Pour une deuxième année consécutive, Gardien Virtuel est heureux d’annoncer son partenariat OR avec le Hackfest. Sous forme d’une compétition de piratage éthique amicale, cet événement annuel a pour mission de promouvoir la sécurité informationnelle auprès de la population. L’événement se tiendra les 4 et 5 novembre prochains à Québec. Pour tous les détails consultez le www.hackfest.ca.
Voici une entrevue radiophonique à l’émission Dupont le Midi (RadioX – Choix 98,1FM de Québec), où le président de Gardien Virtuel, Patrick Boucher, parle de l’arrestation faite par la GRC du pirate Joseph Mercier à Laval. L’entrevue dure environ 15 minutes. Veuillez sauter à 4:00 du fichier pour éviter les annonces publicitaires et aller directement au début de l’entrevue. À NOTER: M. Boucher mentionne le logiciel « Malabytes », un lapsus car ce dernier s’appelle « Malwarebytes » (https://www.malwarebytes.org).
Attention utilisateurs de DropBox:
Gardien Virtuel a collaboré récemment avec Me René Verger, Christophe Jolivet et Dominique Dubé sur un avis de sécurité concernant le service gratuit en ligne DropBox. Cliquez ici pour lire les détails de cet avis (document PDF).
Un article publié aujourd’hui dans le USA Today (Byron Acohido) rapporte que les PME sont de plus en plus la cible de piratage et de vol d’information. Les pirates informatiques visent maintenant les plus petites organisations car parmi celles-ci:
36% se rabattent sur des applications antivirus gratuites pour grand public
31% n’ont pas de solutions anti pourriels
25% n’ont pas de solutions anti logiciels espions
15% n’ont pas de coupe-feu
13% n’ont aucune sécurité du tout!
Cliquez ici pour lire l’article complet (version anglaise seulement).
Piratage informatique: comment se protéger?
Paru le 30 juin 2011
Par Frédéric Perron (journaliste, magazine Protégez-Vous)
Depuis quelques mois, des groupes de pirates informatiques mènent une vague d’attaques contre des compagnies et des gouvernements. Dommages collatéraux: vos informations personnelles!
Quand ils s’y mettent, les grands groupes de pirates informatiques comme Anonymous et Lulz Security (LulzSec) peuvent donner beaucoup de fil à retordre à leurs ennemis. Parlez-en à Sony. L’entreprise a eu le malheur de poursuivre en justice George Hotz, un bidouilleur qui aidait les utilisateurs de PlayStation 3 à modifier la console de jeu pour y installer des logiciels. Le 11 avril 2011, les deux parties ont annoncé la conclusion d’une entente hors cour.
Cela n’a pas empêché des pirates d’attaquer le réseau de jeu en ligne PlayStation Network (PSN) en guise de représailles une semaine plus tard. Résultat: les informations personnelles de 77 millions d’usagers ont été volées et PSN est resté hors fonction pendant trois semaines. Les pirates ont également ciblé d’autres sites de Sony en mai et en juin 2011.
Le FBI et la CIA aussi dans la mire
LulzSec, qui a revendiqué plusieurs attaques contre Sony, a attiré beaucoup d’attention en 50 jours d’existence avant d’annoncer sa dissolution le 25 juin. Le groupe de pirates a notamment fait tomber le site de la CIA, placé une fausse nouvelle sur le site du télédiffuseur américain PBS et volé les mots de passe d’employés d’InfraGuard Atlanta, une société affiliée au FBI. Le groupe a obtenu une couverture médiatique internationale et son compte Twitter @LulzSec a atteint près de 300 000 abonnés.
Des membres de LulzSec auraient maintenant rejoint le bateau amiral d’Anonymous, groupe connu notamment pour avoir combattu l’Église de Scientologie et pour appuyer WikiLeaks. Le 20 juin 2011, ils ont annoncé le lancement d’une opération conjointe nommée Operation Anti-Security (AntiSec), qui visera les gouvernements. «Expect us» («Attendez-nous»), disent-ils.
Pour le plaisir… et un peu plus
Les motivations de ces groupes ne sont pas toujours très claires. Contrairement aux distributeurs de faux antivirus et de pourriel, leur but ne serait pas de faire de l’argent. Il s’agirait plutôt de s’amuser («for the lulz», dérivé de LOL pour «Laughing Out Loud»), d’attirer l’attention médiatique, de souligner les failles de sécurité informatique et de faire de l’activisme politique.
«Alors qu’avant ils opéraient dans l’ombre, certains groupes de pirates aiment de plus en plus attirer l’attention et prennent goût à la popularité, constate Patrick Boucher, président de la firme de sécurité informatique Gardien Virtuel. LulzSec en est le meilleur exemple. Ils font ça avant tout pour le plaisir.»
N’empêche que les données comme les adresses de courriel, les noms d’utilisateurs et les mots de passe obtenus grâce à ces attaques sont souvent rendus publics sur le Web. Et comme bien des internautes utilisent le même mot de passe pour accéder à plusieurs sites, une âme mal intentionnée peut très bien aller dans vos comptes de courriel et de réseaux sociaux pour y faire des trouvailles intéressantes.
Quelques conseils
Pour vérifier si votre mot de passe a été compromis lors d’une attaque majeure, visitez le site ShouldIChangeMyPassword.com. Si c’est le cas, changez immédiatement votre mot de passe sur le site compromis.
* Choissez des mots de passe solides, composés d’au moins 12 caractères y compris des lettres minuscules, des lettres majuscules, des chiffres et des symboles. Évitez les mots du dictionnaire et toute référence à votre vie personnelle comme le nom de votre chat. Plusieurs sites comme Gmail, Facebook et Twitter indiquent le niveau de sécurité de votre mot de passe (faible, moyen, élevé, très élevé, etc.).
* Utilisez des mots de passe différents pour chaque site que vous visitez. Rien ne vous empêche de réutiliser un bout de mot de passe partout (par exemple, six caractères) et d’adapter le reste du mot de passe en fonction du site auquel il est associé. Laissez aller votre imagination!
* Si vous avez du mal à mémoriser vos mots de passe, vous pouvez utiliser un logiciel comme 1Password (à partir de 40 $US) ou KeyPass (gratuit). Ces derniers enregistrent vos mots de passe, qui sont protégés par un seul mot de passe principal. Ils peuvent même générer des mots de passe très complexes pour vous. «J’utilise KeyPass pour conserver une centaine de mots de passe que j’utilise pour accéder à des sites Web et à des systèmes informatiques, dit Patrick Boucher. C’est un outil formidable et gratuit qu’on peut même installer sur une clé USB.»
* Le navigateur Firefox est également doté d’une fonction semblable. Dans le menu «Préférences» de Firefox, cliquez sur «Sécurité» et cochez «Utiliser un mot de passe principal».
L’industrie de la sécurité informatique est en deuil. Subitement à Québec, le 2 juin 2011, est
décédé à l’âge de 40 ans, monsieur Dominic Pion, une personne qui a grandement contribué à
l’avancement de son domaine d’expertise au Québec. Plusieurs employés de Gardien Virtuel ont eu le privilège de travailler avec lui au fil des ans ou d’assister aux conférences qu’il a données,
notamment à travers l’ISACA. Mais surtout, nous allons nous ennuyer des diners au bistrot français où nous avions du plaisir à discuter avec lui. Gardien Virtuel aimerait offrir à sa famille et ses proches nos plus sincères condoléances.
Gartner a annoncé la mort des IDS et IPS en 2003. Sont-ils morts ? Si oui, qu’est ce qui les a remplacé ? Lors de cette présentation nous feront l’état de l’art de la détection d’intrusions moderne. Nous regarderons comment la communauté scientifique cherche à répondre aux critiques et aux problématiques de la détection d’intrusions et comment elle peut servir à solutionner de nouveaux problèmes. Finalement, nous prendrons du recul pour regarder les problèmes philosophiques et sémantiques, non pas seulement dans la détection d’intrusions, mais dans les mesures de protection des ordinateurs en général.
Éric Gingras Ph.D., directeur R&D de Gardien Virtuel donnera cette conférence via l’ISACA, le 4 mai prochain. Pour tous les détails et pour vous inscrire, cliquez ici. Hâtez-vous; il ne reste plus que quelques places!
Le Réseau Action TI LLL (Laval-Laurentides-Lanaudière) présente le 13 avril prochain une conférence à deux volets. La première portion portera sur la détection d’intrusions. Le conférencier, Éric Gingras Ph.D. directeur de la R&D hez Gardien Virtuel, posera la question aux participants « La détection d’intrusion est-elle morte? » question intrigante pour tout gestionnaire TI responsable de la sécurité de l’information de son entreprise.
En deuxième partie, le conférencier abordera le vol d’identité, fléau grandissant de notre société. Un invité vivant lui-même une situation difficile viendra partager son cas vécu. Cette portion ne sera pas technique et sera accessible à tous. Pour tous les détails et vous inscrire, cliquez ici.
Le Hackus approche à grands pas et comme par les années précédentes, Gardien Virtuel y laissera sa trace à sa façon. Cette fois, ça sera sous le forme de commandite d’équipe. En effet, l’équipe des PRIMES du Collège de Rosemont, composée de Jean-Philippe Desbiens, Alexis Talbot, Samuel Harvey, Marc Francoeur, Éric Thibault, Jean-Claude Olivier, Raphaël Jobin et Simon Foucher, sera commandité financièrement par Gardien Virtuel. « Nous sommes fiers de soutenir cette équipe et de promouvoir notre industrie auprès d’étudiants, » déclare Marco Estrela, vice-président aux ventes et au marketing. « La relève, est là et elle est motivée. Ça nous encourage de voir ça car on devine que l’avenir de la sécurité informatique au Québec est entre bonnes mains. Bonne chance à toute l’équipe! » conclut-il.
Le colloque Rendez-vous de la sécurité de l’information (RSI) approche à grands pas (28-29 mars 2011) et comme les années précédentes, les responsables TI et les gestionnaires de la sécurité s’y rendront pour faire du assister à des conférences et faire du réseautage. Cette année, il y aura une nouveauté importante soit le SYN/HACK. Le SYN/HACK est une compétition de piratage éthique, à caractère pédagogique, qui se tiendra sur une journée. L’événement se déroulera dans le cadre du RSI le 28 mars 2011 au Centre Mont-Royal à Montréal. La compétition se fera en équipe de 4 ou 5 participants et des détails sur le matériel nécessaire seront bientôt rendu disponible. Les frais d’inscription seront de l’ordre de 100$ par équipe. Cliquez ici pour tous les détails et pour vous inscrire. Soyez-y en grand nombre!
