de la vidéo ou de l'audio cachés pris sur l'ordinateur de la victime. Souvent, il s'agit moins de fraude que de farces et de porno, bien que les deux puissent converger.
Le monde souterrain de regarder les victimes sans méfiance, appelé “branler” a été brillamment exposé dans un article d'Ars Technica. Bien que l’activation de la webcam d’une personne et son enregistrement à distance soit souvent considérée comme du piratage informatique, elle peut désormais être accomplie avec une relative facilité grâce à des programmes portant le même nom, Fun Manager. Une fois qu'un client de clichés a été installé sur le PC de la victime, ces derniers peuvent se connecter et voir ce qui se passe..
Souvent, “que ce passe-t-il” se traduit directement par une chance de voir des femmes sans méfiance déshabillées, mais le logiciel peut également être utilisé pour faire des farces comme ouvrir aléatoirement des images dérangeantes pour voir la réaction de la victime. Dans les cas les plus graves, les rotations peuvent être directement traduites en chantage, car le ratter capture des images embarrassantes ou nues d'une victime, puis menace de les libérer si elles ne sont pas payées en rançon..
Vos mots de passe ne sont toujours pas sécurisés
La sécurité par mot de passe est un souci commun, et pour une bonne raison. Tant qu’une seule chaîne de texte suffira à séparer le monde et votre compte bancaire, il sera de la plus haute importance de le garder secret. Malheureusement, les entreprises qui nous demandent de nous connecter avec un mot de passe ne sont pas aussi concernées et les perdent à un rythme alarmant..
La principale violation de cette année a été fournie par Adobe, qui a perdu plus de 150 millions de mots de passe lors d'une attaque massive qui a également permis (selon la société) aux attaquants de lancer du code pour un logiciel encore en développement et de voler des informations de facturation pour certains clients. Alors que les mots de passe étaient cryptés, ils étaient tout sécurisé en utilisant une méthode de cryptage obsolète et la même clé de cryptage. Ce qui signifie que leur décodage était beaucoup plus facile que cela aurait dû être.
Bien que des violations similaires aient déjà eu lieu, le nombre de mots de passe perdus est le plus élevé d'Adobe, ce qui montre qu'il existe encore entreprises qui ne prennent pas la sécurité au sérieux. Heureusement, il existe un moyen simple de savoir si vos données de mot de passe ont été violées; il suffit d'aller à HaveIBeenPwned.com et entrez votre adresse email.
Le piratage est une entreprise
À mesure que les ordinateurs sont devenus plus complexes, les criminels cherchant à les utiliser pour réaliser un profit illégal sont également devenus plus sophistiqués. L’époque où un pirate informatique solitaire libérait un virus de façon effrénée, juste pour voir ce qui se passait, semble être révolue, remplacée par des groupes travaillant ensemble pour gagner de l’argent..
Un exemple en est Paunch, un pirate informatique en Russie qui a dirigé les ventes d’un kit d’exploit appelé Blackhole. Le kit, créé par Paunch et plusieurs co-conspirateurs, a été développé avec des tactiques d’affaires partiellement intelligentes. Plutôt que d'essayer de créer eux-mêmes des exploits du jour zéro, le groupe de Paunch a acheté des exploits du jour zéro à d'autres pirates. Ceux-ci ont ensuite été ajoutés à la trousse, vendue en tant qu'abonnement pour 500 à 700 $ par mois. Une partie des profits a été réinvestie pour acheter encore plus d’exploits, ce qui a rendu Blackhole encore plus capable..
C'est comme ça que ça marche. Un produit est développé et, en cas de succès, une partie des bénéfices est réinvestie pour le rendre meilleur et, si possible, attractif, attirer encore plus de clients. Répétez jusqu'à ce que riche. Malheureusement pour Paunch, son stratagème a finalement été découvert par la police russe. Il est actuellement en détention..
Même votre numéro de sécurité sociale est à quelques clics
L'existence de réseaux de zombies est connue depuis un certain temps, mais leur utilisation est souvent associée à des attaques relativement simples mais massives, telles que le déni de service. Qu'est-ce qu'une attaque par DDoS? [MakeUseOf explique] Qu'est-ce qu'une attaque DDoS? [MakeUseOf explique] Le terme DDoS siffle à chaque fois que le cyber-activisme surgit en masse. Ce type d'attaques fait les gros titres de la presse internationale pour plusieurs raisons. Les problèmes qui déclenchent ces attaques DDoS sont souvent controversés ou hautement… Lire Plus ou spam par courrier électronique, plutôt que le vol de données. Une équipe de jeunes pirates informatiques russes nous a rappelé qu’ils pouvaient faire plus que remplir nos boîtes de réception avec des publicités de Viagra quand ils réussissaient à installer un botnet dans des courtiers de données importants (comme LexisNexis) et à voler des volumes de données sensibles..
Cela a abouti à un “un service” appelé SSNDOB qui a vendu des informations sur les résidents des États-Unis. Le prix? Quelques dollars seulement pour un enregistrement de base et jusqu'à 15 dollars pour une vérification complète du crédit ou des antécédents. C'est vrai; si vous êtes citoyen américain, votre numéro de sécurité sociale et vos informations de crédit peuvent être obtenus à un prix inférieur au prix d'un repas au restaurant The Olive Garden..
Et ça empire. Outre le stockage des informations, certaines sociétés de courtage de données sont également utilisées pour l’authentifier. Vous avez peut-être déjà constaté cela vous-même si vous avez déjà essayé de faire une demande de prêt, mais que des questions telles que, “Quelle était votre adresse il y a cinq ans?” Les courtiers en données étant eux-mêmes compromis, il est facile de répondre à ces questions..
Conclusion
2013 n'a pas été une bonne année pour la sécurité en ligne. En fait, c'est un peu un cauchemar. Espionnage gouvernemental, numéros de sécurité sociale volés, chantage de la webcam par des étrangers; beaucoup imaginent ces scénarios comme les pires scénarios qui ne pourraient se produire que dans les circonstances les plus extrêmes. Pourtant, cette année a prouvé tout ce qui précède possible avec un effort étonnamment réduit. Espérons que 2014 verra des mesures prises pour résoudre ces problèmes criants, bien que je doute personnellement que nous serons aussi chanceux.
Crédit d'image: Flickr / Shane Becker, Flickr / Steve Rhodes
En savoir plus sur: Sécurité en ligne.