5 choses que nous avons apprises sur la sécurité en ligne en 2013

Publicité

L'époque où les présentateurs de nouvelles s'inquiétaient d'Internet entier pourrait être interrompue par un ver informatique simple (mais efficace) est révolue, mais cela ne signifie pas que la sécurité en ligne n'est plus un problème. Les menaces sont devenues plus complexes et, pire encore, proviennent maintenant d'endroits auxquels la plupart ne s'attendraient pas - comme le gouvernement. Voici 5 leçons difficiles que nous avons apprises sur la sécurité en ligne en 2013.

Le gouvernement vous regarde…

Le plus grand sujet de discussion sur la sécurité informatique de 2013 a été, bien sûr, la révélation que des Le gouvernement des États-Unis (principalement la National Security Agency) espionne les citoyens sans retenue.

Selon des documents divulgués par l'ancien entrepreneur de la NSA, Edward Snowden, et renforcés par d'autres sources comme l'ancien responsable de la NSA, William Binney, les services de renseignement américains ont accès non seulement aux enregistrements téléphoniques et aux réseaux sociaux les métadonnées, mais peuvent également accéder à une large gamme de services, y compris les appels de téléphones portables, les e-mails et les conversations en ligne, soit par écoute directe, soit en servant des informations mandats.

Qu'est-ce que cela signifie pour toi? C'est difficile à dire parce que la NSA insiste sur le fait que le programme est un secret de sécurité nationale. Bien que les dénonciateurs aient souligné que la taille des centres de données de la NSA implique que le gouvernement enregistre et conserve un volume assez important de données vidéo et audio, il n'y a aucun moyen de savoir avec certitude ce qui a été enregistré et stocké tant que les spymasters américains continuent de Publique.

La conclusion troublante est qu'il y a rien que tu puisses faire pour garantir votre confidentialité, car la mesure dans laquelle elle peut être compromise et la façon dont elle pourrait être compromise ne sont qu'à moitié connues.

… Et tout le monde aussi

Le gouvernement n'est pas seulement intéressé à espionner les gens. Les particuliers peuvent également utiliser de la vidéo ou de l’audio cachés extraits de l’ordinateur d’une victime. Souvent, cela a moins à voir avec la fraude qu'avec les farces et le porno, bien que les deux puissent converger.

Le monde souterrain de l'observation des victimes sans méfiance, appelé «cliquetis», a été brillamment exposé dans un article de Ars Technica. Bien que l'activation de la webcam d'une personne et son enregistrement à distance soient souvent considérés comme du piratage, cela peut maintenant être accompli avec une relative facilité en utilisant des programmes avec des noms comme Fun Manager. Une fois qu'un client cliquetis a été installé sur le PC d'une victime, les cliquetis peuvent taper dedans et voir ce qui se passe.

Souvent, «ce qui se passe» se traduit directement par une chance de voir des femmes sans méfiance sans leurs vêtements, bien que le logiciel puisse également être utilisé pour jouer des farces comme l'ouverture aléatoire d'images dérangeantes pour voir la victime réaction. Dans le pire des cas, le cliquetis peut se traduire directement par du chantage, car le ratier capture des images gênantes ou nues d'une victime, puis menace de les libérer si elles ne reçoivent pas de rançon.

Vos mots de passe ne sont toujours pas sécurisés

La sécurité des mots de passe est une préoccupation courante et pour une bonne raison. Tant qu'une seule chaîne de texte est tout ce qui se trouve entre le monde et votre compte bancaire, garder ce texte secret sera de la plus haute importance. Malheureusement, les entreprises qui nous demandent de nous connecter avec un mot de passe ne sont pas aussi concernées et les perdent à un rythme alarmant.

La violation majeure de cette année est venue avec la permission d'Adobe, qui a perdu plus de 150 millions de mots de passe dans une énorme attaque cela a également permis (selon la société) aux attaquants de s'en tirer avec du code pour des logiciels encore en développement et de voler des informations de facturation pour certains clients. Alors que les mots de passe étaient cryptés, ils étaient tout sécurisé en utilisant une méthode de cryptage obsolète et la même clé de cryptage. Ce qui signifie que leur décodage était beaucoup plus facile qu'il n'aurait dû l'être.

Bien que des violations similaires se soient produites auparavant, Adobe est le plus important en termes de nombre de mots de passe perdus, ce qui montre qu'il existe encore les entreprises qui ne prennent pas la sécurité au sérieux. Heureusement, il existe un moyen simple de savoir si vos données de mot de passe ont été violées; allez à HaveIBeenPwned.com et entrez votre adresse e-mail.

Le piratage est une entreprise

Les ordinateurs étant devenus plus complexes, les criminels qui cherchent à les utiliser comme moyen de réaliser un profit illégal sont également devenus plus sophistiqués. L'époque d'un pirate solitaire libérant effrontément un virus juste pour voir ce qui se passait semble être terminée, remplacée par des groupes qui travaillent ensemble pour gagner de l'argent.

Un exemple est Paunch, un pirate informatique en Russie qui dirigeait les ventes de un kit d'exploit connu sous le nom de Blackhole. Le kit, créé par Paunch et plusieurs co-conspirateurs, a été développé des tactiques commerciales partiellement intelligentes. Plutôt que d'essayer de trouver des exploits zero-day par eux-mêmes, le groupe de Paunch a acheté des exploits zero-day auprès d'autres pirates. Ceux-ci ont ensuite été ajoutés au kit, qui a été vendu en abonnement de 500 $ à 700 $ par mois. Une partie des bénéfices a été réinvestie dans l'achat encore plus d'exploits, ce qui a rendu Blackhole encore plus capable.

C'est ainsi que toute entreprise fonctionne. Un produit est développé et, en cas de succès, une partie des bénéfices est réinvestie pour améliorer le produit et, espérons-le, attirer davantage d'entreprises. Répétez jusqu'à ce que riche. Malheureusement pour Paunch, son plan a finalement été retrouvé par la police russe et il est maintenant en détention.

Même votre numéro de sécurité sociale est à portée de clic

L'existence de réseaux de zombies est connue depuis un certain temps, mais leur utilisation est souvent associée à des attaques relativement simples mais massives, comme déni de service Qu'est-ce qu'une attaque DDoS? [MakeUseOf explique]Le terme DDoS siffle chaque fois que le cyber-activisme se lève en masse. Ce type d'attaques fait la une des journaux internationaux pour de multiples raisons. Les problèmes qui déclenchent ces attaques DDoS sont souvent controversés ou très ... Lire la suite ou le spam par e-mail, plutôt que le vol de données. Une équipe de pirates informatiques adolescents en russe nous a rappelé qu’ils pouvaient faire plus que remplir nos boîtes de réception de publicités de Viagra installer un botnet dans les principaux courtiers de données (comme LexisNexis) et volent des volumes de données sensibles.

Cela a abouti à un «service» appelé SSNDOB qui a vendu des informations sur les résidents des États-Unis. Le prix? Seulement quelques dollars pour un dossier de base et jusqu'à 15 $ pour un crédit complet ou une vérification des antécédents. C'est vrai; si vous êtes un citoyen américain, votre numéro de sécurité sociale et vos informations de crédit pourraient être obtenus pour moins que le prix d'un repas à The Olive Garden.

Et ça empire. En plus de stocker des informations, certaines sociétés de courtage de données sont également utilisées pour les authentifier. Vous l'avez peut-être rencontré vous-même si vous avez déjà essayé de demander un prêt pour être accueilli par des questions telles que était votre adresse il y a cinq ans? Étant donné que les courtiers de données eux-mêmes étaient compromis, ces questions pouvaient être facilité.

Conclusion

2013 n'a pas été une grande année pour la sécurité en ligne. En fait, ça a été un peu un cauchemar. Espionnage du gouvernement, numéros de sécurité sociale volés, chantage à la webcam par des étrangers; beaucoup imaginent ces scénarios comme le pire des cas qui ne pourraient se produire que dans les circonstances les plus extrêmes, mais cette année a prouvé tout ce qui précède avec étonnamment peu d'efforts. J'espère que 2014 verra des mesures prises pour résoudre ces problèmes criants, bien que je doute personnellement que nous serons aussi chanceux.

Crédit d'image: Flickr / Shane Becker, Flickr / Steve Rhodes