Ce qu’il faut retenir de #MacronLeaks

Qui n’a pas entendu parler sur les médias sociaux de la fuite de milliers de documents internes du parti politique français fondé par Emmanuel Macron, En Marche!, révélé le 6 mai dernier ?

Une fuite d’informations à 48h du scrutin
Lors du communiqué de presse, les représentants du mouvement ont affirmé qu’il s’agissait du résultat d’une « action de piratage massive et coordonnée » menée plusieurs semaines auparavant sur les « boîtes mail personnelles et professionnelles de plusieurs responsables du mouvement ». Ils affirment que les pirates ont fait circuler des documents authentiques en y ajoutant des « faux » et ont trafiqué des métadonnées dans le but « de semer le doute et la désinformation ». Les auteurs de cette fuite, de même que leurs motivations, demeurent inconnues à ce jour.

Nous avons également appris que l’équipe d’En Marche! aurait elle-même créé de faux comptes servant à diffuser de fausses informations en guise de “contre-attaque”. En outre, cette tactique d’obfuscation vise à rendre l’exploitation des données plus compliquée pour les pirates et leur faire perdre du temps.

Cette affaire met en lumière les risques de failles de sécurité informatique qui peuvent toucher tout type d’individu ou organisation et menacer ses informations confidentielles et sensibles.

Qu’est-ce que le harponnage?
Même si rien pour l’instant ne permet de déterminer avec certitude la méthode qui a été employée dans le cas #MacronLeaks, les représentants du parti En Marche! affirment qu’il s’agirait de méthodes de harponnage, plus communément « spear phishing ».

Le harponnage consiste à envoyer un ou des courriels à des individus spécifiques pour les inciter à ouvrir une pièce jointe ou un lien URL malveillant, dans le but d’obtenir les accès aux boîtes de courriel, sachant que les courriels sont une porte d’entrée vers divers autres accès, données critiques et documents, et ce, même s’ils ont été protégés par un mot de passe.

Contrairement à l’hameçonnage, tel qu’employé dans la récente fraude “Google Docs”, qui balaye les failles de manière aléatoire, le harponnage va cibler des organisations ou des individus en particulier. Ceux-ci peuvent être ciblés en raison de leur position stratégique ou névralgique au sein d’une organisation ou de la vulnérabilité potentielle qu’ils peuvent représenter.

Dans le cas #MacronLeaks, Mounir Majhoubi, chargé de la campagne numérique d’En Marche!, spécifie qu’environ 5 boîtes de courriel de personnes importantes au sein de l’équipe politique ont été ciblées plus particulièrement, dont le responsable financier.

Protéger les données par une bonne gestion de l’accès
Cette affaire démontre, encore une fois, à quel point la protection des accès et des données demeurent d’une importance sous-estimée, non seulement du côté de la population en général, mais aussi du côté des organisations. Cette situation a même été récupérée par des entreprises de sécurité pour tenter de vendre des solutions de cybersécurité “offensives”, telles que des services de contre-renseignement. Par contre, ce ne sont pas nécessairement des solutions efficaces ou adaptées pour prévenir ce genre d’incident.

Pour ces raisons, Crypto.Québec vous rappelle l’importance de bien contrôler, superviser et gérer les accès aux comptes qui sont plus privilégiés au sein de votre organisation, ne jamais accorder d’accès libre sans restriction, de surveiller ce que les membres font de leur autorisation d’accès et de vous servir d’un bon gestionnaire de mot de passe pour y stocker et gérer la rotation des identifiants.

Crypto.québec et « Faut qu’on se parle ».

Crypto.québec est fier d’annoncer un événement « Faut qu’on se parle » avec la présence de Gabriel Nadeau-Dubois le jeudi 24 novembre prochain au bar Yïsst, dans Petite-Patrie à Montréal.

L’événement sera peut-être webdiffusé.

L’objectif de cette soirée est de discuter en groupe sur l’avenir du Québec, mais en ayant une approche en lien avec la sécurité, l’information et la technologie. Selon-vous, que pouvons-nous faire pour améliorer le Québec au niveau de la technologie? De l’information? De la sécurité? Quelles politiques devrions-nous prendre? Quelles approches devraient être considérées? Et la surveillance des journalistes? La surveillance des activistes? La collecte de masse des données? Devrions-nous mettre de l’avant certaines pratiques plutôt que d’autres?

Venez discuter avec nous de vos réflexions à ce niveau! Nous sommes intéressés à vous entendre.

Une contribution volontaire de 15$ est fortement recommandée. L’argent ira couvrir les frais de FQSP ainsi que les frais d’organisation par notre équipe de bénévoles.

Nous invitons tout le monde à s’inscrire à l’événement Facebook ou sur Eventbrite.

Mossack Fonseca: un véritable fromage suisse côté sécurité

On ne le dira jamais assez souvent – la sécurité absolue est un mythe. Toutefois, le vieux dicton « aide toi et le ciel t’aidera » est approprié, ici: Mossack Fonseca, la firme panaméenne spécialisée en gestion de sociétés écrans a été, à certains égards, l’artisane de son propre malheur dans le cas bien connu d’évasion fiscale à grande échelle. Comment les 11,5 millions de documents ont-ils été obtenus? Chose certaine, le cabinet d’avocats porte maintenant plainte pour piratage.

Continuer la lecture de Mossack Fonseca: un véritable fromage suisse côté sécurité

Université Concordia : Des enregistreurs de frappe sur des ordinateurs

Plus tôt cette semaine, l’Université Concordia a fait une annonce importante à ses élèves et à son personnel sur son site Internet:

Des périphériques matériels appelés enregistreurs de frappe, qui peuvent capter la frappe des touches d’un ordinateur, ont récemment été découverts sur certains postes de travail debout situés dans les bibliothèques R.-Howard-Webster et Vanier de l’Université Concordia.

Continuer la lecture de Université Concordia : Des enregistreurs de frappe sur des ordinateurs

Atelier pratique du jeudi 3 décembre – Informations pratiques

Suite à l’annonce de notre atelier pratique la semaine dernière, nous avons reçu un nombre important de commentaires positifs et de questions. C’est pourquoi nous avons décidé de fournir à l’avance quelques informations qui pourraient vous être utiles.

Continuer la lecture de Atelier pratique du jeudi 3 décembre – Informations pratiques