1 Nouvelle attaque en hameçonnage ciblant des utilisateurs d'une banque française
Les utilisateurs d'un établissement bancaire français ont été victimes le 07 mars d'une nouvelle tentative d'hameçonnage (phishing). Le courrier électronique frauduleux envoyé massivement aux internautes reprenait la charte graphique de la banque et invoquait des considérations de sécurité pour les inciter à suivre les liens proposés et à entrer leur code d'accès aux services en ligne. La banque a aussitôt émis une alerte sur son site web.
Le CERTA rappelle l'importance de signaler le plus rapidement possible ce type d'attaques afin de limiter le nombre de victimes. Il doit être rappelé aux utilisateurs la réalité de cette menace et la prudence nécessaire dans l'ouverture des liens insérés dans les messages. Le CERTA recommande la lecture d'un communiqué de la FBF (Fédération Bancaire Française) disponible au lien suivant :
http://www.fbf.fr/web/internet/content_particuliers.nsf/(WebPageList)/49D5DCBE7BA021D9C125701100492858
Ces recommandations de bon sens s'appliquent à la plupart des services en ligne.
2 Réflexions sur les concours d'intrusion
Ces dernières semaines ont vu l'apparition de plusieurs concours de piratage de machines, notamment sous système d'exploitation MacOS X. Ces concours attirent toujours l'attention des medias, probablement pour son côté ludique. L'éditeur Symantec a également publié un certain nombre de statistiques sur différents systèmes d'exploitation Linux et sur leur résistance aux attaques.
Le CERTA recommande la plus grande prudence face à ce genre d'allégations, de concours et de « statistiques ».
La conclusion sous-jacente à la lecture de ce type d'articles est « tel système d'exploitation (ou telle version) est plus sécurisé que les autres. Prendre ce système plus sécurisé que les autres dispenserait des actions nécessaires pour assurer la sécurité au quotidien. »
L'expérience tirée par le CERTA des incidents de sécurité montre sans ambiguïté que tous les systèmes d'exploitation ont été l'objet de vulnérabilités exploitées. La sécurité ne se situe pas dans le choix définitif d'un outil en particulier mais dans des pratiques d'administration au quotidien.
Les mesures décrites à la section 6 sont de nature à apporter une meilleure sécurité que le choix des outils qui pourrait être influencé par le résultat d'un concours.