KranF.com – Le Blogue

Technologies, Médias Sociaux et Marketing Internet
Écrit par Francis Bilodeau @ 12:12 pm le 2 September 2009
Filed under: Médias Sociaux,Sécurité

Nous en avons tous certainement plein notre casque (moi le premier) d’entendre parler des dangers de Facebook, Twitter et autres dans les médias semaines après semaine. Que ce soit de faire attention aux statuts que l’on rend publique, aux actions que l’on doit prendre pour protéger notre compte public, etc. Malgré tout, une étude mené par le CMO Council et le fabriquant d’anti-virus AVG ont découvert que seulement un tier des utilisateurs de médias sociaux font ce qu’il faut pour ce protéger d’éventuelles attaques.

Sur les 250 consommateurs sondés dans le deuxième quart de l’année, 64% ont indiqués qu’ils changent leur mots de passe que très rarement ou même jamais. 57% ont indiqué qu’ils n’ont pas procédés à l’ajustement des options de partages d’informations personnelles aux autres utilisateurs.

Il y a plus, 21% des utilisateurs acceptent des contacts de membres qu’ils ne connaissent pas, 26% procèdent aux partagent de fichiers personnels sur les médias sociaux et 64% ont indiqués qu’ils cliquaient sur des liens douteux présentés par leurs “amis”.

Bien entendu, il y a des conséquences à agir de cette manière, 55% des répondants ont indiqués avoir été victimes d’hameçonnage, 47% indiquent avoir été victimes d’un logiciel malveillant (spyware) et tout près de 20% des membres ont subi un vol d’identité.

Suite aux résultats du sondage, le directeur exécutif Donovan Neale-May commente:

La population utilisant les médias sociaux augmente partout dans le monde et la prolifération des réseaux sociaux de niche et du mobile étend la portée des communautés sociales, les menaces et les vulnérabilités sont escalade en conséquenceDes infractions plus fréquentes sur les sites sociaux populaires témoignent de la nécessité d’une attitude plus préventive en matière de culture et une vigilance accrue chez les utilisateurs de la communauté.

Bref, il faut croire qu’on ne le dira jamais assez souvent: Utilisez les médias sociaux, mais prenez le temps de mettre en place une sécurité sur votre profil et surtout soyez prudents avec les liens externes!


Écrit par Francis Bilodeau @ 5:21 pm le 22 October 2008
Filed under: Entreprise,Fraude,Piratage,Sécurité

Vous vous rappelez peut-être le billet que j’ai écrit cet été concernant la moitié des employés des services TI qui consultaient des fichiers d’entreprises confidentiels. Sans vouloir remettre de l’huile sur le feu, une nouvelle étude de Compuware supporte l’étude publiée à l’époque, mais indique que les employés TI font un excellent travail pour arrêter les pirates informatiques extérieurs qui tentaient de voler de l’information privilégiés dans l’entreprise. En effet, selon l’étude, seulement 1% des données volés l’année dernière seraient la cause de pirates informatique. Le reste serait la négligence des employés qui agiraient de façon soit malveillante ou inconsciente ce qui aurait comme effet de cause une perte d’information importante en entreprise. Ceci inclut également les anciens employés.

Selon le sondage réalisé lors de cette étude, 1,112 professionnels de l’industrie des TI ont indiqué à 79% que l’organisation dans laquelle ils travaillaient ont subi au moins une infiltration. C’est un nombre assez élevé qui s’expliquerait par plusieurs facteurs:

  • Le terme infiltration lors de l’étude n’est pas clairement défini. Selon Compuware, il s’agit de la perte ou le vol de données importantes tel que l’information des individus, tel que les clients et les employés. Il y demeure certainement certaines nuances à savoir jusqu’à quel point l’information perdue est importante.
  • La magnitude d’une attaque n’est pas défini et est traité de la même manière. Par exemple, une attaque qui affecte 2 millions de personnes est traitée comme une attaque qui touche 2 personnes.
  • Aucune nuance sur la gravité des pertes n’a été faite. On prend donc simplement en considération qu’une perte a eu lieu, point à la ligne.

Cependant, en général, l’analyse de Compuware semble bien fondée et couvre un certain nombre de sujets intéressants. Par exemple, suite à une attaque, 41% des répondants ont indiqués participer à des enquêtes afin de vérifier les détails de l’incident. 18% des répondants indiquent qu’ils ont été impliqués dans les activités de restauration. 16% ont été chargés d’éducation et de formation du personnel. 11% a procédé à une analyse de cause, et 10% ont mis sur pied un équipe de réponse aux incidents.

Ensuite, nous avons ce que je considère personnellement comme les informations les plus intéressantes du rapport. Compuware a demandé au répondants comment ils sont confiants dans leur propre entreprise de la capacité de répondre à un tel événement.

Sondage 1

31% des employés ne sont donc pas confiants de pouvoir répondre à une attaque… même s’ils font probablement parti de l’équipe qui en est souvent responsable… Intéressant, mais surtout pourquoi?

Les répondants, questionné sur le nom des principales causes de violations de données, indique que la cause de négligence en est la principale. Combinez cela avec le fait que la plupart des travailleurs ne font pas confiance à leur entreprise pour surveiller l’apparition de vol de données et le fait que relativement peu d’employés de TI sont chargés de la formation des employés, cela n’est pas surprenant. La majorité des professionnels interrogés ne croient pas que leur employeur peut surveiller correctement les ressources de l’entreprise en ce qui concerne la violation de données ou la prévention d’une violation. Compte tenu de ces faits, on pourrait s’attendre à voir le nombre de personnel impliqué dans la formation des travailleurs de monter en flèche suite à une l’infraction, mais là encore, il semble ce n’est pas le cas.

Sondage 2

Le rapport suggère en fin de compte que la grande majorité des entreprises ont des modèles de sécurité qui sont à demi-fonctionnel au mieux. Pas plus optimiste que mon dernier billet qui portait sur le sujet, je vais l’admettre, mais en même temps, je pense que ces résultats ne sont pas surprenant.

Écrit par Francis Bilodeau @ 6:18 pm le 8 October 2008
Filed under: Google,Sécurité

Aujourd’hui, qui n’utilise pas GMail ou un service de courriel gratuit en ligne? J’en connais peu ou presque pas. J’ai d’ailleurs fait un billet il y a quelques temps qui expliquait pourquoi vous devriez adopter GMail au plus vite! Malgré tout, il demeure des faiblesses dans un outil comme GMail et le New York Times en a traité au cours de la fin de semaine dernière.

L’article aborde le sujet de la récupération d’un compte GMail en cas du vol de votre compte. C’est-à-dire qu’une tierce personne a piraté votre mot de passe et reconfigurer votre compte avec des paramètres importants, vous empêchant ainsi tout accès. Le réflexe le plus rapide est de trouver un numéro de service à la clientèle, mais Google en offre pas pour un compte gratuit laissant ainsi les utilisateurs incapables d’accéder à leur précieux compte pendant des jours et parfois des semaines. Le seul support à la clientèle disponible est via un compte GMail payant à 50,00$ par année qui offre également plus d’espace. Si vous n’avez pas inscrit vos informations correctement lors de l’inscription, le seul autre moyen de récupérer son compte est via une longue procédure de récupération du compte.

Le NY Times a interviewé l’entreprise demandant à ses représentants de commenter pourquoi Google n’offrait pas de service à la clientèle:

Mr. Glotzbach began by saying that “one-to-one support isn’t always the best answer” because it would take Google too long to collect lots of data about a problem that is affecting many users simultaneously.

For systemic problems, data collection is important. But not for other categories. Account recovery could be slow for a locked-out customer who doesn’t have a backup e-mail account, and who declined to provide a security question and answer because of concerns that someone else could use it to get in (which is what someone did to Gov. Sarah Palin’s Yahoo Mail account).

Mr. Badros argued that Google asks so little personal information of a new Gmail customer that it’s hard to determine identity when the genuine user and the impostor both present themselves to claim the account, and neither can produce the verification. He said more information could be asked of users when they sign up, but the inconvenience would dissuade them from trying the service.

Mr. Gilbert added that proving identity with only minimal information is a problem, whatever form of communication is used to reach customer support. He said, “Even if they were standing right in front of us, it wouldn’t help.”

Bref, il est mieux pour vous de prendre quelques mesures nécessaire pour protéger votre compte:

  • Faire des backups de vos e-mail via un outil tel que Outlook (via POP3 ou en IMAP et un export des données). Synchronisez également vos contacts et calendrier. Faites un backup de votre fichier OPML sur Google Reader. Ceci protégera vos données et vous pourrez trouver des solutions alternatives si ce genre de problème survient.
  • Associez vos autres courriels avec votre compte GMail principal. Ceci vous permettra de récupérer votre compte beaucoup plus rapidement.
  • Vous pouvez également répondre aux questions de sécurité. En répondant correctement à ses questions, un courriel vous sera envoyé à une autre adresse vous appartenant (point #2) pour modifier votre mot de passe.
  • Si vous voulez un service par téléphone, payez 50$ par année…
Écrit par Francis Bilodeau @ 6:28 pm le 11 August 2008
Filed under: Actualité,Fraude,Médias Sociaux,Sécurité,Web 2.0

C’est via cet article sur le TheNextWeb que j’apprends que Facebook fait présentement face à de nombreuses tentatives de hameçonnage (phishing scams) venant de la Chine. En gros, il s’agit d’une attaque perpétrée en faisant une copie du véritable site web de Facebook afin de faire croire à la victime qu’elle est sur un site de confiance pour usurper ses informations personnelles. Comme l’indique l’article, ce qui est inquiétant est que ces sites deviennent de plus en plus complexe et déjouent même les alertes de navigateurs tel que Firefox et Internet Explorer.

Donc, si vous recevez un courriel d’un ami ou du personnel de Facebook vous demandant de vous connecter sur le site, remarquez l’url du site web (facebook.com). Dans le cas présent, l’auteur du billet que la copie à éviter est le FACEilBOOK.com. Donc, évitez à tout prix les URLs du genre! Même si vous vous connectez avec des informations fausses, le site pourra être en mesure de voler votre Cookie et d’avoir accès à vos informations personnelles, soyez-en avisé!

Le vol de vos informations Facebook ne pourrait peut-être pas votre plus gros problème. La plupart des utilisateurs sont lâches et ne désirent pas se rappeler les tous les mots de passes sur les sites, blogues et services qu’ils sont inscrits. Je m’inclus également dans le lot! J’utilise donc sporadiquement le même mot de passe pour différents sites. Il est de mise qu’un utilisateur qui a accès à votre compte Facebook pourrait également vous voler vos courriels, informations bancaires et autres. Utiliser des mots de passes différents pour chaque site peut être un suivi supplémentaire, mais peut-être que ça en vaut la peine en cas de pépin!

Écrit par Francis Bilodeau @ 3:22 pm le 8 August 2008
Filed under: Actualité,Médias Sociaux,Sécurité

Un de mes amis sur Facebook a été victime d’un virus qui a infecté son ordinateur et également sa liste d’amis  lorsqu’il a cliqué sur un lien via un courriel reçu dans Facebook. Ce courriel, intitulé “Coucou” et contenant le message “J’crois t’es pas mal sur cette video!” avec un lien vers un site illicite, installe un virus sur le poste de travail lors de la visite du site web et envoie par ce même message à tous vos contacts Facebook. Il est donc recommandé de supprimer immédiatement ce genre de courriel et d’aviser la personne qui vous l’a envoyée qu’elle est potentiellement infectée. Soyez donc prudent lors de la lecture de vos courriels Facebook, car il est naturel de faire confiance à ses amis et de baisser sa garde! Si vous êtes infecté par mégarde, faite une analyse complète de votre machine avec un antivirus tel que Avast! (gratuit) ou Kaspersky (payant).

Selon un article de Technaute paru ce matin, le virus pourrait également infecter les utilisateurs de MySpace.

[…] mise en garde du spécialiste Marc Saltzman : ce plugiciel est un virus, malgré le fait que le courriel bidon semble provenir d’un ami. Il affirme en outre n’avoir jamais vu un virus de cette ampleur sur le site Internet de Facebook.

Wayne Blackard, chercheur en matière de sécurité chez TippingPoint Technologies, au Texas, prévient pour sa part que le virus infecte également les utilisateurs du site Web MySpace.

Écrit par Francis Bilodeau @ 6:03 pm le 5 August 2008
Filed under: Entreprise,Fraude,Internet,Piratage,Sécurité

C’est via une étude datant de 2006 faite par l’Université du Michigan que l’on apprend que plus de 75% des sites bancaires ne sont pas sur la coche en ce qui attrait la sécurité. On espère que les choses ont évolués depuis, l’étude étant publié au début de Août 2008.

Cette étude a évalué 214 institutions financières et à mis l’accent sur les défauts de conceptions et les mauvaises pratiques en matières de sécurité. Il n’y a aucune faille catastrophique qui a été trouvé, c’est plutôt des méthodes d’utilisation qui pourrait facilité le vol de votre nom d’utilisateur et mot de passe qui ont été décelés.

L’étude complète est disponible ici. Cette étude ne révèle pas spécifiquement quelles failles de sécurité ont été trouvés pour un site en particulier. Les failles étudiées sont les suivantes:

Mauvais système de connexion

Prêt de la moitié des institutions étudiés ont des pages d’authentifications dites “sécurisés” sur des pages qui sont en faits non-sécurisés puisque les dites pages ne sont pas protégées par un protocole SSL. Un certificat SSL, qui peut être vu par la présence d’un cadenas dans votre navigateur, permet l’encryptage des données lors de l’échange entre votre ordinateur et le serveur du site web que vous visitez. N’ayant pas de certificat de sécurité, un pirate pourrait intercepter l’échange entre votre poste de travail et le serveur, ce qui est communément appelé une attaque “man in the middle”. L’étude indique que la plupart des institutions ont effectivement un certificat SSL valide, mais celui-ci n’est tout simplement pas en place pour la page de connexion. Cet élément est également bon à savoir pour vous, si vous récoltez de l’information personnelles de vos clients, il est fortement conseillé de faire l’acquisition d’un certificat de sécurité.

Informations “contactez-nous” sur une page non-sécurisé.

55% des institutions échouent ce test. Une attaque similaire à la précédente pourrait laisser un hacker changer le numéro de téléphone figurant sur la page d’informations de contact, la réorientation des clients vers un faux centre d’appel pourrait permettre le vol du nom d’utilisateur et le mot de passe.

Rediriger l’utilisateur l’extérieur du site de la banque sans avertissement

Lorsque les utilisateurs sont dirigés vers d’autres services (tels que, par exemple, sites de paiement de factures), la banque n’avise pas les usagers du changement. Un utilisateur ne sais pas si ce qu’il voit est digne de confiance ou non.

En utilisant les numéros de sécurité sociale ou les adresses e-mail pour les identifiants d’utilisateur

Ces choses sont simples à deviner ou à trouver, en particulier les adresses e-mail. Les banques devraient permettre aux utilisateurs de créer un nom d’utilisateur personnalisé, ainsi que de politique sur les mots de passe faibles. Ce que 28% des institutions ne font pas.

Envoi par e-mail d’informations confidentielles

Des éléments importants, tel que les relevés financiers devraient être envoyé de manière sécurisé. Les mot de passe, par exemple, ne devrait jamais être envoyé en texte simple. 31% des institutions ont échoués ce test.

Écrit par Francis Bilodeau @ 2:02 pm le 24 June 2008
Filed under: Entreprise,Fraude,Piratage,Sécurité

C’est via un article de PCWorld que j’apprends le résultat d’un sondage qui me surprend beaucoup. Presque la moitié des travailleurs en informatique ont admis fouiller sur les réseaux de leur entreprise afin de consulter des informations confidentielles, selon la recherche de Cyber-Ark, entreprise de logiciel.

“When it comes down to it, IT has essentially enabled snooping to happen. It’s easy — all you need is access to the right passwords or privileged accounts and you’re privy to everything that’s going on within your company,” said Mark Fullbrook, U.K. director of Cyber-Ark.

Ce sondage a d’ailleurs indiqué que les mots de passe privilèges ne sont changés que très rarement. 30% ont admis que les mots de passe privilèges sont changés chaque trimestre tandis que 9% ont indiqué que les mots de passe ne changeaient jamais, donnant un accès indéfini à ceux qui savent les mots de passe même après une mise à pied.

“As we have seen many use their privileged passwords without having to seek authorization, and if the price is right what’s stopping them from choosing to trade information to the highest bidder,” said Fullbrook.

“Companies need to wake up to the fact that if they don’t introduce layers of security and tighten up who has access to vital information, by managing and controlling privileged passwords, snooping, sabotage and hacking will continue,” he added.

Les entreprises ont donc intérêt à revoir leur sécurité et leur méthode d’accès au réseau ainsi qu’instaurer une procédure de renouvellement des mots de passes. Comme Mr. Fullbrook l’indique, ces informations peuvent être vendues et sabotés. La situation devient alors beaucoup plus difficile à gérer.

Recevez les billets par courriel!


Add to Netvibes
Add to Google
Subscribe with Bloglines

 TwitterCounter for @fbilodeau


Mon Twitter

Calendrier

August 2017
M T W T F S S
« Sep    
 123456
78910111213
14151617181920
21222324252627
28293031