Air Canada, Air France : la sécurité informatique de 141 compagnies aériennes compromise par une vulnérabilité

[ad_1]

Une vulnérabilité dans le système de réservation de vols Amadeus, utilisé par des centaines de millions de voyageurs dans le monde chaque année, exposait jusqu’à récemment au moins 141 compagnies aériennes au piratage des informations de leurs passagers.

L’expert en sécurité informatique Noam Rotem en a fait l’annonce mardi (Nouvelle fenêtre), après avoir collaboré avec Amadeus pour régler le problème. D’après le spécialiste, la faille concernait les données des dossiers passagers (PNR, pour Passenger Name Record), un ensemble d’informations sur les voyageurs qui sont créées lors d’une réservation.

Une personne mal intentionnée aurait pu se servir d’un problème associé aux PNR pour changer le nom ou l’adresse de résidence d’un passager après une réservation, lui assigner des sièges différents, obtenir ses informations de carte de crédit ou se faire créditer des points de récompense.

Les PNR sont partagés entre les systèmes informatiques des compagnies aériennes, des services de réservation et des services frontaliers des pays visités afin d’identifier les voyageurs et assurer la sécurité aérienne et nationale.

Noam Rotem a programmé un script capable de générer au hasard des PNR et de les vérifier ensuite sur le site web des compagnies aériennes. Selon lui, aucun système de sécurité n’était en place pour détecter qu’un système automatisé testait des dizaines de numéros par minute.

Amadeus dit avoir colmaté la brèche découverte par l’expert en informatique. « À Amadeus, nous accordons la priorité à la sécurité et nous assurons une surveillance et une mise à jour constantes de nos systèmes », a indiqué l’entreprise à Safety Detective, un média spécialisé avec lequel Noam Rotem a collaboré dans cette affaire. « Nos équipes techniques ont agi immédiatement et nous pouvons maintenant confirmer que le problème est réglé. »

Noam Rotem estime toutefois que les systèmes du genre resteront vulnérables aux attaques tant et aussi longtemps que les PNR continueront d’être utilisés. Ces données suivent des normes internationales établies par l’Association internationale du transport aérien et leur modification nécessiterait donc un consensus mondial.

La liste des compagnies aériennes touchées par le problème n’a pas été publiée. Le court rapport disponible sur le site web de Safety Detective indique seulement que la faille existait dans les systèmes des « 141 compagnies aériennes utilisant Amadeus », incluant Air Canada, Air France, United Airlines et Lufthansa. Le site web d’Amadeus mentionne toutefois que l’entreprise fait affaire avec plus de 200 compagnies aériennes.

[ad_2]

Source link

قالب وردپرس

Les ordinateurs quantiques menacent la sécurité informatique

[ad_1]

C’est la conclusion à laquelle arrivent des chercheurs des Académies nationales des sciences, de l’ingénierie et de la médecine (NASEM), aux États-Unis, dans un rapport publié en ligne.

Ces experts tirent la sonnette d’alarme et préviennent la communauté scientifique qu’il est urgent de réfléchir à des moyens de protéger les systèmes informatiques actuels des futurs ordinateurs quantiques.

Une course contre la montre

Le chiffrement sert à protéger nos données pendant qu’elles voyagent sur des réseaux. Sans chiffrement, une personne mal intentionnée pourrait facilement intercepter des communications et s’emparer d’informations confidentielles. Nos ordinateurs actuels ne sont pas assez puissants pour décoder une information chiffrée sans autorisation.

Or, au rythme où vont les choses, les ordinateurs quantiques qui seront produits au cours des 10 prochaines années seront si puissants qu’ils pourront facilement déchiffrer les communications codées d’aujourd’hui.

Les chercheurs se montrent pessimistes quant à nos chances d’échapper au déchiffrage quantique. Dans leur rapport, ils indiquent que l’adoption par l’ensemble de la société de chiffrement résistant aux ordinateurs quantiques sera un « processus long et difficile [qui] ne pourra probablement pas être complété en moins de 20 ans ».

Les ordinateurs quantiques pourraient donc avoir une longueur d’avance, ce qui n’augure rien de bon pour la cybersécurité si des pirates ou des groupes mal intentionnés venaient à s’en servir.

Gouvernements, banques et voitures connectées

William Oliver, un professeur de physique du MIT qui a contribué au rapport des NASEM, a indiqué à MIT Technology Review que les gouvernements et les banques devraient être les premiers à s’inquiéter. Ces derniers doivent en effet souvent conserver des données à l’abri des yeux indiscrets pendant des décennies.

Les fabricants d’automobiles connectées, dont les véhicules pourraient être encore sur les routes dans 10, voire 20 ans, sont particulièrement préoccupés par cette situation, selon Scott Totzke, PDG d’Isarta. Cette jeune pousse conçoit actuellement des systèmes de chiffrement résistant à l’informatique quantique.

De nombreuses méthodes de chiffrement résistantes aux ordinateurs quantiques sont actuellement à l’étude par des chercheurs. L’Institut national des standards et de la technologie des États-Unis (NIST) veut d’ailleurs se servir de celles-ci pour établir des standards.

Mais comme le soulignent les chercheurs des NASEM, il faudra beaucoup de temps pour créer ces standards, les partager, convaincre les fabricants et les spécialistes de les utiliser, et mettre à jour les appareils et les logiciels partout dans le monde. Les données protégées par le chiffrement classique devront alors être soit rechiffrées, soit détruites.

[ad_2]

Source link

قالب وردپرس

Plusieurs CIUSSS de l’île de Montréal victimes d’une attaque informatique

[ad_1]

Quatre centres intégrés universitaires de santé et de services sociaux (CIUSSS) de Montréal ont été victimes d’une attaque informatique, mais aucun dossier personnel n’a été compromis, assure-t-on.

En fait, c’est l’entreprise privée Libéo, qui gère les sites de quatre CIUSSS montréalais, qui a été la cible de l’attaque, a indiqué en entrevue Jocelyne Boudreau, agente d’information au CIUSSS du Centre-Sud-de-l’Île-de Montréal, l’un des établissements touchés.

En début d’après-midi, mardi, il était impossible d’accéder aux sites Internet des établissements. Une page apparaît et indique que les sites sont « temporairement fermés pour des travaux de maintenance ».

On retrouve également dans les CIUSSS affectés ceux du Centre-Ouest-de-l’Île-de-Montréal, du Nord-de-l’Île-de-Montréal et de l’Ouest-de-l’Île-de-Montréal.

Mme Boudreau a indiqué que le site avait des problèmes depuis le 29 novembre, mais elle n’a pu donner plus de détails.

Elle a toutefois tenu à assurer qu’aucun dossier personnel de patients suivis par le CIUSSS n’avait été compromis.

« On tient à rassurer la population. Il n’y a vraiment aucune donnée confidentielle touchée », a-t-elle soutenu.

Le porte-parole du CIUSSS du Nord-de-l’Île-de-Montréal, Hugo Larouche, a par ailleurs assuré qu’il n’y aurait aucun impact sur les services aux patients.

« Les systèmes informatiques à l’interne sont fonctionnels, notre site intranet aussi », a-t-il précisé.

Les patients qui seraient inquiets et qui auraient des questions peuvent signaler le 514-842-7226 pour le CIUSSS du Centre-Sud, ou le 514-336-NORD pour celui du Nord-de-l’Île-de-Montréal.

La Presse canadienne a tenté de joindre l’entreprise Libéo, mais sans succès.

[ad_2]

Source link

قالب وردپرس

« Tout peut être piraté », selon des spécialistes en informatique

[ad_1]

Dhruv Majumdar est le gérant d’une entreprise de cybersécurité et « un chasseur de menaces », c’est-à-dire quelqu’un qui essaie de déjouer les attaques des pirates informatiques quotidiennement. Un travail compliqué, parce que les stratégies utilisées pour détourner des données changent constamment.

Plus la technologie évolue, plus on devient vulnérable.

Dhruv Majumdar, gérant, Elevated Prompt

Le spécialiste est catégorique : « Tout peut être piraté. » D’où l’importance d’être proactif et de se préparer au pire, avant même qu’il n’arrive.

« C’est un jeu de probabilités, explique-t-il. On part avec l’idée qu’on a déjà été piratés, alors comment est-ce qu’on peut contenir les fuites? Il ne faut pas attendre de recevoir une alerte avant d’agir. »

Herwinder Singh Dhami, l’organisateur de la conférence Bsides, estime que ce sont surtout les entreprises et les gouvernements qui sont visés par les pirates informatiques en raison des données qu’ils compilent.

Les particuliers, eux, doivent surtout faire attention aux fraudes. Par exemple, si on reçoit l’appel de quelqu’un se faisant passer pour un employé de l’Agence de revenu du Canada, il ne faut pas avoir peur et lui donner ses informations bancaires, explique-t-il.

On essaie vous faire peur, car on utilise votre peur pour vous extorquer de l’argent. Certaines personnes ont perdu des milliers de dollars comme ça.

Herwinder Singh Dhami, organisateur de la conférence Bsides

Vers une meilleure information

L’objectif de la conférence Bsides, à laquelle près de 300 personnes participent, est de sensibiliser les gens aux problèmes de la sécurité informatique.

En effet, le meilleur moyen d’éviter que les Canadiens ne tombent dans les pièges des pirates informatiques et des arnaqueurs, c’est de les informer, estime Dhruv Majumdar. Le défi, c’est d’expliquer un domaine assez complexe, de manière à ce que les jeunes et les moins jeunes le comprennent.

Dhruv Majumdar est le gérant d’une entreprise de cybersécurité. Photo : Radio-Canada

« C’est très important pour moi, affirme Dhruv Majumdar. Quand je parle avec mes parents, c’est impossible pour eux de comprendre le travail que je fais. Je ne les blâme pas pour ça, c’est surtout moi-même que je blâme, car je n’ai pas les mots pour expliquer mon travail de manière assez simple. »

Le fait d’être informé et proactif est donc, selon lui, le meilleur moyen de battre les pirates informatiques à leur propre jeu.

[ad_2]

Source link

قالب وردپرس