Archives de catégorie : Mise à jour

Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Mise à jour, Patch, Sauvegarde

Cinq impératifs de sécurité à l’intention des nouveaux utilisateurs du Cloud

Apple, Amazon et Microsoft sont trois géants de la technologie et de véritables références en matière de fourniture de services cloud. Mais ils ont aussi comme point commun d’avoir été la cible de hackers plutôt virulents…

Le piratage Apple (le “celebgate”) a abouti à la divulgation de photos très personnelles de certaines célébrités qui utilisaient iCloud, une mésaventure qui a fait la une de nombreux médias l’année dernière. Au Royaume-Uni, le fournisseur technologique Code Spaces a tout simplement baissé le rideau en 2014, après avoir été la cible de maîtres chanteurs qui ont, au final, supprimé des données essentielles sur l’environnement de stockage cloud de l’entreprise basé sur Amazon Web Services. En 2013, un certificat SSL expiré au sein du cloud Azure de Microsoft permettait à des hackers de mettre à l’arrêt plusieurs services cloud, dont Xbox Live.

Les risques en matière de sécurité du Cloud sont à la hausse, tandis que les attaques ont progressé à un rythme effréné : +45% en glissement annuel selon le spécialiste de la sécurité Alert Logic. Au cours des 5 prochaines années, les entreprises devraient investir 2 milliards de dollars pour renforcer leurs défenses Cloud, selon Forrester Research.

Ce sont les primo-utilisateurs du cloud qui connaissent le plus grand risque, car peu familiers à ce nouvel environnement et confrontés à des méthodes différentes pour gérer les utilisateurs, les données et la sécurité. À leur intention, voici cinq règles d’or qui encadrent (et sécurisent) toute migration vers le Cloud.

1. Apprenez à mieux connaître les environnements Cloud
Tout projet cloud est tripartite, avec pour parties prenantes le fournisseur de la plateforme cloud, le fournisseur du service réseau et l’entreprise cliente. Le Cloud doit être pensé en tant qu’extension du centre de données de l’entreprise, d’où certaines questions : peut-on déployer des règles et services de sécurité communs aux trois domaines ? Quels sont les risques en matière de sécurité ?

Avant de sélectionner votre fournisseur cloud, interrogez-le sur les services de sécurité proposés et les éditeurs/constructeurs avec lequel il collabore. Le cloud est un environnement dynamique qui implique des mises à jour régulières de l’architecture de sécurité pour pouvoir neutraliser les menaces les plus récentes. Quels sont les outils, fonctions et méthodes de sécurité en vigueur pour s’immuniser contre les nouveaux types de menaces et les vulnérabilités zero-day ?

Pensez également à vous familiariser avec les modèles de sécurité partagée. Identifiez précisément les responsabilités de votre fournisseur cloud, ainsi que les vôtres. Pour certains types de cloud, les IaaS notamment, l’entreprise cliente est responsable de la sécurité de ses applications et données dans le cloud. Il est également essentiel d’identifier les appliances de sécurité et technologies proposées par le fournisseur de services cloud ou autorisées à être déployées pour assurer une sécurité optimale.

2. Nouvelles applications, nouvel arsenal de sécurité
Prêt à migrer une application dans le cloud ? Mais avant, interrogez-vous sur l’intérêt de déployer des couches de sécurité dédiées aux processus d’authentification et de connexion à vos applications cloud.

Pour sécuriser l’accès à votre application cloud, vous devez déployer un schéma d’accès granulaire aux données, qui, par exemple, associe des privilèges d’accès à des rôles, des postes ou des projets. Vous disposez ainsi d’une couche supplémentaire de protection lorsque les assaillants détournent les identifiants de connexion de vos collaborateurs.

Le détournement d’un compte est une exaction plutôt simple mais il constitue encore à ce jour, selon la Cloud Security Alliance, une menace virulente qui pèse sur les utilisateurs du cloud. Pour renforcer votre processus d’authentification, pourquoi ne pas adopter l’authentification à deux facteurs ou l’utilisation des mots de passe OTP (à usage unique) ? Autre bonne idée : obliger les utilisateurs à modifier leurs identifiants de connexion dès leurs premières authentifications à une application.

3. Optez pour le chiffrement
Le chiffrement des données est l’un de vos meilleurs alliés dans le cloud et doit d’ailleurs être obligatoire pour les transferts de fichiers et les emails. Bien sûr, le chiffrement ne préviendra pas les tentatives de piratage, mais il immunisera votre entreprise face au lourd impact financier lié aux amendes réglementaires infligées en cas de piratage avéré et de divulgation de données.

Interrogez ainsi votre fournisseur cloud sur les options de chiffrement disponibles. Identifiez comment les données sont chiffrées lorsqu’elles sont stockées, utilisées et transférées. Pour identifier le périmètre des données à chiffrer, il est essentiel de les localiser, qu’elles soient hébergées sur les serveurs de votre fournisseur cloud ou d’un tiers, les ordinateurs portables des collaborateurs, les PC fixes ou encore des dispositifs amovibles de stockage.

4. Maîtrisez le virtuel
En migrant vers le Cloud, les entreprises capitalisent sur les avantages de la virtualisation, mais un environnement virtualisé présente des défis spécifiques en matière de protection des données. La principale problématique ? La gestion de la sécurité et des échanges de données au sein de ces espaces virtualisés et mutualisés.

Les appliances physiques de sécurité ne sont pas conçues pour gérer les données dans le cloud. D’où l’intérêt de se pencher sur les appliances virtuelles pour sécuriser le trafic entre machines virtuelles. Ces appliances sont conçues pour simplifier la gestion de multiples instances d’applications et d’environnements mutualisés.

Elles permettent ainsi aux entreprises de contrôler plus précisément la sécurité de leurs données dans le Cloud. Demandez à votre fournisseur cloud comment il s’y prend pour sécuriser ses environnements virtualisés et découvrez quelles sont les appliances de sécurité virtuelles déployées. Si vous mettez en place votre propre cloud privé ou hybride, il est préférable de choisir des produits de sécurité virtualisés qui permettent un contrôle le plus fin de la sécurité.

5. Ne restez pas dans l’ombre du Shadow IT
Les anecdotes et exemples sont nombreux pour illustrer les cas d’utilisation non autorisés d’applications et de services cloud, ce qu’on appelle le Shadow IT, plus présent en entreprise qu’on ne le croirait. Cette activité regroupe les projets, outils ou services de communication existants au sein d’une organisation, mais sans approbation de la DSI. Le Shadow IT est donc, par définition, non contrôlé, ce qui constitue une certaine menace dont les impacts sont lourds en matière de gouvernance.

Votre application qui a récemment migré vers le Cloud connaît ainsi des risques. Considérez ce scénario dans lequel un collaborateur ouvre un fichier sur son smartphone. Il est probable qu’une copie du fichier soit réalisée et envoyée pour stockage vers un espace en ligne non approuvé et qui accueille les sauvegardes automatiques du téléphone. Et voilà des données de l’entreprise, jusqu’à présent sécurisées, qui se retrouvent dans un cadre non sécurisé.

Interdire le Shadow IT et les accès aux données et applications induits ne freinera sans doute pas cette pratique au sein d’une organisation. Il est plus intelligent de sensibiliser les utilisateurs et de miser sur la technologie pour régler cette problématique. Justement, le chiffrement des données, le monitoring réseau et les outils de gestion de la sécurité protègent vos applications cloud des risques liés au Shadow IT. (Christophe Auberger, Directeur Technique France chez Fortinet)

Android, Cybersécurité, Entreprise, Fuite de données, ios, Mise à jour, Patch, Sécurité, Smartphone, Téléphonie, Windows phone

Que faire face à la déferlante des applications mobiles ?

Dans les entreprises, l’engouement pour les applications mobiles, couplé au phénomène BYOD (Bring Your Own Device), impose de sécuriser les systèmes et données en instaurant une gestion des certificats numériques.

Les acteurs opérant dans le secteur informatique depuis au moins 20 ans auront observé une quantité astronomique de changements. Si chacun d’eux est nécessaire, certains se révèlent plus intéressants que d’autres. L’essor des applications mobiles, en l’occurrence, représente incontestablement l’une des déferlantes frappant de plein fouet le monde de l’entreprise.

S’agissant des applications mobiles grand public, comme celles axées sur les jeux vidéo et les réseaux sociaux, les failles de sécurité sont aisément repérables dès lors que vous possédez un bagage dans le domaine. Étant donné que les développeurs d’applications mobiles sont, au contraire, très peu versés dans la sécurité, il est à craindre qu’ils exposent leurs applications à des risques dont ils n’ont pas même conscience. Personnellement, je m’intéresse à la composante Infrastructure à clé publique depuis le début de ma carrière, à l’époque où je participais au développement de logiciels pour l’Administration américaine. De ce fait, la sécurité a toujours été ma priorité. Et l’une des premières questions que je me suis efforcé d’élucider, au moment de l’éclosion des applications mobiles, a été la suivante : qui est chargé de diffuser et de gérer les certificats de sécurité des mobiles ?

La sensibilisation à la problématique de sécurité des applications mobiles s’est généralisée, consécutivement aux récents incidents liés aux certificats qui ont attiré l’attention des consommateurs. Des tas de buveurs de café ont ainsi supprimé leurs applications mobiles Starbucks à la suite de piratages qui ont exploité les failles de sécurité de l’entreprise pour accéder directement aux comptes bancaires des clients. Dans le même registre, des contrôles de certificats défaillants sur l’application Télé-Accès OnStar ont permis à des pirates de localiser, déverrouiller et même démarrer à distance des véhicules GM, d’où une certaine réticence de la part des propriétaires de véhicules de cette marque à utiliser l’application mobile du constructeur. General Motors a résolu le problème, contrairement à nombre de ses concurrents qui semblent l’ignorer ; récemment, un pirate a exploité exactement la même faiblesse de certificat dans les applications iOS pour BMW, Mercedes et Chrysler.

Des problèmes de ce genre montrent à quel point les clés et certificats numériques sont essentiels ; de fait, ils constituent le fondement même de la sécurité pour tous les équipements connectés. Néanmoins, sachant que même les entreprises les plus prudentes développent aujourd’hui des applications pour mobiles, assurer leur suivi est devenu une véritable gageure. Au moment où j’écris ces lignes, ces acteurs continuent à divulguer des informations qu’ils réservaient auparavant à leurs propres réseaux. Et, pour compliquer encore davantage la donne de la sécurité mobile, avec la révolution BYOD, les salariés accèdent aux informations de l’entreprise au moyen d’équipements qui échappent à leur contrôle. Autant d’aspects qui ont véritablement rendu plus délicate la vérification des certificats numériques. Tant que cette situation n’évoluera pas, les cybercriminels détourneront les certificats numériques pour mettre à profit les données résidant sur terminaux mobiles, qu’elles appartiennent à l’entreprise ou à ses collaborateurs, tout simplement parce que cette opération est un jeu d’enfant.

Pour empêcher ce scénario, les développeurs d’applications mobiles doivent être en mesure de sécuriser et de protéger leurs clés cryptographiques et certificats numériques. Les entreprises doivent avoir recours à des outils de cybersécurité permettant aux développeurs de découvrir et contrôler des certificats sur des appareils mobiles. À l’instar du système immunitaire qui assure la défense de l’organisme en repérant les agents pathogènes et les anomalies, ces outils surveillent les appareils mobiles en réseau pour détecter les certificats porteurs d’anomalies et de risques et les révoquer aussitôt. Ils s’intègrent également avec la plupart des solutions de gestion de flotte mobile (MDM) pour aider les entreprises à mettre en œuvre des règles qui leur permettront de se maintenir à flot sur un océan de réglementations et d’impératifs sécuritaires. (Par Hari Nair, Director, Product Management chez Venafi)

Cybersécurité, Mise à jour

FireEye et F5 s’allient en vue de fournir des solutions de sécurité intégrées

Une alliance stratégique qui combine des technologies avancées de mise à disposition d’applications avec la gestion des menaces sophistiquées pour les applications et les centres de données ; unifie l’engagement des clients et le déploiement mondial des solutions.

FireEye, Inc. et F5 Networks ont créé un partenariat mondial permettant aux entreprises de se défendre contre les menaces de sécurité en constante évolution. Les clients bénéficient de solutions de sécurité complètes intégrant l’infrastructure de mise à disposition des applications de F5 et la protection contre les menaces avancées de FireEye. L’accord comprend également une approche unifiée des ventes, du déploiement et du support à travers le monde, contribuant ainsi à assurer la meilleure expérience possible pour les clients.

Les départements informatiques des entreprises ont pour défi de supporter les applications basées sur le Cloud et les environnements mobiles, tout en maintenant la fiabilité, la sécurité, et la vitesse du réseau. Le partenariat entre FireEye et F5 mettra en exergue l’intégration de technologies de mise à disposition d’applications clés avec des plates-formes de gestion des menaces avancées, pour accélérer le déploiement, la performance et la sécurité des applications. Les clients bénéficieront également de ce qui suit :

Une solution de sécurité complète qui combine l’infrastructure de mise à disposition d’applications avec une sécurité avancée de contenu, comprenant: la segmentation du réseau et la gestion des politiques de sécurité, la conformité des protocoles, la réduction des attaques DDoS, l’inspection SSL, la protection contre les menaces avancées, la prévention d’intrusion, les renseignements sur les menaces, les enquêtes criminelles et les outils d’analyse.

Performances, capacité d’extension et haute disponibilité dans des environnements à fort trafic utilisant les fonctions de monitoring et les capacités d’équilibrage de charge de la plate-forme BIG-IP. Cela permet aux clients de reconnaître et de se protéger contre les menaces avancées dans les environnements applicatifs les plus exigeants.

Architecture de sécurité intégrée procurant une sécurité de contenu avancée, en permettant une meilleure visibilité dans le flux croissant de trafic crypté. En outre, le renseignement sur les menaces, les alertes et les événements rares réduisent les silos et fournissent des indications plus rapides sur les activités et les brèches malveillantes au travers de l’entreprise.

Base de données, Cybersécurité, Entreprise, Mise à jour

Analyser ses logs, 33% des entreprises le font correctement

Pour respecter la Réglementation Européenne sur la protection des données, l’entreprise doit être capable d’analyser les millions de données qu’elle collecte chaque jour. Avec 238 millions de logs collectés en moyenne par jour dont « seulement » 33% sont analysés, les entreprises n’ont pas conscience de toutes les données personnelles qu’elles ont en leur possession.

Balabit, a présenté lors du FIC 2016 sa Suite de solution Contextual Security Intelligence (CSI) permettant aux entreprises d’assurer leur conformité aux exigences réglementaires, notamment la nouvelle Réglementation Européenne sur la protection des données (GDPR), grâce à la collecte, l’analyse et le stockage optimisés de leurs logs, la surveillance des actions des utilisateurs privilégiés, et la détection des comportements utilisateurs suspects. Une suite qui offre également une protection renforcée contre les menaces internes et l’utilisation frauduleuse de comptes utilisateurs par des attaquants externes, que 70% des professionnels de sécurité considérent comme les menaces les plus risquées, selon une étude de Balabit.

La collecte et le traitement des logs directement impactés par la GRDP
Les actions des utilisateurs ainsi que les applications laissent quasiment toutes des empreintes – dans le réseau – qui  sont collectées dans les logs. Même si les noms des individus ne sont pas collectés, la gestion des logs inclut des données personnelles. Or les propriétaires des données étant considérés comme des personnes physiques identifiables directement ou indirectement, les entreprises collectant et gérant des quantités importantes de logs (cela inclut par exemple des adresses emails, des adresses IP, des données de géolocalisation, des données de santé, etc.) sont directement impactées par les exigences dictées par la GRDP. Les entreprises doivent ainsi se préparer à répondre à de nouvelles exigences car les sanctions en cas d’infraction sont particulièrement lourdes : jusqu’à 20 millions d’euros ou 4% de leur chiffre d’affaires mondial pour les entreprises victimes de faille de sécurité ayant impactées les données à caractère personnel en leur possession. Et cette sanction réglementaire s’ajoute aux coûts déjà importants générés par une violation de données, que l’institut Ponemone estime en moyenne à 3,5 millions de dollars pour l’entreprise victime.

Toutefois, les sanctions peuvent être réduites lorsque les entreprises utilisent les solutions de sécurité adaptées répondant aux exigences de la GDPR (par exemple : l’anonymisation, la pseudonymisation et le chiffrement des logs). Le problème pour les entreprises est que le volume de logs générés chaque jour au sein de leur réseau est considérable. Selon une étude menée par Balabit, une entreprise collecte en moyenne 238 millions de logs chaque jour et est capable d’analyser 33% de ces logs. Les 67% de logs non analysés peuvent toutefois contenir des données personnelles dont l’entreprise n’a donc pas connaissance (cf. infographie en pièce jointe).

La mise en place de solutions adaptées pour traiter toutes leurs données de logs revêt donc un véritable enjeu de conformité pour les entreprises. Mais au delà, cela leur assurerait une vraie visibilité sur les données qu’elles collectent et stockent : un élément indispensable pour avoir la capacité de mener des analyses forensiques.

Zoltán Györko, CEO de Balabit déclare : « La protection des données est un enjeu majeur et la GDPR de même que l’invalidation du Safe Harbor par l’Union européenne, sont des signaux positifs envoyés aux entreprises et aux citoyens européens. Toutefois, le problème est que de nombreuses entreprises possèdent automatiquement des données générées par les utilisateurs, tout en ne sachant pas qu’il s’agit de données personnelles. Le Règlement Européen sur la protection des données va inciter ces entreprises à en faire plus pour conserver et gérer ces données ».

Visibilité avancée dans le cadre d’investigation post-incident
En intégrant la gestion des logs, la surveillance des utilisateurs privilégiés et le nouvel outil d’analyse comportementale des utilisateurs, Balabit garantit aux entreprises leur conformité aux nouvelles exigences réglementaires, notamment en matière de collecte et conservation des données de logs,  indispensables en cas d’investigation post incident. La nouvelle Suite Contextual Security Intelligence de Balabit inclut syslog-ng, l’outil de collecte et de traitement de gestion des logs de référence sur le marché. syslog-ng peut collecter plus de 650 000 messages de logs par seconde, issus de milliers de sources différentes, tout en garantissant l’authenticité de la preuve numérique dans le cadre d’investigation post-incident.

En réponse à la GDPR, syslog-ng renforce également la sécurité des données de logs grâce à leur anonymisation, pseudonymisation et chiffrement, prévenant ainsi leur utilisation par de potentiels cybercriminels. Un argument fort obtenir une réduction des sanctions prévues par la GDPR en cas d’incident. La Suite CSI inclut des interfaces utilisateur avancées qui offrent aux équipes de sécurité une visibilité instantanée sur le paysage des menaces et leur permettent de zoomer sur les activités les plus à risques. Elle délivre ainsi un haut niveau de visibilité dans le cadre d’investigations, grâce notamment à des fonctionnalités de recherche avancée et la capacité de rejouer en vidéo les activités des utilisateurs enregistrées.

Le Machine Learning au service de la surveillance des comportements utilisateurs
Avec sa nouvelle Suite Contextual Security Intelligence, Balabit offre une solution de sécurité qui protège activement les entreprises contre les menaces liées aux abus d’utilisation des comptes utilisateurs. Grâce à l’analyse comportementale et l’outil Blindspotter, les responsables sécurité de l’entreprise disposent d’une meilleure visibilité et compréhension des activités des utilisateurs. Les menaces de sécurité potentielles peuvent ainsi découvertes avant que les données ne fuitent ou ne soient détruites. A titre d’exemple Blindspotter est capable d’identifier les comptes détournés par des pirates et d’empêcher les cybercriminels d’accéder aux données sensibles détenues par l’entreprise.

Le Machine Learning ainsi que des algorithmes avancés sont utilisés pour définir les profils de comportements normaux des utilisateurs et ainsi identifier les anomalies qui sont potentiellement des menaces de sécurité. De cette manière, les menaces inconnues peuvent être priorisées et investiguées avec une large visibilité sur les circonstances de la menace.

Cybersécurité, Mise à jour

Palo Alto Networks et Proofpoint s’allient

Palo Alto Networks et Proofpoint s’allient pour diversifier leurs capacités de protection contre les menaces Sécurité des terminaux, technologie cloud et réseaux de pointe associés à une protection inégalée des comptes de messagerie et de réseaux sociaux.

Palo Alto Networks et Proofpoint ont annoncé la mise en place d’un partenariat visant à proposer aux clients une protection renforcée et des solutions de collecte d’informations relatives aux diverses attaques sophistiquées (menées via courrier électronique ou sur les réseaux sociaux), susceptibles d’affecter les utilisateurs et leurs données.

L’alliance des solutions Proofpoint Targeted Attack Protection (TAP) et SocialPatrol, avec la plateforme de sécurité Palo Alto Networks nouvelle génération, permet aux utilisateurs de détecter les menaces connues ou inédites avant qu’elles n’affectent leurs systèmes.

« Les produits Palo Alto Networks et Proofpoint sont d’autant plus performants lorsqu’ils sont utilisés ensemble. Plus de 50 % des entreprises figurant dans le classement Fortune 100 utilisent les solutions Proofpoint pour endiguer les menaces relatives aux appareils mobiles, réseaux sociaux et courriers électroniques. L’intégration de telles solutions à la plateforme de sécurité Palo Alto Networks nouvelle génération permet à nos clients de profiter d’une protection automatisée sur l’ensemble de leur infrastructure, quelle que soit la méthode employée par les attaquants. » – Ryan Kalember, vice-président sénior en charge de la cybersécurité chez Proofpoint

« Des attaques continues et sophistiquées prennent pour cible les réseaux, les données se trouvant sur le cloud et les terminaux. Grâce à l’intégration avec les solutions TAP et SocialPatrol de Proofpoint, nous sommes en mesure de bénéficier des mêmes informations en temps réel sur lesdites menaces. Ainsi, nos clients en commun profitent d’une meilleure visibilité, ainsi que d’une protection automatique synchronisée au niveau de tous leurs points de contrôle. » – Chad Kinzelberg, vice-président sénior en charge du développement de l’entreprise et des activités chez Palo Alto Networks

La solution WildFire, qui joue un rôle central au sein de la plateforme de sécurité de Palo Alto Networks, a été associée à la solution TAP de Proofpoint afin que toute pièce jointe potentiellement malveillante soit soumise aux deux systèmes d’analyse basés sur le cloud. Ainsi, la protection automatique est synchronisée entre la passerelle de messagerie Proofpoint et la plateforme de sécurité Palo Alto Networks nouvelle génération. En outre, la fonctionnalité d’analyse de WildFire peut être combinée aux capacités de détection et de suppression de SocialPatrol, de sorte à empêcher tout lien malveillant d’affecter les comptes de réseaux sociaux de l’entreprise (notamment sur Facebook, Twitter, LinkedIn et Instagram).

Dans tous les cas, la solution WildFire permet d’adapter automatiquement le niveau de sécurité aux nouvelles menaces, et de protéger l’ensemble des clients. Les informations sur les menaces rassemblées par les deux solutions sont ensuite organisées et centralisées via Proofpoint Threat Response et le tableau de bord TAP.

Cybersécurité, Entreprise, Mise à jour, Sauvegarde

Guerre des bots en 2016 ?

Un nouveau rapport décrit les tendances relevées en 2015 en matière d’attaques et révèle les prédictions des experts sécurité concernant les principales menaces en 2016 : des bots toujours plus automatisés et une démultiplication des attaques de ransomware et des attaques par déni de service (DDoS  – déni de service distribué).

Radware, fournisseur de solutions optimisées de cybersécurité et d’accélération applicative pour le Cloud et les datacenters virtualisés et définis par logiciel, a diffusé un nouveau sur la sécurité applicative et réseaux à l’échelon mondial. Ce document annuel, qui identifie les principales tendances observées en matière de méthodes d’attaque en 2015, offre un état des lieux de la préparation de l’industrie face aux menaces et dévoile les prédictions des experts concernant le paysage des menaces de 2016. La double-conclusion de ce rapport, c’est que non seulement aucun secteur n’est à l’abri des cyber-attaques, mais qu’en outre peu d’organisations sont véritablement préparées à y faire face. En 2016, les attaques devraient gagner en agressivité, avec l’émergence d’attaques DoS persistantes avancées (Advanced Persistent Denial of Service, APDoS) et l’augmentation, tant en termes de volume que de portée, des attaques générées par des bots sophistiqués contre les infrastructures applicatives Web.

Première conséquence : « À l’avenir, les lignes de front de la sécurité de l’information n’intègreront plus d’êtres humains », martèle Carl Herberger, Vice President, Solutions Securité chez Radware. « Dans un monde qui voit chaque jour des défenses céder face à un flot incessant d’attaques sophistiquées et automatisées, et à un éventail de nouvelles techniques d’attaques quasi-infini, l’idée de laisser le soin de déployer des technologies de détection et d’orchestrer les réponses à ces attaques en temps réel à des êtres humains ne peut que disparaître. Nous sommes à l’aube d’une ère nouvelle, qui verra les systèmes de cyberdéfense humains abandonnés définitivement au profit de solutions de défense basées sur des bots. »

C’est l’équipe d’intervention d’urgence de Radware (Emergency Response Team, ERT), dont la mission est de surveiller et de lutter contre les attaques en temps réel, qui rédige ce rapport à l’attention de la communauté de sécurité informatique chaque année, en s’appuyant sur son expérience de première ligne et sur les perspectives de prestataires de services tiers. Le rapport a été compilé à partir des données collectées dans le cadre d’une enquête neutre réalisée auprès de plus de 300 organisations ; l’équipe d’intervention d’urgence a ensuite analysé ces informations afin de dégager des perspectives et les meilleures pratiques pour aider les organisations à renforcer leurs défenses.

« En 2015, les cyber-attaques sont devenues la nouvelle normalité, avec 90 % des organisations sondées touchées à divers degrés», explique Carl Herberger. « Les organisations doivent se préparer à répondre aux défis en préparation, en posant dès maintenant les fondations qui leur permettront de réagir pour contrer les nouvelles méthodes et motivations d’attaque qui ne manqueront pas d’émerger en 2016. »

L’équipe d’intervention d’urgence de Radware a émis les recommandations suivantes pour favoriser l’anticipation et l’atténuation des attaques :

·         Les bots et l’automatisation, deux armes indispensables : il n’est plus réaliste de croire les êtres humains capables de déployer des technologies de détection et d’orchestrer les réponses aux attaques en temps réel. Aujourd’hui, combattre des menaces automatisées impose de s’appuyer sur l’automatisation.

·         Élimination des angles morts : pour trouver les angles morts d’une organisation, les attaquants déploient des campagnes d’attaque multivectorielles parallèles, augmentant le nombre de vecteurs d’attaque lancés en parallèle et ciblant différentes couches du réseau et du centre de données. Si, dans la multitude, un seul vecteur parvient à passer les barrières de l’organisation sans se faire détecter, alors l’attaque est un succès. Et les dégâts à la clé peuvent s’avérer considérables.

·         Atténuation de tous les types d’attaques DDoS : les organisations ont besoin d’une solution hybride unique qui protège leurs réseaux et applications contre un éventail étendu d’attaques. Pour être véritablement intégrée, la solution choisie doit inclure toutes les technologies nécessaires : protection contre les attaques DoS, analyse comportementale, protection IPS, protection contre les attaques cryptées, Firewall Web Applicatif (WAF).

·         Compréhension de la probabilité et des causes des attaques : les hypothèses retenues en termes de besoins d’atténuation doivent être alignées sur les niveaux de risque. Qu’il s’agisse de se préparer à faire face à un niveau de risque accru ou de prendre pleinement conscience de la manière dont les hacktivistes agissent et sélectionnent leurs cibles, une meilleure compréhension contribuera à renforcer l’état de préparation de l’organisation, donc sa capacité à atténuer ses risques et à défendre ses réseaux.

Pour télécharger le rapport sur la sécurité des applications et des réseaux à l’échelon mondial 2015-2016, comprenant les prédictions et recommandations de l’équipe d’intervention d’urgence de Radware sur la meilleure préparation à mettre en œuvre pour atténuer les cybermenaces en 2016, vous pouvez visiter le site http://www.radware.com/ert-report-2015/.

Apple, Cybersécurité, ID, Identité numérique, ios, iOS, Logiciels, Mise à jour, Particuliers, Smartphone, Téléphonie, Vie privée

Fuite de données via un iPhone 5

Un client de l’opérateur Telstra se retrouve avec les messages du répondeur de l’ancien propriétaire d’un iPhone 5.

Richard Thornton est Australien. Ce client de l’opérateur Telstra souhaitait changer d’iPhone. Bilan, il va effacer le contenu de son téléphone, réinitialiser « USINE » l’appareil, retirer sa carte sim. Bref, les actions logiques pour toutes personnes souhaitant revendre son matériel et ne pas laisser de traces dans l’ordiphone. Apple propose d’ailleurs une procédure à suivre avant de vendre ou de céder votre iPhone, iPad ou iPod touch.

Sauf que Richard Thornton a eu une très mauvaises surprises. Le nouveau propriétaire du téléphone de Richard reçoit les messages vocaux laissés sur le répondeur de l’ancien possesseur du smartphone. L’acheteur de l’iPhone d’occasion est aussi client de TelStra. Lorsque l’iPhone 5 a été mis hors tension, puis de nouveau branché, l’appareil d’Apple a téléchargé les messages vocaux de M. Thornton dans l’application de messagerie vocale visuelle du téléphone. Messages qu’il est possible d’écouter complétement.

La compagnie de téléphone n’a pas encore déterminé la cause du problème. « Ils connaissent les symptômes, mais ils ne savent pas la cause« , indique Thornton.

Procédure à suivre avant de vendre votre iPhone, iPad ou iPod touch

Si vous avez jumelé une Apple Watch avec votre iPhone, mettez fin au jumelage.
Sauvegardez les données de votre appareil iOS.
Touchez Réglages > iCloud. Faites défiler la page vers le bas et touchez Déconnexion. Sous iOS 7 ou version antérieure, touchez Supprimer le compte.
Touchez à nouveau Déconnexion, puis Supprimer de l’iPhone, et saisissez enfin votre mot de passe.
Rendez-vous à nouveau dans Réglages > Réinitialiser > Effacer contenu et réglages. Si vous avez activé la fonctionnalité Localiser mon iPhone, il peut être nécessaire de saisir votre identifiant Apple et votre mot de passe.
Si vous êtes invité à saisir le code d’accès de votre appareil, ou celui applicable aux restrictions, effectuez cette opération. Touchez ensuite Effacer [appareil].
Contactez votre opérateur pour connaître la procédure à suivre en cas de changement de propriétaire. Si vous n’utilisez pas de carte SIM avec votre appareil, adressez-vous également à lui pour savoir comment faire bénéficier le nouveau propriétaire de votre forfait. (SMH)

backdoor, Base de données, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Mise à jour, Piratage

Les transports en commun de Dallas piratés

Trois semaines après le piratage de plusieurs de ses ordinateurs, les transports en commun de Dallas peinent à reprendre la route.

Les habitants de Dallas éprouvent des difficultés à planifier un itinéraire de bus ou de train sur le site web du DART, les transports en commun de la ville, et cela depuis trois semaines. Des problèmes dus au piratage des serveurs du Dallas Area Rapid Transit.

Une attaque que les fonctionnaires locaux indiquent comme n’étant pas un événement « catastrophique » (sic!). En attendant, les utilisateurs « rament » pour accéder à des informations sur leur voyage (arrivées/départs, temps de trajet…).

Plus tragique encore, ce comportement local du « ce n’est pas bien grave », ils se sont fait pirater, cela peut arriver à n’importe qui. Mais ils n’ont pas de mise à jour accessible. Sans parler du fait qu’ils ne savent pas vraiment ce que les pirates ont pu voler. « Le système peut rester en panne encore quelques semaines de plus. » termine le DART ! (WFAA)

Cybersécurité, Emploi, Entreprise, Mise à jour, Propriété Industrielle

Les moyens humains des entreprises françaises ne sont pas suffisants face aux cybermenaces

Afin de mieux cerner la perception de la cyber-sécurité et de ses enjeux au sein des grandes entreprises françaises, le CESIN met en place son premier baromètre annuel. Le Club dévoile aujourd’hui les résultats d’une grande enquête menée auprès de ses membres, Responsables Sécurité des Systèmes d’Information (RSSI) de grands groupes français.

Quid de la réalité de la cyber-sécurité dans les grandes entreprises ? Le sondage OpinionWay pour le CESIN a ciblé 235 membres de l’association, les résultats de l’étude portent sur un échantillon de 125 répondants. Les grands comptes ont fort heureusement tous intégré l’importance de la sécurité du numérique dans leur organisation car 81% d’entre eux confirment avoir fait l’objet d’attaques aux cours des 12 derniers mois. Cependant face aux menaces grandissantes, les moyens alloués à la cyber-sécurité se révèlent encore peu satisfaisants, en particulier les moyens humains (seul 31% des entreprises les jugent suffisants). Nombre d’entre elles envisagent d’augmenter les ressources techniques, financières ou humaines dédiées à la cyber-sécurité, et elles sont également nombreuses à envisager de souscrire une cyber-assurance (40%). La dépendance humaine et les vulnérabilités résiduelles sont jugées les plus préoccupantes pour la sécurité du patrimoine informationnel des entreprises. Les nouveaux usages du numérique au travail posent quant à eux de nouveaux défis en matière de cyber-sécurité. Le Cloud en particulier, en plus de nécessiter des outils spécifiques selon 93% des responsables sécurité interrogés, continue d’inquiéter pour des raisons de confidentialité des données surtout vis-à-vis des fournisseurs eux-mêmes.

En outre 58% des entreprises estiment que les outils actuellement disponibles sur le marché sont peu adaptés à la situation en matière d’usages du numérique. Même constat concernant les attaques où l’inquiétude demeure quant à la capacité concrète à faire face à leur augmentation pressentie sur le court et moyen terme. Ces 12 derniers mois, la palme du type d’attaque constaté revient aux demandes de rançons (ransomware) à hauteur de 61%, 44% pour les attaques virales, 38% pour les dénis de services et 35% pour les attaques ciblées. Selon l’enquête, les RSSI estiment que les enjeux prioritaires de demain seront plutôt humains, que techniques. Il en ressort un impératif criant de donner toute son importance à la cyber-sécurité dans l’entreprise en y allouant suffisamment de ressources et en lui donnant sa juste place dans la gouvernance. Il est par ailleurs nécessaire de travailler autour des usages, de sensibiliser les utilisateurs et de s’adapter à l’évolution des pratiques.

Alain Bouillé, Directeur de la Sécurité des Systèmes d’Information du Groupe Caisse des Dépôts et Président du CESIN, déclare : « On savait que la cybercriminalité était un phénomène en pleine expansion. Ce premier baromètre du CESIN permet de mieux comprendre comment concrètement les entreprises françaises font face à ce phénomène. » Jean-François Louâpre, Vice-Président du CESIN Responsable sécurité des systèmes d’information CNP Assurances : « Le baromètre annuel du CESIN propose une vision terrain de la réalité de la cyber-sécurité en France. S’il conforte certaines tendances, il remet également en perspective certains points comme le positionnement des RSSI en entreprise ou l’écart entre menaces redoutées et incidents subis » Le sondage a ciblé les 235 membres de l’association (CAC40, PME, Ministères).

Chiffrement, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données, Mise à jour, Patch

Sept stratégies pour défendre les systèmes de contrôle industriel

Le rapport du ministère américain de la Sécurité intérieure intitulé « Sept stratégies pour défendre les systèmes de contrôle industriel » recommande les solutions matérielles de sécurité unidirectionnelle.

Le rapport du ministère américain de la Sécurité intérieure indique : « Pour de nombreux systèmes de contrôle industriel (ICS), la question n’est pas de savoir si une intrusion va avoir lieu, mais quand ». Les technologies comme celles de Waterfall Security sont à présent recommandées. Waterfall Security Solutions, un leader mondial de technologies de cybersécurité pour les infrastructures critiques et les systèmes de contrôle industriel, a annoncé aujourd’hui la prise en compte des technologies de communication unidirectionnelle dans les stratégies recommandées par le ministère de la Sécurité intérieure des États-Unis.

Intitulé Sept stratégies pour défendre les ICS et publié en décembre 2015 par le National Cybersecurity and Communications Integration Center (NCCIC), ce rapport souligne le nombre en augmentation des intrusions réussies dans les systèmes d’infrastructure critiques des États-Unis et la forte probabilité que de futures tentatives d’intrusion se produisent à l’avenir. En réponse à cette constatation, le rapport détaille ses sept meilleures stratégies de défense des systèmes de contrôle industriel (ICS) contre les cyberattaques.

Le rapport indique : « Au cours de l’année fiscale 2015, 295 incidents ont été rapportés à la Industrial Control Systems Cyber Emergency Response Team (ICS-CERT), et de nombreux autres n’ont pas été rapportés ni détectés. » Il recommande sept stratégies qui auraient pu prévenir toutes les intrusions et auraient protégé la sûreté et la fiabilité des opérations industrielles affectées. Trois de ces sept stratégies recommandent d’utiliser des communications matérielles unidirectionnelles, une technologie créée par Waterfall Security Solutions. Depuis 2007, les passerelles unidirectionnelles de Waterfall ont été déployées et éprouvées par des sites industriels, des unités de fabrication, des infrastructures critiques et des fabricants d’équipements industriels dans le monde entier.

« Ce dernier rapport publié par le ministère américain de la Sécurité intérieure soutient clairement notre technologie et notre mission en tant qu’entreprise de rehausser le niveau de cybersécurité des systèmes de contrôle industriel et des infrastructures de réseaux critiques », a déclaré Lior Frenkel, PDG et co-fondateur de Waterfall Security Solutions. « Le rapport du ministère de la Sécurité intérieure est clair : vous devez faire des passerelles unidirectionnelles votre premier choix. La sécurité logicielle, comme les pare-feu, ne vous sauvera pas. »

La taux élevé des nouveaux déploiements de passerelles unidirectionnelles de Waterfall Security dans les centrales,les pipelines, les raffineries, les systèmes de transport et les réseaux d’alimentation en eau à travers l’Amérique du Nord et l’Europe, en plus de l’expansion rapide de sa clientèle en Asie-Pacifique, démontrent que de nombreux industriels et décideurs sont déjà d’accord avec les recommandations du ministère.

Chiffrement, cryptage, Cybersécurité, Logiciels, Microsoft, Mise à jour, Smartphone, Windows phone

Les prochains ordinateurs fonctionneront uniquement sous Windows 10

Microsoft vient d’indiquer que les nouveaux ordinateurs ne fonctionneront que sous Windows 10. Les « vieux » Windows n’y auront plus y évoluer.

Microsoft vient d’annoncer que les prochaines machines ne tourneront plus que sous Windows 10. Adieu Windows 7, 8, 8.1. « En plus de nos partenaires OEM, tout au long de la conception de Windows 10, nous avons travaillé en étroite collaboration avec nos partenaires de silicium, y compris Intel, AMD, Nvidia et Qualcomm » indique la firme américaine.

L’Américain se félicite de son partenariat avec Intel et sa génération de processeurs Intel Core (Version 6, Skylake). Bilan, les machines qui sortiront dans le futur ne pourront faire tourner que la version 10 (et plus) de l’OS de Microsoft. Skylare sera le dernier a accepté autre chose. Une transition douce car ensuite, il ne sera plus possible de ne pas suivre le chemin tracé par la firme de Redmond.

Même son de cloche pour AMD, son « Bristol Ridge » ne pourra faire tourner que Windows 10. De même pour le 8996 de Qualcomm. Bref, Microsoft continue sa marche en avant de l’utilisateur forcé. Pour la bonne cause affirme Microsoft « Une meilleure intégration du software et du hardware« .

Argent, backdoor, Cyber-attaque, Cybersécurité, Leak, Mise à jour, Particuliers, Piratage, Virus

Un nouveau malware qui cible les services financiers

Découverte par le SOC (Security Operating Center) de F5 Networks et détectée par les solutions de sécurité F5 WebSafe en novembre 2015, l’attaque Tinbapore représente un risque de plusieurs millions de dollars.

L’enquête des experts en sécurité de F5 révèle que Tinbapore est une nouvelle variante du malware Tinba qui avait jusqu’ici ciblé les organismes financiers en Europe, au Moyen-Orient, en Afrique (EMEA) et aux US. Le malware Tinba original a été écrit en employant la programmation en langage assembleur et s’est fait remarqué pour sa très petite taille (20 Ko avec tous les Webinjects et la configuration). Le malware utilise principalement quatre bibliothèques du système lors de l’exécution : ntdll.dll, advapi32.dll, ws2_32.dll et user32.dll. Sa principale fonctionnalité est de se raccorder à tous les navigateurs de la machine infectée afin de pouvoir intercepter les requêtes HTTP et effectuer des injections web.

Les nouvelles versions améliorées du malware utilisent un algorithme de génération de domaine (DGA – domain generation algorithm), ce qui rend le malware beaucoup plus persistant et lui donne la possibilité de revenir en activité, même après que le serveur de commande et de contrôle (C&C) soit coupé. Cette nouvelle variante de Tinba – Tinbapore – créée désormais sa propre instance explorer.exe qui fonctionne en arrière-plan. Elle diffère de la plupart des versions précédentes car elle vise activement les organismes financiers de l’Asie-Pacifique (APAC), un territoire inexploré pour Tinba.

Cybersécurité, IOT, Mise à jour, Patch, santé

Sécurité informatique : recommandation pour les fabricants de dispositifs médicaux

L’US Food and Drug Administration a publié un document décrivant les étapes importantes qui doivent suivre les fabricants de dispositifs médicaux afin de régler les risques en matière de cybersécurité.

Comme je vous l’expliquais il y a peu, l’US Food and Drug Administration, l’agence chapeautée par le ministère américain de la Santé et des Services sociaux, a fait interdire du matériel médical car considérés comme trop facilement manipulable par un pirate informatique. La FDA vient de diffuser un document, baptisé « Draft Guidance for Industry andFood and Drug Administration Staff » décrivant les étapes importantes qui doivent suivre les fabricants de dispositifs médicaux afin de régler les risques en matière de cybersécurité.

Ce projet d’orientation détaille les recommandations de l’Agence pour la surveillance, l’identification et le traitement des vulnérabilités en matière de cybersécurité dans les dispositifs médicaux une fois que les machines sont sur le marché. Le projet d’orientation fait partie des efforts en cours de la FDA pour assurer la sécurité et l’efficacité des dispositifs médicaux, à tous les stades de leur cycle de vie.

« Tous les dispositifs médicaux qui utilisent un logiciel et qui sont reliés à un réseau ont très certainement des vulnérabilités que nous ne pouvons protéger de manière proactive » souligne Suzanne Schwartz de la FDA. Pour la directrice adjointe du secteur contre-mesures médicales, ce projet de directives doit protéger les patients contre les menaces cybernétiques en recommandant aux fabricants de dispositifs médicaux de renforcer leur surveillance.

Le projet de directive recommande la mise en œuvre d’un programme de gestion des risques en matière de cybersécurité, structuré et systématique, et de répondre en temps opportun aux vulnérabilités identifiées. Bref, les fabricants doivent mettre en action les principes fondamentaux qui sont d’identifier, protéger, détecter, réagir et récupérer. La FDA demande aussi que des cellules de veille soient mises en place chez les constructeurs « Une surveillance des sources d’information liées à la cybersécurité afin d’identifier et détecter les vulnérabilités et les risques en matière de cybersécurité« . Parmi les autres propositions : adopter une politique de divulgation des vulnérabilités coordonnées.

Le public et les professionnels ont 90 jours pour commenter ce projet.

Base de données, Cybersécurité, Entreprise, Justice, Mise à jour, Social engineering

Des hôtels de luxe Français visés par un piratage informatique

Je vous révélais, en décembre 2015, une attaque massive à l’encontre d’hôtels de luxe. Un piratage qui a visé, en France, Le Hyatt Regency Paris Étoile, le Hyatt Paris Madeleine et le Grand Hyatt Cannes Hôtel Martinez. Des stars dans les données volées ?

Après les Hôtels Sheraton, Hilton et Le Méridien, c’est au tour du groupe hôtelier Hyatt d’être la cible d’une attaque informatique. Des pirates ont infiltré les machines en charge de la gestion du système de paiement de ses sites Internet du groupe hôtelier. Hyatt vient de diffuser les conclusions de son enquête interne. 250 hôtels ont été piratés dans 54 pays. Une attaque massive entre le 13 août et le 8 décembre 2015. Trois hôtels Français ont été touché (du 13 août au 14 octobre 2015) : le Hyatt Regency Paris Etoile, le Hyatt Paris Madeleine et le Grand Hyatt Cannes Hôtel Martinez.

Alors qu’en décembre 2015, Hyatt indiquait ne pas savoir si des données bancaires avaient été touchées. Un mois plus tard, il a été confirmé le vol, via les terminaux de paiement de restaurants, spas, parking, réceptions… des noms, numéros de carte bancaire, dates d’expiration, CVV, codes de vérification interne.

Base de données, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, Sauvegarde

Les Data Centers face aux risques : des menaces contrôlées

Le Cloud a réussi à convaincre de nombreux adeptes grâce à ses différents atouts : simplicité, adaptabilité, ou encore coûts contrôlés. Pour protéger au mieux les données qui leur sont confiées, les fournisseurs éthiques suivent une règle d’or : prévoir l’imprévisible pour pouvoir assurer la sécurité des données.  

En effet, les data centers – comme toute autre installation – sont confrontés à différents risques et cela peut effrayer les entreprises et les particuliers.  Cependant, les serveurs des centres de données sont souvent bien plus sécurisés que les propres structures informatiques des entreprises. Plusieurs menaces existent, et les fournisseurs de Cloud disposent de spécialistes afin d’analyser et d’anticiper chacun de ses risques.

Le risque physique et le vandalisme
Il s’agit du risque lié à une intrusion physique sur le lieu : vol de matériel contenant des données, incendies criminels, ou encore casse des serveurs. Pour répondre à ce risque, des systèmes de vidéosurveillance mais aussi de détection volumétrique de mouvements au sein du périmètre de sécurité sont mis en place.  De plus, l’entrée du bâtiment est sécurisée par un contrôle d’accès strict avec différents niveaux de droits selon les pièces.  En cas de problèmes, les droits d’accès peuvent être rapidement révoqués et les badges désactivés automatiquement. Le bâtiment est également équipé de portes blindées, de systèmes de détection des chocs sur les portes et les fenêtres. Toute cette installation vise à pouvoir réagir très rapidement en cas de tentative d’effraction, avec une prise en charge rapide par le personnel sur site présent 24h/24 7J/7 et par les forces de l’ordre.

Pour pallier la menace d’incendie, des détecteurs sont mis en place. Les Data Centers sont par ailleurs équipés de système d’extinction automatique par gaz, si un départ de feu est confirmé par 2 détections simultanées, des bouteilles seront percutées instantanément afin de remplir la salle informatique d’un gaz empêchant la réaction chimique de l’incendie et bloquer tout incendie en cours.

Le risque météorologique
Cette catégorie regroupe tous les dangers liés à des conditions climatiques extrêmes: inondation, foudre ou encore canicule. Afin de prévenir d’éventuels sinistres, ce risque est étudié avant même l’implantation du Data Center afin d’éviter la construction en zone inondable. Le bâtiment est également entouré par des paratonnerres, et les armoires électriques équipées de parafoudres pour protéger le lieu en cas de tempête. Les climatisations sont spécifiquement choisies afin de fonctionner même lorsqu’elles sont soumises à de très hautes températures.

Les risques intrinsèques et électriques
Pour la partie électrique, les onduleurs sont présents pour palier une éventuelle micro-coupure ; en cas de problème plus conséquents – comme une panne totale de l’arrivée électrique principale Haute Tension– les Data Centers sont équipés d’un groupe électrogène pouvant assurer leurs autonomies. Des audits annuels sont par ailleurs réalisés pour assurer une sécurité optimale du lieu. Une caméra thermique permet de vérifier qu’il n’y a pas de points chauds pouvant potentiellement créer un départ d’incendie et les câblages sont également vérifiés une fois par an. Enfin, en cas de fuite d’eau, un système automatisé permet de couper l’arrivée d’eau dans la salle informatique.

Le risque numérique
Les menaces numériques regroupent tous les risques liés au piratage informatique.  Pour cela, les serveurs peuvent—être équipés d’un antivirus, d’un firewall, mais aussi d’une solution visant à bloquer les attaques DDoS.  Ainsi, un large spectre de vecteurs d’attaques est contrôlé. Il s’agit là des précautions prises pour un unique Data Center par chaque fournisseur. La mise en place d’un deuxième Data Center, notamment s’il est utilisé pour effectuer des plans de reprises d’activité, exige également quelques bonnes pratiques. Les deux bâtiments ne doivent pas être éloignés de plus de 50 kms l’un de l’autre, dans l’idéal, afin d’avoir un délai de latence faible pour la synchronisation des données. Mais ils ne doivent pas non plus appartenir aux mêmes réseaux électriques, car si une longue coupure intervient, les deux seraient alors potentiellement impactés. (par Aurélien Poret, responsable Infrastructure – Ikoula)

Cybersécurité, Mise à jour, Patch

676.000 Kms et plus de 270 problémes pour les voitures sans conducteur de Google

Le géant américaine de l’Internet vient de diffuser les chiffres traitant de ses Google Cars. 676.000 kilomètres et plus de 270 problèmes en 14 mois de tests.

La Google Car, le projet de voiture connectée et sans chauffeur de Google vient de connaitre ses premiers chiffres publics. 676.000 kilomètres parcourus sur les routes Californiennes et 272 interventions du « chauffeur » pour reprendre la main sur le véhicule afin d’éviter de finir dans un mur, dans un fossé ou contre le 38 tonnes qui passait par là. Des « anomalies » comme l’explique Google dans le rapport du Department of Motor Vehicles de Californie. 69 cas de reprise du volant l’ont été à la suite du jugement personnel du pilote d’essai. (Yahoo!)

Cybersécurité, Mise à jour, Patch

Mises à jour urgentes de janvier 2016

Plusieurs mises à jour obligatoires et urgentes pour de nombreux produits Microsoft, Adobe et Oracle.

MS16-005 est a patcher très rapidement, du moins pour les utilisateurs sous Vista, Windows 7 ou Server 2008. En effet, sur ces systèmes, CVE-2016-0009 déclenche une exécution de code à distance (RCE), de plus cette vulnérabilité a été divulguée publiquement. Sur les systèmes d’exploitation plus récents, Windows 8 et Windows 10, la faille est non applicable ou juste classée importante.

MS16-004 est notre seconde priorité. Ce bulletin résout six vulnérabilités sous Microsoft Office qui permettent aux pirates d’exécuter du code à distance (RCE). Il est classé « critique » par Microsoft, ce qui est inhabituel pour un bulletin Office. La vulnérabilité classée critique CVE-2016-0010 est présente dans toutes les versions d’Office, de 2007 à 2016, même sous Mac et RT.

Viennent ensuite Internet Explorer (MS16-001) et Microsoft Edge (MS16-002). L’un et l’autre sont classés critiques puisqu’un pirate peut contrôler la machine visée en exploitant le navigateur via une page Web malveillante. Les deux bulletins traitent seulement deux vulnérabilités, ce qui est assez inhabituel, du moins pour Internet Explorer, navigateur pour lequel nous avions pris l’habitude de voir traiter plus de 20 vulnérabilités.

MS16-006, le dernier bulletin critique, concerne Silverlight et corrige une vulnérabilité.

MS16-010 est une vulnérabilité côté serveur dans Microsoft Exchange. Il résout quatre vulnérabilités au sein du module OWA d’Exchange qui peuvent provoquer des fuites d’information et l’exécution de script suite à la visualisation d’un e-mail.

MS16-009 a été ignoré par Microsoft. Apparemment, la publication de ce bulletin a été reportée le temps de procéder à des tests supplémentaires.

Adobe et Oracle
Adobe publie également ses mises à jour à l’occasion de ce Patch Tuesday et diffuse APSB16-02 pour Adobe Reader. Cette mise à jour résout des vulnérabilités critiques mais les classe toutes en niveau « 2 » sur l’échelle de l’exploitabilité, c’est-à-dire qu’un patch sera disponible dans les 30 prochains jours. Aucune mise à jour n’est publiée aujourd’hui pour son composant logiciel le plus attaqué, le lecteur Flash. Ou disons plutôt que sa mise à jour de janvier 2016 a été publiée en avance, fin décembre 2015. Intéressez-vous en urgence à APSB16-01 si ce n’est pas encore fait. L’une des vulnérabilités étant attaquée en aveugle, Adobe a été contraint de publier cette mise à jour avant la date prévue.

Quant à Oracle, l’éditeur prévoit de publier ce mois-ci sa mise à jour trimestrielle, en l’occurrence mardi 19 janvier. Restez à l’affût de la nouvelle version de Java, MySQL et de sa base de données d’entreprise. (Analyse publiée par Wolfgang Kandek, CTO de Qualys, Inc. dans The Laws of Vulnerabilities).

Cybersécurité, ID, Identité numérique, Mise à jour, Particuliers, Patch, Téléphonie

Votre numéro de téléphone est devenu votre identité mobile

Au fil des années, nous sommes passés d’un simple numéro de téléphone mobile à une véritable identité numérique. Rares sont les personnes qui changent de numéro, rendant l’authentification plus simple pour les détenteurs de téléphones et moins chère pour les entreprises qui vérifient les numéros. Au fur et à mesure, plusieurs méthodes d’authentification faciles et simples impliquant des numéros de téléphone mobile ont été créées.

De nombreuses sociétés, telles que WhatsApp, Airbnb et Uber, passent par la vérification du numéro pour autoriser l’accès à leurs services. Afin d’apporter une couche de sécurité supplémentaire à la connexion, une méthode d’authentification à deux facteurs a également été inventée. Ainsi, après une grande quantité d’infractions, les entreprises ont trouvé en l’utilisation du SMS un intérêt certain. Le numéro de téléphone est devenu identité numérique et mobile !

Un second contrôle
Un exemple concret : Twitter a mis en place un process de connexion plus sûr après que des utilisateurs aient rapporté des tentatives de piratage de leurs comptes avec des techniques d’hameçonnage ou de violation de données. En mai 2013, ils ont introduit une seconde vérification d’identité pour s’assurer qu’il s’agissait bien du véritable titulaire qui se connectait au compte. LinkedIn et Facebook ont fait de même ainsi que, plus récemment, Snapchat.

La carte SIM au centre de l’identité mobile
D’autres sites ou applications utilisent également des applications SMS et vocales pour vérifier les numéros de téléphone de leurs utilisateurs, mobiles ou fixes. WhatsApp, Uber, Airbnb et de nombreuses sociétés utilisent les numéros afin de vérifier si la personne qui s’inscrit est réellement la personne qu’elle prétend être. Chaque inscription est vérifiée avec un message SMS : la personne qui s’inscrit laisse son numéro de téléphone dans le formulaire d’inscription, puis reçoit un message texte contenant un mot de passe. Il s’agit en  général d’un code de 6 à 8 chiffres, valide pour une durée limitée. En entrant ce code sur l’application ou sur le site web, la personne valide son inscription et l’éditeur sait que le numéro de téléphone appartient réellement à celui qui vient de s’inscrire. Autre raison du succès de l’authentification par SMS : l’existence de logiciels spécifiquement conçus pour vérifier les numéros de téléphone. Déjà mis au point et prêts à l’emploi, ces derniers permettent d’empêcher très facilement la création de centaines de comptes spams ou non utilisés.

Plus d’informations à propos des utilisateurs
La validation par SMS fournit, en outre, plus d’informations qu’un simple numéro de téléphone individuel. En effet, elle permet de savoir quelle est son origine, qui est l’opérateur, s’il s’agit d’un numéro fixe ou mobile et quels sont les coefficients de conversion de ce numéro. Certains opérateurs et entreprises de télécommunications sont ainsi en mesure de fournir des taux de conversion fiables grâce à ce process.

Les utilisateurs et les organisations bénéficiaires
La vérification et l’authentification des numéros de téléphone protègent non seulement les utilisateurs, mais aussi les services et sociétés. Grâce à elles, les utilisateurs ainsi que les organisations bénéficient ainsi d’un internet sécurisé, libéré des fraudes. La vérification et l’authentification de l’identité mobile réelle des personnes en utilisant le numéro de téléphone est facile et efficace. (Par Jérémy Delrue, Country Manager France CM Telecom).

Cybersécurité, Emploi, Entreprise, Fuite de données, Mise à jour, Patch, ransomware, Sauvegarde

Les équipes de sécurité sont dépassées par le nombre d’alertes de sécurité quotidiennes

76% des professionnels de sécurité interrogés par Rapid7 déclarent ne pas arriver à gérer plus de 25 alertes par jour alors que 29% d’entre eux reçoivent quotidiennement plus de 75 alertes de sécurité.

Rapid7, éditeur de solutions de sécurité analytique des données, dévoile les résultats de son étude 2015 sur la détection des menaces et la réponse aux incidents de sécurité. Face aux enjeux cruciaux de la protection des données de l’entreprise dans des contextes de réseaux étendus, les équipes de sécurité augmentent progressivement leurs capacités de détection des menaces et de réponses à incidents.

A travers une étude menée auprès de 271 professionnels de sécurité dans 20 pays, Rapid7 a cherché à analyser et à mieux comprendre le contexte et les problématiques auxquelles sont confrontées les équipes de sécurité en entreprise – leurs initiatives, les outils utilisés et leurs défis au quotidien – en matière de détection des menaces et de réponses aux incidents de sécurité.

Les équipes sécurité dépassées par le nombre d’alertes de sécurité générées par les équipements
Parmi les enseignements importants de cette étude, il ressort que les équipes de sécurité sont submergées par un volume d’alertes de sécurité trop important et pour lesquelles elles ne peuvent procéder à des recherches approfondies :

–       Les professionnels de la sécurité signalent un écart entre le nombre d’alertes générées par leurs systèmes de détection et le nombre de ces alertes que leurs équipes sont capables de gérer – c’est à dire de consulter, d’enquêter et de remédier.

–       76% des personnes interrogées n’arrivent pas à gérer plus de 25 alertes par jour, alors que 29% d’entres elles reçoivent plus de 75 alertes de sécurité par jour

La détection du vol d’identifiants : le problème majeur des équipes sécurité
Bien que cela souligne la nécessité d’une meilleure contextualisation, corrélation et hiérarchisation des alertes, les entreprises ne sont toujours pas satisfaites de leur capacité à détecter le premier vecteur d’attaque à l’origine des failles de sécurité : le vol d’identifiants.

–       90% des professionnels interrogés s’inquiètent des attaques utilisant des identifiants dérobés, et 60% déclarent ne pas bénéficier de solutions adaptées pour détecter le vol d’identifiants.

Concrètement, les équipes de sécurité ont toutes le même défi : elles doivent gérer trop d’alertes de sécurité ; les enquêtes sur chaque alerte prennent trop de temps ; elles ont trop peu de visibilité contextuelle sur les utilisateurs et les risques sur leur réseau.

Face à ces problématiques, les professionnels interrogés ont mis en place trois grandes initiatives en 2015, (dans l’ordre) :
1)    Le déploiement et le maintien d’une solution SIEM
2)    Le développement de leur programme de gestion des vulnérabilités
3)    L’amélioration ou le remplacement de leur réseau de pare-feu

L’étude rapporte également que 52% des entreprises interrogées utilisaient déjà un SIEM en 2015 alors que 21% prévoyaient de s’équiper dans le futur. Alors que la capacité flexible à agréger et corréler les logs permet aux entreprises de surveiller simultanément les données issues de pare-feu, de terminaux et des DNS, les professionnels estiment qu’il subsiste toujours un manque à ce niveau pour les services Cloud, des protocoles DHCP et des honeypots.

Les services Cloud, une surface d’attaque à risque
Les services Cloud sont une surface d’attaque importante et à risque, puisque 79% des personnes sondées dans le cadre de l’étude Rapid7 déclarent utiliser au moins un service Cloud, particulièrement Office 365, Google Apps et Salesforce. Pour les cybercriminels, il s’agit de voler les identifiants pour accéder aux dossiers confidentiels placés dans ces services. Et à ce sujet, les professionnels sont 59% à signaler un manque de visibilité au niveau de la sécurité des services Cloud.

Léonard Dahan, Regional Sales Manager pour la région Europe du Sud de Rapid7 indique à DataSecurityBreach.fr que « les enseignements de cette étude démontrent que les équipes de sécurité doivent prioriser la détection des identifiants compromis et les comportements suspicieux, non seulement sur le réseau mais également en local sur les postes de travail, tout comme autour des services Cloud. Le point positif est que les entreprises continuent de s’équiper et de mettre en place des programmes de détection et de réponse à incidents. Mais les équipes de sécurité doivent également s’appuyer sur une approche qui leur permettra d’améliorer la précision des alertes détectées, d’accélérer les enquêtes post-incidents et de mettre en évidence les risques liés aux utilisateurs de leur terminal jusqu’au Cloud ».

backdoor, Cybersécurité, Logiciels, Microsoft, Mise à jour, Patch

Découverte d’un 0Day dans Silverlight

Un commentaire

Kaspersky Lab a découvert une vulnérabilité « Zero Day » dans Silverlight, une technologie web servant à visualiser des contenus multimédias. Cette faille offrirait à un pirate un accès total à un ordinateur infecté, lui permettant ainsi d’exécuter du code malveillant afin de dérober des informations confidentielles et de se livrer à d’autres activités illicites. La vulnérabilité (CVE-2016-0034) a été corrigée dans la dernière mise à jour de sécurité publiée par Microsoft ce mardi 12 janvier 2016. Sa découverte est le fruit de cinq mois d’enquête ayant fait suite à un article paru dans Ars Technica.

A l’été 2015, une cyberattaque lancée contre la société Hacking Team (connue pour le développement de « spyware légal ») a fait les gros titres. L’un des articles à ce sujet, publié dans Ars Technica, mentionnait une fuite dans des échanges supposés entre des représentants de Hacking Team et Vitaliy Toropov, un développeur indépendant de programmes exploitant des vulnérabilités. Entre autres choses, l’article citait une correspondance dans laquelle Toropov tentait de vendre à Hacking Team une faille Zero Day particulièrement intéressante : il s’agissait d’exploiter une vulnérabilité présente depuis quatre ans et toujours non corrigée dans la technologie Microsoft Silverlight. C’est cette information qui a mis la puce à l’oreille des chercheurs de Kaspersky Lab.

L’article en question ne fournissant aucune autre information sur la faille exploitée, les chercheurs ont entamé leur enquête en partant du nom du vendeur. Ils ont rapidement découvert qu’un utilisateur qui se nommait Vitaliy Toropov était un contributeur très actif de la base de données open source des vulnérabilités (OSVDB), où tout un chacun peut publier des informations dans ce domaine. En analysant son profil public sur le site OSVBD.org, les chercheurs de Kaspersky Lab se sont aperçu qu’en 2013, Toropov avait publié une preuve de concept (POC) décrivant un bogue dans la technologie Silverlight. Ce POC portait sur une ancienne vulnérabilité connue et aujourd’hui corrigée. Cependant, il donnait également des détails supplémentaires qui ont indiqué aux chercheurs de Kaspersky Lab comment l’auteur écrivait du code destiné à exploiter cette faille.

Au cours de l’analyse effectuée par les experts de Kaspersky Lab, certaines chaînes de code spécifiques se démarquaient véritablement. Grâce à ces informations, ils ont créé plusieurs règles de détection pour les technologies de protection de Kaspersky Lab : dès lors qu’un utilisateur, ayant accepté de communiquer des données sur les menaces à Kaspersky Security Network (KSN), rencontrait un logiciel malveillant qui présentait le comportement correspondant à ces règles de détection, le système marquait le fichier comme extrêmement suspect et adressait une notification à la société pour qu’il soit analysé. Cette tactique partait d’une hypothèse simple : si Toropov avait tenté de vendre l’exploitation d’une faille Zero Day à Hacking Team, il y avait de fortes chances pour qu’il ait fait de même auprès d’autres éditeurs de spyware. A la suite de cette activité, d’autres campagnes de cyber espionnage pouvaient s’en servir afin de cibler et d’infecter des victimes sans méfiance.

Cette hypothèse était fondée. Plusieurs mois après la mise en œuvre des règles spéciales de détection, un client de Kaspersky Lab a été la cible d’une attaque employant un fichier suspect présentant les caractéristiques recherchées. Quelques heures plus tard, quelqu’un (peut-être une victime des attaques) se trouvant au Laos a envoyé à un service multiscanner un fichier ayant les mêmes caractéristiques. Les experts de Kaspersky Lab, en analysant l’attaque, ont découvert que celle-ci exploitait en fait un bogue inconnu de la technologie Silverlight. Les informations concernant cette faille ont été communiquées sans délai à Microsoft pour validation.

« Bien que n’étant pas sûrs que la faille que nous avons découverte soit en fait celle évoquée dans l’article d’Ars Technica, nous avons de bonnes raisons de penser que c’est bien le cas. En comparant l’analyse de ce fichier aux travaux précédents de Vitaliy Toropov, nous sommes parvenus à la conclusion que l’auteur de l’exploitation de la vulnérabilité découverte récemment et l’auteur des POC publiés sur OSVDB sous le nom de Toropov était une seule et même personne. En même temps, il n’est pas impossible que nous ayons trouvé une autre faille Zero Day dans Silverlight. Globalement, ces recherches ont contribué à rendre le cyberespace un peu plus sûr en mettant au jour une nouvelle vulnérabilité Zero Day et en la révélant de manière responsable. Nous encourageons tous les utilisateurs des produits Microsoft à mettre à jour leurs systèmes dès que possible afin de corriger cette vulnérabilité », commente Costin Raiu, Directeur de l’équipe GReAT (Global Research & Analysis Team) de Kaspersky Lab.

Les produits Kaspersky Lab détectent la vulnérabilité CVE-2016-0034 sous le nom de  HEUR :Exploit.MSIL.Agent.gen.

Argent, Base de données, Cybersécurité, Emploi, Entreprise, Fuite de données, ID, Identité numérique, Mise à jour, Paiement en ligne, Particuliers, Patch

Sécurité en ligne : la méfiance des Français est-elle mère de sûreté ?

La cybercriminalité se développe aussi vite que les technologies et il n’est pas surprenant que cela rende les consommateurs méfiants lorsqu’on leur demande de saisir des données personnelles en ligne. C’est le cas pour 63% des Français selon une étude récente Dashlane menée par Opinionway. Il est plus étonnant de constater le décalage avec les Américains, qui, s’ils ne sont pas moins touchés par les piratages, sont beaucoup moins méfiants lorsqu’ils doivent saisir des informations personnelles sur internet (seulement 35%).

L’explication est bien sûr en partie culturelle. La France est un pays où, depuis Descartes, on considère que l’intelligence s’illustre par la capacité à douter. En face d’un phénomène nouveau, les consommateurs doutent donc tant qu’ils ne disposent pas des garanties permettant de lever leurs interrogations. Aux Etats-Unis, l’optimisme est une valeur. C’est lui qui permet la « poursuite du bonheur » inscrite dans la déclaration d’indépendance, et la foi en un futur meilleur, « l’American Dream ». Si la sécurité en ligne était un verre d’eau, ou de Coca Cola, les Américains auraient ainsi tendance le voir à moitié plein. Les dangers du web ne sont pas pour eux une raison de ne pas profiter des formidables innovations qu’il apporte. On n’aurait en effet pas conquis l’ouest américain si l’on s’était focalisé sur les risques. Pour les Français, le verre est souvent à moitié vide. Ils sont plus réticent à adopter un service qui risque de perturber leur quotidien, de remettre en cause leur statut…

Pour rassurer les consommateurs, les éléments à leur fournir sont également différents. Selon la même étude, c’est d’abord la réputation de la marque qui met en confiance les Américains (47%), alors que les Français sont 68% à citer le petit cadenas vert, symbole d’une connexion sécurisée, comme facteur de confiance numéro 1. Là encore, le scepticisme des Français les conduit à chercher des preuves concrètes de sécurité plutôt que de faire confiance a priori aux marques.

On serait tenté de donner raison aux Français, tant sont nombreuses les grandes marques qui connaissent des failles de sécurité sur leur site web. En s’intéressant d’abord à un élément factuel de sécurité, la connexion https et son symbole, le petit cadenas vert, les Français ne seraient-ils pas des précurseurs ? Quand ils naviguent sur le web, souris en main, ils souhaitent des signaux clairs pour les rassurer ou leur indiquer les dangers, comme lorsqu’ils sont au volant de leur voiture. Le cadenas https est pour eux la même chose qu’un panneau route prioritaire qui leur dit « C’est bon vous pouvez rouler à 90. ».

La conduite sur route est aujourd’hui énormément guidée par la signalisation (panneaux, lignes, ralentisseurs etc….) au point qu’on y prête à peine attention. Grâce aux efforts de standardisation, on s’y retrouve même lorsqu’on circule loin de chez soi à l’étranger. Mais qu’en est-il du web ? N’est-il pas nécessaire de définir, au-delà du chiffrement de la connexion (https) d’autres standards de sécurité, ou de confidentialité, qui pourraient être vérifiés par des tiers indépendants et illustrés par une signalisation uniforme ?

Au cours des deux dernières décennies, on a vu se développer les « autoroutes de l’information ». Nous sommes bien sur la « route du futur » que Bill Gates annonçait par son livre en 1997. Nous avons juste oublié de tracer les lignes blanches et de poser les panneaux. (Par Guillaume Desnoes, Responsable des marchés européens de Dashlane)

Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Mise à jour, Patch

Quelles sont les nouvelles missions de la DSI à l’ère du cloud ?

Ce n’est plus une surprise aujourd’hui que le recours au cloud représente une transformation importante et stratégique pour les entreprises et va parfois de pair avec certaines inquiétudes concernant la place de la DSI. Les questions qui découlent de cette stratégie technologiques sont nombreuses : la DSI a-t-elle encore un rôle à jouer à l’ère du cloud ? Ce rôle doit-il évoluer et si oui, dans quelle(s) direction(s) ?

Dans de nombreuses entreprises, la DSI cherche avant tout à créer un socle informatique commun à l’ensemble des salariés : ce dernier doit être stable, afin d’éviter les interruptions de l’activité et permettre à chacun d’acquérir une excellente maîtrise des outils ; il doit aussi être sécurisé, afin de garantir une confidentialité optimale des données. De ces impératifs résultent des cycles informatiques longs, pouvant durer entre 3 et 5 ans avant que l’on n’envisage de changements significatifs des outils utilisés. Aujourd’hui, ce cycle long montre ses limites face à une économie toujours plus réactive où le time-to-market se réduit et où l’on recherche une plus grande agilité. Les entreprises doivent souvent faire preuve de rapidité pour répondre aux besoins du marché, une rapidité à laquelle leur infrastructure n’est pas toujours adaptée.

La DSI est donc confrontée à un paradoxe : d’un côté, offrir à l’entreprise de la stabilité afin qu’elle gagne en productivité et en sécurité ; de l’autre, s’adapter à de nouveaux usages dans un contexte où tout concorde pour que l’environnement soit instable. Un paradoxe d’autant plus présent dans les secteurs où les entreprises traditionnelles sont concurrencées par des start-up très agiles.

Mais alors, quelles craintes font naître ces évolutions ?
Tout d’abord il y a le « shadow IT ». La DSI y est confrontée de manière quasi récurrente : les salariés souhaitent décider eux-mêmes des outils les plus appropriés pour accomplir leurs missions ; il leur arrive ainsi d’en adopter certains sans l’aval des services informatiques, créant alors une véritable «informatique de l’ombre». Par conséquent, la DSI hérite souvent de la maintenance de ces dispositifs qu’elle n’a pas choisis et de la gestion des problèmes de compatibilité.

Puis vient la perte d’influence. Pendant longtemps, seule la DSI a eu le pouvoir sur les outils utilisés dans l’entreprise lui permettant de s’opposer à l’utilisation d’un logiciel si elle estimait qu’il ne répondait pas aux critères établis. Aujourd’hui, comme l’illustre la présence du shadow IT, les entreprises sont beaucoup plus ouvertes sur l’extérieur. Les directions métier, par exemple, ont accès à un large panel d’applications web qu’elles peuvent mettre en place en quelques clics. Le processus de décision est donc souvent plus rapide que la chronologie traditionnelle (évaluation des ressources techniques et budgétaires nécessaires, étude des risques, prise de décision, planification, déploiement) qui exigeait souvent plusieurs semaines voire plusieurs mois. En conséquence, la DSI peut craindre une certaine perte d’influence.

Enfin, reste l’automatisation. La plupart du temps, les logiciels basés sur le cloud hébergent les données au sein d’un datacenter extérieur à l’entreprise, dont la gestion est donc assurée par des tiers. De même, ces logiciels permettent souvent d’automatiser ou de simplifier des tâches autrefois placées sous le contrôle de la DSI : l’allocation des ressources, la configuration de chaque poste, le déploiement de nouvelles applications, etc. Ainsi, bien souvent, la DSI n’est plus la seule à impulser des décisions quant aux choix technologiques de l’entreprise. Les directions métier s’invitent aussi dans le débat, suggérant l’adoption de nouveaux outils. C’est sur ce type de projet que la DSI est la plus susceptible de ressentir une perte d’influence. Le risque est moindre lorsque les projets concernent l’entreprise dans son ensemble car la DSI conserve alors son pouvoir de prescription et de décision.

DSI, métiers, vers un juste équilibre ?
La situation actuelle entre DSI et directions métier n’est pas si préoccupante que l’on pourrait le croire. En effet, une étude menée par Verizon a démontré que seules 16% des entreprises étaient prêtes à investir dans le cloud sans l’aval de la DSI. A l’inverse, pour 43% d’entre elles, ce type de décision implique toujours une validation préalable de la DSI tandis que 39% prennent une décision collégiale associant directions métier et DSI. Le fait d’associer la DSI aux décisions ne se résume pas à valider la sécurité des choix technologiques, au contraire. La DSI permet, pour plus de la moitié des entreprises interrogées, d’optimiser les coûts et de réduire la complexité du processus. En réalité, il ne s’agit pas de créer un clivage entre DSI et directions métier mais de les réunir autour d’un objectif qui les rapproche : assurer la croissance de l’entreprise. Cela passe souvent par la mise en place de nouveaux business models permettant de développer le portefeuille clients ou de fidéliser les clients existants. Dans la poursuite de cet objectif, le cloud apporte une agilité accrue.

Le fait de solliciter l’IT offre à toute entreprise des bénéfices qui restent indéniables :
La DSI se porte garante du bon fonctionnement du système – Si le téléchargement d’un logiciel classique peut se faire à l’insu de l’IT, le cloud implique nécessairement de se pencher sur des questions comme la sécurité, la bande passante, l’interopérabilité. Sur ces sujets pointus, seule la DSI est en mesure d’intervenir afin de mettre en place de nouvelles fonctionnalités tout en préservant la cohérence du système d’information. Elle a en effet la maîtrise des questions de gouvernance : proposer de nouveaux produits et services, améliorer les processus et la fluidité des échanges…

La DSI peut apporter un accompagnement – Tout changement fait naître des inquiétudes et de manière générale, les utilisateurs n’acceptent un nouveau système que lorsque celui-ci apporte une amélioration significative de leurs conditions de travail. A l’inverse, si ce système se révèle plus complexe que le précédent, on accroît le risque de shadow IT. Il est donc primordial de faire coopérer la DSI et les métiers.

La DSI a un réel pouvoir de prescription – elle n’a pas pour seule mission de répondre à des besoins exprimés par les directions métier. Elle cherche aussi à les anticiper. Sa position la place à l’écoute des évolutions technologiques, elle est aussi gardienne de la mémoire des systèmes d’information de l’entreprise et peut donc impulser des innovations pour que l’entreprise gagne en modernité et en efficacité.

En conclusion, il ressort de ces constats que la DSI, loin d’être menacée par le développement du cloud, peut au contraire tirer profit de sa maîtrise technologique pour accompagner les directions métier et leur proposer des solutions à forte valeur ajoutée. Elle retrouve ainsi toute sa place dans la stratégie de l’entreprise. (Par Philippe Motet – Directeur Technique chez Oodrive)

Cybersécurité, Espionnae, Mise à jour, Particuliers, Virus

La stratégie et les auteurs du malware APT28

Les auteurs russophones de cette menace ont ciblé des personnalités politiques européennes majeures et des agences gouvernementales pendant près d’une décennie.

Une enquête technique de Bitdefender, société de technologies de sécurité Internet, révèle que la menace APT28, également nommée « Sofacy », a probablement été mise en place par des russophones, ciblant des victimes triées sur le volet dans le cadre d’une opération massive de collecte de renseignements.

Le nouveau rapport de Bitdefender, intitulé Under the Scope – A Journey into Exfiltrating Intelligence and Government Information, affirme, preuve à l’appui, que Sofacy, opérant secrètement en Europe depuis 2007, a été utilisée pour récolter des renseignements sur des sujets importants pour la Russie. L’activité d’APT28 a atteint son apogée lors d’événements internationaux tels que les négociations de paix entre les rebelles soutenus par Moscou et les
forces gouvernementales lors de la crise en Ukraine ou encore lors de l’intense couverture médiatique concernant la mise sur le marché d’un avion intelligent russe PAK FA T-50 Fighter (un concurrent du modèle américain, Lockheed Martin’s F-35).

Ce rapport met en lumière les liens existant entre cette APT (Advanced Persistant Threat – Menace Persistante Avancée) et ses opérateurs, avançant un faisceau de preuves convergentes tendant à démontrer que les pays aux capacités technologiques les plus avancées sont responsables d’une nouvelle vague de cyber espionnage mondial via des malwares. Le rapport de Bitdefender sur APT28 étudie les trois principaux vecteurs d’attaque de cette menace avec des méthodes exhaustives de sondage pour repérer de nouvelles victimes, un ciblage de personnalités politiques importantes, d’institutions gouvernementales, de services de télécommunications et de services d’e-crime, ainsi que d’entreprises aérospatiales.

« Alors que le terme APT a été popularisé pour la première fois, il y a plus de cinq ans, avec la découverte de Stuxnet dans une installation de traitement nucléaire iranienne, certains cybercriminels tels que les opérateurs d’APT28 ont réussi à collecter en toute discrétion des renseignements depuis près d’une décennie, » explique à DataSecurityBreach.fr Viorel Canja, Directeur des Laboratoires antimalwares et antispam de Bitdefender. « Nous avons concentré notre recherche sur les particularités de l’infrastructure et des opérations d’APT28, ce qui nous a permis de faire le lien entre la menace et ses opérateurs et d’offrir une vue d’ensemble sur son fonctionnement et ses cibles de prédilection. »

Cybersécurité, Entreprise, Fraude au président, Fuite de données, Mise à jour, Social engineering

La signature de vos mails, porte d’accès pour pirate

Quoi de plus anodin qu’une signature dans un courrier électronique. Prenez garde, elle peut révéler beaucoup d’informations au premier pirate qui passe. DataSecurityBreach vous propose un mode d’emploi contre la collecte d’information via votre répondeur.

Dans le piratage informatique, la collecte d’informations sur la cible est primordiale. Avant d’attaquer un ordinateur, le pro de la malveillance informatique doit tout savoir sur l’humain et son environnement. Connaitre sur le bout des doigts la vie de l’objectif. Parmi les « espaces » de travail de l’espion : les poubelles (on se retrouve au FIC 2016 lors du challenge CDAISI, NDR) ; les bureaux ; les pages communautaires (Facebook, …) ainsi que les mails, les signatures et, surtout, le répondeur qui annonce votre absence.

Les réponses automatiques, l’ami de vos ennemis
Aussi bête que cela puisse paraître, j’ai pu constater depuis des années que les messages automatiques des répondeurs de nos boites mails étaient capables de fournir des informations sensibles, stratégiques pour celui qui sait les lires. Comme l’explique le site Internet dédié aux Professionnels de l’opérateur Orange « Au moment de paramétrer votre message d’absence pensez à faire figurer quelques informations comme » et l’entité historique des télécoms Français d’égrainer les données à fournir dans le message automatique : La durée de votre absence ; les coordonnées d’une personne à contacter en cas d’urgence... »

Aujourd’hui, ces informations ne sont plus à mettre. Imposez à votre direction une adresse électronique générique à mettre en place durant les absences. Paul.Abuba@Federalbank.gov.us n’est plus pensable dans un répondeur. Absence@Federalbank.gov ou informatique@Federalbank.gov (si vous officiez dans ce service, NDR) semble plus logique. Il ne faut plus communiquer la durée de l’absence, et encore moins l’identité de la personne à contacter en cas d’absence.

Social Engineering automatisé

Votre répondeur ne doit plus ressembler au message ci-dessus, mais à celui proposé ci-dessous. Un message qui aura pour mission de préserver les intérêts de votre entreprise et de votre vie numérique. De bloquer les tentatives de fraudes, de type Fraude au président par exemple. Il est aujourd’hui impératif d’éviter toute personnalisation. Un malveillant possédant l’identité de vos proches collaborateurs, d’un numéro de téléphone direct et de la date de votre absence à suffisamment de données pour piéger votre entreprise.

backdoor, Cybersécurité, Facebook, ID, Identité numérique, Mise à jour, Particuliers, Patch

Addiction : Facebook a testé une application secrète

Facebook a testé, en secret, une application Android dédiée à l’addiction de ses utilisateurs au réseau social.

Facebook a mené des tests secrets pour déterminer l’ampleur de la dépendance de ses utilisateurs sous Android. Comme des mannequins dédiés aux crashs tests automobiles, les utilisateurs de l’application Facebook pour Android étaient sous la surveillance du géant américain sans avoir été informés des tests.

Des « analyses » menées de manière à ce que Facebook fût capable de déterminer le niveau d’addiction de l’utilisateur de la dite application. Facebook voulait savoir si l’internaute venait via un navigateur, via Google Play. Bref, du marketing au parfum « Big brother ». Avec un milliard d’utilisateurs Android, il y a une forte motivation pour Facebook de tester ce genre de chose. La société de Mark Zuckerberg aurait aussi testé cette méthode pour sa propre boutique (app store).

Cybersécurité, Emploi, Entreprise, ID, Identité numérique, Mise à jour, Particuliers, Propriété Industrielle, Social engineering

Première solution de sécurité pour Instagram

La société Proofpoint, spécialiste dans la cybersécurité nouvelle génération, a annoncé ce mercredi 06 janvier 2015 le lancement de la première solution qui identifie automatiquement les menaces de sécurité, violations de conformité et publications inappropriées sur Instagram.

Baptisée Proofpoint SocialPatrol, l’outil permet d’exécuter une analyse avancée des images et du texte, lui-même incorporé ou non dans une image. Les marques et les organisations soucieuses des questions de conformité peuvent ainsi surveiller et supprimer les publications et commentaires inappropriés.

 « La solution Proofpoint SocialPatrol nous a permis de lutter contre une grande quantité de spams et de commentaires inappropriés sur nos comptes Instagram », a déclaré Jeff Hagen à DataSecurityBreach.fr, directeur du service de relation clientèle internationale chez General Mills. « Sans cette technologie, nous aurions dû procéder à un renforcement coûteux de nos processus de modération manuelle, ou prendre le risque de perdre des abonnés. »

SocialPatrol analyse l’ensemble des images, légendes et commentaires publiés sur les comptes Instagram des marques ou entreprises. L’objectif est de détecter le contenu à caractère pornographique, malveillant ou inapproprié et d’en informer les propriétaires du compte. Ces derniers peuvent alors supprimer ces éléments indésirables, généralement publiés par des cybercriminels, spammeurs ou employés malhonnêtes.

Quatre-vingt-cinq pour cent des grandes marques communiquent avec leurs clients via Instagram. Ce réseau comptant plus de 400 millions d’utilisateurs actifs chaque mois, les entreprises doivent se prémunir des risques inhérents à son usage.

 Les solutions de conformité basées exclusivement sur le texte et les mots clés ne prennent pas en compte le contenu des images, et entraînent de trop nombreuses fausses détections. Proofpoint SocialPatrol analyse le texte et les images, puis les compare à plus d’une centaine de classificateurs. Les entreprises sont ainsi en mesure de protéger leurs marques, en identifiant rapidement les publications et commentaires malveillants, inappropriés ou non conformes. La solution Proofpoint SocialPatrol peut être complétée par Proofpoint SocialDiscover™, qui permet de détecter, de suivre et de vérifier le compte Instagram des marques.

La suite de solutions Proofpoint dédiée aux réseaux sociaux permet également aux entreprises de protéger leurs comptes Facebook, Twitter, LinkedIn, Google+ et YouTube, notamment. Les plus grandes marques utilisent cette technologie en attente de brevet pour signaler les comptes frauduleux, empêcher tout discrédit dû aux cybercriminels, supprimer le contenu malveillant ou inapproprié, stopper les flux de publication non autorisés et veiller au respect des règles de conformité.

Argent, Chiffrement, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données, ID, Identité numérique, Mise à jour, Paiement en ligne, Particuliers, Vie privée

Attention à la sécurité des sites pendant les soldes !

Un commentaire

Les soldes d’hiver démarrent demain, avec leur cortège de bonnes affaires. Les achats sur Internet sont dans ce domaine de plus en plus en vogue. Mais si les soldes offrent de belles opportunités, elles peuvent aussi mettre les utilisateurs à la merci des pirates si la sécurité des sites marchands n’est pas assez forte. Afin d’y voir plus clair et de guider les internautes sur les sites les mieux sécurisés, Dashlane publie son 3ème Baromètre de Sécurité.

Le spécialiste de la gestion des mots de passe et de l’identité en ligne, ont analysé la manière dont les sites d’e-commerce gèrent la sécurité des mots de passe. Les sites sont évalués via une liste de critères (longueur minimale du mot de passe, obligation d’utiliser un mot de passe alphanumérique, nombre de tentatives de connexion successives possibles…). Une note est alors associée à chaque critère et le total permet d’attribuer au site un score de sécurité compris entre -100 et 100.

On ne le répétera jamais assez. Pour les consommateurs, il est indispensable d’utiliser des mots de passe forts, composés d’au moins 8 caractères, générés aléatoirement et incluant des chiffres et des lettres. Les mots de passe doivent être différents pour chaque site. Ce sont les conditions pour dissuader les pirates. Les sites d’e-commerce ont pour responsabilité d’encourager leurs clients à suivre ces bonnes pratiques.

Un constat alarmant
Sur les 25 sites analysés, 52% ont encore un score négatif et n’imposent pas à leurs visiteurs l’usage d’un mot de passe alphanumérique (mélangeant chiffres et lettres), 52% autorisent au moins 10 tentatives de connexion successives, et 36% acceptent des mots de passe faibles comme « motdepasse », « azerty », « 123456 », qui sont aujourd’hui les plus utilisés et donc les plus facile à pirater.

On est toujours surpris de retrouver des leaders de l’e-commerce français tels que Amazon France, Rueducommerce ou Aramis Auto parmi les plus mauvais élèves. Il est aussi assez stupéfiant de constater qu’une grande marque comme Castorama envoie encore à l’utilisateur son mot de passe en clair par email lors de la création de son compte. Un pirate qui accèderait à sa boîte email pourrait ainsi se connecter à son compte en quelques secondes.

Néanmoins, tous les sites n’ont pas les mêmes pratiques. Les premiers de la classe sont des grandes marques de référence, comme Apple (qui conserve le score maximum de 100!), Auchan, Alloresto, Carrefour ou Price Minister.

Si pour certains, la protection des données des consommateurs est une priorité qui ne se discute pas, certains sites semblent privilégier la facilité, l’assurance que les contraintes de sécurité imposées ne nuiront pas à la « transformation » du prospect en client…

La prise de conscience est en cours
Même si la liste des sites analysés et la méthode ont légèrement évolués depuis le précédent Baromètre de Sécurité Dashlane, la comparaison entre les baromètres 2014 et 2015 est toutefois riche d’enseignements. On remarque ainsi que certains sites ont pris conscience de la nécessité de renforcer la protection des données de leurs utilisateurs. Alloresto, Vente Privée, Cdiscount et Show Room Privé exigent maintenant des mots de passe de 8 caractères minimum, avec lettres et chiffres obligatoires, alors qu’ils acceptaient auparavant des mots de passe faibles. Brandalley ou Oscaro ont aussi cessé d’adresser aux utilisateurs leur mot de passe en clair par email et c’est une très bonne nouvelle !

Cybersécurité, Hacking, Mise à jour, Patch, Rendez-Vous

Une application contre Donald Trump

Le présidentiable extrémiste Donald Trump doit faire face à une application sous Chrome qui le banni du navigateur de Google.

Vous n’aimez pas Donald Trump ? Vous n’aimez pas les propos haineux, racistes de ce candidat à la présidentielle américaine ? Un informaticien vient de sortir une application, baptisée TrumpFilter qui bannit la moindre information liée à Donald Trump. Soyons honnête, ça ne fera pas baisser les sondages de ce bateleur populiste.

Le filtre « Trump », développé par Rob Spectre, bloque les sites Web couvrant les actualités dédiées à Trump. Il faut dire aussi que Trump, dans les média, c’est un peu le FN en France, ça fait vendre du papier et des pages vues sur la toile.

Selon Spectre, bloquer la couverture médiatique de Donald Trump, qui paient des millions de dollars pour s’afficher partout, c’est permettre « aux citoyens concernés de réellement se concentrer sur d’autres candidats. » Bref, en apprendre davantage sur les questions politiques, économiques, sociétales des Etats-Unis d’Amérique. Un filtre Hillary Clinton serait en cours de réflexion, la politique étant en seconde position des informations liées aux présidentielles américaines.

Adobe, Apple, Cybersécurité, Firefox, IBM, iOS, Joomla, Linux, Linux, Logiciels, Microsoft, Mise à jour, Patch

L’OS d’Apple, le logiciel le plus vulnérable aux pirates en 2015

Les temps changent ! Apple OS X aurait été l’environnement informatique le le plus vulnérable en 2015, selon le CVE.

Le CVE détails est la référence dédiée aux alertes liées aux vulnérabilités visant les logiciels que nous utilisons. Les données CVE sont collectées à partir du National Vulnerability Database (NVD), projet par l’institut National des Standards et de la Technologie. D’autres sources telles que les éditeurs eux-mêmes, ou encore Exploit DB, viennent peaufiner les bulletins d’informations.

Comme chaque année, CVE propose son top 50. Cette année, 6 412 vulnérabilités ont été annoncées par CVE. DataSecurityBreach.fr a remarqué qu’il y avait eu 1 534 failles de moins qu’en 2014. Une année qui avait été la plus chargée en alertes, avec 7 946 cas.

En 2015, le grand vainqueur en a étonné plus d’un : l’OS d’Apple avec 384 vulnérabilités. Windows 10 se placent en 35ème position avec 53 alertes. Alors que nous aurions pu penser que Flash caracolerait en tête, le format media d’Adobe ne s’est contenté « que » de 314 alertes. De son côté, Android affiche, à la 20ème place, 130 failles. Internet Explorer 231 failles. Chrome, 187 et Firefox, 178.

Base de données, Cybersécurité, Entreprise, ID, Identité numérique, Justice, loi, Mise à jour, Particuliers

Google en sait plus sur les enfants que leurs propres parents

De plus en plus d’écoles publiques utilisent les outils gratuits de Google. Bilan, le géant américain de l’Internet en sait plus sur les enfants que les parents d’élèves.

L’inquiétude monte chez certains parents d’élèves américains. Mais soyons honnêtes, il est trop tard. Dans de nombreuses écoles publiques à travers le pays, Google est devenu, techniquement, un collecteur de données légitime, un « school official » pour la loi US. Il faut dire aussi que l’attrait des enseignants à exploiter les suites gratuites de logiciels Google se fait de plus en plus grand.

Logiciels comme Picasa et autres ordinateurs bon marché dont l’OS tourne sous Chrome. La domination croissante de la société suscite de graves inquiétudes chez certains défenseurs de la vie privée qui prétendent que Google utilise des données sur les étudiants pour son propre bénéfice.

La loi américaine exige que les écoles obtiennent le consentement écrit des parents avant de partager des informations personnelles sur les enfants. Mais il y a une exception qui a de quoi inquiéter, aux USA, mais aussi en France et partout dans le monde. Le partage des données avec un « school official » est autorisé aux USA à la condition ou ce dernier a un « intérêt éducatif légitime« . Seulement, le Ministère de l’Éducation a interprété et a modifié la loi au cours des dernières années de manière à permettre maintenant à presque tout individu ou organisation, qui indique proposer une « fonction éducative« , de devenir un « school official« . Bilan, Google et ses outils s’invitent dans les établissements et engrangent des milliards de données sur les élèves et leurs « comportements » numériques sans que les établissements, ni les parents, ne puissent contrôler les informations sauvegardées. De son côté, Google rappelle qu’il est fermement engagé à protéger et sécuriser la vie privée des élèves. (WP)