Hack Vinci, une leçon de Social Engineering

Le mardi 22 novembre 2016 à 16h05, VINCI a été victime d’une usurpation d’identité qui s’est traduite par l’envoi à certains médias de fausses informations. Rapidement, les termes « piratage informatique », « hacking », « intrusion » ont été utilisées. Pour autant, sur la base des éléments en notre possession pour l’heure, rien de cela. Tout au plus une (belle) opération de « Social Engineering ». [Lire la suite...]

Ils veulent éteindre Internet…

Le 22 septembre 2016, Octave Klaba, patron d’OVH qui est le premier fournisseur d’hébergement web d’Europe, annonçait : « ces derniers jours, nous avons eu de nombreuses attaques DDoS* de très grande envergure (…) de plus de 100Gbp/s* chacune, (…) pour une attaque DDoS* concertée de près de 1Tb/s*.

Les chiffres ne sont pas forcément parlant pour tous. Alors, pour donner un ordre de grandeur : la taille des « tuyaux d’Internet » entre OVH et chaque intermédiaire est de l’ordre de la centaine de Gb/s*. Cela signifie que les attaquants ont réussi à réunir assez de « points d’entrée Internet » (botnet* d’ordinateurs avec virus par exemple) avec suffisamment de bande passante (connexions fibres Très Haut Débit) pour réussir à saturer l’intégralité du « tuyau Internet ». Conséquence : les vrais internautes ne peuvent plus accéder aux sites Web hébergés par OVH, ni aux services de téléphonie proposés par l’opérateur OVH, ni même au stockage de données Cloud Hubic… Soit plus de 18 millions d’applications directement touchées.

Mais ce n’est pas un problème spécifique à OVH : Bruce Schneier, un expert en cybersécurité mondialement reconnu, alertait dès le 13 septembre 2016 : Quelqu’un est en train d’étudier comment éteindre Internet.

Dans cet article (en anglais), Bruce explique que depuis 12 à 18 mois, il constate une nouvelle forme d’attaques informatiques de grande ampleur : des attaques ciblant des acteurs clés d’Internet, sans lesquels Internet ne peut plus fonctionner.

Depuis peu, il constate que ces attaques ont franchi un cap : non seulement elles sont d’une ampleur inhabituelles, mais elles durent plus longtemps, et surtout, augmentent progressivement. Comme si une entité voulait déterminer le point de rupture d’un maillon d’Internet. Puis elle disparait soudainement… pour reprendre de plus belle la semaine suivante. En réponse à ces attaques, les fournisseurs des services attaqués n’ont d’autre solution que de se défendre, en activant leurs protections. Ce qui permet aux attaquants de calibrer cette capacité de défense.

Les moyens énormes mis en œuvre font dire à Bruce que seule une organisation de très grande taille (tel un pays) peut déclencher de telles attaques. Comme si une nation cherchait à vérifier sa capacité à bloquer toute ou partie d’Internet.

Quant aux parades, Bruce est très pessimiste : « rien ne peut être fait (…) il faut juste savoir que ça arrive ».

Pour ma part, je suis plus optimiste : si Internet est « éteint », il faudra trouver de nouvelles solutions pour communiquer, échanger des données numériquement… Alors autant commencer tout de suite à innover dans cette direction…

Werner KLINGER
Ingénieur Conseil Web & NTIC.

* Ces termes sont définis dans notre glossaire des NTIC, disponible en téléchargement.

 

Google Adwords passe au Grand Format

Si vous gérez des campagnes Adwords, vous avez peut-être remarqué le changement. Et si vous ne l’avez pas encore remarqué, il va falloir vous en préoccuper : la dimension des annonces texte d’Adwords a quasiment doublé.

Et ce n’est pas qu’un changement esthétique : cette modification impose de revoir les textes des annonces, pour les adapter au nouveau format.

Le nouveau format d’annonce texte Adwords :

  • Deux champs de titre (jusqu’à 30 caractères chacun) ;
  • Un seul champ de description plus grand (jusqu’à 80 caractères) ;
  • Une URL à afficher qui comprend le domaine de votre URL finale ;
  • Deux champs « Chemin » facultatifs, utilisés dans l’URL à afficher de l’annonce (jusqu’à 15 caractères chacun).

 

    Ancien et nouveau format d’annonces textuelles

    Illustration : Ancien et nouveau format d’annonces textuelles

    La suppression des annonces à droite des résultats de recherche a permis d’étirer les annonces texte d’Adwords. Et en conséquence, les annonces payantes ressemblent encore plus aux résultats « naturels » de Google.

    La transition vers le nouveau format d’annonces texte Adwords

    Le nouveau format d’annonces textuelles Adwords est disponible pour tous depuis fin juillet 2016. À partir du 26 octobre 2016, vous pourrez seulement créer et modifier des annonces textuelles « grand format », mais vous ne pourrez plus modifier les annonces textuelles standards. Pour autant, pas de panique : ces dernières continueront d’être diffusées.

    Parmi les grands changements pour lesquels il va falloir prendre de nouvelles habitudes de rédaction, nous avons relevé les éléments suivants :

    Le titre passe de 25 à 2 x 30 caractères

    Le titre grand format se décompose en 2 parties, séparées par un trait d’union. Suivant la taille de l’écran, le titre sera affiché sur une ou plusieurs lignes, mais le retour à la ligne peut se faire n’importe où dans le titre. Ce double titre est l’élément le plus important de votre annonce.

    La description passe de 2 x 35 à 1 x 80 caractères

    Fini l’époque où il fallait raisonner en lignes pour caser ses éléments de réassurance, vous allez désormais pouvoir vous exprimer librement… en 80 signes.

    L’adresse (URL) est « canalisée »

    Dans les annonces textuelles standards, il était possible d’afficher une URL (adresse de destination) totalement fictive. Désormais, le site de destination sera « authentique ». Par contre, le chemin est de la forme /partie1/partie2, chaque partie faisant maximum 15 caractères.

    Exemple d’annonce textuelle grand format

    Exemple d’annonce textuelle grand format

    Werner KLINGER
    Ingénieur Conseil Web & NTIC.

     

    Retour sur le hack de Castorama.fr

    Entre le 8 et 9 juin dernier, le site www.castorama.fr a été fermé durant plus de 16 heures. A sa réouverture, un message laconique : « désolés pour les propos inappropriés tenus par certains et auxquels vous avez pu être exposés ».

    Mais que s’est-il passé ? Durant les heures précédant la fermeture non planifiée du site, les internautes qui utilisaient le moteur de recherche intégré ont eu de drôles de suggestions. Illustration avec le mot « scie » : [Lire la suite...]

    Bloctel, la solution pour éviter le démarchage téléphonique?

    Que l’on soit professionnel ou particulier, il est difficile de lutter contre le démarchage téléphonique.

    En France, le particulier peut s’opposer à être démarché par téléphone. Jusqu’à l’année dernière, il pouvait s’inscrire sur une liste d’opposition (« PACITEL »), mais ce service a été suspendu en début d’année. Même s’il n’était pas parfait, cette suspension nous a permis de mesurer l’efficacité de ce premier dispositif : depuis janvier 2016, nous avons observé une nette recrudescence des appels de démarchage publicitaires non sollicités. [Lire la suite...]

    Google Adwords supprime deux tiers de ses affichages…

    L’information est passée (presque) inaperçue, pourtant, tout le monde pouvait le voir… Mais on remarque plus difficilement quelque chose qui manque ! Depuis mars 2016, les publicités Adwords ont disparu de la colonne de droite des résultats de recherche Google :

     

    Figure 1 : Résultats Google, désormais sans publicité Adwords à droite

    L’information n’est pas officiellement confirmée par Google, si bien que l’on ne sait pas s’il s’agit d’un test, ou d’un changement durable, ni quelles sont les motivations de la filiale d’Alphabet (voir notre Lettre d’Information n°54).

    Du coup, les spéculations vont bon train : [Lire la suite...]

    L’évolution de Paypal impacte les e-commerçants

    Début 2016, Paypal a informé ses clients e-commerçants d’un ensemble de modifications techniques qui interviendront le 17 juin 2016.

    Suivant les interactions logicielles entre Paypal et le site du e-commerçant, il peut être nécessaire d’effectuer des modifications sur le site du e-commerçant « dès à présent » pour qu’il puisse continuer à recevoir les paiements « après la mise à jour de Paypal ». [Lire la suite...]

    Finalement, le mobile ne remplace pas le desktop…

    Il existe de nombreux baromètres de l’usage d’internet, entre mobile, tablette et desktop (ordinateurs de bureau). Dont celui publié par KPCB sur les modes de consommation d’Internet aux Etats Unis : les américains passent 3 heures par jour sur leur smartphone, contre moins d’1 heure par jour il y a 5 ans.

    Ces statistiques datent de plusieurs mois, mais une nouvelle interprétation très intéressante a été présentée par Rand Fishking le 20 décembre dernier : [Lire la suite...]

    Le second marché du .FR se porte bien !

    Ces derniers mois, de nouveaux acteurs du web se sont fait remarquer : les services de « snap » de noms de domaine d’extension « .FR », gérés par l’AFNIC. Ces sites ont fait leur spécialité de la récupération des noms de domaines en « .FR » dès qu’ils arrivent à expiration. [Lire la suite...]

    Le spam touche désormais aussi les statistiques

    Les agences de référencement et les webmestres ont pu constater depuis quelques mois des anomalies dans les statistiques des sites web dont ils s’occupent. Le phénomène est souvent connu sous le nom de « referrer SEMALT.COM ». SEMALT.COM est en effet le premier à avoir massivement pollué les statistiques Web.

    Pour le webmestre, le symptôme est le suivant : Lors de l’analyse des statistiques, une partie du trafic provient d’origines étranges, les internautes semblent visiter votre site Web après avoir visité le site SEMALT.COM, ou encore « buttons-for-website.com », « see-your-website-here.com », « simple-share-buttons.com »… En réalité, il s’agit de trafic totalement fictif, de robots qui ont réussi à passer les filtres du logiciel de suivi statistiques (Google Analytics, Xiti, Piwik…). [Lire la suite...]