Archives de catégorie : Mise à jour

BYOD, Cloud, Cyber-attaque, Cybersécurité, Entreprise, escroquerie, Fuite de données, ID, Identité numérique, Leak, Mise à jour, Particuliers, Patch, Piratage, Social engineering, Vie privée

Piratage dans le petit monde de la TV connectée

Le service PLEX, spécialisé dans la diffusion de films dans les télévisions connectées, piraté. Les clients sont invités à changer leur mot de passe.

Des pirates informatiques ont réussi à prendre la main sur le forum et le blog du serveur de l’entreprise Plex. La société, dont le logiciel éponyme permet de diffuser des films, photos et vidéo sur sa télévision connectée, vient d’avertir ses clients et propose de changer le mot de passe utilisé pour accéder à ses services. Le pirate aurait eu accès aux adresses IP, messages privés, courriels et aux mots de passe (chiffrés MD5, NDR) du forum.

Dans un message, la société a attribué le problème à une vulnérabilité PHP/IPB qui a permis au pirate de mettre la main sur les données. DataSecurityBreach.fr peut confirmer qu’un pirate, du nom de Savaka, a réclamé 1500 £ pour ne pas diffuser les informations volées. Il a prouvé son passage en modifiant la page index de l’administration du site.

Dear Plex User,

Sadly, we became aware this afternoon that the server which hosts our forums and blog was compromised. We are still investigating, but as far as we know, the attacker only gained access to these parts of our systems. Rest assured that credit card and other payment data are not stored on our servers at all.

If you are receiving this email, you have a forum account which is linked to a plex.tv account. The attacker was able to gain access to IP addresses, private messages, email addresses and encrypted forum passwords (in technical terms, they are hashed and salted). Despite the password encryption measures, we take your privacy and security very seriously, so as a precaution, we’re requiring that you change your password.

Be sure to choose a strong password, never share it, and never re-use passwords for different accounts! Even better, use a password manager (1Password, for example) to manage a unique password for you. Access to your Plex account will be blocked until you do so.

Please follow this link to choose a new password.
We’re sorry for the inconvenience, but both your privacy and security are very important to us and we’d rather be safe than sorry!
We will post more detailed information on our blog shortly. Thanks for using Plex!

The Plex Team

Chiffrement, cryptage, Cybersécurité, ID, Identité numérique, Mise à jour, Particuliers, Patch, RFID, Vie privée

Maison connectée : le défi de la protection de l’identité

Fin mai se tenait à Paris la Connected Conference, un rendez-vous devenu incontournable pour tous les acteurs du Monde Connecté où de grands acteurs de l’industrie ont été invités à s’exprimer (Nest, Alcatel-Lucent, Lego). C’est en se rendant à l’intérieur de leur «Maison Connectée» créée pour l’événement que l’on pouvait prendre la mesure du phénomène: de l’ampoule, aux serrures en passant par les thermostats, tout sera connecté.

Il est nécessaire que les industriels développent des appareils se focalisant sur l’identité de l’utilisateur et créent un protocole de sécurité simple et uniforme, à travers les appareils, les applications, et les réseaux. Cependant, comment être sûrs que ces appareils soient assez sécurisés au vue de leur nombre et diversité et de la croissance exponentielle des applications multi-plateformes ?

Des défis à ne pas négliger
Les technologies biométriques s’installent peu à peu dans notre quotidien, mais ce n’est que tout récemment qu’elles ont fait leur entrée dans nos maisons. Au-delà des nombreux avantages que peut offrir la maison connectée pour nous faciliter la vie (praticité, automatisation des processus, optimisation des coûts…), elle soulève de nombreuses questions, notamment en matière de confidentialité et de sécurité des données. « Avec de nouveaux points d’entrées dans nos foyers, les pirates peuvent facilement s’immiscer dans notre quotidien, connaitre nos habitudes et pirater nos données »

Les appareils connectés d’ores et déjà disponibles à la vente offrent des services au top de la technologie, mais dont la sécurité est souvent sacrifiée à la fonctionnalité : la plupart d’entre eux ne disposent pas, par exemple, de mécanismes de réponse en cas de piratage de leurs équipements. Avec ces nouveaux points d’entrées dans nos foyers, les hackers peuvent facilement s’immiscer dans notre quotidien, connaitre nos habitudes et pirater nos données. Nous entendons trop souvent parler de cyber attaques, de vols de données confidentielles pour ne pas s’interroger, à juste titre, sur les menaces pesant sur les appareils enregistrant notre quotidien, nos habitudes, nos préférences, notre intimité.

Il est ainsi nécessaire que les industriels développent des appareils se focalisant sur l’identité de l’utilisateur et créent un protocole de sécurité simple et uniforme, à travers les appareils, les applications, et les réseaux. Ainsi, le thermostat intelligent devra être en mesure d’ordonner à votre lave-linge quand commencer un programme d’une autre marque, via un réseau Wi-Fi dont on connaît que trop bien la vulnérabilité. Certes ces appareils ne représentent pas des données confidentielles mais les caméras de surveillance la porte du garage, les baby-phones,… nombreux sont les objets sensés nous rassurer et que des hackers pourraient utiliser contre nous.

La biométrie, une option gagnante
La biométrie, c’est l’identification d’une personne par une partie de son corps (main, œil, doigt, visage) pour accéder à un service ; en d’autres termes, c’est un excellent moyen pour s’authentifier ou se connecter à tous types d’appareils. « Il devient urgent que les industriels s’attachent à travailler conjointement avec des professionnels de la sécurité des identités numériques »

Dans la maison intelligente du futur, la biométrie et par extension toutes les technologies nécessitant l’identité de l’utilisateur pour commander un service seront utilisées. Le téléphone portable sera l’objet central de la maison connectée. Depuis ce dernier, les utilisateurs pourront contrôler tous les aspects de leur maison et de leurs appareils ménagers grâce à l’authentification biométrique. Le management de l’identification et de l’authentification sera la clef pour les contrôler. Il est ainsi maintenant possible de mettre en route certains objets à distance : faire chauffer de l’eau, contrôler la température d’un four depuis notre voiture, tout est possible ! De plus en plus diversifié, le marché de l’IoT doit veiller à uniformiser ses offres s’il ne veut pas basculer dans la complexité. L’industrie a besoin de créer un accès simplifié et sécurisé pour permettre aux différents objets connectés de marques concurrentes de communiquer entre eux.

Nous pouvons facilement imaginer qu’à l’avenir, tout ce qui requiert une connexion par identification ou authentification pourrait être contrôlé par la biométrie : thermostats, compteurs intelligents, interrupteurs… Dans le futur, nous pourrons rendre nos foyers aussi connectés que nous le souhaitons !

L’internet des Objets offre de nombreux avantages mais soulève à la fois de nombreuses inquiétudes en terme de connexion et d’accès. Il devient urgent que les industriels s’attachent à travailler conjointement avec des professionnels de la sécurité des identités numériques pour garantir un accès sécurisé afin de protéger de manière optimale des données hautement confidentielles.

Android, backdoor, Banque, Bitcoin, Chiffrement, cryptage, Cybersécurité, Mise à jour, Patch, Sécurité, Smartphone

Risques sur mobiles : 1 code malveillant sur 2 cible l’argent des victimes

Selon le G DATA Mobile Malware Report, 5000 nouveaux programmes malveillants ciblent les appareils mobiles chaque jour.

Les achats réalisés à partir d’appareils mobiles connaissent une forte croissance. En France, le m-commerce représente 20 % des transactions en ligne selon le bilan du e-commerce au 1er trimestre 2015 de la Fevad. La gestion des comptes bancaires en ligne avec le mobile est une autre tendance qui attise la convoitise des cybercriminels. En gérant ses accès bancaires avec son mobile, l’utilisateur casse la protection à double facteur et laisse la porte ouverte aux attaques. Le rapport sur les dangers mobiles montre que 50% des 440 000 programmes analysés au premier trimestre 2015 ont un objectif purement financier.

La banque sur mobile, nouvelle cible ?
La croissance de l’utilisation des appareils mobiles pour gérer les comptes bancaires en ligne pose un nouveau problème de sécurité exploité par les cybercriminels. Les authentifications à double facteurs (identification sur le site Internet et validation par envoi SMS sur le mobile) mises en place par les banques pour sécuriser l’accès au compte en ligne montrent leur limite lorsque l’accès au compte et la validation se réalisent sur le même appareil. Une faille exploitée par exemple par le trojan bancaire FakeToken. Ce code se déguise en une application fournie par la banque. Une fois installée sur le mobile, l’application accède au compte de la victime et réalise des transactions bancaires en interceptant les codes de validation envoyés par SMS.

L’argent comme priorité
Les tablettes et smartphones deviennent des cibles de choix chez les attaquants. Il a été constaté qu’au moins 50% des programmes malveillants analysés ont une finalité financière. Les trojans constituent la majorité de ces dangers. Certains chiffrent les données de l’utilisateur et demandent une rançon ou abonnent la victime à des services surtaxés. D’autres, plus avancés, ciblent les comptes bancaires.

Hausse des dangers sur mobiles au premier trimestre 2015
Les experts ont identifié 440 267 nouveaux échantillons de malware Android au premier trimestre 2015. Comparé au dernier trimestre 2014 (413 871), le nombre de programmes nuisibles pour Android augmente de 6,4%, et de 21% si l’on compare au 1er trimestre 2014 (363 153).

backdoor, Cybersécurité, Logiciels, Microsoft, Mise à jour, Patch

Guerre ouverte entre Samsung et Microsoft ?

Samsung aurait délibérément désactivé Windows Update de ses machines.

L’information a de quoi étonner. D’après BSOD Analysis, le géant Coréen aurait désactivé Windows Update de ses machines. SW Update est le logiciel de mise à jour OEM pour les ordinateurs Samsung. Sa mission, mettre à jour vos pilotes Samsung, etc. La seule différence entre les autres logiciels de mise à jour OEM est que l’outil de Samsung… désactive Windows Update. A première vue, Samsung n’a pas appris des erreurs de l’affaire Lenovo/Superfish.

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données, loi, Mise à jour, Patch, santé, Social engineering

Nos données de santé, source de convoitises pour les pirates

2 commentaires

91% des entreprises de santé interrogées ont subi une violation de leurs données au cours de ces 2 dernières années selon l’étude « Privacy and Security of Healthcare Data » du Ponemon Institute et seulement 32% pensent avoir les ressources suffisantes pour parer ces incidents1. La majorité des entreprises de santé sont désarmées et ne sont absolument pas en mesure de répondre à la Réglementation européenne sur la Protection des Données qui devrait être mise en application très prochainement.

L’étude Ponemon montre que, pour la première fois, les attaques criminelles sont la première cause de violations de données de santé. Jusqu’alors, la perte ou le vol d’ordinateurs, de tablettes ou de smartphones par négligence avait conduit à des violations de données. Aujourd’hui, les choses ont évolué. Nous passons des violations de données accidentelles ou opportunistes aux violations de données intentionnelles. Une tendance qui s’affirme. Les cybercriminels ciblent de plus en plus les données médicales. Ils exploitent cette mine de renseignements personnels, financièrement lucratifs. Les centres hospitaliers, laboratoires d’analyses médicales, pharmacies… ne disposent malheureusement pas des ressources, des processus et des technologies pour prévenir et détecter les attaques contre les données sensibles qu’elles manipulent. Leur défaillance, régulièrement pointée du doigt par les médias, se traduit par la fuite des données sensibles de leurs patients. On se souvient par exemple, des centaines de résultats d’analyses médicales provenant d’une soixantaine de laboratoires, accessibles sur Internet à cause d’une faille2 ou de la publication du dossier médical de Michael Schumacher3.

Si l’on observe une légère hausse des investissements des organisations de santé pour protéger les informations médicales, ces efforts restent cependant insuffisants pour contrer les cyber-menaces qui évoluent très rapidement. La moitié des entreprises de santé ont peu confiance – parfois même pas du tout – dans leur capacité à détecter une perte ou un vol de données de leurs patients.

Une faiblesse en décalage avec les obligations légales
En France, les informations relatives à l’état de santé physique et psychique d’un patient sont des données personnelles, soumises au Code de la santé publique et à la loi Informatique et Liberté. La Réglementation générale sur la protection des données, en cours d’adoption par le Conseil de l’Union Européenne vient compléter la législation française. Les professionnels et les établissements de santé sont strictement tenus au respect des obligations concernant la collecte, l’utilisation, la communication, le stockage et la destruction des données à caractère personnel. En pratique, les professionnels de la santé doivent prendre toutes les précautions nécessaires pour empêcher que ces données soient modifiées, effacées (par erreur ou volontairement) et que des tiers non autorisés y aient accès.

L’absence de mise en œuvre de mesures de sécurité est considérée comme une atteinte grave à la protection de la vie privée et peut être pénalement sanctionnée (amende et emprisonnement). Cependant, de nombreux professionnels ont des difficultés à se mettre en conformité avec la réglementation. En milieu hospitalier, par exemple, médecins, infirmiers et personnel administratif n’ont pas toujours été sensibilisés aux règles à respecter en matière de sécurité et de confidentialité des données.

Une réglementation unique pour toute l’Europe
La mise en œuvre de la future Réglementation sur la Protection des Données qui s’effectuera de manière identique dans tous les pays membres contrairement à la Directive actuelle, devrait avoir d’importantes conséquences sur l’organisation de l’entreprise. Comment respecter cette norme qui va engendrer des changements au niveau de la collecte, du stockage, de l’accessibilité et de l’utilisation des données ?

Toute violation des données devra obligatoirement être déclarée. Concrètement, un système actif de surveillance des échanges et des flux de données devient nécessaire. Il convient en premier d’examiner avec attention le rôle et la responsabilité des différents acteurs de l’entreprise manipulant les dossiers médicaux. Il faut engager une sensibilisation forte au respect des bonnes pratiques, puis établir une politique de sécurité et de protection des données. On commence par évaluer les risques pour décider les actions à adopter, en fonction des faiblesses de l’établissement de santé. Le point clé est la visibilité sur la circulation des données au sein du réseau, compte tenu du risque que leur transmission génère. La mise en place d’une solution de SIEM* est le moyen efficace pour surveiller la sécurité des systèmes informatiques, contrôler l’accès aux systèmes où sont stockées les données médicales et recevoir des alertes quand on y accède. Les logs fournissent une vision complète et exacte de ce qui a été consulté. Informer rapidement les organismes de réglementation en cas de violation des données devient alors possible ainsi que configurer des rapports prouvant la conformité à la Réglementation.

Anticiper la mise en place de solutions efficaces
La communauté des entreprises de santé partage des données vulnérables et offrent une grande surface d’attaque avec de nombreux points d’accès aux cybercriminels de plus en plus habiles à dérober et exploiter des informations personnelles. Aussi convient-il de faire appel à des experts pour mettre en place dès à présent ces exigences en matière de sécurité et de conformité. On peut bien sûr penser que rien ne presse, la mise en œuvre effective de la réglementation étant prévue après une période de deux ans. L’expérience montre que l’examen d’une structure organisationnelle ainsi que les mises à niveau nécessaires du système prennent du temps. (par Frédéric Saulet, pour DataSecurityBreach.fr, Directeur Régional Europe du Sud de LogPoint)

* SIEM : Security Information and Event Management – Le principe du security information management est de gérer les événements du système d’information (Wikipédia).

backdoor, Chiffrement, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données, Mise à jour, pourriel, Propriété Industrielle, ransomware, Sauvegarde, Social engineering

Les collaborateurs, première menace pour les données de l’entreprise ?

Selon une récente étude[1] réalisée en France, les salariés seraient très confiants quant à la sécurité informatique au sein de leur entreprise. En effet, seuls 36% d’entre eux pensent qu’elle a déjà été la cible de hackers alors qu’en réalité, 90% des organisations reconnaissent avoir déjà subi une attaque. En outre, 85% des personnes interrogées estiment que leur entreprise est bien protégée contre les cyber-attaques et les hackers.

Des résultats qui révèlent une importante contradiction entre la perception des employés et la réalité des risques actuels qui planent sur les ressources et les données d’une organisation alors que les menaces se multiplient et sont de plus en plus sophistiquées. Jean-Pierre Carlin, Directeur Europe du Sud chez LogRhythm, a fait les commentaires suivants : « Ces chiffres sont surprenants dans la mesure où les affaires de faille de sécurité et de vol de données massifs font très régulièrement la une des médias depuis quelques mois. Ce sentiment de confiance représente une véritable porte ouverte aux hackers car si les collaborateurs n’ont pas conscience des risques qui planent sur les données et les ressources de l’entreprise, il y a fort à parier pour que les bonnes pratiques et les procédures essentielles en matière de sécurité ne soient pas non plus appliquées, voire négligées ».

En outre, ce n’est pas parce qu’une entreprise est protégée qu’elle ne subira pas d’attaque, ce que semblent pourtant penser les employés interrogés. En effet, des hackers qui souhaitent pénétrer au sein d’un système d’information finiront tôt ou tard par y parvenir, même si cela prend du temps.

Pour que les collaborateurs aient une perception en adéquation avec la réalité, les entreprises doivent impérativement poursuivre leurs efforts pour les sensibiliser aux cyber-risques, aussi bien pour leurs données personnelles que pour celles de l’organisation, ainsi qu’aux conséquences préjudiciables que peut entrainer une fuite de données. La formation de l’ensemble des membres d’une organisation aux risques, aux différents types d’attaques potentielles ainsi qu’à l’application systématique des bonnes pratiques représentent la base pour initier une stratégie globale de sécurité efficace. Le contrôle d’accès, la vigilance relative aux emails ainsi que le renouvellement régulier des mots de passe font notamment partie des mesures indispensables. En outre, les responsables de la sécurité doivent mettre en place un dispositif de sanction pour les employés qui ne respectent pas les règles imposées par l’entreprise, pour une meilleure implication mais aussi pour engager leur responsabilité.

Selon l’étude Capgemini, 28% des personnes interrogées estiment que la politique de sécurité informatique de leur société n’est pas vraiment claire, voire pas du tout, et 39% déclarent ne pas la connaître. Ces résultats révèlent un manque d’information et peut-être un manque d’implication de la part des directions à se saisir de ces problématiques auquel les entreprises doivent rapidement remédier. Pour les entreprises qui ne possèdent pas forcément les ressources en interne (un CSO par exemple, responsable principal de la sécurité), l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) et la Confédération Générale du Patronat des Petites et Moyennes Entreprises (CGPME) ont publié en mars dernier un guide des bonnes pratiques pour les PME. Cette excellente initiative répond à l’urgente nécessité de sensibiliser les salariés aux conséquences qui peuvent résulter d’une simple négligence et des règles de base à respecter, et aide les organisations en leur proposant une expertise adaptée à leurs besoins. Nous les encourageons donc vivement à partager ce guide en marge de leur stratégie globale de sécurité pour une meilleure information, prévention et prise de conscience des risques qui conduiront à l’adoption des bons réflexes.

La contradiction entre la perception de la cyber-sécurité par les salariés et la réalité met en avant le fait que l’humain reste l’un des maillons faibles d’une organisation. Les hackers le savent très bien, c’est la raison pour laquelle ils sont à l’affût du moindre faux pas. Dans ce contexte, la protection des données et des ressources représente aujourd’hui un véritable défi pour les entreprises. Il est donc primordial de faire prendre conscience aux employés que les cyber-risques sont réels, que les attaques ne sont pas uniquement portées sur les grandes organisations connues, et qu’ils peuvent eux-mêmes en être à l’origine. Avec une plus grande implication de la direction générale pour la formation de l’ensemble des collaborateurs, associée aux initiatives des autorités régissant la sécurité informatique, les entreprises vont pouvoir renforcer la protection de leurs données ainsi que l’efficacité de leur politique de sécurité, un enjeu majeur à l’heure où les cyber-attaques sont devenues monnaie courante.

[1] Etude « La Cybersécurité vue par les collaborateurs » menée par Opinion Way pour Capgemini auprès d’un échantillon de 1010 salariés français de bureau d’entreprises privées en mai 2015

Chiffrement, Cybersécurité, Emploi, Entreprise, Fuite de données, Mise à jour, Patch, Propriété Industrielle, Social engineering

Comment élaborer une bonne stratégie de sécurité

Les DSI ont pris note des scénarios de cauchemar que les violations de données peuvent engendrer : vous souvenez-vous de Sony ou de Target ? Pour combattre ces bombes à retardement, ils ont étoffé leurs budgets de sécurité. L’équipe d’intervention informatique d’urgence (CERT) de la Carnegie Mellon University recommande également de mettre en place une stratégie de sécurité que vous pouvez consulter si vos systèmes sont compromis.

Pourquoi avez-vous besoin d’une stratégie de sécurité ? Une stratégie de sécurité contient des procédures organisationnelles qui vous indiquent exactement quoi faire pour prévenir les problèmes ainsi que la marche à suivre si vous vous trouvez en situation de violation de données. Les problèmes de sécurité peuvent concerner :
– la confidentialité, lorsque des personnes obtiennent ou divulguent des informations de manière inappropriée ;
– l’intégrité, quand des informations sont altérées ou validées de manière erronée, délibérément ou accidentellement ;
– la disponibilité, avec des informations inaccessibles lorsqu’elles sont requises ou disponibles à plus d’utilisateurs que nécessaire.

En tout cas, disposer d’une stratégie permettra d’assurer que tous les membres du service informatique se trouvent sur la même longueur d’onde en ce qui concerne les processus et procédures de sécurité.

À quoi ressemble une bonne stratégie de sécurité ?
Vous avez peut-être une idée de ce à quoi la stratégie de sécurité de votre entreprise doit ressembler. Mais si vous souhaitez vérifier votre travail ou disposer d’indicateurs supplémentaires, visitez la page consacrée aux modèles de stratégies de sécurité de l’information  de SANS. Vous y trouverez vingt-sept stratégies de sécurité à consulter et utiliser gratuitement. Une bonne stratégie de sécurité doit ressembler à :
– Objectifs : des attentes et des buts clairs.
– Conformité : les législations peuvent faire partie des exigences d’une stratégie de sécurité, et il est donc essentiel de les énumérer.
– Dernière date de test : les stratégies doivent constituer une documentation vivante fréquemment contrôlée et remise en question.
– Date de dernière mise à jour : les documents d’une stratégie de sécurité doivent être mis à jour pour s’adapter aux changements de l’entreprise, aux menaces extérieures et aux évolutions technologiques.
– Contact : les informations contenues dans les stratégies de sécurité sont censées être lues, comprises et mises en application par tous les collaborateurs d’une entreprise et s’il y a des questions, un propriétaire du document doit y répondre.

Questions à poser lors de la création de votre stratégie de sécurité ?
Lorsque vous créez une stratégie de sécurité, il est utile de poser des questions parce qu’en y répondant, vous découvrirez ce qui est important pour votre entreprise et vous pourrez discerner les ressources nécessaires pour former et maintenir votre stratégie. Voici quelques questions pour démarrer :
– De quelle(s) personne(s) vous faudra-t-il l’approbation ?
– Qui sera le propriétaire de cette stratégie de sécurité ?
– Quel est le public concerné par cette stratégie ?
– Quelles réglementations s’appliquent à votre secteur d’activité (par exemple, GLBA, HIPAA, Sarbanes-Oxley, etc.) ?
– Qui a besoin d’avoir accès aux données de votre entreprise ?
– Qui possède les données que vous gérez ? Votre entreprise ? Vos clients ?
– Combien de demandes d’accès aux données recevez-vous chaque semaine ?
– Comment ces demandes sont-elles satisfaites ?
– Comment et quand l’accès est-il examiné ?
– Comment pouvez-vous vous assurer qu’aucun conteneur ne sera ouvert à un groupe d’accès global (Tout le monde, Utilisateurs du domaine, Utilisateurs authentifiés, etc.) sans autorisation explicite des propriétaires de données et de la hiérarchie concernée ?
– Comment toutes les activités d’accès seront-elles enregistrées et disponibles pour audit ?
– Si des données n’ont pas été consultées depuis 18 mois, comment seront-elles identifiées et restreintes afin que seuls leurs propriétaires y aient accès jusqu’à ce qu’une demande soit formulée par un autre utilisateur ?
– Comment harmoniserez-vous votre stratégie de sécurité aux objectifs de l’entreprise ?

Derniers conseils
Les stratégies de sécurité donnent de meilleurs résultats lorsqu’elles sont concises et vont droit au but. Elles doivent aussi favoriser et répondre aux besoins de l’activité. Grâce à une maintenance régulière, la stratégie de sécurité de votre entreprise contribuera à en protéger les actifs. (Par Norman Girard, pour DataSecurityBreach.fr, Vice Président et directeur général Europe de Varonis)

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, Propriété Industrielle, Social engineering

Stratégies BYOD : sécuriser les données d’entreprise dans un monde mobile

Les environnements des entreprises évoluent rapidement. Dans ce contexte, les employés doivent pouvoir accéder à leurs informations professionnelles à tout moment en situation de mobilité, ceci afin d’améliorer leur productivité, leur niveau de satisfaction et les performances globales de leur entreprise. Souvent, les salariés veulent accéder à leurs messageries, calendriers, contacts, données clients et documents sensibles sur leurs appareils personnels, ce qui représente un potentiel cauchemar pour les départements informatiques, qui doivent s’assurer de la sécurité des informations professionnelles.

Selon les prévisions du Gartner, d’ici 2017, un employeur sur deux exigera de ses employés qu’ils utilisent leurs appareils personnels au travail. Les entreprises doivent donc impérativement prendre des mesures appropriées afin de s’assurer que la vague de smartphones et de tablettes pénétrant dans le périmètre de l’entreprise soit sécurisée. Pour cela, elles doivent mettre en œuvre des stratégies BYOD offrant de la flexibilité aux employés, et assurant dans le même temps la sécurité au niveau de l’entreprise. De telles stratégies peuvent faire toute la différence, car elles instaurent des règles strictes permettant de faire face à diverses problématiques essentielles : quels appareils et applications sont autorisés à accéder aux informations professionnelles ; qui est responsable des applications et des données ; quelles données doivent être en lecture seule / modifiables, ou disponibles hors ligne ; ou encore qui doit payer pour la consommation professionnelle de données et de voix.

Déterminer en quoi il est nécessaire de migrer vers le BYOD
La première étape dans la mise en œuvre d’un programme BYOD efficace est tout d’abord de définir en quoi celui-ci est nécessaire, et d’établir clairement des indicateurs de réussite. Un tel programme est-il nécessaire pour réduire les dépenses d’investissements et les frais ? L’objectif est-il de stimuler la productivité du personnel ? Lorsque l’on détermine la nécessité d’un programme BYOD pour une entreprise, il est important de s’assurer que le raisonnement adopté soit en accord avec les objectifs de l’entreprise. Une fois le but clairement défini, il sera plus facile pour les dirigeants de justifier un investissement continu dans un tel programme, et l’adoption de ce dernier devrait également s’en trouver renforcée dans l’entreprise.

Il est également essentiel de démontrer la valeur ajoutée du BYOD pour l’entreprise, et de présenter ses avantages et ses risques aux utilisateurs mobiles, ainsi que la façon dont le programme envisagé permettra d’en assurer la protection. Les équipes informatiques pourront faire l’objet d’un certain rejet lors d’un tel déploiement  : en effet, certains employés verront cela comme une excuse pour accéder aux appareils personnels, craindront de voir leurs informations personnelles effacées, ou encore que leur consommation personnelle de données et de voix augmente sur leurs forfaits mensuels. Cependant, les départements informatiques prenant le temps d’expliquer en quoi ce programme leur sera bénéfique et permettra de les protéger ont alors plus de chance de rencontrer de l’enthousiasme de la part des utilisateurs plutôt que l’inverse. Une stratégie BYOD pertinente implique que chacune des parties soit sur la même longueur d’onde dès le début pour que les organisations récoltent rapidement les fruits de leurs efforts.

Exposer les droits de la société en matière de gestion de données professionnelles sur des appareils personnels
Lors de la mise en œuvre d’un programme BYOD, un contrat de licence de l’utilisateur final (EULA) devrait clairement définir le comportement attendu des employés et promouvoir le respect volontaire des stratégies d’entreprise et de sécurité, tout en protégeant leur vie privée. Le cas échéant, la stratégie mise en œuvre devrait clairement préciser que l’entreprise se réserve le droit d’effacer ses données et applications lorsque nécessaire.

Beaucoup d’organisations se tournent vers une solution de conteneurisation garantissant une séparation nette entre les données professionnelles et personnelles. Une telle solution permet de satisfaire le besoin de confidentialité des employés mobiles, ainsi que les exigences des départements informatiques en matière de sécurité des données professionnelles. De cette façon, en cas de vol ou de perte de l’appareil, ou si un employé quitte l’entreprise, seules les données professionnelles seront effacées à distance, réduisant ainsi le risque de compromission de données sensibles. Pour les équipes informatiques, la conteneurisation est un gage de confiance quant à la sécurité des données. Ils peuvent ainsi promouvoir en toute sérénité l’utilisation d’informations professionnelles sur des appareils appartenant aux employés ou à l’entreprise dans le cadre de workflows mobiles. Du côté des employés, le fait que leurs messageries personnelles, photos et bibliothèques musicales soient inaccessibles et ne puissent pas être effacées par leur département informatique est une source supplémentaire de tranquillité quant au respect de leur vie privée.

Envisager des solutions de facturation partagée
Le BYOD est récemment devenu un point de discorde quant à l’identité de celui devant payer la facture mensuelle de services de téléphonie mobile. Ainsi, en 2014, la Cour suprême et la Cour d’appel de Californie se sont prononcées sur la question.

La facturation partagée peut faciliter la transition vers la gestion de la mobilité d’entreprise (EMM) pour les entreprises, en leur évitant des problématiques complexes d’indemnisation, de remboursement et d’attribution de crédits. Au lieu d’inclure les frais de données liées à une consommation professionnelle sur des forfaits mensuels personnels, l’accès aux applications fournies par l’entreprise peut être directement facturé à l’employeur et aux partenaires. Les remboursements peuvent ainsi être rationalisés en même temps que les questions de responsabilité des RH et juridique quant aux contenus des utilisateurs. Plus besoin d’enregistrer des notes de frais, de payer des frais cachés liés au traitement des remboursements, ou de gérer des questions fiscales liées à des indemnisations.

En intégrant un forfait de données professionnel et une facturation partagée à leurs stratégies BYOD, les dirigeants d’entreprise peuvent accélérer la transition de leur personnel vers la mobilité.

Impliquer également les employés
Malgré toutes les meilleures intentions du monde, les services juridiques et informatiques élaborent parfois une stratégie BYOD manquant de convivialité. Lorsqu’ils définissent et déploient une telle stratégie, les dirigeants doivent impliquer tous les services, y compris les RH, le service financier et juridique, les responsables de la sécurité et de la confidentialité, ainsi que les responsables informatiques. Ils pourront ainsi exposer à ces principaux acteurs un cadre de meilleures pratiques de BYOD structuré afin de favoriser une prise de décision rapide et collaborative.

La mobilité est essentielle pour lutter contre la concurrence. En donnant aux employés la possibilité de travailler sur les appareils de leur choix, il est possible d’accélérer les tâches quotidiennes et d’accroître ainsi la productivité des salariés et leur degré de satisfaction. Lors de la mise en œuvre de stratégies BYOD complètes, les dirigeants doivent clairement présenter les arguments en faveur du déploiement de tels programmes, et établir avec précision le droit de leur entreprise à gérer les données professionnelles stockées sur les appareils personnels. Ils doivent également envisager de mettre en place une solution de conteneurisation afin de séparer les données professionnelles et personnelles, et réfléchir à une solution de facturation partagée afin d’éviter les problématiques complexes d’indemnisation, de responsabilité quant au contenu de l’utilisateur final et de contrôle des notes de frais des employés.

Enfin, il est essentiel d’aborder le déploiement de stratégies et de solutions BYOD dans votre entreprise comme un effort commun à tous vos services. Créez une campagne de marketing interne proactive destinée aux utilisateurs d’appareils mobiles en vous assurant qu’elle soit engageante et facile à comprendre, comme avec des vidéos, des posters, des FAQ, ou des événements dédiés à des endroits stratégiques. Expliquez clairement les avantages, et comment votre stratégie et votre solution BYOD permettent de gérer les risques au niveau des données professionnelles. La clé d’une stratégie efficace est de s’assurer que le programme créé profite aux employés tout en renforçant la sécurité des données professionnelles. (Par Florian Bienvenu, pour datasecuritybreach.fr, vice-président UK, Europe Centrale, Europe du Sud et Moyen Orient de Good Technology)

Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Logiciels, Microsoft, Mise à jour, Patch, Piratage, Propriété Industrielle, Sauvegarde

Microsoft ne veut pas corriger une faille

Un commentaire

Le géant de l’informatique, Microsoft, ne corrigera pas une faille visant Internte Explorer. Les chercheurs, derrière la découverte de la vulnérabilité, annonce diffuser le problème pour s’en protéger, seul.

En Février 2015, l’équipe de sécurité informatique de HP mettait à jour un 0day, une faille non publique, visant Internet Explorer. Présenté à Microsoft lors du Zero Day Initiative, l’équipe HP avait gagné 125.000 dollars de la Microsoft Mitigation Bypass Bounty.

Lors de la conférence RECon de Montréal, l’équipe a divulgué les détails de leur recherche. Ils ont expliqué cette divulgation par le fait que Microsoft a annoncé ne pas avoir l’intention de corriger la faille et de laisser Internet Explorer en danger face à l’utilisation de la vulnérabilité par des pirates. DataSecurityBreach.fr pense tout simplement que Microsoft faisant disparaitre son navigateur dans la prochaine monture de Windows, cette non correction peut inciter « consommateurs » à migrer vers Microsoft Edge.

Bilan, le problème découvert dans l’Address Space Layout Randomization (ASLR) restera problème. « Libérer des informations sur une faille non corrigée est une première pour nous, confirme l’équipe HP, nous ne faisons pas cela par dépit ou par malveillance. Nous préférerions expliquer le problème une fois corrigé. Cependant, depuis que Microsoft a confirmé nos contacts, ils ont indiqué ne pas prévoir de mesures à partir de nos recherches ». A noter que cela ne doit pas être si compliqué à protéger, HP en profite pour annoncer que ses outils de sécurité bloquent l’attaque !

Les informations techniques se trouvent sur GitHub. Une non correction, qui ressemble bizarrement aux inquiétudes autours du non « patchage », par certains opérateurs, des smartphones Samsung s4, s5, s6 en danger face à un piratage possible de masse.

backdoor, BYOD, Chiffrement, Cloud, cryptage, Cyber-attaque, Cybersécurité, Emploi, Entreprise, Fuite de données, Leak, Mise à jour, Patch, Piratage, Propriété Industrielle, Sauvegarde

Une nouvelle menace nommée Equation Group

En février dernier, la sphère de la cyber-sécurité a pris conscience des efforts déployés par Equation Group, organisation de cyber-espionnage de haut niveau qui exploite les firmwares HDD et SSD.

McAfee Labs a évalué les modules de reprogrammation exposés et a observé qu’ils pouvaient reprogrammés les firmwares des HDD et des SSD. Ainsi, les logiciels malveillants peuvent être rechargés et infecter l’ordinateur à chaque redémarrage du système : ils ne disparaissent pas, même en cas de reformatage du disque ou de réinstallation du système d’exploitation. Une fois infecté, le logiciel de sécurité ne peut plus détecter le malware qui est caché au sein du système. « Chez Intel Security, explique David Grout, nous avons suivi de près ces types de menaces hybrides software/hardware. En effet, bien que ces logiciels malveillants aient historiquement été déployés pour des attaques ciblées, les entreprises doivent se préparer à l’inévitable volet commercial que pourraient représenter de telles menaces à l’avenir ».

Il est nécessaire pour une entreprise de prendre des mesures pour renforcer la détection des menaces existantes telles que l’hameçonnage intégrant des liens frauduleux et les malwares infestant les périphériques USB, et d’envisager des solutions qui pourraient prévaloir l’exfiltration des données.

Cybersécurité, Entreprise, Logiciels, Microsoft, Mise à jour, Patch, Propriété Industrielle, Sauvegarde

Windows Server 2003 : la fin des mises à jour le 14 juillet

Microsoft Windows Server 2003 ne sera plus mis à jour à partir du 14 juillet 2015. Changer ou subir de potentielles futures failles ? Faîtes vos jeux !

Les utilisateurs de Windows Server 2003 sont encore très nombreux. Microsoft parle même de 23,8 millions de WS 2003 en fonction dans le monde. Le cabinet  Enterprise Strategy Group a révélé dernièrement que 25% des sociétés interrogées déclaraient vouloir continuer à utiliser WS 2003 après le 14 juillet.  Difficile de passer à autre chose. Le coût, premier frein.

Sans service de support, ni de maintenance

Utiliser Windows Server 2003 peut être perçu comme une vulnérabilité d’exploitation dès la mis juillet. Un danger potentiel, comme les utilisateurs, et ils sont encore nombreux, de Windows XP.  Pour une question de budget, de temps ou tout simplement par manque d’information, vous ne changerez pas avant le 15 juillet. Ou parce que certaines de vos applications critiques exigent cet OS. Selon Distributique l’opération couterait 60 000 dollars par migration. Si vous êtes dans une situation qui vous oblige à garder Windows Server 2003 au-delà du 15 juillet, vous devriez vous pencher sur la gestion des vulnérabilités sans patch, grâce aux fonctionnalités de Deep Security comme le préconise Trend Micro.

Attention, l’outil ne va pas combattre une éventuelle vulnérabilité qui affecte le système, mais elle fournira une protection contre les attaques susceptibles d’utiliser cette vulnérabilité indique Sophie Saulet sur le blog de l’éditeur japonais. Trend Micro a diffusé un livre blanc sur le sujet. A consulter pour ce faire une idée. La meilleure des options est de mettre au rebut Windows Server 2003 avant la date butoir.

Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, VPN

Attaque LogJam : les clés Diffie-Hellman visées

Des milliers de messagerie, Web, SSH, et les serveurs VPN sont vulnérables à une nouvelle attaque. Appelée Logjam, elle affecte l’échange de clés Diffie-Hellman. Le protocole d’échange de clé Internet (IKE) qui utilise l’algorithme de Diffie-Hellman est largement mis en œuvre dans le cryptage des données (par exemple, par SSL / TLS).

Le 20 mai 2015, une équipe de plusieurs chercheurs en sécurité de US a annoncé une faiblesse dans l’échange de clés Diffie-Hellman exploitée par l’«attaque Logjam » (Logjam attack). La faiblesse est causée par un défaut dans le protocole TLS qui est utilisé pour HTTP, SSH, et le cryptage de la connexion VPN. Elle peut être exploitée par la technique de l’homme du milieu (Man-in-the-Middle – MITM). Les cybercriminels peuvent surveiller ou même manipuler le trafic de données entre deux ou plusieurs parties de communication. La faiblesse est en fait dans la procédure de prise de contact TLS, au cours de laquelle l’attaquant fragilise l’exportation et l’échange de clés au lieu de l’échange de clés Diffie-Hellman normale. En réponse, le serveur continue échanger la clé de 512 bits, mais sans résultat.

Généralement, l’attaque de Logjam met en péril toutes les méthodes de chiffrement qui utilisent l’algorithme de Diffie-Hellman et l’échange de clés sur Internet (IKE). Comme déjà mentionné, ils comprennent le protocole TLS et SSL son prédécesseur qui sont largement utilisés pour SSH, courrier, web, et le cryptage de la connexion VPN.

Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, Piratage, Propriété Industrielle

Sésame ouvre-toi : un jouet Mattel ouvre les portes des garages

Le jouet Mattel IM-ME permet, avec une petite modification, d’ouvrir les portes des garages. Vive le sans-fil !

Les garages des Américains, nouvel espace de jeu pour les pirates ? Samy Kamkar, un informaticien curieux, a découvert qu’avec le jouet IM-ME de Mattel, et un code de son invention, il devenait possible d’ouvrir les portes des garages. Un outil qui ne coûte que quelques dollars.

Le problème est que certains garages ne sont protégés que par un code dont la sécurité est équivalente à un mot de passe à deux caractères. Samy Kamkar a réussi à cracker (pirater) la chose, avec son tool OpenSesame, en quelques secondes. « Une sécurité qui est une vaste blague, dit Kamkar. Un pirate peut entrer dans votre garage, en utilisant un appareil que vous ne remarquerez même pas dans sa poche, et en quelques secondes, votre porte de garage est ouverte.« 

OpenSesame ne fonctionne qu’avec les portes de garage dont l’ouverture se fait par un code unique, transmis en sans-fil via une télécommande. Bref, les portes ne tiennent pas longtemps, en ce moment, face aux pirates. Comme le cas du piratage des portières de voitures que ZATAZ vous révélait dernièrement. (Wired)

Android, BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, ios, Mise à jour, OS X, Sauvegarde, Sécurité, Smartphone, Social engineering, Windows phone

56 millions de données exposées par des applications de smartphones

Des chercheurs de l’Université Allemande de Darmstadt annoncent que les développeurs d’applications prennent la sécurité des données par dessus la jambe.

Leurs applications auraient exposé 56 millions de données en utilisant les services de Google, Amazon et Facebook. L’équipe de chercheurs a testé 750.000 applications Android et iOS. Ils ont utilisé les services d’identité « fédérés » afin de s’authentifier plus simplement, plus rapidement, entre leurs différents appareils. Sauf qu’il semble y avoir un gros problème. L’équipe a trouvé des données, y compris les adresses mails, mots de passe, et les dossiers de santé, se promenant entre les connexions. Autant de données qui pourraient être exposées à des yeux indiscrets, et les comptes respectifs compromis si les jetons d’authentifications étaient  capturés. « Les développeurs d’applications utilisent des bases de données dans le cloud, explique les étudiants. Ils stockent  les données des utilisateurs, mais apparemment ignorent les recommandations de sécurité des données que recommandent pourtant les fournisseurs cloud

Les pirates ont besoin, cependant, d’extraire la clé de l’application et/ou exploiter une connexion sans fil non sécurisée, pour agir. Les sociétés qui hébergent ont besoin de beaucoup moins ! (The Register)

Android, Apple, Cybersécurité, Entreprise, ios, Logiciels, Microsoft, Mise à jour, Patch, Sécurité, Smartphone, Téléphonie, Windows phone

Planter Skype à coup de http://:

Planter le Skype d’un correspondant et l’empêcher de redémarrer la machine, simple comme un message de 8 signes.

Nous avions vu, la semaine dernière, comment une commande mal interprétée dans certains iPhone, utilisant une version iMessage boguée (L’ensemble des iPhone n’était pas sensible à ce bug comme on a pu le lire un peu partout, NDLR).

Cette fois, prenons Skype avec une vulnérabilité bien plus gênante. Que vous soyez sous iOS, Android, Windows (sauf Windows 8.1) ou Mac, le fait d’envoyer le message  » http://:  » à un correspondant fait planter son outil de communication en ligne. Plus gênant encore, le chercheur russe qui est tombé sur ce bug, s’est rendu compte que le « code » continué le blocage de Skype si le message n’était pas effacé par l’émetteur. La solution, réinstaller l’outil de Microsoft dans sa nouvelle version. La rédaction s’est amusée à bloquer ses propres Skype sous MAC (OS X 10.10.3) ou Windows (Skype 7.3.0.101). Ca fonctionne malheureusement que trop bien. Imaginez les entreprises, utilisatrices de ce moyen de conversation. Lors d’un rendez-vous important, plus possible de communiquer. Bref, mise à jour obligatoire !

Chiffrement, Cloud, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Identité numérique, Leak, Mise à jour, Particuliers, Patch, Piratage, Vie privée

Les Risques Cachés de l’Explosion du Trafic HTTPS

Si vous n’êtes pas préparé à une forte augmentation du trafic HTTPS, votre réseau est menacé !

Paradoxal, non ? HTTPS, après tout, est une bonne chose. Comme tout le monde le sait, HTTPS est la version sécurisée du Hypertext Transfer Protocol (HTTP), qui utilise le protocole SSL/TLS pour crypter et protéger le trafic web. Si vous souhaitez privatiser n’importe quelle action en ligne — qu’il s’agisse de l’achat de nouvelles chaussures ou du paiement d’une facture— HTTPS est ce qui protège vos communications des regards mal intentionnés.

Les professionnels de la sécurité ont toujours encouragé l’utilisation d’HTTPS par les applications web. Il semble que leurs vœux aient été exhaussés. Comme le confirme l’ouvrage The Cost of “S” in HTTPS, 50% des flux sur le web sont aujourd’hui sécurisés. En fait, beaucoup des plus grands sites web ont adopté HTTPS comme leur protocole par défaut, dont Google, Facebook et YouTube. Mieux encore, les fournisseurs de navigateurs tels que Google ont même commencé à considérer toutes les pages non HTTPS comme non sécurisées, un nouveau pas vers la standardisation par défaut d’HTTPS.

De nombreux facteurs contribuent à cette ruée vers HTTPS, dont le principal est probablement « l’effet Snowden. » Certes, les spécialistes ont toujours compris la facilité avec laquelle nos conversations sur Internet peuvent être interceptées, mais les documents secrets dévoilés par Edward Snowden n’ont pas seulement permis au grand public d’identifier le risque du ‘man-in-the-middle’ (MitM), mais ont prouvé que les gouvernements y ont participé activement depuis des années. Maintenant que nous savons que quelqu’un nous regarde, nous prenons la protection de nos conversations beaucoup plus sérieusement.

Au sens large, cet accroissement du trafic HTTPS est une bonne chose. Toutefois, sous la surface il dissimule deux écueils qui peuvent sérieusement affecter votre sécurité, si vous n’y êtes pas préparé. Spécifiquement,

1.      Les méchants utilisent aussi HTTPS,
2.      La sécurisation de ce trafic entraîne de nouvelles contraintes en matière de performances.

Les avantages que vous retirez d’HTTPS profitent également aux hackers. Les pirates veulent dissimuler leurs communications, qu’il s’agisse de leurs téléchargements de malware ou des canaux de commande et de contrôle (C&C) que leur malware utilise pour communiquer avec eux. HTTPS fournit un mécanisme très efficace pour faire précisément cela. Les méchants ont compris que HTTPS est typiquement un « trou noir » pour vos outils de sécurité réseau, et ont donc commencé à l’utiliser pour leurs activités malveillantes, afin de les masquer.

C’est la raison pour laquelle il est plus important que jamais de commencer à sécuriser HTTPS. Vous avez besoin de solutions de sécurité capables de “voir” à l’intérieur des communications HTTPS, et d’y appliquer les scans traditionnels de sécurité (IPS, antivirus, etc.).

Heureusement, il existe une solution à ce problème. De nombreuses solutions de sécurité réseau actuelles, telles que de nouvelles versions de boîtiers UTM, des firewalls de nouvelle génération (NGFW), et d’autres proxies de sécurité, disposent de passerelles sur la couche applicative ou de capacités d’inspection DPI pour HTTPS. En gros, ils effectuent une attaque MitM « amicale » sur HTTPS afin de le décrypter de façon temporaire et de mettre en œuvre les scans de sécurité. Le boîtier ré encrypte ensuite le trafic pour le délivrer au réseau. Ces outils nécessitent que vos clients acceptent un certificat numérique, afin de maintenir la confidentialité de la connexion HTTPS. En bref, ils vous permettent de potentiellement détecter des activités malicieuses dans un trafic normalement indéchiffrable, sans remettre en cause la vie privée de vos utilisateurs.

Toutefois, sécuriser le trafic HTTPS met en lumière et exacerbe le second problème – les contraintes d’HTTPS en matière de performances. En termes simples, encrypter quelque chose consomme des ressources de traitement et accroît le volume du trafic. Si vous désirez savoir dans quelle proportion, il vous suffit de consulter l’ouvrage que j’ai cité précédemment. En gros, les conséquences ne sont pas négligeables, mais nous disposons généralement des ressources processeur et réseau pour les gérer… Ceci, avant d’y ajouter les solutions de sécurité dont j’ai parlé plus haut.

Comme je l’ai mentionné précédemment, des solutions de sécurité peuvent maintenant décrypter le trafic HTTPS. Toutefois, ce décryptage double le temps de traitement d’HTTPS, le boîtier de sécurité devant décrypter puis ré encrypter avant de délivrer le trafic. De plus, dans l’environnement actuel riche de menaces, vous souhaiterez que plusieurs couches de sécurité (par exemple IPS, antivirus, détection C&C) contrôlent votre trafic HTTPS. Si vous avez mis en place un contrôle de sécurité séparé pour chaque couche, chacune d’entre elles nécessite un traitement, ce qui ralentit singulièrement le trafic. Si 50% du trafic Internet est en protocole HTTPS, cela représente un vrai goulet d’étranglement.

La solution ? Utiliser des contrôles de sécurité tout en un conçus pour traiter la charge HTTPS. Un des avantages des nouveaux boîtiers UTM et des firewalls de nouvelle génération est que leurs couches de sécurité sont toutes appliquées en un seul point. Ceci veut dire qu’ils n’ont à décrypter HTTPS qu’une seule fois. Cependant, si votre sécurité dépend à ce point d’un seul boîtier, mieux vaut être sûr qu’il sera capable de supporter la charge. Beaucoup de boîtiers UTM ou Next Generation Firewalls mettent en avant leurs performances firewall, qui ne tiennent pas compte des autres contrôles de sécurité et de l’inspection des paquets HTTPS. Il est donc très important d’examiner la performance du boîtier lorsque tous les contrôles de sécurité sont activés, et spécialement l’inspection des paquets HTTPS. Ce n’est qu’une fois cette vérification faite que vous saurez si votre boîtier sera capable ou non de traiter, et de sécuriser, l’explosion des flux HTTPS.

Pour résumer, l’usage accru du protocole HTTPS est une très bonne chose pour la sécurité du web. Toutefois, vous devez vous assurer que vos solutions de sécurité en place sont capables réellement d’identifier les menaces à l’intérieur d’HTTPS, et qu’elles peuvent supporter l’accroissement de la charge HTTPS induit par l’effet Snowden. (Par Pierre Poggy, Country Manager Watchguard France / TechDirt)

backdoor, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Logiciels, Microsoft, Mise à jour, Patch, Piratage, Social engineering, Virus

Stegosploit : l’outil qui cache un code malveillant dans une image

Lors de la conférence Hack In The Box d’Amsterdam, un chercheur en sécurité informatique présente Stegosploit, un outil qui permet de cacher un code malveillant dans une image.

Imaginez, vous êtes en train de surfer quand soudain votre machine devient folle ! Un code malveillant vient d’être installé alors que vous avez un antivirus et vos logiciels à jour. Une image, affichait par un site que vous veniez de visiter vient de lancer l’attaque. De la science-fiction ? Pas avec les preuves de Saumil Shah, un chercheur en sécurité informatique.

L’ingénieur a expliqué lors de la conférence (HiP) Hack In The Box que des pirates étaient très certainement en train d’exploiter sa découverte. L’idée, cacher un code malveillant dans une image en utilisant la stéganographie (cacher une information dans un autre document, NDR). Des recherches de Shah est sorti Stegosploit, un logiciel qui code en Javascript un logiciel malveillant dans les pixels d’une image au format JPEG ou PNG.

Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, pourriel, Social engineering

Signatures numériques

Peut-on se passer de l’e-mail dans le cadre de ses activités professionnelles ? Pratique et instantanée, la communication par e-mail s’est imposée au quotidien dans l’entreprise. Certaines études évaluent à plus de 100 milliards le nombre d’e-mails professionnels qui sont échangés chaque jour.

Malgré ses nombreux atouts, l’e-mail présente également certains risques. Des récits de fuites de données sensibles font régulièrement la une des médias. Un des derniers incidents en date : la récente divulgation des numéros de passeport de 31 leaders mondiaux. En cause ? La fonctionnalité de saisie automatique à partir du carnet d’adresses d’Outlook. Cette fonctionnalité – aussi pratique soit-elle – ne fait qu’accentuer le risque de diffuser, par erreur, des données confidentielles.

Malgré l’augmentation du nombre d’erreurs d’aiguillage d’e-mails et l’évolution du contexte législatif – comme en atteste la récente loi australienne sur l’obligation de conserver des métadonnées et d’autres textes réglementant la transmission de données confidentielles (HIPAA, FIPPA et PCI) –, on peut s’étonner que les entreprises ne soient pas plus nombreuses à choisir de sécuriser le contenu de leurs e-mails.

L’e-mail est sans doute un peu trop pratique à en juger par la facilité avec laquelle des informations sensibles peuvent être envoyées, au risque de tomber dans les mauvaises mains.

Quelques chiffres
53 % des employés ont déjà reçu des données sensibles d’entreprise non cryptées par e-mail ou en pièces jointes. (2)
21 % des employés déclarent envoyer des données sensibles sans les chiffrer2. Les coûts liés à la perte de données s’envolent, sans parler des conséquences sur la réputation des entreprises et des éventuelles répercussions sur le plan juridique en cas de violation de la réglementation sur la  transmission et le stockage de données confidentielles (notamment dans le cadre des lois HIPAA et FIPPA, et du standard PCI).
22 % des entreprises sont concernées chaque année par la perte de données via e-mail. (3)
3,5 millions de dollars : coût moyen d’une violation de données pour une entreprise. (4)

La solution ?
Il existe heureusement des solutions de sécurité des emails qui mettent les utilisateurs et leur entreprise à l’abri de ces menaces. La signature numérique et le chiffrement des courriels garantissent la confidentialité d’un message et évitent que des données sensibles ne tombent dans de mauvaises mains. Le destinataire a également l’assurance de l’identité réelle de l’expéditeur de l’e-mail et que le contenu du message n’a pas été modifié après son envoi.

Le chiffrement d’un e-mail revient à sceller son message puis à le déposer dans un dossier verrouillé dont seul le destinataire prévu possède la clé. Il est alors impossible pour une personne interceptant le message, pendant son transit ou à son emplacement de stockage sur le serveur, d’en voir le contenu. Sur le plan de la sécurité, le chiffrement des e-mails présente les avantages suivants :

Confidentialité : le processus de chiffrement requiert des informations de la part du destinataire prévu, qui est le seul à pouvoir consulter le contenu déchiffré.
Intégrité du message : une partie du processus de déchiffrement consiste à vérifier que le contenu du message d’origine chiffré correspond au nouvel mail déchiffré. Le moindre changement apporté au message d’origine ferait échouer le processus de déchiffrement.

Avant de choisir une solution, il est important d’avoir en tête plusieurs choses. L’utilisateur est le mieux placé, car il connaît son entreprise mieux que personne. Phishing, perte de données… quels sont ses principaux sujets de préoccupation ? Quelle est l’infrastructure de messagerie en place dans l’entreprise ? Quel est le cadre réglementaire ? Les réponses propres à chaque entreprise orienteront les choix vers la solution la plus appropriée.

Sources :
1 Email Statistics Report 2013-2017, The Radicati Group, Inc.
2 SilverSky Email Security Habits Survey Report, SilverSky, 2013
3 Best Practices in Email, Web, and Social Media Security, Osterman Research, Inc., January 2014
4 Global Cost of Data Breach St’sudy, Ponemon Institute

Cybersécurité, Logiciels, Microsoft, Mise à jour, Patch, Virus

Un antivirus collaboratif Made in France à 3€

La société d’édition AxBx annonce la sortie de la version « C.E » de son antivirus VirusKeeper. VirusKeeper C.E (C.E pour Collaborative Edition) est un antivirus complet dont la licence est d’un genre nouveau.

La Collaborative Edition de VirusKeeper propose une licence de la version complète de l’antivirus en échange d’une collaboration des utilisateurs à l’amélioration du produit et d’un coût de licence réduit au minimum. La licence VirusKeeper C.E est en effet proposée au tarif de 3 € soit près de 10 fois moins cher que le coût d’une licence antivirus habituelle.

Ce nouveau type de licence répond aux besoins des utilisateurs qui avaient le choix entre les antivirus commerciaux dont le coût annuel varient de 30 à 60 € et des antivirus gratuits mais limités ou bridés qui s’avèrent décevants et insuffisants. « Nous avions régulièrement des demandes de la part des étudiants et des seniors qui souhaitaient acquérir notre antivirus VirusKeeper mais dont le budget ne le permettait pas. D’autre part, des utilisateurs nous proposent leur aide pour enrichir notre produit. Nous avons donc réfléchi à une nouvelle approche « gagnant/gagnant » où l’utilisateur pourrait disposer d’un antivirus de haut niveau en version complète sans limitation à des conditions accessibles à tous et nous faire part de ses retours pour améliorer encore le produit. » explique à DataSecurityBreach.fr Grégory SNAUWAERT, Dirigeant-fondateur d’AxBx.

Autre nouveauté, l’utilisateur peut régler sa licence par SMS ou d’un simple appel téléphonique ! Les moyens classiques (CB, PayPal) sont également supportés. Rappelons que VirusKeeper est le seul antivirus français. Il repose sur un moteur d’analyse comportementale exclusif qui lui permet de détecter les malwares connus ou non. L’analyse comportementale présente également l’énorme avantage de consommer très peu de ressources contrairement aux technologies de type scanner. Ainsi VirusKeeper consomme très peu de mémoire et ne ralentit pas l’ordinateur.

A noter que l’outil propose un gestionnaire de cookies (possible d’effacer les fichiers, NDR) ou encore le très pratique module Vikee qui analyse les programmes installés sur votre système et contrôle que les mises à jours critiques de sécurité ont bien été installées.

Chiffrement, cryptage, cryptolocker, Cybersécurité, Entreprise, Logiciels, Mise à jour, Patch, ransomware

Attaque de masse de Locker, un nouveau ransomware mort né

Voilà qui reste étonnant. Un étudiant ayant mis en place une démonstration qui a mal tourné ? Le code malveillant Locker touche des centaines de machines. Son auteur s’excuse et diffuse de quoi se soigner ?

Il se nomme Poka BrightMinds. Derrière ce pseudonyme, l’auteur du ransomware V Locker. Depuis le 25 mai, ce microbe infecte et chiffre des milliers de données dans le monde. Une démonstration qui aurait mal tourné ? Son auteur vient de s’excuser en diffusant la base de données des clés publiques, privées et bitcoins employés par V Locker.

Dans la foulée, et avec la présence de ces données, un outil a été réalisé afin de déchiffrer les fichiers. Locker Unlocker va déchiffrer les fichiers infectés par « v Locker ». L’ensemble de la base de données des clés a été inclus dans l’outil. Bilan, le programme de Nathan Scott fait tout de même 70 Mo mais permet de sauver les contenus des disques durs piégés. Attention, cette version ne fonctionnera que pour les victimes qui connaissent leur adresse BitCoin. Une adresse donnée lors de l’attaque.

Argent, Arnaque, backdoor, Chiffrement, cryptage, cryptolocker, Cyber-attaque, Cybersécurité, Entreprise, escroquerie, Fuite de données, Identité numérique, Leak, Logiciels, Mise à jour, Paiement en ligne, Particuliers, Patch, Piratage, Propriété Industrielle, Sauvegarde, Social engineering, Vie privée

Outils anti ransomwares

Un commentaire

Disque dur bloqué, fichiers chiffrés, … les attaques de ransomwares n’ont jamais été aussi nombreuses. Un kit de sauvetage vient d’être diffusé. Il ne corrige pas toutes les possibilités malveillantes, mais permet déjà d’y voir plus clair.

L’internaute Jada Cyrus a compilé un kit de secours pour aider les victimes de ransomwares à déchiffrer les fichiers verrouillés. Cette boite à outils serait efficace contre les variantes de CryptoLocker, TeslaCrypt, et CoinVault, trois logiciels rançonneurs malheureusement très populaire sur la toile… et dans les ordinateurs de leurs victimes. « Nous avons des dizaines de cas » souligne à DataSecurityBreach.fr un technicien officiant dans une boutique informatique du Nord de la France, à Seclin. « Beaucoup de personnes se retrouvent avec leurs fichiers chiffrés et n’hésitent pas à payer pour retrouver leurs biens« .

ZATAZ.COM a proposé, il y a quelques semaines, un article les premières minutes d’une attaque d’un ransomware. De quoi vous donner une idée de l’efficacité de ce genre d’attaque. Pour rappel, pour se protéger de ce genre de cochonnerie : Ne pas télécharger ou cliquer sur n’importe quoi ; Un courriel proposant un fichier joint de types .rar ; .zip ; .exe ; .svg ; … sont à bannir. Les alertes s’ouvrant dans votre navigateur vous annonçant « des virus » ou une mise à jour urgente de VLC (vidéo, NDR) ; Flash ; … ne sont pas à prendre à la lettre. Un antivirus mis à jour est obligatoire. La meilleure des défenses face à ce genre d’attaque reste la réflexion. Ce kit regroupe des anti ransomwares pour BitCryptor, CoinVault, CryptoLocker, FBI Ransomware, PC Lock, Tesla Crypt, Torrent Locker.

Un faux courriel, une pièce jointe piégée et le disque dur est chiffré !

Pendant ce temps…

Le Ministère de la justice Vietnamien est devenu la dernière victime de taille d’une attaque d’un ransomware. Plusieurs ordinateurs connectés au réseau du ministère ont été infectés par le malware. Beaucoup de données « importantes » se sont retrouvées cryptés. Comme il n’y a aucun moyen de récupérer les données autres que de payer la rançon, il est très probable que le ministère va perdre toutes ses données. Espérons pour ce ministère que les mots « sauvegardes », « Backup » ou « Kar surxng kahxmul » ne lui soit pas inconnu.

Le kit est à télécharger ICI.

Cyber-attaque, Cybersécurité, DDoS, Entreprise, Linux, Mise à jour, Patch, Piratage, Propriété Industrielle

Des millions de routeurs en danger

Un commentaire

Des millions de routeurs de marques connues en danger. Une faille permet de bloquer les machines, à distance.

La société SEC Consult Vulnerability Lab vient d’annoncer qu’une faille, visant des millions de routeurs, permettait de bloquer un routeur Internet via une manipulation particulièrement formulée. Visé, le noyau Linux des routeurs, l’utilisation de NetUSB KCodes et le port TCP 20005. Un débordement de mémoire qui fait que les routeurs tombent en panne. Ce port permet un accès réseau aux périphériques (USB, imprimante, …) connectées au routeur.

TP-Link a publié des correctifs pour 40 de ses produits. Netgear vient de diffuser un patch pour 14 de ses machines. Quelques 24 autres fournisseurs, y compris D-Link et Western Digital sont potentiellement concernés par la faille.

Cybersécurité, Entreprise, Fuite de données, Logiciels, Mise à jour, Wordpress

WordPress ou lorsque la moitié des sites Web du Net sont vulnérables

Un commentaire

Le 21 avril, WordPress a émis un avis de sécurité critique et « vivement encouragé » ses utilisateurs à mettre à jour « immédiatement » leurs sites Web. En règle générale, l’utilisation de ces termes alarmants est symptomatique d’une menace majeure. Et c’était effectivement le cas.

WordPress domine tellement le marché des CMS que près de 50% de l’ensemble des sites Web s’appuient sur ce système de gestion de contenu. Ce récent avis de sécurité résout de nombreuses vulnérabilités dont certaines étaient critiques puisqu’un attaquant pouvait obtenir un accès administrateur pour n’importe lequel des millions de sites Web fonctionnant sous WordPress. La vulnérabilité la plus sensible affecte la version 4.1.1 de WordPress et les versions antérieures.

Pour commencer, MySQL prend des libertés avec UTF-8

Le chercheur Cedric Van Bockhaven a découvert que le jeu de caractères UTF-8 utilisé par MySQL ne supportait que des caractères encodés sur 3 octets, ce qui est plus que suffisant pour la plupart des langues modernes (BMP), mais pas assez pour les caractères supplémentaires (SMP) tels que le superbe cheval de manège (U+1F3A0) ou le joli petit poussin vu de face (U+1F425) …

Si vous tentez d’insérer une chaîne de caractères contenant l’un de ces magnifiques animaux dans une colonne de type UTF-8, MySQL tronquera la chaîne de caractères après le caractère encodé sur 4 octets et avertira l’administrateur de la présence d’une «Incorrect string value». Le seul moyen de prévenir ce type d’insertion est de configurer MySQL en mode strict, ce qui n’est pas le cas par défaut.

Malheureusement, le fonctionnement de WordPress est basé sur MySQL et le CMS n’utilise pas le mode strict.

Ensuite, on exploite la faille

Lorsqu’on parle de troncation, le Cross-site Scripting (XSS) n’est jamais très loin. M. Van Bockhaven a découvert que le même comportement de troncation UTF-8 permettait d’exploiter la fonctionnalité de commentaires de WordPress et d’insérer des scripts, quel que soit le thème WP. Le chercheur a pu modifier les mots de passe, créer un nouveau profil administrateur et exécuter à peu près n’importe quelle action sur le CMS.

Un autre exploit a été révélé le lendemain à partir du même problème de troncation. Jouko Pynnönen a en effet découvert que la taille des entrées du type TEXT de MySQL est limitée à 64 kilo-octets. Un très long commentaire sera donc tronqué tout comme le caractère encodé sur 4 octets de M. Van Bockhaven et avec les mêmes conséquences. Pour résoudre cette deuxième vulnérabilité, WordPress a publié un nouvel avis de sécurité (4.2.1)


Ensuite, WordPress corrige

L’équipe chargée de la sécurité de WordPress a résolu le problème UTF-8 via la mise à jour 4.1.2 du 21 avril qui prend désormais pleinement en charge les caractères encodés sur 4 octets en modifiant le jeu de caractères MySQL utilisé par défaut dans WordPress en UTF-8MB4. Une semaine plus tard, une nouvelle mise à jour 4.2.1 réglait le problème de troncation lors de l’insertion de longs commentaires. Les vulnérabilités XSS liées à ces problèmes ne seront donc plus exploitables.

L’équipe a également résolu d’autres problèmes de sécurité concernant encore XSS dans une version plus ancienne de WordPress ainsi que celui de l’injection de codes SQL dans certains plug-ins vulnérables. Le 7 mai, l’équipe sécurité de WordPress publie une nouvelle version 4.2.2. Cette fois c’est une vulnérabilité de type DOM XSS qui cible le CMS… (Par Jerôme Clauzade, Qualys)

Adobe, Cybersécurité, Identité numérique, Logiciels, Microsoft, Mise à jour, Particuliers, Patch, Vie privée, Wordpress

Analyse Patch Tuesday de Mai 2015

Le Patch Tuesday de mai 2015 est plutôt consistant. En effet, Microsoft a publié 13 bulletins pour mai, ce qui porte à 53 le nombre de bulletins depuis le début de l’année, un nombre un peu supérieur à celui constaté ces cinq dernières années, 2015 était peut-être même l’année la plus active à ce jour en la matière. Notre suivi interne du nombre de vulnérabilités indique que plus de 140 bulletins ont été publiés depuis le début de l’année, également un autre nouveau record :

Nombre de bulletins Microsoft par an

Le principal patch du mois est MS15-043 pour Internet Explorer (IE). Il résout 22 vulnérabilités et expositions courantes (CVE) dont 14 classées comme critiques. Les CVE présentes dans IE permettent d’exécuter du code à distance (RCE) sur la machine ciblée en dirigeant la proie vers une page Web malveillante. Pour ce faire, l’attaquant dispose de tout un éventail de techniques dans leur son arsenal.

Il peut notamment :

  • Attaquer des logiciels couramment utilisés pour les blogs et les forums pour prendre le contrôle du site Web puis y insérer des liens vers des pages malveillantes. La campagne SoakSoak constitue un bon exemple de ces pratiques. De récentes vulnérabilités de cette classe ont été découvertes dans le moteur d’e-commerce Magento ainsi que dans le CMS WordPress.

  • Exploiter les services de fournisseurs de publicités en ligne pour insérer des liens malveillants qui seront automatiquement inclus dans des sites Web de confiance utilisant les services de ces fournisseurs, comme cela s’est encore produit récemment avec MadAdsMedia.

  • Utiliser l’empoisonnement des moteurs de recherche, une technique dérivée de l’optimisation pour les moteurs de recherche (SEO) pour attirer le trafic vers des sites spécifiques hébergeant ce contenu malveillant. Tous les sujets d’actualité sont bons : bébés royaux, accidents, événements sportifs récents, streaming gratuit, etc.

Les pirates ont à leur disposition de nombreux exploits destinés à tout un éventail de vulnérabilités et qu’ils adaptent à la machine ciblée. On peut avancer sans se tromper que leurs vecteurs d’attaque préférés sont notamment Internet Explorer, les vulnérabilités Windows natives et Adobe Flash, vecteurs pour lesquels sont diffusées des mises à jour mensuelles car plus de 20 vulnérabilités et expositions courantes affectent ces derniers chaque mois. Préparez-vous à installer ces mises à jour aussi rapidement que possible. Mais dans quel délai ? Le tout dernier rapport d’enquête sur les failles de données (VDBIR) publié par Verizon en avril 2015 indique que 50% des vulnérabilités récemment exploitées qu’ils ont identifiées l’ont été dans un délai de deux semaines.

Mais toutes ne sont pas exploitées. En fait, en 2014, seulement 5% de l’ensemble des vulnérabilités de type RCE au sein des logiciels Microsoft (voir leur présentation à RSA 2015) sont en fin de compte devenus des exploits fonctionnels :

La difficulté est de prédire quels sont ces 5%. Il est important de s’intéresser au passé pour voir ce qui a été attaqué et quelles vulnérabilités sont concernées par les packs d’exploits afin de se préparer en conséquence. US-CERT vient de publier une recommandation de 30 CVE fréquemment attaqués selon eux tandis que le BSI, l’Office fédéral allemand de la sécurité des technologies de l’information, agite aussi une liste des CVE à rechercher. Pour faire court, Windows, Internet Explorer, Adobe Flash, Java et Office figurent tout en haut de leur liste.

Mais revenons à notre Patch Tuesday si vous le voulez bien. Notre deuxième priorité est le bulletin MS15-044 qui résout deux vulnérabilités critiques au sein de polices de la bibliothèque GDI+ et qui affectent de nombreux produits Microsoft. Les pirates peuvent utiliser des pages Web ou des documents contenant des polices malveillantes pour exécuter du code à distance. Le déploiement de cette mise à jour de sécurité MS15-044 est hautement prioritaire.

Le bulletin MS15-046 est seulement classé comme important par Microsoft, mais il résout des vulnérabilités de format de fichier RCE à la fois dans Word et Excel que des pirates pourraient exploiter pour prendre le contrôle des machines de vos utilisateurs. Ces deux vulnérabilités ont pour vecteur d’attaque des documents attachés à un email envoyé au compte de messagerie de vos utilisateurs dans l’espoir que ces derniers ouvrent les pièces jointes. Et environ 10% des cibles les ouvrent selon des données de l’APWG (http://www.antiphishing.org) fournies dans le rapport VDBIR de Verizon.

À propos de vulnérabilités au sein de formats de fichiers entraînant une exécution RCE, Adobe diffuse également un patch ce mois-ci. Ce dernier résout des problèmes critiques dans Adobe Flash et Adobe Reader/Acrobat via les bulletins de sécurité APSB15-09 et APSB15-10. Pour Adobe Reader, le vecteur d’attaque est semblable au scénario Office décrit plus haut, à savoir qu’un pirate doit inciter un utilisateur à ouvrir un document PDF joint formaté de manière à exécuter l’exploit. Une fois installés sur la machine, les attaquants exploiteront ensuite une deuxième vulnérabilité pour obtenir des privilèges d’administration système, par exemple une vulnérabilité au niveau du noyau que Microsoft résout dans ses bulletins MS15-051 et MS15-052. Intégrez les deux bulletins à votre programme de patch critique.

Les autres bulletins de sécurité critiques concernent Journal Windows avec six vulnérabilités. Deux des vulnérabilités sont publiquement connues sans être pour autant exploitées. Corrigez rapidement et envisagez de désactiver l’application de prise de notes Journal Windows. Ne connaissant personne qui utilise cette application, je recommande donc de suivre la solution de contournement décrite dans l’avis de sécurité et de neutraliser la description du fichier « .jnl » pour contrer cette attaque et les prochaines à venir contre ce logiciel.

C’en est fini des bulletins de sécurité critiques pour mai. Les autres avis de sécurité concernent un certain nombre d’autres produits Microsoft parmi lesquels le logiciel serveur Sharepoint qui profite d’un patch pour une vulnérabilité de type RCE potentiel dans MS15-047.

Corrigez rapidement, d’ici deux semaines si vous le pouvez. (Par wkandek)

cryptolocker, Cybersécurité, Entreprise, Fuite de données, Logiciels, Microsoft, Mise à jour, Patch, Virus

15 ans après le virus “I Love You” l’amour du risque perdure

Particuliers et entreprises ont-ils retenus les leçons du passé pour optimiser leur sécurité ? Pas si sûr

Le 4 mai 2015 a marqué les 15 ans du ver “I love you” qui avait été très médiatisé car il s’agissait de l’une des premières attaques de grande ampleur ayant touché les entreprises, comme les particuliers, sur l’ensemble des continents. De fait, cette attaque reste très présente dans les esprits lorsqu’on évoque les sujets de sécurité. Mais 15 ans après, que peut-on retenir de ce message dont la portée s’est révélée particulièrement efficace ?

I Love You, aussi dénommé LoveLetter ou The LoveBug, a touché et a infecté près de 10 % des ordinateurs connectés à Internet il y a tout juste 15 ans et causé un préjudice estimé à 5 milliards de dollars. Celui-ci s’est propagé au travers des messageries Outlook et Outlook Express et consistait en un email contenant une lettre d’amour en pièce jointe. En moins d’une semaine, il avait touché plus de 3,1 millions de PC dans le monde entier.

L’efficacité de ce virus tient à trois facteurs relativement nouveaux à l’époque. Premièrement, il a tiré parti de la faiblesse des antivirus de l’époque, majoritairement incapables de le détecter et donc de le stopper. Les éditeurs ont d’ailleurs mis plusieurs heures, voire jours pour trouver une solution et la diffuser (pas de services Cloud pour faciliter le partage de connaissance et la diffusion de la mise à jour contenant la signature du ver).

Deuxièmement, il s’agissait de l’une des premières attaques exploitant une forme de social engineering. L’approche a été travaillée pour optimiser le taux d’ouverture de l’email et de nombre de clics sur la pièce jointe. Peu de gens se sont méfiés de cette lettre d’amour à première vue anodine. Troisièmement, la faible sensibilisation aux problématiques de sécurité à l’époque a également joué en faveur du virus.

Et aujourd’hui ?
Force est de constater que 15 ans après, la messagerie reste le principal vecteur d’attaque. Ainsi 90 % des attaques (Etude Human Factor de Proofpoint) exploitent ce canal et le comportement des utilisateurs reste le maillon faible de la sécurité. Comme le confirme le DBIR 2015 de Verizon, 23 % des utilisateurs continuent d’ouvrir les mails de phishing, un chiffre en hausse par rapport à l’année précédente… Donc en résumé, peu de choses ont changé.

Heureusement d’un point de vue technique, de nouvelles solutions ont fait leur apparition, que ce soit au niveau de l’infrastructure, du poste, ou plus particulièrement de la messagerie. C’est aussi pour cette raison que les attaquants ont modifié leur technique d’approche. Le social engineering reste l’une des stratégies les plus exploitées pour lancer des attaques qui sont désormais ciblées (sur une catégorie d’employés, exploitant une actualité, etc.). L’actualité récente, et les attaques de médias comme celle du Monde ou de TV5 Monde, ont d’ailleurs montré toute leur efficacité en matière de menace ciblée.

Les techniques d’attaque en elles-mêmes ont donc peu évolué et elles exploitent toujours le comportement des utilisateurs. Seuls les objectifs ont changé : de la simple gloire recherchée par les attaquants, nous sommes passés à des attaques ciblées, dont les finalités sont précises : espionnage industriel ou commercial, impact sur l’activité ou les finances, hacktivisme (transmission de messages de revendication liés à une cause), nuisance sur l’image de l’entreprise. En parallèle, de nouvelles techniques sont apparues comme par exemple l’utilisation de ransomware, ces logiciels qui chiffrent les données de leurs victimes et qui demandent ensuite une rançon contre la clef de déchiffrement. On peut d’ailleurs souligner que cette tendance est due à l’évolution du fonctionnement des antivirus par rapport à l’époque d’ « I Love You » : en effet, les éditeurs réagissent désormais plus rapidement et de manière mondialisée (en général, un nouveau malware est bloqué en quelques jours, voire quelques heures après les plaintes des premières victimes). En conséquence, pour tout de même en tirer des bénéfices, les organisations criminelles tentent d’extorquer de l’argent directement à chaque victime (et force est de constater qu’en terme de « chiffre d’affaire », tout va pour le mieux pour eux…).

Quinze ans après, il y a donc peu de chance de connaître une attaque d’une envergure et d’un impact aussi importants que le ver « I Love You » mais il reste encore beaucoup à faire pour éduquer les utilisateurs et les sensibiliser aux nouvelles menaces et formes d’attaques employées par les cybercriminels. (Par Christophe Kiciak, Responsable de l’offre Audit technique et test d’intrusion de Provadys.)

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données, Leak, loi, Mise à jour, Piratage, Propriété Industrielle, ransomware, Sauvegarde

Secteur médical : la prochaine cible des cybercriminels ?

Le système d’informations de santé, qui regroupe les dossiers électroniques des patients jusqu’aux dispositifs médicaux, est plus vulnérable qu’on ne l’imagine. Et les enjeux sont bien trop importants pour fermer les yeux sur cette problématique épineuse.

Aujourd’hui, sur le marché noir, les données de patients se monnayent jusqu’à 20 fois plus cher que les données de cartes de paiement récupérées, par exemple, à l’issue d’un piratage visant un acteur de la grande distribution. Les données médicales sont en effet détaillées, riches et regorgent d’informations que recherchent les cybercriminels pour perpétrer leurs détournements d’identité et autres fraudes. De plus, les patients prennent bien plus de temps à se rendre compte du détournement de leurs informations de santé, jusqu’à près d’un an pour certains patients. En effet, pour identifier
une utilisation frauduleuse des cartes de paiement, les banques disposent d’algorithmes qui repèrent rapidement les activités suspectes et prennent souvent automatiquement les mesures de sécurité qui s’imposent. Ces mesures de sécurité n’existent pas dans le domaine médical. Les acteurs de santé, eux-mêmes, ne se rendent pas toujours compte de la vulnérabilité des nombreux systèmes qu’ils utilisent face aux cyber-attaques:

Cyber-attaques traditionnelles
Ces attaques, qui s’en prennent à tous les profils d’organisations, sont véhiculées par des logiciels malveillants, phishing, chevaux de Troie ou encore des ransomware. Par rapport aux autres secteurs d’activité, celui de la santé est particulièrement vulnérable en l’absence de mesures de protection
intégrées et compte tenu d’une priorité moindre accordée à la sécurité. Ces logiciels malveillants, qu’ils soient déployés via des attaques ciblées, des sites Web piratés ou des dispositifs mobiles infectés, entraînent une divulgation de données confidentielles et aboutissent à des coûts importants et à
des tâches de restauration post-incident particulièrement chronophages. Ces attaques ne sont pas vraiment nouvelles, mais elles gagnent en sophistication et la perte de données de patients est une vraie problématique. Les cybercriminels ont d’ailleurs conçu des plateformes entières de logiciels malveillants qui peuvent être personnalisées pour attaquer les acteurs de santé.

Dispositifs médicaux connectés
Aujourd’hui, des moniteurs cardiaques aux pompes à perfusion, tous les équipements peuvent être connectés à un réseau et s’interfacer avec les dossiers électroniques de patient, permettant ainsi d’activer des alertes en temps réel à l’intention du personnel soignant. Cette interactivité est, dans la
perspective du patient, une bonne nouvelle. Mais au niveau sécurité, il s’agit plutôt d’un cauchemar.

La majorité de ces équipements, et notamment les IRM, les scanners et autres équipements de diagnostic n’ont pas été conçus en faisant de la sécurité une priorité. Ils sont nombreux à utiliser des systèmes d’exploitation comme Microsoft Windows et des logiciels conçus pour collecter les données… Et pas forcément les garder en sécurité. Le piratage de ces appareils est donc possible et une fois compromis, les cybercriminels peuvent accéder directement aux systèmes de données cliniques avec lesquels ces équipements sont interfacés.

Les données de patients ne constituent pas les seules ressources pouvant être piratées via des dispositifs connectés. Les cyber-terroristes pourraient potentiellement manipuler les machines et porter atteinte aux patients. D’ailleurs, dès 2011, un chercheur en sécurité a su démontrer qu’une pompe à insuline pouvait être piratée et utilisée pour injecter une dose mortelle d’insuline[1].

Les équipements de santé personnels et résidentiels
Les dispositifs de santé prolifèrent bien au-delà des murs des hôpitaux. Les équipements de santé personnels, les applications de santé et autres coachs de fitness sont de plus en plus nombreux à recueillir et à transmettre des données. Ces systèmes peuvent potentiellement mettre les données de patients en péril (ou du moins ne pas assurer leur parfaite protection), et ils s’interfacent aussi souvent avec des dossiers électroniques de patients ou des systèmes hébergeant des données cliniques. Si un dispositif de contrôle du taux de glucose ou une application de santé sur iPhone peuvent être la cible
d’attaques, ces vulnérabilités s’appliquent également aux institutions de soins de santé. Les dispositifs cliniques ont, en effet, pour priorité d’offrir de nouvelles modalités pour une prise en charge pratique, innovante et performante des patients. La sécurité, elle, est moins prioritaire.

La sécurité des soins de santé ne doit pas attendre que les piratages de données de patients aient réussi pour devenir prioritaire. Il faut s’en préoccuper dès aujourd’hui. Le secteur de soins de santé, dans sa globalité, doit engager des actions proactives et privilégier les équipements qui
intègrent la sécurité en natif, mais aussi déployer une protection active au niveau du réseau et des applications. Les enjeux sont tout simplement trop critiques pour s’offrir le luxe d’attendre.  (Par Christophe Auberger, Responsable Technique France, Fortinet)

Argent, Arnaque, Banque, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Emploi, Entreprise, escroquerie, Fuite de données, Identité numérique, Leak, loi, Mise à jour, Particuliers, Piratage, Propriété Industrielle, Sauvegarde, Vie privée

Sécurité numérique et risques : enjeux et chances pour les entreprises

À l’heure de l’omniprésence du numérique et du développement constant de ses spectaculaires potentialités, les entreprises doivent pouvoir compter sur des outils numériques sécurisés. Or, chaque jour, de tous côtés, les exemples de nouvelles vulnérabilités se multiplient.

L’escalade entre les failles découvertes et les parades pour y remédier semble sans fin, d’autant plus que l’origine de ces fragilités réside dans nombre de comportements humains irréfléchis et dans la lenteur de l’indispensable prise de conscience.

Après avoir entendu plus d’une centaine de personnes et analysé en détail les atouts et les fragilités des messages numériques et de leurs canaux de diffusion, l’Office parlementaire d’évaluation des choix scientifiques et technologiques propose d’abord une trentaine de recommandations d’ordre général (culture du numérique, souveraineté, coopération entre les acteurs, droit européen de la donnée) puis un vade-mecum de sécurité numérique à l’usage des entreprises qui voudront bien s’attacher à la construction réfléchie et évolutive dont dépend leur future prospérité.

Face à la mondialisation numérique, l’élaboration de solutions se révèle être d’abord individuelle et nationale pour éviter que les entreprises françaises acquiescent elles-mêmes au pillage de leurs données en les offrant en libre-service.

Mme Anne-Yvonne Le Dain, députée, et M. Bruno Sido, sénateur, ont présenté l’étude de l’Office parlementaire d’évaluation des choix scientifiques et technologiques (OPECST) sur « Sécurité numérique et risques : enjeux et chances pour les entreprises ».

Le rapport (tomes I et II) est désormais en ligne sur les sites de l’Assemblée nationale et du Sénat au pages de l’OPECST.
– Tome I (rapport) : http://www.senat.fr/notice-rapport/2014/r14-271-1-notice.html
– Tome II (auditions) : http://www.senat.fr/notice-rapport/2014/r14-271-2-notice.html

Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Logiciels, Mise à jour, Patch, Piratage, Wordpress, Wordpress

Possibilité de piratage via WordPress 4.2

Voilà une attaque informatique possible qui tombe en pleine période de vacances et autres ponts de ce début mai. Une faille permet de jouer de bien mauvaise façon avec les sites sous WordPress 4.2.

WordPress vient de combler une nouvelle faille. Cette dernière touche la nouvelle monture de ce CMS en version 4.2. Bilan, il est plus que conseillé de mettre à jour votre outil web (Laissez WP se mettre à jour automatiquement, NDR). Cette fois, l’exploit permettait de modifier le mot de passe de l’administrateur du site. Autant dire que cela fait désordre. La faille permettait aussi de créer des comptes avec les droits administrateur, de modifier ensuite les contenus du site. Vérifiez bien, d’ailleurs, qu’aucun pirate ne se soit amusé à installer une application malveillante dans vos pages.

Via un XSS et un bourrage d’informatique à la sauce Buffer Overflow (BoF), il était possible d’exécuter un code malveillant à partir de l’espace commentaire d’un WordPress. Jouko Pynnönen, qui a révélé la chose, indique que la faille touche WordPress 4.2, 4.1.2, 4.1.1, 3.9.3. et MySQL 5.1.53 et 5.5.41.

Android, Biométrie, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Mise à jour, Particuliers, Patch, Piratage, Smartphone, Téléphonie, Vie privée

Samsung s5 : biométrie piratée !

Des chercheurs de la société FireEye viennent de mettre à jour une faille importante dans la sécurité des Samsung Galaxy S5. Un hacker se connectant au téléphone (même avec le niveau d’accès le plus faible) sera capable d’en extraire les données biométriques, soit une copie de l’empreinte digitale de l’utilisateur.

Cette révélation démontre une nouvelle fois que les systèmes d’identification biométriques grand public peuvent être piratés. En janvier, les hackers Chaos Computer Club avaient réussi à reconstituer l’empreinte digitale du ministre de la défense allemand. Sur le papier, la biométrie est un bon moyen de prévenir l’usurpation d’identité et les fraudes associées. On peut vous voler vos mots de passe mais pas vos empreintes digitales ou votre œil. Soit. Mais on constate bien que l’authentification biométrique est aussi piratable.

Ce qui pose problème, c’est qu’une fois piratées, les données biométriques ne peuvent être modifiées. Vous ne pouvez pas changer votre empreinte digitale ou rétinienne comme un mot de passe, et vous n’avez pas envie que n’importe qui en prenne possession. Une fois que vos empreintes digitales seront dans la nature (sans forcément que vous soyez prévenu), vous serez en risque si votre empreinte digitale est la porte d’entrée vers vos données personnelles ou professionnelles.

On a beau nous annoncer la mort du mot de passe chaque semaine dans la presse technologique, il a encore de beaux jours devant lui !

Ce n’est en réalité pas tout à fait un hasard si le mot de passe s’est imposé depuis des décennies comme un « standard de fait ». Un peu comme le clavier AZERTY que beaucoup ont cherché à remplacer, il a survécu pour l’instant aux nombreuses innovations qui ont cherché à le remplacer. C’est en effet une technologie peu coûteuse, non brevetée, qui peut être utilisée de manière anonyme et qui permet de gérer la grande majorité des connexions sécurisées sur le web. Surtout lorsqu’une faille de sécurité est découverte, vous pouvez changer vos mots de passe pour vous assurer que vos données sont en sécurité. Ca n’est pas le cas avec la biométrie !

Employés correctement, les mots de passe sont sécurisés. Ils doivent être différents pour chaque site et composés de caractères alphanumériques choisis aléatoirement. Il est par ailleurs nécessaires de les changer régulièrement. Si vous respectez ces règles et stockez vos mots de passe sous forme cryptée, vous êtes en sécurité. Le vrai sujet ce sont moins les mots de passe que la manière dont nous les gérons. Le cerveau humain n’en est pas capable et c’est pourquoi il doit être suppléé par un outil comme Dashlane.

Les récents développements dans l’authentification en ligne sont très intéressants, notamment pour améliorer les méthodes d’authentification fortes combinant différents facteurs et utilisées pour des données très sensibles. Le mot de passe est cependant le standard de fait de l’authentification en ligne. Pour être en sécurité sur le web dès aujourd’hui, et non pas demain, la seule solution est de renforcer la sécurité de ses mots de passe. (Guillaume Desnoes, responsable des marchés européens de Dashlane / Forbes)

 

Android, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Hacking, Leak, Mise à jour, Piratage, Rendez-Vous, RFID, Smartphone, Téléphonie

Une puce dans la main pour pirater des smartphones

Nous avions la puce dans le bras pour rentrer en boîte de nuit, voici venir la puce NFC dans la main pour pirater des téléphones portables.

Seth Wahle est un chercheur en sécurité informatique et technologie sans fil qui a de la suite dans les idées. Il vient de se lancer dans un projet qui demande quelques connaissances en couture et charcuterie.

Il s’est implanté une puce NFC sous la peau de sa main afin de tester son système d’interception de données. Dans sa main gauche, entre le pouce et l’index, du matos acheté sur le site chinois AliBaba. Pour 40 dollars, le voilà avec un outil de 888 bytes de mémoire. Dorénavant, sa main n’a qu’à effleurer un téléphone dont le NFC est branché. Un contact qui lance une page web qui exécute le téléchargement d’un programme comme il l’a expliqué au journal Forbes. Il faut cependant que le téléphone ne soit pas trop protégé pour accepter le téléchargement et l’installation de l’outil pirate.

Il présentera son projet à Miami, du 15 au 17 mai prochains, lors d’un hackfest local.