Archives de catégorie : Mise à jour

Sécuriser les sites web, quelque soit le niveau du propriétaire

Un informaticien Français lance le défit d’un système capable de sécuriser les sites web, quelque soit le niveau du propriétaire, face aux malveillances numériques.

Flavien Normand, a 22 ans. Développeur, il a une dizaine de langage de programmation à son actif. Cet étudiant a commencé le développement informatique à l’âge de 15 ans, d’abord sur des émulateurs de jeu en ligne développés en Java. Trois ans plus tard, après avoir été la cible d’une tentative de fraude via un site de vente en ligne, il va se pencher sur la sécurité informatique. White Hat dans l’âme, il a très vite compris que ce n’est pas parce qu’on sait fracturer une serrure que l’on va le faire pour son propre intérêt.

Son premier projet, Whys, a été réalisé en solo au cours de ses premières années d’études à Nantes, au sein de l’IMIE. Un scanner de vulnérabilité qui regroupe plusieurs outils afin de trouver les failles sur son propre site et les corriger soi même. A noter que le code source de Whys est disponible, en open source. Bilan, ce premier essai dans la sécurité informatique l’a motivé à lancer un nouveau projet autour d’un outil de sécurité informatique qui pourra protéger les sites Internet, quelque soit le niveau du propriétaire. DataSecurityBreach a rencontré l’inventeur, interview !

DataSecurityBreach – Présentation du projet
Flavien Normand – Aujourd’hui, de plus en plus de sites web sont attaqués par deface « à l’aveugle », en utilisant des DORKS ou autre outil, les hackers attaquent des sites en trouvant directement un élément faillible dans celui-ci, et exploitent cette faille avec un script afin d’installer sur le serveur distant une pharmacie illégale, un phishing, un deface pour représenter une cause qu’ils veulent défendre ou bien simplement un ver pour utiliser la machine plus tard.

Les cibles les plus touchées dans ce type d’attaque sont les TPE, les PME et les blogs car elles n’ont pas les moyens de maintenir la sécurité sur leur site web, ou n’y allouent pas assez de temps/budget pour la plus grande partie, et les solutions de maintenance informatique disponibles aujourd’hui sont très chères. On retrouve souvent des arguments comme « mais personne ne va nous attaquer, on ne fait que…. » le soucis, c’est que personne n’a besoin de vous attaquer pour vous voler des données, mais ils peuvent simplement vous attaquer pour le « fun » ou pour préparer un DDoS en utilisant votre serveur, ou encore pour installer un phishing, etc. Vous avez sûrement déjà pu voir beaucoup d’exemples.

Le projet, pour l’instant baptisé Flawless, est présent pour résoudre ce soucis. Un scanner de vulnérabilité qui vous tiens au courant régulièrement de l’état de sécurité de votre application web, et vous averti en cas de faille, avec un service disponible pour fixer les failles trouvées.

DataSecurityBreach – Le principe de votre outil ?
Flavien Normand – Le concept du projet est simple: Sécuriser les sites web, quelque soit le niveau du propriétaire de celui-ci.

Le projet est donc un scanner de sécurité automatisé, vous inscrivez votre site, confirmez que vous êtes bien le propriétaire, puis vous réglez la fréquence des scans et leur horaire (vous pouvez par exemple demander 1 scan par semaine, le mardi à 4h du matin pour éviter tout soucis au niveau des tests les plus stressants). Une fois le scan terminé, vous recevez un email de synthèse du résultat vous expliquant si il y a des failles, avec les informations que nous avons trouvé dessus.

Si vous savez corriger la faille, ou que vous avez du personnel compétent pour trouver un fix à celle-ci, vous pouvez la fixer de votre coté, la mettre en production et demander un scan hors prévision pour vérifier que la faille est bel et bien fixée ou simplement attendre le prochain scan planifié.

Si vous ne savez pas corriger la faille, vous pouvez demander une prestation au près de notre équipe, qui se fera un plaisir de corriger et sécuriser votre application web.

DataSecurityBreach – Important de protéger les bloggueurs ?
Flavien Normand – Oui, il est important de protéger les blogueurs car ce sont les plus vulnérables. Aujourd’hui, n’importe qui peut se créer un blog sur son serveur mutualisé, il télécharge wordpress sur le site officiel, ou demande même directement un site avec wordpress installé (certains hébergeur font ça). Il installe les plugins et thèmes dont il a besoin, et ce sans connaître le développement web, pas besoin car les CMS sont présents pour cela.

6 mois plus tard, on retrouve notre petit blogueur, qui a une petite communauté sur son blog et aime partager ses articles quotidiens sur ses sujets favoris. Sauf que son fournisseur d’accès le contacte et lui bloque son site car celui-ci émet un nombre trop important de requêtes sortantes d’un coup. Il se demande ce qu’il se passe, et est bloqué car son blog est hacké, et il ne sait absolument pas comment corriger cela.

Mieux vaut prévenir que guérir ! Ce vieil adage est adapté pour le cas de la sécurité informatique, et dans notre exemple avec Mr blogueur, encore plus. En effet, flawless étant présent pour surveiller la présence de failles sur le site donné, il aurait pu prévenir notre blogueur de la faille, et simplement lui dire que son plugin d’envoi d’images était faillible, et qu’il fallait soit le mettre à jour, soit en choisir un autre (suivant les informations recueillies).

DataSecurityBreach – L’automatisation de la sécurité informatique, pas dangereux ?
Flavien Normand – J’entends par cela le fait que l’internaute se sent rassuré, donc ne met plus les mains dans son code.

Le but de l’outil n’est pas de corriger les failles à votre place, mais de les signaler. Si vous souhaitez par la suite une prestation pour fixer les failles en question, c’est un humain qui sera chargé de la tâche si celle-ci est spécifique, sinon un script sera mis à votre disposition et vous aurez simplement à le lancer, et le script, une fois terminé, se supprimera lui même, afin d’éviter toute fausse manipulation.

DataSecurityBreach – Cela vise quelle plateforme ?
Flavien Normand – L’application sera disponible sous forme d’un site web, avec une interface de gestion et un dashboard pour se tenir au courant des nouveautés, et de l’état général de son site en se basant sur les résultats des derniers scans.

DataSecurityBreach – Quel avenir pour votre projet ?
Flavien Normand – L’avenir du projet, c’est de devenir le pilier d’une startup, et de sécuriser un maximum de personnes en France et dans le monde, mais avant tout ceux qui en ont besoin et qui n’en ont pas forcément les ressources/le temps.

DataSecurityBreach – Et si votre outil est piraté ? La base de données des utilisateurs pourra permettre aux malveillants d’accéder à leurs failles ?
Flavien Normand – Avant tout, l’application est bien sûr sécurisée au maximum, mais comme il est essentiel de prévoir l’imprévu. Nos données sont donc stockées de manière à ce que même nos développeurs sont incapables de les lire, les seules entités capables de lire les données sont le serveur, et la personne qui aura développé le système de stockage (moi même).

PowerMemory, l’outil qui contre les faiblesses de Windows Active Directory

Un jeune Belge, aujourd’hui basé au Canada, a inventé PowerMemory, un outil qui a pour mission d’empêcher que Windows Active Directory diffuse vos identifiants de connexion aussi simplement qu’un clic de souris.

Pierre-Alexandre Braeken travaille dans l’ingénierie des systèmes depuis plus de 11 ans. Il est aujourd’hui architecte technologique. Cet informaticien  certifié MCITP SA, MCSA 2008/2012 ou encore MCSE 2012 a comme domaine de spécialité l’architecture des systèmes et les domaines d’entreprise Active Directory. A noter qu’il est open cfp pour la conférence infiltrate de Miami. Il a développé une expertise particulière autour de la sécurité de ces systèmes et développe des outils pour prouver les idées qu’il avance. J’ai rencontré l’auteur de PowerMemory lors du HackFest Canada 2015, l’outil qui a pour mission d’empêcher que Windows Active Directory diffuse vos identifiants de connexion. Interview !

DataSecurityBreach. Qu’est ce que PowerMemory ?  

Pierre-Alexandre Braeken. PowerMemory est un outil utilisé dans des audits de sécurité de domaine Windows Active Directory. PowerMemory permet de vérifier les faiblesses de ces domaines pour les corriger. Une de ses fonctionnalités phares est la révélation des mots de passe Windows directement depuis la mémoire. Son fonctionnement est totalement nouveau puisqu’il est indépendant de l’architecture ciblé et qu’il ne fait pas appels aux fonctions de Windows pour trouver les mots de passe et pour les déchiffrer. De plus il utilise le langage de script PowerShell qui fait partie intégrante du noyau de base depuis Windows 7. [Lire l’interview du chercheur enseignant Français Jérôme Ridet au sujet de la faille PowerShell capable de faire tomber la sécurité d’un système en 5 secondes]

DataSecurityBreach. Type de failles ?

Pierre-Alexandre Braeken. PowerMemory démontre à quel point il est désormais simple de récupérer les mots de passe de n’importe quel système Windows. Il peut récupérer les mots de passe stockés dans la mémoire locale d’un système, mais également à distance. La faille met en évidence que PowerMemory est capable de révéler des mots de passe sans être administrateur d’une machine. En effet, il peut révéler les mots de passe de machine virtuelle depuis le crash d’une machine (Blue Screen Of Death = BSOD) mais également à partir d’un snapshot de machine virtuelle. Ce qui veut dire qu’un simple opérateur d’un environnement virtualisé pourrait avoir plus de droit que l’administrateur même du domaine.

Ce type de faille pourrait mener à des scénarios d’attaque d’un domaine qui permettrait à une personne mal intentionnée, depuis l’extérieur, de récupérer d’abord des accès de plus faible niveau pour ensuite remonter toute la hiérarchie des systèmes et atteindre en bout de course le Saint-Graal représenté par un contrôleur de domaine. Dès ce moment, tout le système d’entreprise s’effondre en termes de sécurité et le réseau entier n’appartient plus aux administrateurs de l’entreprise mais bien au pirate informatique.

DataSecurityBreach. Comment est-ce possible qu’une telle possibilité n’ait pas été « pensée » par Microsoft ?  
Pierre-Alexandre Braeken. J’ai prévenu Microsoft du résultat de mes recherches. Ils ne considèrent pas ceci comme une faille de sécurité. Néanmoins, quelques jours après le report complet de mes travaux, l’outil RWMC (qui révèle les mots de passe) faisant partie de la suite d’audit PowerMemory a été catégorisé officiellement par Microsoft comme un « hacktool » de niveau d’alerte « medium ».

Le problème pour Microsoft est que la façon dont ils ont conçu leur système les empêche de donner une solution applicable pour les entreprises pour tous les systèmes d’exploitation jusqu’à windows 2012R2 compris. Pour Windows 10 (seulement dans sa version professionnelle) et 2016, les choses changent puisque Microsoft a créé un nouveau système pour protéger les mots de passe stockés en mémoire. On parle de Trustlets tournant dans un environnement isolé. Pourquoi Microsoft ne protège pas ses clients tournant sur des systèmes d’exploitation non supporté ? Je pense que ceci demande des changements si majeurs au système de fonctionnement du noyau que Microsoft n’est pas prêt à apporter de changements sur des systèmes qui risquent encore d’être présent dans 15 ans…

DataSecurityBreach. Comment s’en protéger ? 

Pierre-Alexandre Braeken. Il est nécessaire d’adopter de bonnes pratiques en matière de gestion de parc informatique. Le sujet est vaste et il n’est pas évident de se protéger de ce genre d’attaque. Des gens comme Sean Metcalf (Master Active Directory, moins de 100 dans le monde) abordent le sujet de façon régulière (dont Black Hat 2015). J’ai également rédigé plusieurs documents que je compte bientôt publier sur mon blog.  J’ai également créé l’outil PowerMemory dans le but de faciliter le travail de la sécurité. L’objectif est de détecter les failles afin d’apporter des solutions qu’une entreprise peut mettre en place.  De plus, j’ai également développé un outil qui détecte la méthode utilisée par PowerMemory pour révéler des mots de passe.

DataSecurityBreach. Vous présentez votre solution aux entreprises, comment réagissent-elles ?
Pierre-Alexandre Braeken. Elles ont d’abord beaucoup de mal à comprendre les implications. En effet, les enjeux sont extrêmement importants et les réactions en conséquence. Les mots ahurissant et impressionnant ressortent souvent.  Même avec l’évidence, il est difficile pour les grandes entreprises de modifier leurs processus afin de se protéger de ce genre d’attaque.  Mon rôle consiste à les avertir et à les aider à trouver des solutions pour se protéger sans pour cela casser son modèle.

Un logiciel pour prédire le CVV de sa prochaine carte bancaire

Imaginez ! Vous avez une carte bancaire et vous êtes capables de prédire le code de sécurité (CVV) qui vous sera alloué au changement de votre prochain CB.

Quand vous possédez une carte bancaire, vous êtes en possession du plastique, de la puce, de la bande magnétique, des 16 chiffres de votre CB, de sa date de validité et du CVV, le code de sécurité de 3 à 4 chiffres inscrits au dos de votre carte bancaire. CVV baptisé aussi cryptogramme visuel de validation.

Ce Card Verification Value change, comme la date de validité de la CB, à chaque fois que vous recevez une nouvelle carte bancaire. Le chercheur bidouilleur Samy Kamkar vient de trouver un sacré bug dans le CVV des cartes American Express. Chez AE, on appelle cette sécurité le Card Identification Number. Même principe, 4 chiffres des informations d’usages. Samy Kamkar a trouvé le moyen de générer le CIN qui vous allez recevoir avec votre prochaine carte, celle que vous n’avez pas encore.

Le plus inquiétant, il a été capable de payer avec son moyen de paiement du moment et les 4 chiffres qui ne sont pas censés être en sa possession. Sa méthode a été simple. Il a d’abord demandé à ses amis de lui fournir leur CIN. Avec une formule mathématique de son cru, il a pu créer les prochains codes de sécurité et … la nouvelle date de validité attenante. A partir de sa découverte, il a créé une un petit boitier qui lui a coûté 10 $. MagSpoof, le nom de son invention, permet de simuler n’importe quelle bande magnétique de cartes bancaires et de connaitre les futures informations d’identification de la CB.

Mon petit doigt me fait dire que l’attaque semble être connue de petits coquins du black market des Pays de l’Est. Comme le souligne Korben, il va être intéressant de savoir si cette « technique » fonctionne pour les autres cartes. Samy Kamkar propose sa découverte sur GitHub.

Kroll Ontrack présente le top 10 des pertes de données les plus insolites de l’année 2015

Kroll Ontrack, le spécialiste de la récupération de données et de la de la recherche d’informations et de preuves informatiques, vient de sortir son marronnier de Noël : les 10 pertes de données les plus insolites de l’année 2015. Une idée amusante qui permet de se rendre compte que « paumer » des informations numériques n’arrive pas qu’aux autres.

Peu importe la situation, que l’appareil ait été écrasé, brûlé, plongé dans l’eau, projeté contre un mur ou qu’il soit simplement tombé par terre, il existe toujours un espoir de récupérer des données que l’on pense perdues. Chez Kroll Ontrack on affirme être capable de récupérer des informations dans les pires des conditions. « Nous disposons de services et de logiciels propriétaires de récupération de données qui nous permettent de retrouver les précieuses données de nos clients et partenaires. » souligne à Data Security Breach Kroll Ontrack.

N° 10 : Les joies de l’été (Allemagne)
Le responsable informatique d’une petite entreprise en plein travaux de rénovation, y compris dans la salle serveur, constate un vendredi que les bâches en plastique servant à protéger cette salle n’empêchent pas la poussière de pénétrer à l’intérieur. Il décide alors de déplacer le serveur dans une autre pièce pour l’éloigner des travaux le temps du week-end. Le lundi matin au retour d’un week-end très chaud et ensoleillé, il s’aperçoit que ses collègues n’arrivent pas à se connecter. Il comprend rapidement qu’un de ses collègues avait éteint la climatisation de la pièce où il avait déplacé le serveur, qui avait considérablement surchauffé. Kroll Ontrack a pu récupérer 99 % des données.

N° 9 : PC vintage (Pologne)
Un client continue à utiliser son Amiga 600 (introduit sur le marché en 1992 !) quand un beau jour il cesse (finalement !) de fonctionner. Nul accident, nulle erreur humaine, simplement un vieil appareil arrivé en fin de vie. Son Amiga 600 était bien plus qu’une simple machine : c’était surtout un cadeau d’enfance rempli de souvenirs.

N° 8 : malchance professionnelle (Norvège)
Un particulier, victime d’une perte de données s’adresse à une entreprise locale de dépannage informatique. En pleine copie des données sur une sauvegarde pendant la nuit, processus qui peut prendre plusieurs heures, la femme de ménage de l’entreprise fait tomber accidentellement le disque par terre. Immédiatement, celui-ci émet un cliquetis très bruyant. L’entreprise de dépannage informatique ne prend pas de risque et envoie le disque. 98,8 % des données ont été récupérées en salle blanche.

N° 7 : Déjà vu (Pologne)
Un serveur RAID comportant 22 disques qui a déjà fait l’objet d’une récupération suite à une première perte de données. Le client a réutilisé les « bons » disques, remplacé les disques défectueux et a continué à utiliser le serveur. Le client n’a pas tiré de leçon de sa première perte de données : il n’avait pas mis en place de solution de sauvegarde, le serveur était tombé de nouveau en panne (et les disques ont dû de nouveau être envoyés en vue de récupérer les données). Moralité : ne jamais réutiliser un système défaillant sans mettre en place les protections nécessaires !

N° 6 : Données dissoutes (Pologne)
« J’ai renversé du solvant sur mon ordinateur portable. Je suis en route pour vos bureaux », annonce une voix au téléphone. Nous apprenons vite ce qu’il s’est passé : alors qu’il préparait une couleur de peinture personnalisée pour son épouse, ce qui nécessitait de mélanger différentes peintures avec du solvant pour obtenir la teinte souhaitée, notre client a renversé accidentellement le pot ouvert de solvant sur un ordinateur portable qui se trouvait par terre, utilisé pour diffuser de la musique. Une triste fin pour l’ordinateur, mais heureusement pas pour les données qui ont toutes été sauvées.

N° 5 : Coup de sang (États-Unis)
Passablement énervée, une cliente s’empare de son ordinateur portable et le jette de toutes ses forces contre un mur. Le disque rebondit contre le mur et tombe par terre. Malgré un lancer de 3 mètres, le choc contre le mur et la chute au sol, toutes les données ont été récupérées !

N° 4 : Un jardinage qui tourne mal (Royaume-Uni)
Un client est en train de tondre sa pelouse quand son smartphone tombe par mégarde par terre. Il s’en aperçoit trop tard après que la tondeuse soit passée dessus, broyant complètement l’appareil. Quelques minutes et un téléphone détruit plus tard, il contacte l’entreprise pour savoir s’il peut récupérer ses données.

N° 3 : iPad en vadrouille (Royaume-Uni)
Un client laisse tomber son iPad par la fenêtre d’un train en pleine campagne. Bien que miraculeusement retrouvé, l’iPad est gravement endommagé et l’accès aux données s’en trouve compromis. L’écran tactile est détruit, si bien que l’iPad ne répond plus au toucher, tandis que la seconde couche d’écran, composée du LCD (qui affiche le contenu), le châssis, la batterie et le connecteur Lightning sont tous endommagés. Les composants électroniques sont également endommagés, au point que l’iPad redémarre toutes les deux minutes, ne laissant à l’ingénieur que quelques secondes pour effectuer la récupération entre les redémarrages. Malgré ces obstacles, les experts découvrent que la carte mère est plutôt en bon état et 100 % des données sont récupérées !

N° 2 : iPhone embelli (Italie)
Alors qu’elle est en train de se démaquiller à la fin de la journée, une cliente renverse sa lotion nettoyante qui se répand sur son iPhone. Impossible alors de démarrer le téléphone. Elle contacte la société en stipulant que la lotion répandue par inadvertance est d’une marque très connue !

N° 1 : Feu + eau = solution ou problème ? (Royaume-Uni)
Quand votre ordinateur portable abritant toutes vos données se trouve dans votre appartement (sans avoir de sauvegarde) au moment d’un début d’incendie dans votre immeuble qui déclenche les extincteurs, on peut dire que ce n’est pas votre jour de chance ! Même dans ces conditions où le média a subi de lourds dégâts dus au feu et à l’eau, les techniciens réussissent à récupérer 100 % des données.

Obligation de notification en cas de fuite de données

Les entreprises des Pays-Bas vont être obligées de notifier leurs clients en cas de fuite de données dès janvier 2016.

Alors que la France est toujours en attente d’une vraie obligation de protéger les utilisateurs d’Internet face à une fuite de données visant les entreprises hexagonales, les sociétés Néerlandaises vont être obligées d’alerter leurs clients en cas de piratage de leurs bases de données.

Les entreprises néerlandaises vont devoir, dès janvier 2016, alerter la CNIL locale, la DPA, et les personnes ciblées par une fuite de leurs données personnelles en cas de piratage, backup oublié, perte d’un ordinateur… L’absence de notification pourra conduire à des amendes allant jusqu’à 500 000 €.

Toutes les entreprises locales, ou étrangères, ayant des serveurs au Pays-Bas, sont concernées par cette loi. Bilan, si un hébergeur Français, Suisse, Belge, Américain… se fait pirater sur le sol Néerlandais, il aura obligation d’en informer les autorités.

En Europe

Depuis le 25 août 2013, le règlement européen n° 611/2013 met en place une procédure d’information en cas de piratage de données d’un opérateur de services de télécommunications ou d’un fournisseur de services internet permettant à un tiers d’accéder à des données à caractère personnel (nom, adresse ou coordonnées bancaires par exemple).

Cette procédure comprend 3 obligations à la charge du professionnel :

  • La notification des faits auprès de la Commission nationale informatique et libertés (CNIL) dans un délai de 24 heures après leur constatation (avec un document normalisé et identique pour tous les membres de l’Union européenne),
  • La fourniture d’une description des données concernées et des mesures déjà prises ou qui seront prises,
  • Une évaluation de la nécessité d’informer ou non les abonnés, en fonction du type de données ayant fait l’objet d’une violation.

i-Guard, une solution Française de sécurité informatique

i-Guard s’annonce comme une solution innovante de protection de votre informatique fondée sur la nouvelle technologie Endpoint Detection and Response.

Pas un jour sans attaque et ce quelle que soit la taille de l’entreprise ou l’administration. La grande mutation des réseaux d’entreprise en termes d’accessibilité aux informations de ses utilisateurs salariés rend nécessaire la multiplication des points à partir desquelles les réseaux peuvent être consultés. Or, il s’agit d’autant de points d’accès potentiels pour un intrus malveillant. Les données sont partout, sur de multiples supports et toutes les machines doivent être protégées, qu’elles soient connectées au réseau d’entreprise ou non.

Les nouvelles menaces notamment les attaques personnalisées et ultra ciblées de logiciels malveillants sont conçues pour contourner les solutions antivirus traditionnelles. Ces dernières sont peu efficaces contre les pirates et autres hackers. Leur fonctionnement par signatures oblige à des mises à jour régulières qui sont autant de failles avouées.

Dans ce contexte, la détection précoce des menaces grâce à de nouveaux outils est devenue une composante essentielle de la sécurité des données et du réseau informatique de l’entreprise. En détectant, en analysant et en neutralisant les menaces avant qu’elles n’aient atteint leurs objectifs, i-Guard offre la solution la plus avancée aux problématiques de sécurité informatique actuelle. Une solution qui sera proposée, dans quelques jours, en mode bêta publique.

La solution i-Guard ?
i-Guard constitue, une solution unique sur le marché dont le moteur intelligent prend seul les décisions tout en laissant la possibilité à l’administrateur réseau ou au RSSI de modifier et d’améliorer la décision adoptée s’il l’estime nécessaire. Une console de management rend l’utilisation de i-Guard particulièrement simple.

i-Guard est la seule solution de sécurité Française Endpoint Detection and Response (ERD) multiplateforme et intelligente capable d’empêcher les menaces internes et externes de : bloquer, crypter, pirater et espionner votre réseau et vos PC. L’outil est auto-apprenant et n’a pas besoin d’un logiciel antivirus pour être fonctionnel. Il agit seul et apprend des comportements des logiciels en place.

Les capacités d’adaptation de ce logiciel 100% Français permettent également, grâce à son auto-apprentissage et à son intelligence artificielle, de faire évoluer, de façon autonome, les répliques aux menaces et de les adapter en fonction de la nature et de l’ampleur des attaques détectées. Une prévention proactive contre la perte de données (DLP), la gestion des événements de sécurité sur les machines, la protection contre les attaques « Zero-day » et la défense avancée contre les menaces (Advance Threat Defense – ATD).

i-Guard protégent tous les supports des serveurs, aux ordinateurs, ordinateurs portables, tablettes et smartphones (ordiphones). Une protection ultra fine machine par machine et une visibilité avancée de la sécurité via la console de managent permettant de détecter instantanément les menaces les plus avancées, bloquant la perte de données sensibles et le risque de destruction de données sur les machines.

i-Guard offre une console de management accessible simultanément depuis plusieurs machines : iPhone, tablette, smartphone, PC… Depuis la console de management, vous avez la possibilité de bloquer des applications malveillantes tant internes qu’externes à l’entreprise contre le cryptage, la copie, l’accès, ou la transmission de données sensibles. En outre, la technologie de sécurité extrême offre une visibilité sur une variété d’événements, y compris l’accès à l’activité des applications et du système d’exploitation.

L’installation et le fonctionnement de la solution i-Guard sont fort simples. Le logiciel recherche et identifie les machines sur le réseau. Il suffit ensuite, depuis la console d’administration, de procéder à une sélection des serveurs et terminaux à protéger. i-Guard va procéder à un profilage des logiciels installés et les valider ou non. Cette console fonctionne directement depuis un simple smartphone, tablette ou bien sûr un PC.

Deux modes de fonctionnement peuvent coexister sur le réseau en fonction des machines et du type de client. Le mode Normal et le mode Stricte.
– Le mode normal permet l’installation et la mise à jour de logiciels de confiance. L’administrateur réseau peut ajouter un logiciel en liste de confiance et i-Guard l’autorisera à s’exécuter, tout en le surveillant. Les logiciels non validés par i-Guard sont mis en liste noire et ne peuvent ni s’exécuter ni se mettre à jour. La seconde possibilité, le mode strict, bloque le/les postes dans l’état de sécurité qui a été établi par i-Guard et l’administrateur réseau. Il est ainsi impossible grâce à ce mode d’installer ou modifier une application, garantissant un très haut niveau de sécurité.

L’EDR définit une catégorie d’outils et de solutions qui mettent l’accent sur la détection d’activités suspectes directement sur les hôtes et les PC du réseau. L’ERD était initialement dénommée « Endpoint Threat Detection & Response » (EDTR).

D’ici quelques jours, une version béta stable sera proposée au public. Elle n’intègre pas encore toutes les fonctionnalités (notamment sur le déploiement en réseau et dans le support des OS). L’installation de i-Guard nécessite une double installation : la console de management et le client i-Guard. La console de management peut s’installer sur un PC du réseau (windows 10 seulement pour le moment) ou sur un iPhone/iPad. D’autres plateformes sont en développement. Dans cette bêta, depuis la console de management, il est possible de voir toute l’activité des machines protégées et interagir avec elles pour fixer le type de sécurité ou encore bloquer/débloquer des logiciels que i-Guard a stoppé.

Des ondes non audibles capables de lancer votre micro

Méfiez-vous des annonces publicitaires qui peuvent utiliser le son de vos enceintes pour permettre d’écouter votre téléphone, TV, tablette, et PC.

Supposez que votre navigateur Internet ouvre un site web avec une pub, et que celle-ci actionne par ondes acoustiques non-audibles le micro de votre smartphone. De la science-fiction ? Le Centre pour la démocratie et de la technologie (Center for Democracy and Technology) vient d’alerter la Commission Fédérale Américaine, la FTC, que cette possibilité était loin d’être à négliger.

Des entreprises (SilverPush, Drawbridge, Flurry) travaillent sur les moyens de suivre un utilisateur via les dispositifs informatiques qu’il utilise. Adobe développe également des technologies de suivi multi-appareils. A la vue du nombre de failles exploitées par les malveillantes dans les produits Adobe tels que Flash ou PDF, voilà qui a de quoi inquiéter.

La société Californienne SilverPush travaille sur des balises exploitant des ultrasons qu’un homme ne peut pas entendre. « SilverPush intègre également des signaux dans des publicités télévisées » confirme le document du CDT. L’idée de ce traçage, savoir quand le téléspectateur à vue la publicité. A-t-il zappé ? Est-il resté devant ? Cette idée semble être tirée de BadBIOS, un malware découvert par le chercheur Dragos Ruiu, qui utilise, lui aussi, les ultrasons dans ses basses besognes. (ArtTechnica)

Double authentification pour votre site web

Vous avez un site web ? En plus de votre mot de passe d’accès à votre espace d’administration utilisez la double authentification.

Après les modes d’emplois pour mettre en place la double authentification pour Youtube, gMail, Amazon, DropBox, Facebook, DataSecurityBreach.fr vous propose la même sécurité dédiée à votre site Internet. Ce mode d’emploi est à destination des utilisateurs de WordPress.

La validation en deux étapes contribue à protéger le compte d’un utilisateur contre les accès non autorisés au cas où un tiers parviendrait à obtenir son mot de passe. Même si une personne malveillante parvient à décrypter, deviner ou dérober un mot de passe, elle ne peut se connecter si elle ne dispose pas des informations de validation supplémentaires de l’utilisateur. Ces dernières se présentent sous la forme de codes que seul l’utilisateur peut obtenir via son mobile ou via une signature chiffrée contenue dans une clé de sécurité.

Mode d’emploi double authentification WordPress

Commençons par la base, télécharger l’application qu’il faudra installer dans votre smartphone. Plusieurs choix possibles : Google Authenticator ; Authy ; encore FreeOTP ou encore Duo Mobile Authentication. Ensuite, installer sur votre site Internet l’application dédiée. Une fois c’est deux actions réalisées, direction l’espace « utilisateurs » de votre espace web. Sélectionnez votre identité. Dans cette partie, apparait un espace baptisé « Code secret ».

Cliquez, soit sur « créer nouveau code secret » ou « Montrer le QR Code« . Il vous suffit de lancer l’application mobile. Ensuite, sélectionner le menu, en haut à droite du logiciel. De choisir « configurer un compte« . Plusieurs choix : de viser le QR Code avec votre ordiphone (le plus simple). Rentrer le code secret, la clé fournie, généré par l’application dans votre site web. Dorénavant, une seconde entrée de mot de passe apparaît dans votre ouverture d’administration. Il suffira d’y insérer le code fourni par votre téléphone portable.

Des hébergeur tels que OVH propose aussi la double authentification.

Double authentification pour Facebook

Le site communautaire Facebook propose la double authentification. A utiliser sans modération !

Après les modes d’emplois pour mettre en place la double authentification pour Youtube, Google, Amazon, DropBox, voici venir la sécurité dédiée pour Facebook. La double authentification permet de créé un second mot de passe via votre téléphone portable, valable quelques secondes, en plus de votre identifiant de connexion de base. Bilan, si votre mot de passe est subtilisé, le pirate ne pourra pas l’utiliser. Il faut les deux identifiants pour accéder à votre compte.

Mode d’emploi double authentification Facebook

D’abord, connectez-vous à votre compte Facebook. Dans la partie « Paramètres« , option cachée dans le petit menu, en haut à droite, sur la droite du petit cadenas, cliquez sur « Générateur de code« . Votre téléphone vous fournira, via l’application Facebook, un second code à rentrer, en plus de votre mot de passe, lors de toutes connexions via un ordinateur ou appareil non connu. Par exemple, pour les joueurs et utilisateurs de PS4, Xbox One… Facebook vous communiquera un code, par SMS.

Il est possible d’utiliser l’application Authenticator de Google pour générer le précieux second mot de passe. Un code qui change toutes les 30 secondes. A noter que des sociétés Françaises telles que Gandi ou encore OVH utilisent aussi la double authentification pour protéger leurs clients.

Double authentification pour Amazon

Le site de vente en ligne Amazon propose une nouvelle sécurité, la double authentification. Explication !

Comme DataSecurityBreach.fr a déjà pu vous le proposer pour DropBox, gMail, Facebook, Youtube… la sécurité par double authentification est devenue une obligation aujourd’hui. « L’attaque est le secret de la défense, la défense permet de planifier une attaque. » comme le dit l’adage. La double authentification permet de créé un second mot de passe via votre téléphone portable, valable quelques secondes, en plus de votre identifiant de connexion de base. Bilan, si votre mot de passe est subtilisé, le pirate ne pourra pas l’utiliser. Il faut les deux identifiants pour accéder à votre compte. Amazon vient de rentrer dans cette grande famille. DataSecurityBreach.fr vous conseille fortement de l’utiliser.

Mode d’emploi double authentification Amazon

D’abord, connectez-vous à votre compte Amazon. Ensuite, dans « Your Account« , dirigez-vous vers les options de modification de votre compte « Change Account Settings« . Choisissez ensuite « Advanced Security Settings« . C’est dans cette option qu’il va vous être possible de créer la double authentification Amazon. Intéressant, Amazon propose deux sécurités. D’abord par le logiciel Authenticator, et par SMS. Bilan, dès que vous souhaitez vous connecter, Amazon vous contactera par l’un de ces deux moyens.

A noter qu’il est possible d’utiliser cette double authentification pour votre blog, site Internet, Steam, Cloudflare, Gandi ou encore OVH.

Challenge Ethical Hacking au FIC 2016

Pour la troisième année, le Forum International de la Cyber Sécurité organise un challenge d’Ethical Hacking. Les inscriptions sont ouvertes.

Le 8ème Forum International de la Cyber sécurité organise, en partenariat avec l’association ACISSI et l’école privée informatique EPITA, le challenge d’Ethical Hacking du FIC. Un rendez-vous parrainé par le Réseau Cyber défense de la Réserve Citoyenne et sponsorisé par EC-Council.

Le challenge FIC a pour objectifs, en distinguant quelques profils prometteurs, d’encourager et de valoriser chaque année, les métiers liés au forensic et à la lutte informatique défensive. Comme depuis trois ans, c’est Damien Bancal (zataz) qui animera ce rendez-vous. A noter que cette année, en bonus, l’un des challenge proposait lors de ce challenge a été écrit par Damien Bancal.

 

Côté prix : drone, montre connectée, livres, Rasperry Pi ou encore une Xbox One. Côté épreuves, une petit idée ici. Vous souhaitez y participer ? Inscriptions ICI.

Le Forum International de la Cyber sécurité s’inscrit dans une démarche de réflexions et d’échanges visant à promouvoir une vision européenne de la cybersécurité. Dans la continuité du marché unique numérique et du projet de règlement sur la protection des données personnelles, le FIC est Evènement européen de référence réunissant tous les acteurs de la confiance numérique. Il se tiendra à Lille, les 25 et 26 janvier 2016.

Sécurité informatique : 2015, année difficile

La division sécurité d’IBM publie son rapport trimestriel IBM X-force faisant état du Top 4 des tendances liées aux cyber-menaces en 2015. Dans l’ensemble, 2015 a été une année difficile en matière de menaces internes, de logiciels malveillants, ainsi que d’attaques persistantes et évolutives touchant les entreprises.

Les pirates amateurs exposent les criminels expérimentés lors d’attaques « Onion Layered ». Alors que 80% des cyber attaques sont générées par des réseaux de criminels en ligne hautement organisés et sophistiqués, ce sont souvent des pirates inexpérimentés – « script kiddies » – qui inconsciemment poussent les entreprises à être attentives à ces pirates plus nombreux et expérimentés qui rôdent sur un réseau en ligne ou à l’intérieur d’une entreprise. Les pirates amateurs laissent des indices tels que des dossiers inhabituels ou des fichiers dans un répertoire temporaire, altèrent des pages web d’entreprises, et plus encore. Lorsque les entreprises se penchent sur ces attaques malveillantes, ils découvrent souvent des attaques beaucoup plus complexes.

Accroissement des rançongiciels (Ransomwares)
2015 était l’année des rançongiciels, se classant comme l’infection la plus fréquemment rencontrée. En fait, le FBI a signalé des attaques du rançongiciel CryptoWall qui ont permis aux pirates de collecter plus de 18 millions de dollars entre 2014 et 2015. Les chercheurs d’IBM pensent que cela restera une menace fréquente et un business rentable en 2016, migrant également vers les appareils mobiles.

La plus grande menace peut venir de l’intérieur
Le rapport (tiré de l’étude Identifying How Firms Manage Cybersecurity Investment de Tyler Moore, Scott Dynes, Frederick R. Chang, Darwin Deason de l’Institute for Cyber Security Southern Methodist University – Dallas) indique également le danger permanent des attaques malveillantes à l’intérieur même d’une entreprise. Ceci est la continuation d’une tendance observée en 2014 lorsque l’index IBM 2015 lié à la Cyber Security Intelligence révélait que 55% de toutes les attaques de 2014 avaient été réalisées en interne ou par des individus ayant eu par le passé accès au système d’informations de l’entreprise – sciemment ou par accident.

Le C-Suite Cares
En 2015, la cybersécurité est devenue une priorité au plus haut niveau de l’entreprise, avec de plus en plus de responsables qui s’interrogent sur la sécurité de leur organisation. En fait, un récent sondage questionnant les responsables de la sécurité des systèmes d’information (RSSI), réalisé par SMU et IBM, a révélé que 85% des RSSI indiquent que la gestion des problèmes informatiques a augmenté, et 88% ont déclaré que leurs budgets de sécurité se sont accrus.

Vous pouvez télécharger le rapport complet ici : http://ibm.co/1OJkd8N.

Des principes militaires ancestraux pour lutter contre la cybercriminalité moderne

L’origine des guerres se confond avec celle de l’humanité. De leur côté, les attaques informatiques ont vu le jour avec l’Internet. Malheureusement, aucun de ces deux phénomènes n’est près de disparaître. En effet, leurs motivations sont étroitement liées à cette soif de domination, de gloire et de richesse qui constitue le pedigree de l’humanité.

Les points communs entre la guerre et la cybercriminalité sont légions. Il est sans doute bon de s’inspirer d’un des grands classiques de la littérature militaire pour mieux lutter contre les cybercriminels : l’art de la guerre.

Écrit par Sun Tzu, célèbre général, stratège et philosophe chinois, il y a 2 500 ans, cette œuvre est souvent citée aujourd’hui par les chefs d’entreprise et autres leaders. Ce vade-mecum livre quantité de conseils aux entreprises qui cherchent à se démarquer de leurs concurrents, et aux individus qui tentent de se défaire de leurs rivaux. On y puise également des sujets de réflexion pour les entreprises qui souhaitent venir à bout de la cybercriminalité.

Voici trois enseignements de Sun Tzu que chaque DSI est invité à garder à l’esprit :

1. Qui connaît l’autre et se connaît lui-même, peut livrer cent batailles sans jamais être en péril.

Si vous ignorez quelles sont vos propres défenses contre les cybercriminels, il est grand temps d’identifier cet arsenal. Cette initiative est essentielle mais elle ne suffit pas. Vous devez aussi obtenir au plus vite des informations précises sur les cybercriminels qui vous ont pris pour cible. En d’autres termes, une veille sur les menaces est une priorité.

Lors du sommet sur la cybersécurité qui s’est tenu à la Maison-Blanche en février dernier, le président des États-Unis, Barack Obama, a appelé de ses vœux un meilleur échange d’informations sur les menaces entre le secteur privé et le secteur public, ainsi qu’une meilleure coordination entre les différents intervenants dans la lutte contre la cybercriminalité.

Tous les pays du monde devraient suivre ce conseil. À elle seule, une entreprise n’a que rarement une vue d’ensemble sur les cyberattaques. Elle a trop à faire pour contrer une attaque, restaurer ses opérations et ses services informatiques et limiter les délais d’indisponibilité. Elle ne met les informations liées aux attaques à disposition de ses homologues, donnant ainsi la possibilité à chaque assaillant de tirer des enseignements de ses attaques. Ces derniers peuvent ainsi parfaire leurs tactiques et adopter de nouvelles techniques pour s’en prendre à de nouvelles cibles.

Le partage des informations liées aux menaces consiste à échanger des éléments contextuels sur les attaques. Je trouve ce point essentiel puisqu’il invite les entreprises à appréhender trois éléments : les techniques utilisées par les hackers, les caractéristiques des entreprises qui ont été ciblées, et le comportement des hackers après avoir compromis les défenses d’une entreprise. Ces trois informations aident les équipes informatiques à tirer les conclusions qui s’imposent, à neutraliser plus efficacement toute nouvelle attaque et, au final, à renforcer la sécurité des entreprises et du grand public en général.

C’est la raison pour laquelle Fortinet a fondé la Cyber Threat Alliance. Ce programme mondial vise à partager les données sur les menaces informatiques avec d’autres fournisseurs de technologies de sécurité informatique afin d’agir en conséquence.

2. Dans l’ancien temps, ce qu’on appelait l’intelligence du combat n’était pas seulement de gagner mais de le faire avec facilité. 

L’essence de chaque entreprise est d’être rentable. Une attaque réussie porte atteinte à vos finances et à votre réputation et engendre des dépenses. Pour limiter l’impact, les entreprises doivent juguler les attaques le plus efficacement possible. Lors du sommet précité, Barack Obama a incité aux entreprises à mieux exploiter les technologies modernes. Je vous encourage à faire de même.

L’informatique a beaucoup évolué au cours des dernières décennies. Les réseaux sont devenus incroyablement complexes, alors que l’émergence du cloud, du mobile et des infrastructures agiles ont rendu la sécurité bien plus difficile à gérer. Les technologies en matière de sécurité utilisées il y a plusieurs années rencontrent des freins et doivent être remplacées.

La technologie doit évoluer afin de pouvoir tenir tête aux hackers. Nous sommes déjà capables de gérer intelligemment plusieurs facettes de la sécurité informatique. Mais ce qui nous attend est encore plus prometteur. Dans les années à venir, l’analyse comportementale deviendra la norme pour la sécurité des appareils. Les innovations en matière de science des données permettront aux équipes informatiques d’analyser les données du big data afin d’identifier les tendances en matière de sécurité. Les entreprises pourront ainsi prévoir les attaques, avant qu’elles ne soient enclenchées.

3. Si l’ennemi renforce son front, il affaiblira ses arrières, s’il renfloue ses arrières, il affaiblira son front.

S’il renforce son flanc gauche, il affaiblira son flanc droit et vice-versa. Et s’il se prépare en tous lieux, il sera partout en défaut. Il ne s’agit là que d’une piqûre de rappel pour chaque DSI. Protéger l’entreprise est une tâche difficile, car les hackers savent s’immiscer par les moindres brèches.

La faible visibilité sur les applications, les utilisateurs et les services réseau existants est une lacune majeure des entreprises de nos jours. D’autant que la situation s’aggrave. En premier lieu, compte tenu des applications qui prolifèrent au sein des environnements virtualisés. Mais aussi à cause d’un trafic qui évolue : autrefois cantonné au sein du centre de données, ce trafic s’affranchit aujourd’hui du périmètre de ce dernier et transite via ce centre de données.

De nouvelles technologies émergent pour renforcer la visibilité sur les applications au sein des environnements virtualisés. Tandis que ces technologies font leurs premiers pas sur le marché, chaque DSI doit comprendre la finalité de chacune de ces technologies et apprendre à gérer efficacement les données. Faute de quoi, les informations réellement pertinentes se retrouveraient noyées dans un océan de fausses alertes.

Les entreprises sont, bien sûr, également invitées à former leurs utilisateurs.

L’ignorance est un fléau en matière de sécurité informatique. Les individus ont souvent été le maillon faible de la sécurité des entreprises, ce qui explique leur statut de cible privilégiée par les cybercriminels. Les systèmes de sécurité les plus sophistiqués ne parviennent généralement pas à éviter les attaques utilisant des techniques d’ingénierie sociale. Dans le monde, les entreprises qui forment leurs utilisateurs via des programmes de sensibilisation constatent un fléchissement des attaques d’ingénierie sociale de type spear phishing. La formation et la sensibilisation des utilisateurs représentent des armes particulièrement efficaces pour les entreprises souhaitant maîtriser les risques de sécurité informatique. (Par Michael Xie – Fondateur, Président et Chief Technology Officer de Fortinet)

L’impact des clés et certificats non protégés

Un nouveau rapport de Ponemon pointe la perte de clientèle que subissent les entreprises françaises pour cause de clés et certificats non protégés.

Ponemon Institute et Venafi, éditeur de premier plan spécialisé dans la protection de nouvelle génération des infrastructures de confiance dont le slogan « The Immune System for the Internet™ » est à l’origine du concept de système immunitaire pour Internet, publient ce jour de nouvelles données sur l’incidence économique directe, pour les entreprises françaises, de la non-sécurisation des clés cryptographiques et certificats numériques dans l’étude 2015 Cost of Failed Trust Report: When Trust Online Breaks, Businesses Lose Customers.

Ces nouvelles données, tirées d’une étude menée auprès de 339 professionnels de la sécurité informatique en France, indiquent à quel point des clés et certificats non protégés et mal gérés peuvent entraîner une perte de clientèle, d’onéreuses interruptions d’activité, des défaillances d’audit et des failles de sécurité.

En début d’année, Ponemon Institute et Venafi ont publié le résultat des travaux de recherche menés sur les risques encourus par les entreprises mondiales face à des attaques basées sur des clés et certificats dans l’étude 2015 Cost of Failed Trust Report: Trust Online is at the Breaking Point. Les participants à cette enquête en France -mais aussi en Australie en Allemagne, au Royaume-Uni et aux Etats-Unis- ont unanimement admis que le système de confiance sur Internet a atteint son point de rupture. Des données inédites extraites de cette enquête sont à présent disponibles dans ce nouveau rapport qui montre à quel point les entreprises en France, et partout dans le monde, pâtissent des effets fâcheux de la non-sécurisation des clés et certificats.

En regardant les statistiques françaises

À partir du moment où la confiance en ligne est rompue, les entreprises perdent des clients – Près des deux tiers des sondés en France admettent avoir perdu des clients faute d’être parvenus à garantir la confiance en ligne instaurée par des clés et certificats, ce qui représente un coût moyen de 11 millions d’euros par interruption.

Les systèmes métiers stratégiques subissent des défaillances – En moyenne, chaque entreprise française a subi, depuis deux ans, trois arrêts intempestifs liés à des certificats. Ce nombre est nettement plus élevé que la moyenne mondiale qui est de deux arrêts intempestifs.

Les entreprises échouent aux audits – En moyenne, les entreprises françaises ont échoué à au moins deux audit SSL/TLS et à au moins deux audit SSH au cours des deux dernières années. Là encore, ce nombre est bien plus élevé que la moyenne mondiale qui elle est de un audit dans les deux cas.

« À partir du moment où les entreprises ne sécurisent ni ne gèrent correctement leurs clés et certificats, l’impact financier direct se traduit par une perte de clientèle et un manque à gagner », précise à DataSecurityBreach.fr Kevin Bocek, Vice President of Security Strategy and Threat Intelligence chez Venafi. « Dans leur activité, les entreprises sont toutes tributaires de la confiance instaurée par les clés et certificats, même si elles n’en sont pas conscientes. C’est pourquoi il est impératif que les équipes dédiées à la sécurité informatique et celles dédiées à l’opérationnel réalisent périodiquement des audits pour localiser la totalité des certificats et clés utilisés, établir les dates d’expiration, puis mettre en place des règles appropriées pour éviter le piratage de données, les arrêts intempestifs et les défaillances d’audits. ».

Depuis la banque en ligne et les applications mobiles jusqu’à l’Internet des objets, tout ce qui est basé sur IP fait appel à une clé et à un certificat pour établir une connexion digne de confiance, et cette dépendance vis-à-vis des clés et certificats ne fait que s’accentuer du fait du recours croissant au protocole SSL/TLS et des accès mobiles, WiFi et VPN. Elle accroît considérablement les risques en termes de disponibilité, de conformité et de sécurité, sachant que, dans ces domaines, l’importance des risques encourus n’est pas la même. Les risques liés à la sécurité sont presque huit fois plus importants que ceux liés à la disponibilité et à la conformité : ainsi, dans les deux ans à venir, le seul risque lié à la sécurité devrait peser 41 millions d’euros, contre 5 millions d’euros pour les risques conjugués de conformité et de disponibilité.

Interrogés sur les difficultés posées par la protection et la gestion des clés et certificats, 63 % de professionnels français de sécurité informatique affirment ignorer le nombre de clés en leur possession, l’endroit où elles se trouvent ou encore la façon dont elles sont utilisées. Encore une fois, ce chiffre est plus élevé que la moyenne mondiale établie à 54%. De même, 59% déplorent l’absence de règles et de correctifs pour les clés et certificats. Les entreprises se doivent impérativement de remédier à ces problématiques qui sous-tendent les risques de sécurité, de disponibilité et de conformité provoqués par des clés et certificats non sécurisés.

« Nous espérons que ce rapport aidera les équipes dirigeantes et celles en charge de la sécurité informatique à mesurer l’importance du risque majeur posé par des clés cryptographiques et certificats numériques non protégés et mal gérés », conclut Larry Ponemon, Chairman and Founder of The Ponemon Institute. « Les clés et certificats, largement déployés, sont essentiels à l’établissement de connexions dignes de confiance et à la sécurisation des activités. À l’évidence, les données figurant dans ce rapport sont symptomatiques d’une problématique de sécurité plus large : si vous ignorez où se trouvent vos clés et certificats, vous ne pouvez assurer leur suivi et êtes incapable d’automatiser leur cycle de vie ; en d’autres termes, vous ne parvenez tout simplement pas à les protéger. Raison pour laquelle, tôt ou tard, la confiance sur Internet est rompue. ».

Pour consulter ce rapport dans son intégralité : Venafi.com/BrokenTrust

Prévisions en matière de menaces informatiques à l’horizon 2020

Les prévisions d’Intel Security fournissent également des perspectives précieuses aux entreprises dans le cadre de la définition de leurs stratégies de sécurité informatique à court et à long terme.

Le nouveau rapport d’Intel Security intitulé ‘McAfee Labs Threat Predictions Report’ prédit les principales tendances à anticiper en 2016 en matière de menaces informatiques. Il fournit également un aperçu prédictif unique de ce paysage jusqu’à l’horizon 2020 et livre les potentielles réponses de l’industrie de la sécurité informatique face à l’évolution des cyber-menaces.

« A l’image des joueurs de foot qui savent saisir les opportunités et anticiper le jeu, il est important que les entreprises puissent garder une longueur d’avance sur les tendances business et technologiques mais également sur l’environnement des menaces informatiques. Le rôle de l’industrie informatique est de les accompagner dans cette bataille en mettant à leur disposition des technologies performantes pour les soutenir dans leurs activités et leur permettre de comprendre à quels types de menaces elles seront confrontées demain », commente Vincent Weafer, Vice-Président de McAfee Labs d’Intel Security.

Les menaces à venir en 2016

L’éventail des risques à anticiper en 2016 s’étend des probables attaques de ransomware, aux risques d’attaques contre les véhicules connectés, en passant par des attaques contre des infrastructures, ou encore la vente de données volées, etc. Différents types d’attaques en matière de menaces sont à prévoir :

Matérielle. Les attaques sur tous les types de matériel et de firmware vont encore continuer l’année prochaine et se traduire par le développement et la croissance du marché noir liés aux outils d’exécution de ce type d’attaque. Les machines virtuelles seront également ciblées avec des rootkits de firmware.

Ransomware. L’anonymisation des réseaux et des modalités de paiement continuera à alimenter le risque de ransomwares. En 2016, un plus grand nombre de cybercriminels novices devrait exploiter les offres de Ransomware-as-a-Service et accélérer ainsi la croissance de ce marché.

Ciblées sur les accessoires connectés. Bien que la plupart des accessoires connectés stocke une quantité relativement faible de renseignements personnels, les plates-formes sur lesquelles fonctionnent ces devices pourront s’avérer la cible des cybercriminels afin d’en compromettre les smartphones associés. L’industrie devra s’atteler à la protection des potentielles surfaces d’attaques tels que les noyaux des systèmes d’exploitation, les logiciels de gestion de réseau et de WiFi, les interfaces utilisateur, la mémoire, les fichiers locaux et les systèmes de stockage, les machines virtuelles, les applications Web, les logiciels de sécurité et de contrôle d’accès.

Par des OS des salariés. Les entreprises devront continuer à rester vigilantes et à renforcer leurs mesures de sécurité via notamment la mise en place des dernières technologies de sécurité disponibles, l’embauche de personnel expérimenté pour assurer la protection de son IT et de ses données, et la définition de politiques de sécurité efficaces. En revanche, les hackers essayeront de nouveau de détourner ces mécanismes de protection en passant par les systèmes d’exploitation des salariés et en tirant profit notamment de la faible protection des systèmes qu’ils utilisent chez eux pour accéder aux réseaux de leur entreprise.

Services Cloud. La protection des services Cloud est encore souvent négligée par les entreprises. Cela devrait pousser les cybercriminels à profiter de la faiblesse, voire de l’inexistence, de certaines politiques de sécurité d’entreprises. Le Cloud rassemble une quantité croissante d’informations confidentielles d’entreprises, le vol des données stockées par ces services pourrait compromettre toute la stratégie d’une entreprise, y compris le développement de son portefeuille de produits, ses futures innovations, ses services financiers, les données de ses employés, etc.

Voitures. Les experts en sécurité continueront à étudier les potentielles menaces auxquelles sont exposés les systèmes d’exploitation des voitures connectées dépourvus des capacités de sécurité embarquée ou non conformes aux best practices des politiques de sécurité établies. Les fournisseurs de solutions de sécurité informatique et les constructeurs automobiles devront coopérer de manière proactive afin d’élaborer des directives, des normes et des solutions techniques pour protéger les surfaces d’attaques potentielles que représentent par exemple les unités de commande électronique (Engine Control Unit ou ECU) des systèmes d’accès du véhicule, les ECU relatifs au moteur et à la transmission, au système avancé d’assistance au conducteur, les systèmes de verrouillage du véhicule à distance, le télé-déverrouillage passif, le récepteur V2X, les clés USB, le diagnostic embarqué, les applications de type RemoteLink et l’accès smartphone.

Stockage de données volées. Les blocs d’informations personnelles qui permettent une identification sont aujourd’hui reliés entre eux dans de grandes bases de données, où l’ensemble des éléments volés font ainsi augmenter la valeur des dossiers compilés. L’année prochaine verra le développement d’un marché noir encore plus robuste qui offrira davantage d’informations personnelles (date d’anniversaire, adresse, etc.) associées à des identifiants en ligne et à des mots de passe.

Contre l’intégrité de système. Les attaques sélectives compromettant l’intégrité des systèmes et des données seront l’un des plus importants nouveaux vecteurs d’attaques. L’objectif de ces attaques consiste à saisir et à modifier des transactions ou des données en faveur des attaquants. Par exemple, un cybercriminel peut parvenir à modifier des paramètres de dépôt direct de versement de salaires pour verser l’argent sur son propre compte bancaire. En 2016, McAfee Labs prévoit une possible attaque contre l’intégrité de système dans le domaine financier, secteur dans lequel des millions de dollars pourraient être dérobés par des cybercriminels.

Partage de renseignements sur les menaces. Le partage de renseignements sur les menaces entre les entreprises et les fournisseurs de solutions de sécurité devrait croître rapidement. Des mesures législatives seront prises afin de faciliter les échanges d’informations entre les entreprises et les gouvernements. Le développement accéléré de best practices devrait favoriser l’identification de métriques permettant de mesurer l’amélioration des niveaux de protection.

Les prévisions à l’horizon 2020

La vision prédictive de McAfee Labs tend à identifier la manière dont les différents acteurs du cyber-crime vont évoluer, comment vont changer à la fois les comportements et les objectifs des attaquants, mais aussi de prédire la façon dont l’industrie répondra à ces défis au cours des 5 prochaines années.

Attaques sous l’OS. Alors que les applications et les systèmes d’exploitation seront de plus en plus protégés, les attaquants chercheront des faiblesses dans le firmware et le matériel informatique. Ce type d’attaque pourrait éventuellement offrir aux hackers le contrôle total des systèmes. En effet, ils seraient théoriquement en mesure d’accéder à un nombre illimité de ressources et de fonctionnalités de gestion et de contrôle au sein des systèmes.

Contournement de détection. Les assaillants chercheront à contourner les technologies de détection de cyber-menaces en ciblant de nouvelles surfaces d’attaques et en utilisant des méthodes d’attaques toujours plus sophistiquées. Cela signifie qu’il faudra dès lors anticiper des malwares sans fichier, des infiltrations cryptées, des malwares en mesure de contourner les sandbox, des exploits à distance des protocoles RSH et des protocoles de contrôle, ainsi que des attaques sous l’OS ciblant et exploitant les Master Boot Records (MBR), le BIOS et le firmware.

Appareils connectés : de nouvelles surfaces d’attaques. D’ici 2020, ces dispositifs devraient atteindre un niveau de pénétration du marché assez conséquent pour attirer les cybercriminels. Les fournisseurs de technologie et de solutions verticales seront amenés à collaborer afin de définir des conseils de sécurité pour les utilisateurs et des best practices pour l’industrie. De plus, les fabricants d’objets connectés chercheront, de plus en plus, à intégrer les mécanismes de contrôle de sécurité dès la phase de conception de leurs produits.

Pénétration du cyber-espionnage dans les entreprises. Jusqu’alors, les logiciels de cyber-espionnage ciblaient davantage le secteur public. McAfee Labs prévoit que, d’ici 2020, le marché noir des malwares et des services de piratage pourrait rendre possible leur utilisation pour exécuter des attaques contre les entreprises afin de collecter des renseignements financiers et de manipuler les marchés en faveur des attaquants.

Enjeux et opportunités de la confidentialité. Le volume et la valeur des données personnelles sur le Web vont continuer de croître. Pour répondre à la menace constante du vol de ces informations, de nouvelles réglementations sur la confidentialité vont être élaborées et mises en oeuvre à travers le monde. En parallèle, les utilisateurs devront commencer à exiger des compensations pour le partage de leurs données. Ce mouvement donnera probablement naissance à un nouveau marché d’« échange de valeur» qui pourrait profondément changer la façon dont les individus et les entreprises gèrent leurs vies privées numériques.

Réponse de l’industrie de la sécurité. Les industriels développeront des outils plus efficaces pour détecter et remédier aux attaques sophistiquées. Les nouvelles technologies devront s’appuyer sur une analyse de comportement prédictive pour repérer les activités irrégulières et détecter les comptes compromis. La protection des systèmes deviendra plus rapide et efficace grâce au partage des renseignements sur les menaces entre les parties prenantes. La sécurité intégrée avec le Cloud va améliorer la visibilité et le contrôle des systèmes et des données. Finalement, les technologies de détection et de correction automatiques assureront la protection des entreprises contre les attaques les plus courantes, en permettant aux responsables de sécurité informatique de se concentrer sur les incidents de sécurité plus critiques.

« Afin d’avoir une longueur d’avance sur des menaces en constante évolution et pourvoir devancer ses adversaires, l’industrie informatique a besoin de s’appuyer sur les mêmes ‘armes’ que les cybercriminels. Il lui faudra ainsi associer le partage des renseignements liés aux cyber-risques entre ses différents acteurs à la puissance technologique, dont le Cloud computing et l’agilité de plates-formes, mais aussi aux compétences humaines », conclut Vincent Weafer. « Ainsi, pour gagner des batailles contre les futures menaces, les entreprises doivent avoir une meilleure visibilité et une meilleure connaissance des risques potentiels. Elles doivent également être en mesure de détecter et de répondre plus rapidement et d’utiliser pleinement à la fois les ressources humaines et techniques à leur disposition. »

Google renforce son action pour le chiffrement des courriels

Google a décidé de resserrer la sécurité de ses utilisateurs en avertissant de l’arrivée d’un courriel non chiffré… mais ne corrige pas un bug plutôt gênant.

Google a ajouté une nouvelle fonctionnalité à Gmail qui a pour mission d’informer les utilisateurs chaque fois qu’un courriel non chiffré atterrit dans votre boîte de réception. Cette nouvelle fonction est destinée à freiner les attaques en ligne qui peuvent viser des fournisseurs de messageries. Pour développer cette fonctionnalité, Google a signé un partenariat avec les Universités du Michigan et de l’Illinois. Une sécurité qui résulte d’une recherche sur l’évolution de la sécurité des courriers électroniques depuis 2013.

Pendant ce temps…
Depuis les paramètres de Gmail via un ordinateur, une chercheuse en informatique à trouvé le moyen de modifier le nom qui apparaîtra dans le courriel envoyé. Pour prouver sa découverte, Yan Zhu, la chercheuse, a modifié son nom d’affichage en yan «  »security@google.com ». Les guillemets supplémentaires dans son identité ont provoqué un bug de traitement de l’information. Un moyen qui pourrait piéger des internautes pensant recevoir un courriel de Google, par exemple.

Le bug ne vise que l’application Android. Yan Zhu a alerté l’équipe de sécurité Google. Cette dernière n’a pas estimé qu’il était important de corriger.

Patch Tuesday – Novembre 2015

Retour à la normale pour le Patch Tuesday de Novembre 2015. Douze bulletins concernent un large éventail de produits, depuis Internet Explorer (MS15-112) jusqu’à Skype (MS15-123). Les six petits bulletins du mois dernier étaient une anomalie probablement due aux vacances d’été. La différence marquée entre les patches pour Internet Explorer et pour Edge, en revanche, n’est pas une anomalie mais le fruit d’une ingénierie sérieuse de la sécurité.

Manifestement plus sécurisé qu’Internet Explorer, Edge s’avère être un puissant choix de navigateur Internet si vos utilisateurs peuvent s’en servir pour exécuter toutes leurs applications métier.

Pour le classement des patchs, le cru de ce mois comprend un correctif pour une vulnérabilité connue fournie dans le bulletin critique MS15-115 qui résout sept vulnérabilités dans Windows. Deux des vulnérabilités se trouvent dans le sous-ensemble de polices, ce qui les rend exploitables à distance via la navigation Web et la messagerie. Elles affectent toutes les versions de Windows, y compris Windows 10 et RT. Ce mois-ci, le bulletin MS15-115 figure en haut de la liste.

Vient ensuite MS15-112 pour Internet Explorer, avec 25 correctifs dont 23 pour des vulnérabilités critiques à base d’exécution de code à distance (RCE). Le vecteur d’attaque est une page Web, très courante, malveillante. Les cybercriminels lancent les attaques en exploitant des vulnérabilités au sein de pages Web par ailleurs anodines et en prenant le contrôle du contenu des pages dans lesquelles ils insèrent des liens invisibles qui pointent vers leurs pages d’attaque basées sur des kits d’exploits commerciaux. Ces kits concernent essentiellement des vulnérabilités récentes au sein de navigateurs et de plug-ins (Flash étant choisi dans 80% des cas selon une récente enquête de Recorded Future) et s’enrichissent de nouveaux exploits quelques jours seulement après la publication d’une vulnérabilité.

Les attaques via les navigateurs et la messagerie sont si fréquentes que le Centre pour la sécurité Internet (CIS) a revu sa liste des 20 contrôles de sécurité critiques et ajouté un contrôle dédié aux navigateurs/à la messagerie ayant une priorité de niveau 7, ce qui le positionne devant les défenses classiques contre les codes malveillants concernées par le contrôle 8.

Quoi qu’il en soit, le MS15-112 doit être déployé le plus vite possible.

Le suivant sur la liste est le bulletin de sécurité MS15-116 qui résout sept failles sous Microsoft Office. Cinq de ces vulnérabilités peuvent être exploitées pour prendre le contrôle du compte de l’utilisateur qui ouvre le document malveillant et permettre ainsi une exploitation à distance. Cet accès permet de contrôler suffisamment la machine pour lancer un certain nombre d’attaques, notamment de type Ransomware. Cependant, l’attaquant peut l’associer à une vulnérabilité locale dans le noyau Windows pour compromettre totalement la machine et en prendre pleinement le contrôle afin d’y installer de nombreuses backdoors.

Les deux autres bulletins critiques concernent Edge Browser (MS15-113) et le Journal Windows (MS15-114). Ils doivent être appliqués le plus vite possible, ne serait-ce que pour votre machine bénéficie de la toute dernière mise à niveau.

Tous classés comme importants, les autres bulletins doivent être déployés dans votre cycle de patch usuel:

  • MS15-118 concerne .NET et corrige trois vulnérabilités, dont une permettant d’exécuter du code pendant que l’utilisateur visite un site Web (Cross Site Scripting). Ces vulnérabilités sont souvent exploitées pour dérober les informations de la session de l’utilisateur et se substituer à ce dernier. Selon l’application concernée, les conséquences peuvent être lourdes. En effet, l’attaquant peut ainsi accéder à un compte de niveau Administrateur associé à votre application Web.

  • MS15-119 résout une vulnérabilité d’élévation de privilèges dans la bibliothèque de sockets Windows présente dans toutes les versions dont Windows 10.

  • Quant au bulletin MS15-117, il corrige une vulnérabilité au sein du composant réseau NDIS et qui affecte uniquement les systèmes plus anciens (Vista, Windows 7 et Server 2008).

  • MS15-120, MS15-121, MS15-122 et MS15-123 corrigent des failles uniques dans IPSEC, SChannel, Kerberos et Skype pouvant être exploitées par des dénis DoS, des attaques Man In The Middle ainsi que par des contournements de chiffrement.

Dernier point et non des moindres, Adobe a également publié une mise à jour pour Adobe Flash. APSB15-28 résout plusieurs vulnérabilités critiques permettant à un attaquant d’exécuter du code dans le contexte de l’utilisateur. Sachant que Flash est cette année une cible favorite des attaquants, n’oubliez pas de le mettre à jour sur vos machines clientes. (Analyse par Wolfgang Kandek, CTO , Qualys, Inc. (wkandek)

Une entreprise sur dix possède au moins un terminal infecté ayant accès aux données d’entreprise

Les données contenues dans le rapport « L’état de la sécurité des applis » de MobileIron révèlent également la liste des principales applis grand public blacklistées.

À l’heure où les collaborateurs choisissent les smartphones et les tablettes pour travailler, les applis mobiles deviennent des outils professionnels indispensables. Suite aux récentes attaques mobiles telles que XcodeGhost, Stagefright, Key Raider et YiSpecter, une quantité sans précédent de données professionnelles mobiles s’est vue menacée. MobileIron a publié aujourd’hui de nouvelles statistiques relatives à l’«état de la sécurité des applis», qui comprennent des informations concernant la manière dont les entreprises utilisent et protègent leurs applis mobiles.

« Dans la mesure où de plus en plus de processus commerciaux sont mobilisés, les hackers s’intéressent aux applis mobiles afin de profiter de l’incapacité des entreprises à prévenir et à détecter les menaces mobiles » a déclaré à DataSecurityBreach.fr Mike Raggo, directeur de la recherche sur la sécurité chez MobileIron. « Afin de protéger les données sensibles contre les menaces de demain, les entreprises doivent repenser leur approche en matière de sécurité en adoptant une architecture mobile fondamentalement différente. »

Principales applis grand public blacklistées
Les collaborateurs sont susceptibles de stocker des documents professionnels sur des applis personnelles de synchronisation et de partage de fichiers d’entreprise (EFSS), ce qui contribue à placer des données professionnelles sensibles en dehors du cadre de la protection du service informatique. Cinq des dix premières applis grand public blacklistées par les clients de MobileIron sont des applis EFSS.

1. Dropbox (EFSS)
2. Angry Birds
3. Facebook
4. OneDrive (EFSS)
5. Google Drive (EFSS)
6. Box (EFSS)
7. Whatsapp
8. Twitter
9. Skype
10. SugarSync (EFSS)

« Les versions grand public des applis EFSS effraient les départements informatiques dans la mesure où des données professionnelles sont susceptibles d’être égarer. Heureusement, les versions d’entreprise d’un grand nombre de ces applis sont disponibles, » déclare à Data Security Breach Raggo. « Les entreprises sont en mesure d’offrir à leurs collaborateurs l’expérience qu’ils désirent tout en protégeant leurs données d’entreprise, mais ceci exige une transformation de l’état d’esprit qui consiste à passer de la restriction à l’autorisation. »

Les applis mobiles sont menacées
Dans la mesure où le travail évoluera dans le futur de plus en plus vers la mobilité, il en sera de même pour le détournement des données et la cybercriminalité. Les récentes attaques ont ciblé les applis et les systèmes d’exploitation mobiles afin d’exfiltrer des données sensibles, et de nombreuses entreprises n’étaient pas préparées. Par exemple, les applis iOS infectées par le logiciel malveillant XcodeGhost peuvent collecter des informations relatives aux terminaux puis crypter et charger ces données vers des serveurs gérés par des agresseurs. La société de détection de logiciels malveillants FireEye a identifié plus de 4 000 applis infectées sur l’App Store, tandis que la société de gestion des risques relatifs aux applis mobiles Appthority a révélé que la quasi-totalité des organisations détenant au moins 100 terminaux iOS possédaient au moins un terminal infecté.

Le défi relatif aux terminaux et aux applis mobiles réside dans le fait que l’utilisateur – et non l’administrateur informatique – exerce généralement le contrôle. Les terminaux deviennent non conformes pour diverses raisons. Par exemple, un terminal se révélera non conforme dès lors que l’utilisateur procédera à un jailbreak ou à un root de son terminal, si le terminal fonctionne sur une ancienne version du système d’exploitation que le département informatique ne prend plus en charge, ou dès lors que l’utilisateur aura installé une appli que le département informatique a blacklisté. MobileIron a révélé les éléments suivants :

Dans ces différents cas, bien que les technologies traditionnelles de sécurité ne soient pas en mesure d’entreprendre les actions nécessaires pour protéger les données d’entreprise, MobileIron est en mesure de le faire. Dès lors qu’un terminal se révèle non conforme, MobileIron entreprend automatiquement plusieurs actions destinées à protéger les informations d’entreprise, notamment en envoyant une alerte à l’utilisateur, en bloquant l’accès des terminaux et applis aux ressources d’entreprise, ou en supprimant tous les courriers électroniques et les applis d’entreprise.

« Les organisations d’aujourd’hui possèdent un ensemble beaucoup trop divers de technologies de sécurité, qui sont rarement pleinement intégrées entre elles. Même lorsqu’elles sont intégrées, elles incluent rarement des informations relatives aux terminaux et aux applis mobiles, » a poursuivi Raggo. « La bonne nouvelle pour les entreprises utilisant une solution de gestion de la mobilité d’entreprise c’est qu’elles disposent des informations dont elles ont besoin sur l’état des terminaux et des applis mobiles pour protéger leurs informations d’entreprise. »

Principales raisons pour lesquelles les terminaux deviennent non conformes
Les entreprises recourant à des solutions de gestion de la mobilité d’entreprise (GME) telles que MobileIron peuvent établir des politiques destinées à garantir que les collaborateurs appropriés bénéficient de l’accès mobile approprié à partir du terminal approprié. Si les administrateurs informatiques ne procèdent pas à l’automatisation de la mise en quarantaine des terminaux dès lors qu’ils se révèlent non conformes, les données d’entreprises sont susceptibles d’être menacées.

Voici les principales raisons pour lesquelles un terminal devient non conforme aux politiques d’entreprise :
Le terminal n’est pas mis en contact avec la plateforme de GME.
L’administration a été désactivée afin que la solution de GME ne puisse plus intervenir à distance sur un terminal.
Le terminal n’est pas conforme aux règles qui bloquent, exigent ou autorisent une appli particulière.

Il est temps de repenser la sécurité mobile
Dans la mesure où des cyber-agresseurs utilisent des logiciels malveillants mobiles pour voler des données professionnelles sensibles, les entreprises doivent envisager des solutions de protection contre la perte de données dans le cadre de leurs stratégies de sécurité. Un seul terminal infecté peut rendre les entreprises vulnérables à des attaques coûteuses.

Firefox et la navigation privée encore plus avancée

Mozilla a dévoilé la protection contre le pistage au sein de la Navigation privée dans Firefox. Cette fonctionnalité a été développée afin d’offrir aux utilisateurs plus de choix et de contrôle sur leur expérience du Web.

Avec la protection contre le pistage au sein de la Navigation privée, Mozilla permet de garder le contrôle sur les données de navigation récoltées par les sites tiers. Aucun autre navigateur (Chrome, Safari, Microsoft Edge ou Internet Explorer) ne propose un mode de navigation privée permettant de limiter les données que les sites tiers récupèrent.

Navigation privée avec protection contre le pistage
Le mode de navigation privée a été ajouté au navigateur Firefox pour que les internautes gardent le contrôle sur leur confidentialité, en permettant de ne pas enregistrer de données de navigation à la fermeture. Cependant, lorsque vous naviguez en ligne, vous partagez souvent sans le savoir des informations vous concernant avec des sites tiers indépendants des sites que vous visitez, et ce même en utilisant la Navigation privée, quel que soit le navigateur utilisé. Jusqu’à aujourd’hui.

La navigation privée avec protection contre le pistage au sein de Firefox pour Windows, Mac, Android et Linux bloque les contenus tels que les publicités, les outils analytiques et autres boutons de partage sur les réseaux sociaux, pouvant enregistrer votre comportement en ligne à votre insu. Cette nouvelle version de Firefox inclut également un nouveau centre de contrôle rassemblant dans la barre d’adresse les paramètres de sécurité et de confidentialité. Étant donné que les pages web peuvent subir quelques dysfonctionnements lorsque vous bloquez des éléments de pistage, il est possible de désactiver facilement la protection contre le pistage dans la navigation privée pour un site particulier, en passant par le centre de contrôle.

Nouvelle version de Firefox Developer Edition
Mozilla a dévoilé également de nouvelles fonctionnalités au sein de Firefox Developer Edition, telles que des outils avancés pour l’édition d’animations. Mozilla présente DevTools Challengers, un tutoriel qui repose sur la pratique et qui aidera les designers à pleinement tirer parti de ces nouveaux outils d’édition. Grâce à ces outils, les développeurs auront moins l’impression d’écrire un script et plus de créer un film.

Onapsis Research Labs diffuse 21 avis de sécurité pour les applications SAP HANA

Onapsis, spécialiste mondial de la sécurité des applications métiers et principal fournisseur de solutions de cybersécurité, vient de publier 21 nouveaux avis de sécurité détaillant un nombre sans précédent de failles affectant toutes les applications SAP HANA, dont les solutions SAP S/4HANA et SAP Cloud sous HANA.

Ces avis émis par le laboratoire de recherche Onapsis mettent l’accent sur huit failles critiques, dont six concernent la conception même de SAP HANA, impliquant pour les corriger de modifier la configuration du système. À défaut, des cybers attaquants non authentifiés, pourraient prendre entièrement le contrôle des applications SAP HANA vulnérables et ainsi voler, supprimer ou modifier des informations. Ils pourraient aussi déconnecter la plate-forme afin de perturber les processus clés de l’entreprise.

C’est la première fois que des avis d’un si haut niveau de criticité et portant sur un aussi grand nombre de failles sont émis pour SAP HANA.

Ces failles font courir un risque potentiel à plus de 10 000 clients SAP utilisant différentes versions de SAP HANA, parmi lesquels figurent bon nombre des 2000 plus grandes entreprises mondiales dans tous les secteurs d’activité (énergie, pharmacie, administration, etc.). Des experts estiment qu’une violation de sécurité entraînant l’arrêt d’une application SAP pourrait coûter jusqu’à 22 millions de dollars par minute à certaines entreprises, avec notamment la perturbation de la production et de la distribution de leurs produits de base ainsi que la perte de connexion Internet et de données. L’économie mondiale pourrait être considérablement affectée par l’exploitation des failles de SAP HANA, celles-ci laissant amplement le champ libre aux cyberattaques par des États-nations, à l’espionnage économique, à la fraude financière ou au sabotage des systèmes clés des entreprises.

« La nouvelle grande vague d’attaques vise les applications stratégiques sous SAP et Oracle car ce sont des cibles économiques de choix pour les cybercriminels », explique à DataSecurityBreach.fr Mariano Nunez, CEO d’Onapsis. Elles se situent aussi majoritairement dans un angle mort pour bon nombre de directeurs de la sécurité informatique. Les failles affectant les systèmes SAP font de plus en plus l’actualité à l’image de la première attaque largement relatée dont a été victime la société USIS, fournisseur de la direction des ressources humaines (OPM) du département américain de la sécurité intérieure (DHS). En tant que solide partenaire de SAP, Onapsis collabore étroitement avec cet éditeur et ses clients afin de les aider à protéger leurs actifs stratégiques et à réduire les risques pour leur entreprise. Grâce à notre recherche de pointe, SAP a publié des patchs et des directives de sécurité qui permettent aujourd’hui à ses clients de se protéger. Nous les aidons potentiellement à éviter toute violation de sécurité à grande échelle qui pourrait avoir des conséquences désastreuses et nous leur permettons ainsi de tirer pleinement parti de leur investissement dans SAP HANA.

Les nouveaux avis de sécurité pour SAP HANA émis par le laboratoire de recherche Onapsis portent notamment sur huit failles critiques, six failles à haut risque et sept failles de risque intermédiaire. Bon nombre des failles critiques concernent les interfaces TrexNet au cœur d’HANA qui orchestrent la communication entre les serveurs dans les configurations haute disponibilité des grandes entreprises. Mais comme HANA devient la technologie sous-jacente de toutes les applications SAP, y compris SAP S/4HANA et la plate-forme Cloud SAP HANA et prend en charge un vaste écosystème d’applications d’autres éditeurs, la surface d’attaque s’élargit de façon exponentielle avec des conséquences diverses d’un système à l’autre.

Les experts en sécurité du laboratoire de recherche Onapsis ont collaboré avec des centaines de grandes entreprises afin de quantifier l’impact de ces différentes failles dans le cadre d’un service intitulé Business Risk Illustration (BRI). Celui-ci analyse de manière efficace les menaces qui pèsent sur la disponibilité, l’intégrité et la confidentialité des données et processus SAP.

« Il faut impérativement que l’industrie informatique se penche sur la cybersécurité des systèmes SAP », déclare à Data Security Breach Juan Perez-Etchegoyen, directeur technique d’Onapsis. « Cet ensemble de failles critiques est un des plus sérieux que nous ayons identifiés jusqu’ici en termes de dommages qu’un attaquant non authentifié pourrait causer à une entreprise. En cas d’exploitation de ces failles, toute information stockée ou gérée par une application SAP-HANA pourrait être extraite, falsifiée et supprimée, notamment les données à propos des clients, des salariés, des fournisseurs et des prix mais aussi celles à caractère décisionnel ou celles concernant la propriété intellectuelle, les budgets, la planification et les prévisions. Pire, le système pourrait être totalement paralysé par l’attaquant. »

Principales recommandations pour les directeurs de la sécurité informatique
Certaines de ces failles ne peuvent être corrigées par l’application de patchs de sécurité et le service HANA TrexNet affecté ne peut être stoppé. La seule solution consiste à reconfigurer le système, opération qui doit être correctement effectuée. Outre la consultation des notes de sécurité SAP, le laboratoire de recherche Onapsis recommande aux clients SAP de procéder comme suit :

Étape 1. Configurer correctement les communications TrexNet. Si elles s’exécutent dans un environnement haute disponibilité, ces communications sont essentielles au fonctionnement de SAP HANA. Vérifiez que le réseau où elles s’effectuent est isolé de l’utilisateur final et n’est pas accessible via un autre réseau. Assurez-vous également qu’il y a bien cryptage et authentification au niveau de la couche transport. S’il n’y a qu’une seule instance de SAP HANA, vérifiez que toutes les interfaces TrexNet écoutent sur l’interface réseau localhost uniquement.

Étape 2. Surveiller l’activité des utilisateurs. Certaines failles critiques pourraient être exploitées par des utilisateurs légitimes et des attaquants tentant de se connecter aux composants vulnérables (SQL et HTTP). Surveillez par conséquent le trafic HTTP à la recherche de la moindre activité suspecte. Enfin, analysez les journaux HTTP et SQL afin d’y déceler des entrées douteuses.

Étape 3. Veiller à ce que les mesures de détection et de correction soient en place. Intégrez SAP à votre stratégie de sécurité de l’information afin d’assurer une surveillance en continu des systèmes SAP et SAP HANA et de délivrer en temps réel des informations de prévention, de détection et de correction aux outils existants de gestion des événements et des informations de sécurité (SIEM) et de gouvernance et de contrôle des risques (GRC)

Les autres failles critiques, non liées au protocole TrexNet, doivent être corrigées en suivant la procédure indiquée dans les notes de sécurité SAP. Plusieurs notes de sécurité ont été publiées par SAP à propos des failles décrites ici. Elles portent les numéros 2165583, 2148854, 2175928, 2197397 et 2197428. Onapsis encourage les clients SAP à en prendre connaissance et à les appliquer dès que possible.

Cyberdéfense

La sécurité de l’informatique industrielle (domotique, industrie, transports) aux éditions ENI.

Ce livre sur la cyberdéfense s’adresse à toute personne sensibilisée au concept de la sécurité dans le domaine industriel. Il a pour objectif d’initier le lecteur aux techniques les plus courantes des attaquants pour lui apprendre comment se défendre. En effet, si la sécurité de l’informatique de gestion (applications, sites, bases de données…) nous est maintenant familière, la sécurité de l’informatique industrielle est un domaine beaucoup moins traditionnel avec des périphériques tels que des robots, des capteurs divers, des actionneurs, des panneaux d’affichage, de la supervision, etc. Elle commence à la maison avec la domotique et ses concepts s’étendent bien sûr à l’industrie et aux transports.

Dans un premier temps, les auteurs décrivent les protocoles de communication particuliers qui régissent les échanges dans ce domaine et détaillent quelques techniques basiques de hacking appliquées aux systèmes industriels et les contre-mesures à mettre en place. Les méthodes de recherches sont expliquées ainsi que certaines attaques possibles avec une bibliothèque particulière nommée scapy du langage Python (pour les novices, un chapitre rapide sur la prise en main de Python est présent). Enfin, un chapitre montrera les protocoles et failles des moyens de transport ferroviaires.

Dans la lignée du livre Ethical Hacking dans la même collection, les auteurs de ce livre sur la Cyberdéfense ont à cœur d’alerter chacun sur la sécurité de l’informatique industrielle : « apprendre l’attaque pour mieux se défendre » est toujours leur adage. Hackers blancs dans l’âme, ils ouvrent au lecteur les portes de la connaissance underground. 54€.

Les chapitres du livre : Introduction – Les systèmes industriels – Les techniques de prise d’empreinte – Les différentes menaces possibles – Les protocoles utilisés et leurs faiblesses – Création d’outils avec Python – Prise en main de Scapy – D’autres outils utiles – Les systèmes domotiques – Les réseaux et protocoles ferroviaires.

10 règles à respecter pour sécuriser l’informatique de votre PME

Si le numérique a envahi l’essentiel des espaces professionnels, la sécurité n’est pas suffisamment prise en compte par les PME.

Avec l’explosion des usages, de nouveaux risques sont apparus : indisponibilité de l’informatique, vol et destruction des données, espionnage industriel (fichiers clients, contrats, projets en cours…), escroqueries financières, sabotage de sites d’e-commerce…Des données sensibles sont dérobées lors d’intrusions informatiques ou subtilisées avec le vol d’un smartphone, d’une tablette ou d’un ordinateur portable.

Les conséquences peuvent être lourdes, de l’atteinte à l’image jusqu’à la faillite, en passant par des pertes de clientèle. La complexité des menaces, le coût élevé, le manque de temps et de personnel dédié sont les arguments les plus souvent invoqués pour justifier le manque d’intérêt pour renforcer la sécurité informatique dans les PME.

Pourtant, ces risques peuvent être considérablement réduits par un ensemble de bonnes pratiques, peu onéreuses et faciles à implémenter. « Mieux prévenir que guérir »… La sensibilisation des collaborateurs de l’entreprise aux bonnes pratiques informatiques est essentielle et circonscrit largement les dangers. Parmi les règles à respecter pour sécuriser l’informatique des PME, nous en avons retenu 10 :

Imposer des règles pour les mots de passe
Outil d’authentification permettant d’accéder à ses données ou à ses équipements numériques, il constitue une mesure de sécurité évidente. Plus un mot de passe est long et se compose de caractères différents, plus il sera difficile à cracker, notamment par des outils automatisés. Certaines bonnes pratiques augmentent de manière exponentielle son efficacité :Définissez les règles de choix et de longueur des mots de passe, rappelez régulièrement aux collaborateurs de ne pas conserver les mots de passe dans des fichiers présents dans le système informatique, modifiez ou renouvelez les moyens d’authentification proposés par défaut sur les équipements ou par les services divers, changez les mots de passe régulièrement.

Créer une séparation entre usages professionnels et personnels
Il est courant aujourd’hui d’utiliser des outils « pro » à des fins privés et vice-versa. Ces pratiques de plus en plus répandues dans les PME posent de vrais problèmes en matière de sécurité des données. Ceci augmente considérablement les risques de d’intrusion ou de vol. Dans ce contexte : Ne faites pas suivre vos messages électroniques professionnels sur des services de messagerie utilisés à des fins personnelles, n’hébergez pas de données professionnelles sur les équipements personnels ou sur les services de stockage en ligne personnels, et vice-versa.

Analyser régulièrement ses infrastructures
Avant d’enregistrer le contenu d’un support USB sur un ordinateur, prenez le temps de l’analyser avec un anti-virus … On ne sait jamais ! Ce geste simple et basique est souvent négligé et permet de protéger votre ordinateur des programmes malveillants pouvant endommager vos logiciels et mener à la perte partielle ou totale de données.

Mettre en place des sauvegardes automatiques régulières
Ne misez pas sur la discipline de chacun pour gérer ses sauvegardes ni sur un système manuel pour les sauvegardes du système d’information. L’automatisation et le monitoring sont seuls vrais garants de la sécurité.

Utiliser des solutions de sécurité
Durcissez la configuration des ordinateurs et utilisez des solutions de sécurité éprouvées (pare-feu, antivirus, etc.). Ces moyens de sécurité sont indispensables pour protéger vos outils informatiques de divers programmes malveillants. Ils bloquent le contenu et les accès dont la source ne peut être vérifiée et protègent vos données des intrusions.

Protéger les données lors des déplacements
L’utilisation des équipements nomades (smartphone, ordinateur portable, tablette) facilite les déplacements professionnels, le transport et l’échange des données. En revanche, en cas de perte ou de vol de l’appareil, l’activité de l’entreprise peut être sérieusement mise en péril. Pendant vos déplacements, n’emportez que les données nécessaires à la mission en mode déconnecté. Le reste vous attend au bureau et vous pouvez y accéder à distance en toute sécurité !

Monitorer son système
Faites surveiller votre système, notamment en utilisant les journaux d’évènements, pour réagir aux actions suspectes (connexions hors des horaires habituels, transferts massif de données…). Déterminer les droits d’utilisation en créant des comptes « administrateur » et « utilisateur » et protéger l’accès aux modifications importantes du système informatique. De même, le système d’information doit avoir des droits d’accès bien définis en fonction du profil de chaque utilisateur.

Télécharger les logiciels officiels
Téléchargez vos logiciels sur les sites officiels des éditeurs. Avant l’installation désactivez les cases proposant d’installer des logiciels complémentaires et l’ouverture automatique des documents téléchargés. Une fois téléchargés, avant toute chose, effectuez une analyse antivirus. Chaque système d’exploitation, application ou logiciel contient des vulnérabilités. Découvertes, elles sont corrigées dans les mises à jour de sécurité qu’il est nécessaire d’installer. De nombreux utilisateurs n’effectuent pas ces mises à jour : les failles sont ensuite exploitées par des personnes malveillantes. La solution la plus simple est de mettre en place des mises à jour régulières et automatiques. Vous gagnerez en productivité par la délégation de ces tâches chronophages. Vous pouvez aussi faire appel à un service professionnel qui gèrera l’ensemble de vos mises à jour de façon automatique et sécurisée.

Rédiger une charte informatique
Rédigez une charte informatique pour déterminer les droits et les obligations d’utilisation du système informatique pour cadrer le comportement des utilisateurs et prévenir les abus.

Désigner un référent
Choisissez un référent pour l’informatique dans votre PME qui est sensible aux enjeux de la sécurité. La cybersécurité peut aller encore plus loin. Face à la complexité des menaces, chaque entreprise a intérêt à se doter d’une politique de sécurisation de ses systèmes d’information. Déployée par un professionnel, une politique de cybersécurité peut même devenir un facteur de productivité, de compétitivité et de croissance pour les PME. En attendant, éteignez votre ordinateur pendant les périodes d’inactivité prolongée (nuit, weekend, vacances,…), cela aussi réduit les risques ! (par Pedro Sousa, pdg de Plenium)

Rencontres en ligne : les arnacœurs contre attaque !

35 % des français ont déjà créé un faux profil et 15 % ont menti sur leur âge : du petit mensonge aux escroqueries sentimentales, comment éviter les pièges ?

Les escroqueries qui fleurissent sur les sites et applications de rencontres sont de plus en plus courantes et les témoignages de victimes se suivent et se ressemblent. Tout internaute doit se montrer vigilant lors de ses activités en ligne et plus particulièrement lors de conversations intimes avec des inconnus. Il est essentiel de ne pas partager ses données personnelles, qu’il s’agisse d’informations bancaires, de coordonnées (adresse e-mail ou postale etc.) ou de détails sur sa vie privée. Alors, comment trouver l’amour en ligne sans se faire avoir ?

Une étude conduite par Avast auprès de plus de 1200 français de tous âges, confirme la nécessité d’appliquer certaines règles dans le cadre d’une rencontre en ligne : alors que plus de 30 % des répondants affirment être déjà tombé amoureux avant même leur première rencontre physique avec leur partenaire, des vérifications préalables s’imposent. S’il n’est probablement pas dramatique de mentir de quelques années sur son âge, la création d’un faux profil – avouée par 20 % des personnes interrogées – pose en revanche plus de questions sur les intentions de certains utilisateurs.

Parmi les informations régulièrement révélées par les membres de ce type de sites/applications, nombreuses sont celles qui permettent à des personnes mal intentionnées de mieux repérer les faiblesses de leurs interlocuteurs. L’enquête d’Avast le confirme : sur l’ensemble du panel, plus d’un tiers des personnes interrogées (34 %) affirment avoir déjà été sollicitées par une personne qui leur réclamait de l’argent lors d’échanges en ligne, et plus de 10 % ont d’ailleurs cédé ! Les arnaqueurs comptent en général sur la naïveté ou la détresse émotionnelle/sentimentale de leurs interlocuteurs pour arriver à leurs fins. Il existe pourtant des méthodes simples et efficaces pour éviter de tomber dans leurs filets.

En effet, il n’est pas compliqué de vérifier l’authenticité des photos de profil ou encore de déceler une arnaque suffisamment tôt pour ne pas se laisser impliquer émotionnellement. Car plus le temps passe avant de découvrir la supercherie, plus il sera difficile de stopper le processus, notamment dans le cadre d’un chantage qui devient « affectif ».

Près de 20 % des personnes interrogées déclarent avoir été victime de harcèlement sur un site ou une application de rencontre. Plus de la moitié des membres d’un site ou d’une application de rencontre sont mariés (38 %) ou entretiennent déjà une relation (13,78 %). La majorité des répondants sont inscrits sur un ou deux sites/applications (76 %) mais presque 5% sont membres de plus de 7 sites ou applications différentes. 20 % des répondants avouent avoir déjà créé un faux profil. 15 % confirment avoir déjà menti sur leur âge : 58 % se donnent entre 1 et 5 ans de moins (ou de plus), environ 20 % entre 6 et 11 ans et 20 % également modifient de plus de 18 ans leur véritable âge

« Il est évident que le partage d’informations personnelles est nécessaire dans le cadre d’une rencontre amoureuse en ligne, explique à DataSecurityBreach.fr Sarah Teboul, spécialiste e-commerce chez Avast. C’est la raison pour laquelle les utilisateurs doivent impérativement s’assurer de la crédibilité de leur interlocuteur avant de leur confier la moindre information personnelle. Il existe plusieurs façons de se prémunir contre ces pièges. Par exemple, lorsqu’ils sont sollicités pour de l’argent, ils peuvent entre autres bloquer la personne sur les réseaux sociaux et renforcer leurs paramètres de sécurité. Il leur est également possible de vérifier la source des photos ou poèmes reçus sur internet afin de confirmer l’identité de leur interlocuteur, les escrocs réutilisant en général les mêmes images et textes. De nombreuses ressources sont également disponibles en ligne tels que des portails dédiés mis en place par le gouvernement et des numéros verts qui apportent un soutien plus important aux victimes d’escroqueries. »

8 entreprises sur 10 canadiennes victimes d’un piratage informatique

Une enquête révèle que 87 pour cent des entreprises canadiennes auraient subi des incidents liés au piratage informatique.

Un sondage intéressant, signé par la société HSB BI&I, auprès de gestionnaires de risques permet de constater que les entreprises sont vulnérables. Près de 90 pour cent des entreprises canadiennes ont subi au moins un incident lié au piratage informatique dans la dernière année, selon une enquête réalisée auprès de gestionnaires de risques d’entreprises, publiée aujourd’hui par La Compagnie d’Inspection et d’Assurance Chaudière et Machinerie du Canada (HSB BI&I) faisant partie de la famille Munich Re.

« Les pirates informatiques ont évolué, et les risques également. Les entreprises doivent faire davantage pour protéger leurs informations sensibles et gérer toutes les violations de données ». Plus de la moitié (60 pour cent) d’entre eux croient que leurs entreprises consacrent suffisamment d’argent, ou de personnel qualifié et expérimenté, pour lutter contre l’évolution des techniques de piratage. Pourtant, 42 pour cent de ces entreprises n’ont pas souscrit une couverture de cyber-assurance.

« Avec la prévalence des cyber-attaques au Canada, il y a une nette divergence entre les perceptions des gestionnaires de risques et le niveau réel d’exposition de leurs entreprises face à une activité de piratage informatique », a déclaré à DataSecurityBreach.fr Derrick Hughes, vice-président chez HSB BI&I. « Les pirates informatiques ont évolué, et les risques également. Les entreprises doivent faire davantage pour protéger leurs informations sensibles et gérer toutes les violations de données ».

Parmi les gestionnaires de risques interrogés dans l’enquête, 66 pour cent représentaient les grandes entreprises, suivis par 28 pour cent pour les organisations de taille moyenne et de 6 pour cent pour les petites entreprises.

L’enquête a révélé une hausse notable de la sensibilisation et des préoccupations quant aux cyber-risques suite de l’adoption récente de la Loi sur la protection des renseignements personnels numériques (projet de loi S-4). Près de 70 pour cent des gestionnaires de risques ont déclaré qu’ils seraient plus enclins à souscrire une couverture de cyber-assurance pour leur entreprise en raison des nouvelles exigences en matière de notification de violation de données.

Les préoccupations concernant le type de renseignements pouvant être violés varient des informations sensibles de l’entreprise (50 pour cent) aux renseignements personnels identifiables (42 pour cent) et aux renseignements financiers (8 pour cent).

Interrogés sur les types de services de gestion des risques envisagés pour lutter contre les cyber-risques, les gestionnaires de risques répondent : la détection d’intrusion et les tests de pénétration (40 pour cent), le cryptage (24 pour cent) et les programmes de formation du personnel (19 pour cent).

HSB BI&I a réalisé la cyber enquête, le 28 septembre 2015, lors du congrès Risk and Insurance Management Society Conference Canada (RIMS Canada) à Québec. Cette enquête est destinée à représenter l’opinion des 102 gestionnaires de risques participants. Pour ce faire, ces derniers ont pris part à l’enquête par le biais d’une entrevue en personne. Les participants représentaient les entreprises de petites (1-99 employés), moyennes (100-999 employés) et grandes tailles (1 000 employés et plus), dans les secteurs d’activités suivants : les services publics et l’énergie; les mines; l’aérospatial, la défense et la sécurité; la fabrication; le secteur public; la technologie; les services financiers, la santé/médical; la vente au détail.

Vulnérabilité de la porte de garage: le code radio de milliers de télécommandes a été piraté

Des moyens parfois simples permettent aux cambrioleurs de gagner un accès inaperçu aux garages et aux immeubles d’habitation. La Police préconise une vérification des télécommandes et un remplacement des appareils peu sûrs le plus rapidement possible.

Avec les jours qui commencent à raccourcir, le nombre de cambriolages augmente rapidement. De plus en plus souvent, les cambrioleurs profitent d’une faille de sécurité jusque-là sous-estimée. Le signal d’ouverture de nombreuses télécommandes de portes de garage peut être intercepté dans un rayon de 100 mètres de l’émetteur [lire]. Quiconque connaît l’astuce peut très facilement utiliser une télécommande clonée pour ouvrir la porte du garage et entrer dans la maison. Cette méthode fonctionne surtout sur des systèmes plus anciens, équipé d’un code dit KeeLoq Rolling. Certes, le cryptage de ces émetteurs change certes à chaque fois, pas de manière arbitraire, mais bien prévisible. Selon la police, cette méthode a été décryptée il y a déjà plusieurs années. Différents codes de fabricant sont maintenant proposés par les pirates sur des sites Internet pertinents.

Par conséquent, la police préconise aux propriétaires de vérifier si leur télécommande est concernée par ce problème. Le cas échéant, le système devra être remplacé. Des alternatives sûres existent pour cela. Chamberlain, le leader mondial des automatismes de portail, a développé déjà en 2000 sa propre technologie de commande et de cryptage. Depuis 2013, toutes les unités sont équipées de systèmes de cryptage brevetés qui vont bien au-delà du niveau des modèles habituels commercialisés. Une adaptation ultérieure d’anciens systèmes de commande vers un modèle à haute fréquence n’est pas possible en règle générale. En cas de doute, il faut procéder à un remplacement du moteur y compris le récepteur et la télécommande. Des moteurs de porte de garage à haute sécurité sont disponibles pour moins de 200 euros. Au vu d’un éventuel scénario de dommages, cet investissement est tout à fait raisonnable. En outre, grâce au moteur bloquant l’ouverture, les portes de garage motorisées contribuent généralement à une protection optimale contre les cambriolages.

En juin 2015, DataSecurityBreach.fr vous expliquait comment un jouet Mattel, légèrement modifié, permettait de pirater et ouvrir des portes de garages !

12ème édition des Trophées de la Confiance dans l’Economie Numérique

La Fédération des Tiers de Confiance décernera le 8 décembre 2015 ses Trophées de la Confiance dans l’Economie Numérique. Les dossiers de candidature sont d’ores et déjà disponibles sur le site de la Fédération des Tiers de Confiance.

Pour cette 12ème édition, la Fédération des Tiers de Confiance remettra :
– le Trophée de l’Innovation dans la catégorie produit
– le Trophée de l’Innovation dans la catégorie service

L’objectif est d’encourager, de promouvoir et de récompenser un produit et un service novateurs issus des secteurs privé ou public, dont les qualités et les propriétés contribuent à l’établissement d’un environnement technologique sécuritaire, de nature à renforcer le sentiment de confiance des utilisateurs, dans le cadre de leurs échanges digitalisés.

– le Trophée de la Promotion de la Confiance dans l’Economie Numérique.
Celui-ci a pour objectif de récompenser la personne physique ou morale, dont les annonces, les démarches ou les travaux, ont contribué à la promotion de la Confiance dans l’Economie Numérique. A noter que le site ZATAZ.COM participe à cette troisième catégorie en présentant son Protocole d’alerte. Une action bénévole, depuis 18 ans, qui a déjà permis d’aider plus de 60 000 entreprises, associations,… à se protéger d’une fuite de données, d’une faille…

Quels critères de confiance ?
Un jury composé d’experts, de personnalités de la sphère des nouvelles technologies et de la digitalisation des échanges et de personnalités du monde scientifique, littéraire, artistique et universitaire, élira les lauréats des Trophées de l’Innovation. Les critères suivants ont été retenus :

Légitimité : parfaite maîtrise du contexte juridique et/ou normatif associé à la solution proposée
Intégration : apports et intégration de la solution dans une chaîne globale des traitements au sein de l’entreprise
Efficience : maîtrise des éléments budgétaires et notamment les conditions d’attente d’un ROI (Retour sur investissement) programmé
Evolutivité : prise en charge de l’accompagnement des utilisateurs (accessibilité), ouverture de la solution vers d’autres fonctionnalités.

La Fédération des Tiers de Confiance (FNTC) regroupe 130 acteurs Français et étrangers qui entendent prendre une part active dans la mise en œuvre et la promotion de la Confiance dans l’Economie Numérique : professionnels fournisseurs et/ou utilisateurs de services numériques, institutions et professions réglementées, entreprises de taille variée, start-ups, experts techniques et juridiques, universitaires.

Créée en 2001 par un ensemble de professionnels réglementés et de prestataires de services suite à la loi du 13 mars 2000, afin de structurer les échanges numériques naissants, la FNTC étend désormais son action au niveau international avec l’ensemble des acteurs qui souhaitent développer la Confiance dans le Numérique. Trois missions articules le FNTC : Construire la confiance dans le numérique de demain; Promouvoir les techniques et méthodes pour garantir la confiance dans le numérique et favoriser la connaissance des meilleures pratiques; Accompagner les institutions publiques.

Les internautes allemands confrontés à des publicités malveillantes

Les clients du Fournisseur T-Online et du site eBay visés par des publicités malveillantes. Un cheval de Troie était installé dans les ordinateurs des victimes.

Sale ambiance, fin de semaine dernière, pour des milliers d’internautes allemands. Des pirates informatiques ont réussi l’infiltration d’une importante régie publicitaire locale, MP NewMedia. Lors de cette intrusion, les malveillants ont fait de manière à afficher de fausses annonces sur d’importants sites web (boutique, presse, …).

Parmi les diffuseurs involontaires d’un cheval de Troie, le fournisseur d’accès à Internet T-Online ou encore eBay. Dans le cas du FAI, dès qu’un visiteur souhaitait se rendre sur son compte mail, une message lui proposait de télécharger un logiciel. Derrière le programme, un code malveillant d’espionnage ! Tous les clients ayant visité T-Online, du vendredi 16 octobre au dimanche 18 octobre ont pu être compromis.

Prudence, il y a de forte chance que les pirates se soient attaqués à d’autres régies publicitaires. (MalwareBytes)

Les attaques DDoS sont-elles des leurres ?

Une enquête réalisée par B2B International révèle que dans la plupart des cas une attaque DDoS n’est que la partie visible de l’iceberg : 74 % des responsables interrogés signalent que les attaques DDoS contre leur entreprise se sont accompagnées d’autres incidents de sécurité informatique.

Parfois, il ne s’agit pas de simples coïncidences mais de tentatives délibérées de diversion pour détourner l’attention du personnel informatique. On parle alors de la technique de l’« écran de fumée » DDoS.

Les attaques DDoS, un moyen de détourner l’attention des services informatiques
Les participants à l’enquête citent le plus souvent les logiciels malveillants (21 %) et les piratages (22 %) comme les menaces numéro un pour leur entreprise, mais ils ne sont que 6 % à mentionner les attaques DDoS. En parallèle, les attaques DDoS coïncident souvent avec des incidents provoqués par des malwares (dans 45 % des cas) et des intrusions dans le réseau de l’entreprise (32 %). Des fuites de données ont également été détectées en même temps qu’une attaque dans 26 % des cas.

Les entreprises des secteurs de la construction et de l’ingénierie ont été confrontées à ce problème plus souvent que les autres : selon les responsables interrogés, 89 % des attaques DDoS dont elles ont été la cible sont allées de pair avec d’autres types d’attaques.

1 attaque DDoS sur 4 engendre une indisponibilité totale des services
Cependant, même sans tenir compte des dommages collatéraux, les attaques DDoS demeurent un sérieux problème qui touche de plus en plus les ressources des entreprises. En particulier, dans 24 % des cas, une attaque DDoS a causé une indisponibilité totale des services (39 % dans les entreprises publiques). Dans 34 % des cas, certaines transactions ont échoué en raison de telles attaques, ce chiffre grimpe à 64 % pour les compagnies de transport. L’an passé, ces chiffres étaient nettement plus bas : seules 13 % des entreprises avaient fait état d’une indisponibilité totale de leurs services à la suite d’attaques DDoS, et 29 % d’erreurs dans des transactions.

Un ralentissement significatif du chargement des pages web reste l’une des conséquences les plus courantes des attaques DDoS (53 % cette année contre 52 % l’an passé) ; cependant, selon l’enquête, les attaques peuvent durer des jours voire des semaines.

« Il est naturel que les attaques DDoS posent des problèmes croissants aux entreprises. Les méthodes et techniques employées par les criminels évoluent, les auteurs des attaques cherchant de nouveaux moyens de paralyser les activités de leurs victimes ou de masquer une intrusion dans leurs systèmes. Même avec un vaste contingent de personnel informatique, il est quasi impossible pour les entreprises de faire face à une attaque DDoS d’envergure et de restaurer leurs services par elles-mêmes. En outre, si une autre activité malveillante se déroule simultanément, cela démultiplie les dégâts. Le plus dangereux réside dans le fait que les entreprises soient susceptibles de ne jamais apprendre qu’elles ont été victimes d’une attaque DDoS, servant souvent d’écran de fumée », conclut à DataSecurityBreach.fr Evgeny Vigovsky, responsable des activités de Kaspersky Lab pour la protection contre les attaques DDoS.

La contre-mesure la plus efficace face aux attaques multivecteurs est une protection complète qui assure la sécurité à la fois contre les malwares, les intrusions et les attaques DDoS. Kaspersky Lab s’est spécialisé dans cette forme de protection depuis de nombreuses années et l’efficacité de ses solutions est confirmée aussi bien par des laboratoires de test indépendants que par les 270 000 entreprises clientes de la société.

Comme le blog ZATAZ.COM a pu le prouver, les attaques DDoS sont de plus en plus simple à lancer via des sites offrant, contre argent, des minutes de blocage. La grande majorité des DDoS rencontrés avaient pour mission de vanter ce genre de « boutique » de DDoS.

L’open source : L’innovation et la sécurité par la transparence

Le contraste entre les logiciels propriétaires et open source est aussi vieux que l’industrie de l’informatique elle-même. Dans presque toutes les catégories, des logiciels sont disponibles soit auprès de fournisseurs qui développent et commercialisent eux-mêmes leur code, soit auprès de communautés de développeurs travaillant avec du code ouvert.

Au cours de la dernière décennie, l’aversion envers l’utilisation des logiciels libres, particulièrement dans les entreprises, a pris un tournant majeur. Les managers ont réalisé que si même les géants de l’informatique comme Facebook, Google et Amazon font appel à l’open source, les entreprises ordinaires devraient pouvoir le faire aussi. Les avantages de l’open source sont bien connus : les coûts inférieurs (à noter que coûts inférieurs ne veut pas forcément dire gratuits), la qualité supérieure et la sécurité qui découlent d’une grande communauté de développeurs et l’absence de dépendance à un fabricant sont des arguments de poids. Dans certains domaines, les produits open source sont déjà leaders de leur catégorie. Linux, Firefox et WordPress, par exemple, sont d’énormes réussites auprès des particuliers. MySQL, Apache, Free BSD, Zimbra et Alfresco se retrouvent fréquemment dans les environnements d’entreprise.

Toutefois, la distinction n’est pas aussi claire qu’on pourrait le penser : il n’est pas possible de diviser simplement les logiciels en catégories (ouvert ou fermé, libre ou non-libre, open source ou propriétaire). Il existe toutes sortes de sous-catégories, ce qui donne lieu à d’importantes différences dans les conditions de licence. Pour les entreprises, toutefois, il est pertinent de s’intéresser aux catégories de logiciels open source et propriétaires, et c’est la combinaison des deux, sous la forme de logiciels open source commerciaux, qui offre de fait le meilleur des deux mondes.

Un changement culturel global est en cours en faveur de l’open source. Par exemple, l’UE et le gouvernement des États-Unis investissent de grosses sommes d’argent pour augmenter leur utilisation de l’open source. Et au CERN (l’Organisation européenne pour la recherche nucléaire), qui a longtemps été un pionnier de l’informatique, les scientifiques sont encouragés à mener leurs recherches à l’aide de solutions libres de nouvelle génération. La tendance ne se limite plus désormais aux logiciels. Le « matériel libre » se répand : le Raspberry Pi, le Kano, l’Arudion, le MatchStick basé sur Firefox, le NAO et le Hummingboard sont tous des exemples démontrant le dynamisme des projets libres, qui font naître de nouvelles tendances comme l’Internet des Objets. Et pourtant l’open source n’est pas quelque chose de réellement nouveau. La plateforme informatique open source ultime reste le mainframe, qui était également le noyau de l’ordinateur personnel actuel et a donc toujours représenté une communauté open source considérable.

Des solutions open source commerciales : un système donnant-donnant

Le modèle de développement open source permet aux entreprises de prendre en charge leur projet avec des technologies adaptées, évolutives et un code ajusté à leurs exigences, et par là même de renvoyer l’ascenseur à la communauté. Dans les logiciels open source commerciaux, tout nouveau code passe par un processus strict d’assurance qualité pour garantir la sécurité des entreprises clientes et de leurs utilisateurs finaux. Les changements pouvant bénéficier à un ensemble plus large d’entreprises clientes sont contrôlés et la communauté les ajoute ensuite à son code de base. Pour pouvoir utiliser tous les avantages de l’open source, il faut une relation étroite avec un fournisseur de solutions open source commerciales. C’est essentiel pour promouvoir la créativité et les contributions au sein de la communauté. Les entreprises peuvent également fournir du code pour prendre en charge leurs activités. Les fournisseurs de solutions open source commerciales ne fournissent que l’assistance et le processus strict de développement du produit, comprenant les tests avec les bases de données, les conteneurs et l’assurance qualité qui font normalement partie du développement des logiciels propriétaires.

Des soucis de sécurité avec l’open source ? Au contraire !

Avec l’acceptation croissante des logiciels open source, les logiciels propriétaires purs perdent du terrain sur le marché. Beaucoup d’utilisateurs doutent de la souplesse des logiciels propriétaires dans les années à venir et beaucoup considèrent leur dépendance par rapport à leur fournisseur comme une restriction indésirable. Lorsqu’elles envisagent le futur des services numériques, qu’il s’agisse de ceux des entreprises ou des administrations, des entreprises comme Facebook et Google considèrent l’open source comme indispensable. La plupart des fournisseurs utilisent d’ailleurs déjà l’open source dans divers domaines de leurs opérations informatiques. Les solutions open source fournissent, en particulier, une plateforme pour une technologie prête à l’emploi pouvant être personnalisée pour différents produits. Néanmoins, malgré l’acceptation grandissante de l’open source, les entreprises gardent des inquiétudes à propos de leur fiabilité et de leur sécurité. Mais quels sont les arguments derrière ces inquiétudes ?

Le préjugé menant à penser que les logiciels open source ne sont pas sécurisés ne se vérifie absolument pas. Le réseau international de développeurs, d’architectes et d’experts de la communauté open source est de plus en plus reconnu en tant que ressource majeure. La communauté fournit un retour professionnel d’experts du secteur qui peuvent aider les entreprises à produire du code plus robuste, à créer des correctifs plus vite, et capables de développer des innovations et des améliorations à de nouveaux services. Dans un modèle propriétaire, la qualité du logiciel est limitée à celle du petit ensemble de développeurs qui y travaillent. Les entreprises qui font appel à des vendeurs tiers pour leurs logiciels propriétaires peuvent avoir un sentiment de sécurité plus fort, mais elles se bercent d’illusions : au nom de la propriété intellectuelle propriétaire, les éditeurs peuvent facilement empêcher leurs clients professionnels de savoir s’il existe des failles de sécurité dans leur code – jusqu’à ce que des pirates les exploitent. Nous avons vu récemment de nombreux exemples de ce fait, qui ont entraîné des problèmes pour de nombreux clients.

En raison du haut degré de transparence au sein de la communauté open source, le travail de ce réseau d’experts est d’une grande qualité ; ses membres attachent une importance extrême au maintien de leur réputation. Personne ne peut se permettre de mettre sa crédibilité en jeu lorsque toute la communauté peut voir le code publié sous son nom et le commenter. Par conséquent, les membres de la communauté soumettent tout code nouvellement compilé à un long travail de vérification avant de le publier. Cela devrait dissiper les craintes injustifiées concernant les failles de sécurité.

Une architecture ouverte et une évolutivité sans limite pour des solutions fiables

Les médias sociaux, le cloud, les big data, la mobilité, la virtualisation et l’Internet des Objets révolutionnent constamment l’informatique. Les technologies existantes peinent à suivre le rythme de ces changements. Les entreprises et les institutions doivent fournir leurs services sur de nombreux canaux tout en garantissant une sécurité totale des données. Avec des systèmes propriétaires rigides, cela est pratiquement impossible, et la communauté open source démontre tous les jours que les produits utilisant du code open source sont plus que prêts à gérer des services importants. Apache est déjà le numéro un. MySQL en prend le chemin ; tôt ou tard, il est très probable qu’OpenStack deviendra le logiciel de référence pour la gestion des centres informatiques et OpenAM est l’un des meilleurs produits pour les droits d’accès reposant sur les identités numériques. Les entreprises qui refusent d’utiliser l’open source courent le risque de prendre du retard sur l’étendue et la puissance des fonctions, et de ne pas être en mesure de proposer à leurs clients une expérience utilisateur numérique complète.

La réussite de l’open source se mesure par sa capacité à garantir un haut degré de sécurité et d’innovation. Si les logiciels développés de façon libre n’étaient pas sûrs, la sécurité et l’innovation ne seraient pas possibles. L’open source offre donc la sécurité grâce à sa transparence, ce que les logiciels propriétaires ne peuvent pas se permettre. Les entreprises feraient bien de garder un œil sur les solutions open source. (Par Ismet Geri, vice-président Europe du Sud chez ForgeRock)

Un malware prend la place de Chrome pour surveiller les machines piégées

Des chercheurs ont découvert un malware qui prend le relais du navigateur Chrome. Similaire au navigateur de Google, des bonus malveillants en plus.

Décidément, les malwares pour Android, iOS et autres ordinateurs sont légions. Gdata a annoncé, le 20 octobre 2015, pas moins de 3 millions de nouveaux codes malveillants découverts lors des 6 premiers mois de l’année 2015 ; Apple vient d’effacer 256 applications de l’App Store. Des applications qui volaient des données personnelles aux utilisateurs.

Dans cette panoplie malveillante, un petit nouveau qui est basé sur le code de Chromium, un outil open-source qui permet de garder la même interface que Chrome dans les outils créés. Le malware fonctionne ainsi : d’abord il fait de manière à devenir le navigateur par défaut. Il prend en charge un certain nombre de fichiers tels que HTML, JPG, PDF et GIF.

Malwarebytes explique que le malware détourne aussi les associations d’URL : HTTP, HTTPS et MAILTO et la quasi-totalité des authentifications du PC avec l’Internet. Le navigateur affiche ensuite des tonnes de publicités vers des sites pirates proposant faux antivirus et autres promotions commerciales douteuses. Le navigateur est diffusé par la société Clara Labs, une « entreprise » basée à San Francisco, du moins sa boite aux lettres.