Archives de catégorie : Fuite de données

Panama Papers : le résultat d’une sécurité informatique négligée

Sécurité informatique négligée – Le monde financier, politique et juridique a été bouleversé par les Panama Papers. Mais comment a-t-il été possible de voler 2,6 To de données appartenant à Mossack Fonseca ?

Au delà de l’affaire fiscale, politiciens, industriels et autres personnalités auraient utilisé des entreprises offshore pour réaliser de l’optimisation, Mossack Fonseca est aussi une affaire de sécurité informatique ! Même si nous n’avons encore aucune certitude sur la manière dont la fuite s’est précisément produite, c’est tout de même 2,6 To de données qui ont été volées chez Mossack Fonseca. Le cabinet-conseil juridique a déclaré que les données ont été volées à partir d’un serveur email attaqué, sans donner davantage de détails.

Plusieurs experts se sont penchés sur la question. Regardons quelques dérapages de cette sécurité informatique négligée :
Mossack Fonseca utilise WordPress pour son site internet. Comme nous le savons, il est important de mettre à jour les sites internet WordPress régulièrement à cause des failles qui ressortent très souvent. La version utilisée mi-avril a été mise à jour la dernière fois il y a cinq mois.
Le serveur WordPress utilisait le même serveur que la base de  données contenant tous les fichiers client.
Le site internet de Mossack Fonseca utilise un plug-in WordPress propice aux fuites : Revolution Slider. Le plug-in a été attaqué régulièrement depuis 2014. Même sanction pour son application dédiée aux offres d’emploi. Une révélation de ZATAZ.
Les détails d’identification du serveur mail étaient stockés en texte dans un autre plug-in WordPress.
Il y avait un portail où les clients pouvaient s’identifier. Une version de Drupal propice aux fuites était utilisée à ces fins et contenait 25 vulnérabilités différentes. Drupal n’a pas été mis à jour depuis 2013.
Le serveur email de Mossack Fonseca n’a pas été mis à jour depuis 2009 et contenait par conséquence beaucoup de failles de sécurité.
Le protocole hasardeux SSL v2 était utilisé pour le portail client.
Le site était vulnérable aux injections SQL.
Les mails n’étaient pas chiffrés.
Différents experts émettent également l’hypothèse qu’un espionnage interne pourrait être à l’origine de la fuite.

Même s’il est difficile de savoir si une ou plusieurs de ces failles ont été utilisées dans l’attaque, il parait évident que la sécurisation des informations du cabinet de conseil était trop faible. Mais le vol de données est un symptôme qui est présent dans tous les secteurs. D’une manière générale, la sécurité de l’information et l’informatique est bien souvent le parent pauvre des entreprises. Les directives de protection des données de la commission européenne qui vont rendre illégales l’attitude laxiste face à la sécurité des informations, ne peut qu’être bénéfiques. Même si l’on peut craindre qu’il n’y ait aucune action des entreprises jusqu’à ce que tombent les premières amendes.

Notification d’infraction aux données : linkedIn

La société LinkedIn vient de communiquer sur son « problème » de fuite de données. Voici ses propos et sa notification d’infraction aux données.

« Vous avez pu récemment entendre parler de problème de sécurité à LinkedIn. Nous souhaitions nous assurer que vous disposiez des faits réels, des données concernées et des mesures que nous prenons pour vous protéger.

Que s’est-il passé ?
Le 17 mai 2016, nous avons découvert que des données volées en 2012 de LinkedIn ont été mises à disposition en ligne. Il ne s’agit pas d’une nouvelle infraction ou d’un hack. Nous avons pris des mesures immédiates pour invalider tous les mots de passe des comptes que nous estimons affectés. Il s’agit des comptes créés avant 2012 qui n’avaient pas mis leur mot de passe à jour après l’infraction.

Quelles sont les données concernées ?
Les adresses e-mail des membres, les mots de passe chiffrés et l’ID LinkedIn (identifiant interne attribué à chaque profil de membre) de 2012.

Nos mesures
Nous avons invalidé les mots de passe de tous les comptes créés avant l’infraction de 2012 qui n’avaient pas réinitialisé les mots de passe depuis. De plus, nous utilisons des outils automatiques pour identifier et bloquer toute activité suspicieuse qui se produirait sur les comptes LinkedIn. Nous collaborons également avec les forces de l’ordre.

LinkedIn a pris des mesures importantes depuis 2012 pour renforcer la sécurité des comptes. Nous avons ajouté des couches de protection supplémentaires au stockage des mots de passe et offrons la possibilité à nos membres d’activer la vérification en deux étapes pour plus de sécurité.

Vos options
Nous avons plusieurs équipes dédiées à la sécurité des données confiées par nos membres à LinkedIn. De votre côté, pour renforcer la sécurité de vos comptes, nous vous suggérons d’accéder au Centre de sécurité pour apprendre à activer la vérification en deux étapes et à créer des mots de passe résistants. Nous recommandons que vous changiez régulièrement de mot de passe et que si vous utilisez des mots de passe similaires, ou les mêmes, sur d’autres sites web, vous les changiez aussi.

Pour plus d’informations
Si vous avez des questions, veuillez contacter notre équipe Sécurité tns-help@linkedin.com. Pour en savoir plus, lisez notre blog officiel. »

Les cybers attaques ont un impact réel sur la confiance des consommateurs

Une enquête menée par le cabinet d’études VansonBourne à l’initiative de FireEye auprès d’un panel représentatif de 1000 consommateurs français, révèle que les cyber attaques de grande ampleur qui se sont produites en 2015 ont affecté durablement la confiance des consommateurs envers les grandes marques.

Les résultats de l’enquête ont mis en évidence une inquiétude grandissante du public directement liée à la perception d’un manque d’intérêt des directions générales pour la protection des données, plus des trois quarts (77%) des consommateurs déclarant être prêts à stopper leurs achats auprès d’une entreprise si une cyber attaque révélait une négligence de la part des dirigeants sur la protection des données. Cette négligence des dirigeants est d’ailleurs jugée plus grave que si la faille de sécurité est simplement due à une erreur humaine, seules 53% des personnes interrogées évoquant cette raison pour stopper leurs achats.

Les conclusions de l’enquête révèlent également l’impact financier potentiel sur le long terme des vols de données pour les grandes marques, 54% des consommateurs déclarant qu’ils engageraient des poursuites judiciaires contre les entreprises si leurs données personnelles étaient volées ou utilisées à des fins criminelles à la suite d’une cyber attaque. 71% des consommateurs indiquent également qu’ils divulgueront à l’avenir moins d’informations personnelles aux marques avec lesquelles ils sont en relation, ce qui pourrait avoir un impact négatif sur les ventes de beaucoup d’entreprises qui exploitent les donnes de leurs clients pour optimiser leur marketing.

Richard Turner, President EMEA de FireEye, a déclaré : « Les cyber attaques et les vols de données se sont multipliés dans l’actualité au cours de l’année écoulée, et les entreprises françaises n’ont pas toutes été épargnées. Les dirigeants des entreprises concernées ont dû réagir immédiatement pour limiter les pertes financières directes, en offrant des ristournes ou d’autres compensations aux consommateurs ». Mais cette enquête montre que les pertes financières dues à un vol de données s’étendent longtemps après que l’attaque initiale ait eu lieu. Elle met en lumière le « coût caché » des cyber attaques sur les entreprises, avec des consommateurs moins enclins à acheter auprès d’organisations réputées négligentes en matière de sécurité, et de plus en plus tentés d’engager des poursuites contre des fournisseurs si leurs données tombent en de mauvaises mains.

Les conclusions de cette enquête sur la confiance des consommateurs montrent que les perceptions négatives du public pour les marques attaquées peuvent persister longtemps après qu’elles aient quitté l’actualité, et que de plus en plus de consommateurs affectés par les vols de données pointent du doigt les responsables tout en haut de l’échelle. Il y a là des leçons importantes à retenir pour les directions générales, qui commencent à comprendre pourquoi elles doivent jouer un rôle plus actif dans la cyber sécurité. Il est également intéressant de voir dans ces résultats que les consommateurs accordent de plus en plus d’importance à la sécurité des données et gardent cet aspect à l’esprit lors de leurs décisions d’achat. Alors que la sécurité des données a été trop souvent considérée par le passé par les entreprises comme un simple centre de coût, elle représente désormais pour elles une opportunité d’attirer de nouveaux clients qui veulent avoir l’assurance que leurs données seront en sécurité. »

Les principales conclusions de l’enquête sur la confiance des consommateurs

·         Plus de la moitié des consommateurs interrogés (53%) déclarent prendre la sécurité de leurs données personnelles en considération lorsqu’ils achètent des produits et services.

·         71% des consommateurs interrogés divulgueront dans l’avenir moins de données personnelles aux organisations qui leur fournissent des produits et des services, en conséquence des cyber attaques majeures qui ont eu lieu l’année dernière.

·         Près de la moitié (42%) des consommateurs seraient prêts à payer plus un fournisseur de service garantissant une meilleure sécurité des données.

·         54% des consommateurs déclarent qu’ils engageraient des poursuites judiciaires contre leurs fournisseurs de produits et services si leurs données personnelles étaient volées ou utilisées à des fins criminelles à la suite d’une cyber attaque.

·         13% des personnes interrogées déclarent que la sécurité de leurs données personnelles est désormais leur principale préoccupation lorsqu’elles achètent des produits et services.

·         38% des consommateurs déclarent que les cyber attaques de grande ampleur qui se sont produites l’année dernière ont eu un impact négatif sur leur perception de la réputation des entreprises attaquées, tandis que 30% d’entre eux déclarent que ces cyber attaques ont dégradé la réputation de toutes les entreprises auprès desquelles elles font leurs achats.

·         21% des personnes interrogées qui ont eu connaissance des cyber attaques de l’année passée considèrent que la communication des dirigeants des entreprises concernées a été mauvaise ou très mauvaise.

·         L’enquête a également révélé que 93% des personnes interrogées s’attendraient à être informées dans les 24 heures si leur fournisseur de service était victime d’une attaque susceptible de compromettre leurs données. La nouvelle directive européenne GDPR (General Data Protection Regulation) imposant que les autorités soient informées d’un vol de données dans les 72 heures, ceci montre que les consommateurs sont encore plus stricts dans leurs exigences, 68% d’entre eux s’attendant même à être informés immédiatement.

Renforcer la cybersécurité des organismes financiers

La société financière SWIFT a publié très récemment un communiqué visant à sensibiliser ses 11 000 banques clientes à relever le niveau de sécurité lors de l’utilisation de leur système de transfert. Cette recommandation fait suite à la cyberattaque perpétrée contre la Banque Centrale du Bangladesh (BCB) ayant conduit au vol de 81 millions de dollars via un système de transfert de fonds Swift.

Dans ce contexte de sensibilisation accrue et de transformation digitale des entreprises, les cyberattaques perpétrées contre les organismes financiers démontrent le besoin global de revoir la place de la sécurité dans les stratégies des organismes financiers et des entreprises, aux plus hauts niveaux de ces dernières. C’est d’autant plus essentiel à l’heure où les dommages collatéraux tels que l’impact sur le cours de la bourse et sur les investissements semblent inévitables.

Jean-François Pruvot, Regional Director France chez CyberArk, commente à Data Security Breach : « La cybersécurité doit irrévocablement être considérée comme une priorité par les entreprises car les répercussions immédiates d’une faille de sécurité concernent directement, et en premier lieu, leurs dirigeants qui sont porteurs de ces questions et sont donc tenus pour responsables du moindre incident. Dans le cas d’une cyberattaque de grande ampleur, cela aboutit la plupart du temps au renvoi ou à la démission quasi immédiate du PDG, comme ce fût le cas, par exemple, de la Banque Centrale du Bangladesh. Des mesures souvent radicales qui s’expliquent par des arguments économiques et stratégiques« .

D’un point de vue économique, les cybermenaces doivent aujourd’hui être considérées comme un risque systémique. En effet, les attaques contre les organisations financières impactent directement les investissements et le cours de la bourse, ce qui contribue à inciter les agences de notation et les organismes de contrôles financiers, qui jusqu’à présent ne prenaient pas en compte le risque cyber dans leurs analyses, à l’intégrer de plus en plus, à l’instar d’analystes financiers tels que Moody’s. L’adoption de cette démarche anticipative leur permet entre autres d’éviter que les investisseurs ne se retournent contre eux dans le cas d’un décrochage boursier causé par une cyberattaque.

Relever le niveau de sécurité

Par ailleurs, dès lors que les investissements et/ou le cours de la bourse sont impactés, les organisations doivent prendre conscience de l’effet « boule de neige » d’une cyberattaque, d’un point de vue stratégique. En effet, en attaquant l’entreprise, elle touche en premier lieu la direction, suivi du comité de direction et par extension atteint le conseil d’administration. Cela conduit à la nécessité de développer en amont un plan d’urgence, tenant compte des répercussions sur l’image et la réputation, pour faire face à l’éventualité d’une cyberattaque. Mais ce qui aura le plus de poids est sa manière d’appréhender une telle crise auprès de ses clients, partenaires et investisseurs et surtout sa capacité à recouvrer le business suite à une compromission. Par exemple, le renvoi effectif d’un dirigeant, ou sa démission, reste à l’heure actuelle quasiment inévitable car il démontre une volonté de l’entreprise d’aller de l’avant et de ne pas reproduire les mêmes erreurs : il envoie un message de renouveau à l’opinion.

Cependant, avant d’en arriver là, les hauts dirigeants, qui ont en majorité pris conscience de la menace du risque lié à la cybersécurité, doivent à présent s’atteler sérieusement à la mise en place et au verrouillage d’un plan de sécurité de l’information au sein de leur organisation, et ce, au-delà des investissements financiers dans les technologies. Pour y parvenir, ils doivent indiscutablement impliquer l’ensemble des départements de l’entreprise afin d’adresser à l’unisson, et en priorité, le problème central des pirates informatiques qui trouveront le moyen de s’introduire dans le périmètre de sécurité, et de détourner et d’abuser d’identifiants afin d’accéder à des informations sensibles ou de perpétrer des transactions frauduleuses dont les conséquences risquent de marquer l’organisme au fer rouge pour de longues années.

Fuite de données santé pour 1.400 institutions

Fuite de données santé – Les tests de la mise à jour d’un logiciel américain dédié aux études cardiovasculaires effectués avec de vraies données de patients. 1.400 institutions de santé américaines alertées par l’American College of Cardiology.

Ce n’est pas la première fois qu’un tel cas est découvert. J’ai bien peur que cela ne soit pas le dernier. L’American College of Cardiology vient d’alerter 1.400 institutions américaines de santé après la découverte d’une fuite de données de patients pas comme les autres.

L’American College of Cardiology indique que des informations de patients ont pu être compromises après que les dites informations se soient retrouvées dans une base de données utilisées lors du test d’un logiciel professionnel. Des dossiers médicaux datant de 2009 et 2010.

C’est lors de la refonte du logiciel du registre des données cardiovasculaires national ACC, qu’une table de la base de données (BDD) officielle a été copiée. L’incident a été découvert en Décembre 2015. Les hôpitaux ont reçu l’alerte deux mois plus tard. Dans les données de la BDD malmenée : noms, dates de naissance, numéros de sécurité sociale et les numéros d’identification des patients.

96 % des DSI Français s’attendent à être la cible d’attaques

Les DSI français admettent investir des millions à fonds perdus dans une cybersécurité qui se révèle inopérante sur la moitié des attaques. Une nouvelle étude  indique que 96 % des DSI, en France, s’attendent à être la cible d’attaques en raison de leur aveuglement à l’égard des nouvelles menaces.

Une étude, menée par Vanson Bourne auprès de 100 DSI en France, portant sur la fréquence et l’incidence d’une sécurité informatique inefficace indique que les Directeurs des Services Informatiques s’attendent à être la cible d’attaques. Ces décideurs informatiques sont unanimes : ils estiment que les fondements de la cybersécurité – clés cryptographiques et certificats numériques – n’étant actuellement aucunement protégés, les entreprises sont dans l’ignorance, en proie au chaos, et incapables de se défendre.

Les DSI, en France, reconnaissent gaspiller plusieurs millions de dollars dans la superposition de mécanismes de défense puisque ces outils vouent une confiance aveugle aux clés et aux certificats – et se révèlent incapables de différencier ceux dignes de confiance des autres. Si l’on se réfère aux prévisions de Gartner, qui estime que 50 % des attaques réseau cibleront le protocole SSL/TLS, cela signifie que des systèmes de sécurité aussi répandus que FireEye ne seront opérants que la moitié du temps. Et les DSI français admettent que ce chaos met en péril leurs projets des plus stratégiques, à savoir ériger des structures informatiques agiles autour du concept DevOps.

Etre la cible d’attaques

  • 90 % des DSI, en France, sont convaincus de l’inefficacité de leurs mécanismes de défense puisque ceux-ci sont incapables d’analyser le trafic réseau crypté pour y déceler d’éventuelles attaques.
  • 96 % des DSI, en France, ont déjà essuyé ou s’attendent à essuyer une attaque dissimulée dans du trafic crypté.
  • 91 % des DSI, en France, estiment que les clés de cryptage et certificats numériques dérobés sont en passe de représenter un marché extrêmement lucratif pour les pirates.
  • 79 % des DSI, en France, conviennent que leur stratégie d’accélération de l’informatique et de l’innovation est en danger car leurs initiatives introduisent des vulnérabilités nouvelles.

Les entreprises s’en remettent à des dizaines de milliers de clés et de certificats qui posent les fondements de la confiance sur lesquels s’appuient leurs sites web, machines virtuelles, appareils mobiles et serveurs cloud. Cette technologie a été adoptée pour contribuer à résoudre la problématique de sécurité initiale d’Internet, c’est-à-dire être en mesure d’isoler les contenus sûrs et confidentiels. Depuis la banque en ligne jusqu’à l’Internet des objets en passant par la sécurisation des applications et les applications mobiles, tout ce qui est basé sur IP dépend d’une clé et d’un certificat pour établir une connexion fiable et sécurisée. Sauf que des cybercriminels détournent actuellement des clés et certificats sans protection pour se dissimuler dans du trafic crypté, créer de faux sites web, déployer des logiciels malveillants, élever leurs privilèges et dérober des données.

Les technologies déployées – protection des postes de travail, protection contre les menaces avancées, pare-feu de nouvelle génération, analyse comportementale, détecteurs d’intrusions et prévention des pertes de données (DLP) – sont foncièrement imparfaites puisqu’il est impossible de séparer le bon grain de l’ivraie en dissociant les clés et certificats valables de ceux qui sont corrompus. Résultat, ces outils se révèlent incapables de passer au crible la grande majorité du trafic réseau crypté. D’où des failles béantes dans les mécanismes de défense des entreprises. Les cybercriminels mettent à profit ces angles morts dans le domaine de la sécurité : ils se servent de ces clés et certificats dénués de protection pour se dissimuler dans du trafic crypté et contourner les contrôles de sécurité.

« Les clés et certificats constituent les fondements de la cybersécurité : ils authentifient les connexions système et nous indiquent si les logiciels et équipements fonctionnent comme prévu. Si ces fondements s’effondrent, nous rencontrons de graves difficultés », commente Kevin Bocek, vice-président stratégie de sécurité et veille des menaces chez Venafi. « Si la France dispose de l’une des approches les plus évoluées au monde en matière de cybersécurité, elle se classe également parmi les 10 pays où la cybercriminalité fait rage : les entreprises françaises courent donc davantage de risques. Dotés d’une clé et d’un certificat compromis, dérobés ou falsifiés, les pirates peuvent usurper, contrefaire et surveiller les sites web, infrastructures, clouds et appareils mobiles de leurs cibles, et décrypter des communications censées être confidentielles. »

« Progressivement, les systèmes que nous avons mis en place pour tester et instituer une confiance en ligne se retournent contre nous. Pire, les éditeurs et fournisseurs qui affirment être en mesure de nous protéger en sont bien incapables. Leurs outils de protection pour postes de travail, pare-feu, détecteurs d’intrusions, systèmes DLP et autres sont pires qu’inutiles puisqu’ils leurrent les clients en les entretenant dans une illusion de sécurité. Cette étude indique que les DSI, en France, sont désormais conscients de dilapider des millions dans la mesure où des systèmes de sécurité tels que FireEye ne peuvent stopper la moitié des attaques. Selon les prévisions de Gartner, d’ici à 2017, plus de la moitié des attaques réseau ciblant les entreprises utiliseront du trafic crypté pour esquiver les contrôles ; ces technologies sont sans défense face à elles ! Sachant que le marché mondial de la sécurité des entreprises pèse environ 83 milliards de dollars, autant dire que c’est énormément d’argent gaspillé dans des solutions qui ne s’acquittent de leur mission qu’à temps partiel. »

« Et les marchés expriment clairement leur manque de confiance dans la cybersécurité. Ce n’est pas une coïncidence si 96 % des DSI admettent dilapider des milliards dans une cybersécurité inadéquate et si le fonds spéculatif HACK, spécialisé dans ce domaine, a perdu 25 % depuis novembre 2015. Des résultats bien en-deçà de l’indice S&P500 qui, lui, s’inscrit en repli de 10 % du fait des turbulences sur les marchés. »

Les risques liés à des clés et certificats sans protection, échappant à tout contrôle, se multiplient à mesure que leur nombre augmente. Un récent rapport de Ponemon révèle qu’en moyenne, une entreprise possède plus de 23 000 clés et certificats, et que 54 % des professionnels de la sécurité avouent tout ignorer de leur emplacement, de leurs détenteurs et de leur mode d’utilisation. Les DSI craignent que la multiplication des clés et certificats à l’appui des nouvelles initiatives informatiques n’aggrave encore la situation.

La cible d’attaques : trop de clés et certificats

À la lumière des initiatives de cryptage systématique (« Encryption Everywhere »), apparues dans le sillage des révélations d’Edward Snowden et des opérations d’espionnage de la NSA, la quasi-totalité des DSI français (97 %) se disent préoccupés par la marche à suivre pour sécuriser la gestion et la protection de l’ensemble des certificats et clés de cryptage. Car à mesure que l’informatique s’accélèrera – via l’activation et la désactivation de services en fonction de l’élasticité des besoins – le nombre de clés et de certificats progressera en proportion. À la question de savoir si la rapidité de progression du mouvement « DevOps » complique encore l’identification de ce qui est ou non digne de confiance au sein de leurs entreprises, les DSI, en France, affirment à 79 % que c’est le cas.

« Gartner prévoit que d’ici à 2017, trois entreprises sur quatre évolueront vers une structure informatique bimodale avec une informatique à deux axes et deux vitesses : l’une qui accompagnera les applications en place en quête de stabilité, l’autre qui dispensera des services agiles adaptés aux projets d’innovation et stratégiques pour l’activité », poursuit Kevin Bocek. « Pourtant, le recours à des méthodes agiles et l’adoption du concept DevOps est une tentative extrêmement risquée et chaotique. Dans ces nouveaux environnements, la sécurité sera toujours mise à mal, et il sera pratiquement impossible de suivre ce qui est digne de confiance de ce qui ne l’est pas. »

« Raison pour laquelle il nous faut un système immunitaire pour Internet », conclut Kevin Bocek. « Comme chez l’homme, ce système donne aux entreprises les moyens de détecter instantanément les clés et certificats dignes de confiance des autres. Et, à partir du moment où la confiance en ces clés et certificats renaît, la valeur accordée aux autres investissements réalisés par l’entreprise dans le domaine de la sécurité augmente. »

Cette étude a été réalisée par le cabinet d’études de marché indépendant Vanson Bourne qui a interrogé 100 DSI au total, en poste dans de grandes entreprises en France.

Patch Tuesday Avril 2016

Place au Patch Tuesday d’avril 2016 qui nous donne un aperçu de ce qui nous attend. La semaine dernière, Adobe a été contraint d’anticiper la publication de son patch mensuel pour Adobe Flash Player (APSB16-10) afin d’aider ses utilisateurs à se protéger contre une menace Zero Day exploitée en aveugle. Qui plus est, nous avons appris il y a deux semaines par l’équipe de développement de Samba l’existence de la vulnérabilité « Badlock » qui affecte à la fois Windows et Samba sur Linux/Unix.

Badlock semble cependant moins dangereuse qu’elle n’y paraît puisqu’elle est résolue par MS16-047, un bulletin Microsoft classé comme « important ». Il s’agit d’une vulnérabilité de type Man-in-the-Middle qui permet de se connecter à la place d’une autre personne utilisant des applications basées sur le protocole SAMR ou LSAD, le protocole SMB n’étant pas affecté. Toutes les versions de Windows sont touchées, de Vista à Server 2012 R2. Même s’il est difficile de la classer, cette vulnérabilité ne figure pas pour autant parmi les priorités absolues.

Hormis MS16-047, Microsoft a publié 12 autres bulletins lors de ce Patch Tuesday , soit 50 à ce jour pour l’année 2016. 30 vulnérabilités y sont traitées au total mais aucune menace Zero-Day. Le bulletin MS16-039 contient des correctifs pour un composant graphique de Windows et concerne toutes les versions, de Vista à Windows 10 en passant par Server 2008 et 2102 R2. Il est également destiné aux versions Office 2007 et 2010 plus anciennes ainsi qu’à .NET, Skype et Lync. Situées toutes les deux dans Windows, les deux menaces Zero-Day facilitent une élévation de privilèges, que ce soit pour un utilisateur normal ou un administrateur. Elles permettront d’exploiter une vulnérabilité qui introduit l’attaquant sur la machine, notamment via la faille dans Flash Player traitée par le patch APSB16-10 et résolue dans le bulletin Microsoft MS16-050. Dans ce cas de figure, l’utilisateur se rend sur un site Web anodin puis est victime d’un exploit Flash qui se développe ensuite via les vulnérabilités CVE-2016-0165/7 résolues dans le bulletin MS16-039. Pour se protéger contre de telles attaques, corrigez aussi vite que possible. Les bulletins MS16-050 pour Flash (APSB16-10 si vous utilisez Firefox) et MS16-039 figurent tout en haut de la liste des priorités de ce mois.

Le suivant sur la liste de ce Patch Tuesday est le bulletin de sécurité MS16-042 qui résout quatre failles dans Microsoft Office. Microsoft classe ce bulletin comme critique, ce qui est uniquement le cas lorsqu’une vulnérabilité peut être directement attaquée sans interaction de l’utilisateur. En effet, CVE-2016-0127 est une vulnérabilité basée sur l’exécution de code à distance (RCE) dans le format de fichier RTF. Ce dernier est automatiquement visualisé dans le volet d’aperçu d’Outlook et facilite une exécution RCE pour l’attaquant via un simple courrier électronique. Renforcez si possible votre configuration en bannissant les emails contenant des formats de fichier RTF. Vous pouvez également désactiver ces emails via la politique de blocage de fichiers d’Office qui fonctionne aussi bien sur 2007/2010 que sur 2013.

Microsoft Internet Explorer et Edge sont respectivement corrigés au moyen des bulletins critiques MS16-037 et MS16-038. Ces deux navigateurs sont affectés par six vulnérabilités. C’est d’ailleurs la première fois qu’Edge contient autant de failles qu’IE et qu’Edge rencontre des problèmes plus sérieux qu’IE, ce qui constitue également une première. Aucune de ces vulnérabilités n’est actuellement exploitée, mais comme la plupart des exploits visent les navigateurs, il est légitime de les mettre à jour sans tarder. N’oubliez pas que Microsoft ne propose des correctifs que pour le navigateur le plus récent associé à chaque système d’exploitation, à savoir IE11 à partir de Windows 7, IE9 pour Vista et IE10 pour Windows Server 2012.

Quant à la dernière vulnérabilité critique, elle se trouve dans le sous-système de traitement XML. Aucun patch n’a été publié à ce niveau depuis plus d’un an. Le bulletin MS16-040 fournit une nouvelle version de msxml.dll pour résoudre la seule vulnérabilité présente, CVE-2016-0147. Le vecteur d’attaque se situe au niveau d’un site Web qui transmet le format XML malveillant à la machine ciblée.

Même si elles sont classées comme non critiques, les autres vulnérabilités de ce Patch Tuesday peuvent avoir un impact non négligeable et être également intéressantes. Hyper-V fait ainsi l’objet d’un correctif dans le bulletin MS16-045 dans la mesure où un système invité peut abriter une élévation de privilèges susceptible d’être très critique dans un environnement hôte où l’attaquant accède aux systèmes à cause d’un problème de conception de Hyper-V. Les systèmes d’exploitation affectés sont Windows 8.1, Server 2012 et 2012 R2. Le bulletin MS16-041 résout une vulnérabilité unique dans .NET tandis que MS16-049 corrige une vulnérabilité DoS dans les systèmes Windows 10 au niveau du pilote HTTP.sys.

Adobe a corrigé Flash la semaine dernière en urgence à l’aide du patch APSB16-10, mais publie aujourd’hui des mises à jour pour Robohelp avec le patch APS16-12 et pour les applications Creative Cloud via le patch APSB16-11.

Ce sera tout pour avril et ce Patch Tuesday avec plusieurs menaces 0-Day et des vulnérabilités immédiatement exploitables qui rendent ce mois-ci plus critique que le mois dernier. Attendez-vous à ce que la vulnérabilité affectant Adobe Flash se répande et mettez en œuvre des solutions de contournement pour les procédures d’atténuation actuellement déployées. (Publié par wkandek dans The Laws of Vulnerabilities)

Fuite, perte, piratage de données ? Entreprise, il va falloir communiquer !

La directive européenne de protection des données personnelles est morte ! Vive le règlement général sur la protection des données (GDPR). Fuite, perte, piratage de données ? Entreprise, il va falloir communiquer !

En 1995, l’Europe s’équipait de la directive européenne de protection des données personnelles. Mission, protéger les informations des utilisateurs d’informatique. 21 ans plus tard, voici venir le règlement général sur la protection des données (GDPR). La Commission européenne avait proposé en 2012 un nouveau règlement portant sur un ensemble de règles unique pour toutes les données collectées en ligne afin de garantir qu’elles soient conservées de manière sûre et de fournir aux entreprises un cadre clair sur la façon dont les traiter.

Mercredi 13 avril 2016, le paquet législatif a été formellement approuvé par le Parlement dans son ensemble. Le GDPR impose aux entreprises (petites ou grandes) détenant des données à caractère personnel d’alerter les personnes touchées par une fuite, une perte, un piratage de la dire informations privée. Grand groupe, PME, TPE doivent informer les autorités de contrôle nationales (CNIL) en cas de violation importante de ces données. Comme je pouvais déjà vous en parler en 2014, il faut alerter les autorités dans les 72 heures après avoir découvert le problème. Les entreprises risquent une grosse amende en cas de non respect : jusqu’à 4% de son chiffre d’affaire. Les informations que nous fournissons doivent être protégées par défaut (Art. 19). A noter que cette régle est déjà applicable en France, il suffit de lire le règlement de la CNIL à ce sujet. Faut-il maintenant que tout cela soit véritablement appliqué.

Fuite, perte, piratage de données

Parmi les autres articles, le « 7 » indique que les entreprises ont l’obligation de demander l’accord « clair et explicite » avant tout traitement de données personnelles. Adieu la case par défaut imposée, en bas de page. De l’opt-in (consentement préalable clair et précis) uniquement. Plus compliqué à mettre en place, l’article 8. Je le vois dans les ateliers que je mets en place pour les écoles primaires et collèges. Les parents devront donner leur autorisation pour toutes inscriptions et collectes de données. Comme indiqué plus haut, les informations que nous allons fournir devront être protégées par défaut (Art. 19). Intéressant à suivre aussi, l’article 20. Comme pour sa ligne téléphonique, le numéro peut dorénavant vous suivre si vous changez d’opérateur, cet article annonce un droit à la portabilité des données. Bilan, si vous changez de Fournisseur d’Accès à Internet par exemple, mails et contacts doivent pouvoir vous suivre. L’histoire ne dit pas si on va pouvoir, du coup, garder son adresse mail. 92829@orange.fr fonctionnera-t-il si je passe chez Free ?

La limitation du profilage par algorithmes n’a pas été oublié. En gros, votre box TV Canal +, Orange ou Netflix (pour ne citer que le plus simple) utilisent des algorithmes pour vous fournir ce qu’ils considèrent comme les films, séries, émissions qui vous conviennent le mieux. L’article 21 annonce que l’algorithme seul ne sera plus toléré, surtout si l’utilisation n’a pas donné son accord. Enfin, notre vie numérique est prise en compte. Les articles 33 et 34 s’annoncent comme les défenseurs de notre identité numérique, mais aussi notre réputation numérique. L’affaire Ashley Madisson est un des exemples. Votre identité numérique est volée. L’entreprise ne le dit pas. Votre identité numérique est diffusée sur Internet. Vous ne la maîtrisez plus.

Bref, 33 et 34 annonce clairement que les internautes ont le droit d’être informé en cas de piratage des données. La CNIL sera le récipiendaire des alertes communiquées par les entreprises piratées. Bref, fuite, perte, piratage de données ? Entreprise, il va falloir communiquer !

Les entreprises ont jusqu’au 1er janvier 2018 pour se mettre en conformité. Les 28 pays membres doivent maintenant harmoniser leurs lois sur le sujet. Je me tiens à la disposition des entreprises, associations, particuliers qui souhaiteraient réfléchir à leur hygiène informatique.

Police : nouvelles règles sur les transferts de données

Le paquet sur la protection des données inclut par ailleurs une directive relative aux transferts de données à des fins policières et judiciaires. La directive s’appliquera aux transferts de données à travers les frontières de l’UE et fixera, pour la première fois, des normes minimales pour le traitement des données à des fins policières au sein de chaque État membre.

Les nouvelles règles ont pour but de protéger les individus, qu’il s’agisse de la victime, du criminel ou du témoin, en prévoyant des droits et limites clairs en matière de transferts de données à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales – incluant des garanties et des mesures de prévention contre les menaces à la sécurité publique, tout en facilitant une coopération plus aisée et plus efficace entre les autorités répressives.

« Le principal problème concernant les attentats terroristes et d’autres crimes transnationaux est que les autorités répressives des États membres sont réticentes à échanger des informations précieuses », a affirmé Marju Lauristin (S&D, ET), députée responsable du dossier au Parlement. « En fixant des normes européennes sur l’échange d’informations entre les autorités répressives, la directive sur la protection des données deviendra un instrument puissant et utile pour aider les autorités à transférer facilement et efficacement des données à caractère personnel tout en respectant le droit fondamental à la vie privée« , a-t-elle conclu.

43 heures de communications pirates pour la Ville de Solignac

La commune de Solignac se fait pirater son standard téléphonique. Aucun employé ne s’était rendu compte du problème. L’opérateur va réagir après avoir découvert 43 heures de communications pirates durant le week-end de Pâques.

Que dire ? Les petites et moyennes communes ne prennent pas leur sécurité informatique au sérieux. Le silence est d’or, l’excuse du droit de réserve a bon dos… Le dos de l’argent et des données des contribuables s’envolant à coups de piratages, fuites de données, ransomwares, phreaking…

C’est d’ailleurs du phreaking, piratage dans la téléphonie, qui vient de toucher une commune de la région de Limoges. La Direction Générale de la mairie de Solignac a été alertée par l’opérateur Orange d’un étrange comportement de sa ligne téléphonique. Le pirate est un malin, 43 heures d’appels téléphoniques illicites sur le dos des finances de la ville, entre le samedi après-midi et la nuit du lundi au mardi du week-end de Pâques.

Les phreakers sont particulièrement bien organisés. Je peux en croiser, dans certains blackmarkets,  proposant ce type de service. Durant ces trois jours, 283 appels à destination de l’Azerbaïdjan, le Pakistan, le Liberia, la Somalie,  les Iles Falkland, les Maldives et Haïti. Bref, plusieurs dizaines de milliers d’euros envolés.

Du piratage de standard téléphonique qui n’est pourtant pas une nouveauté. Malheureusement, je croise trop de chefs de service aux égos surdimensionnés, aux titres ronflants et à l’incapacité de gérer l’informatique, la sécurité, ou simplement la communication sur ce type de méfait. Je ne parle même pas des budgets qui se réduisent comme peau de chagrin et des employés territoriaux devenus responsables informatiques par l’effet du Saint-Esprit (comprenez le piston). Je ne généralise pas, mais mes constatations me font dire que cela ne s’arrange pas. En novembre 2015, 43 000 € de détournement téléphonique au Conseil Départemental des Deux-Sévres ; 15 000 à la commune de Pessac, 15 000 pour la commune de Licques… et ici, je ne parle que des cas connus.

Communications pirates : ce que dit la loi

Pour les pirates, la loi est claire : piratage, escroquerie, … entre 5 et 7 ans de prison et jusqu’à 350000 euros d’amende. Pour l’entreprise impactée, il est dorénavant possible de se retourner contre le prestataire de service, l’entreprise qui a pris en charge l’installation du standard. Une jurisprudence condamne les intégrateurs dans la mesure où ces derniers n’ont pas informé et formé leurs clients.

Porn Account : 270000 amateurs de pornos piratés

Un internaute a tenté de revendre les données de 270 000 amateurs de sites pornographiques dans le blackmarket. Le business du Porn Account pour les nuls !

Vous avez peut-être entendu à la radio et lu dans la presse généraliste ce piratage de données ayant visé 270 000 amateurs de sites pornographiques. Un piratage qui a débuté via l’attaque par injection SQL de plusieurs sites pour adultes appartenant au groupe Paper Street Media.

Le pirate a expliqué avoir contacté l’entreprise pour « discuter ». Soyons clair, il a tenté de leur soutirer de l’argent en proposant la faille qui lui a permis d’extraire les informations des clients (IP, mail, mots de passe…).

Paper Street Media n’a pas répondu dans le sens de l’internaute. Bilan, l’adolescent a mis en vente, dans le blackmarket, la base de données volée pour 360 euros. Pourquoi revendre les données dans le BM ? Tout simplement pour que les professionnels du porn account puissent sauter sur l’occasion.

Dans cette même boutique qui aurait servi au pirate à revendre cette base de données [je n’ai pas retrouvé le vendeur], d’autres « commerçants » proposent des accès « piratés » aux sites interdit au – de 18 ans de Paper Street Media pour 9 $. Je vous laisse faire l’addition. Nous sommes très très loin des 360 euros réclamés ! « Je peux me faire entre 300 et 500 dollars par semaine » m’indique un de ces vendeurs de Porn Account croisé dans une boutique spécialisée.

Un pirate russe revend des milliers de comptes du site Naughty America.

A noter que j’ai pu consulter [ci-dessus] un document diffusé par un autre pirate informatique. Ce dernier, il est russe, a mis la main sur 150 000 comptes clients du site pornographique Naughty America. Un injection SQL, une backdoor (shell) dans le serveur et les comptes clients ont fini dans les mains du pirate.

Pendant ce temps…

… le groupe hôtelier Trump est de nouveau piraté. Des logiciels d’espionnage ont été retrouvés dans les ordinateurs des hôtels Trump situés à New York, Toronto et Honolulu. Même type d’attaque vécue en juillet 2015. Cela donne une idée de la gestion de la sécurité informatique de ce groupe. Les pirates visaient les identités et les données bancaires.

En ce qui concerne les numéros de CB, pas besoin d’être intelligent pour comprendre l’intérêt. Achats de produits dématérialisés qui seront revendus moitié prix [blanchir l’argent détourné]… En ce qui concerne les informations dédiées aux identités : fraude bancaire [ouverture de compte], usurpation d’identité, …

Récupération des données en cas de ransomware : 6 règles à respecter

Récupération des données en cas de ransomware ! Catastrophes naturelles, pannes de courant ou d’équipements, piratage informatique, erreurs de manipulation, virus… La liste des menaces potentielles planant sur les données et les activités d’une entreprise est sans fin. La grande mode des ransomwares permet, malheureusement, de rappeler que la sauvegarde informatique n’est pas un gadget.

Les meilleurs outils pour se protéger d’un ransomware existent-ils ? Efficace à 100 %, non. La sauvegarde est le principal secours [le meilleur outil étant de ne pas cliquer sur le fichier joint envoyé par un inconnu]. En suivant des stratégies éprouvées de récupération des données en cas de sinistre, les professionnels de l’informatique peuvent protéger efficacement les données de l’entreprise et garantir que cette dernière reste opérationnelle en cas de désastre d’origine naturelle ou humaine, et même en cas de cyberattaque. Plusieurs étapes existent pour protéger son entreprise et réduire l’impact d’un sinistre.

Planifier et se documenter – Se préparer à un sinistre éventuel consiste tout d’abord à accepter pleinement le fait qu’un désastre peut se produire. Il faut pour cela visualiser les désastres potentiels, qu’il s’agisse d’un incendie détruisant le centre de traitement des données ou d’une panne d’un serveur hébergeant des données critiques. La première étape est donc de préparer des plans de restauration des données spécifiques pour chaque scénario, et de documenter chaque étape nécessaire. Cela représente un investissement de temps, mais le temps passé à planifier maintenant peut sauver l’entreprise de la faillite plus tard.

Répliquer les applications – La protection des données de l’entreprise est essentielle en cas de désastre. Mais pour assurer la continuité des activités, il est également important que les applications de l’entreprise restent fonctionnelles et accessibles aux employés, clients et partenaires, car toute interruption des opérations à la suite d’un désastre peut causer d’importants dommages. Les professionnels de l’informatique doivent sauvegarder les applications comme Active Directory, SQL, les serveurs de courrier électronique, ERP, CRM… ainsi que toutes les applications requises pour permettre aux utilisateurs d’accéder aux données et aux services.

Utiliser une protection sur site et hors site – La sauvegarde et la restauration des données et applications représente une étape cruciale pour la préparation à un désastre éventuel. Mais si le serveur stockant les données de sauvegarde est dans la même pièce – ou sur le même lieu – que le serveur de stockage des données originales, les deux peuvent être endommagés simultanément, notamment en cas d’inondation ou d’incendie. Pour se prémunir de ce type de risque, les entreprises peuvent sauvegarder et répliquer les données et les systèmes sur un équipement basé sur site et dans le Cloud. En cas de panne, la récupération à partir de la sauvegarde Cloud est rapide et l’entreprise peut redémarrer localement ou dans le Cloud. Cette approche hybride, basée sur le Cloud, protège les données dupliquées contre une destruction éventuelle.

Récupération des données en cas de ransomware

Automatiser – Les désastres ne s’invitent que rarement au moment opportun, et même les professionnels les plus avertis peuvent avoir une réaction conflictuelle. En effet, les membres de l’équipe informatique peuvent avoir des préoccupations personnelles en tête, plus ou moins importantes selon la nature du désastre. La disponibilité, ou l’indisponibilité des techniciens IT en cas de désastre, peut donc impacter la durée d’arrêt de l’activité pour l’entreprise. L’automatisation d’un maximum de procédures permet de réduire considérablement le facteur humain dans une équation déjà très complexe. Prudence, cependant à une automatisation sans contrôle. La récupération des données en cas de ransomware doit se faire avec réflexion. Des cas de chiffrements de fichiers, à la suite d’un ransomware, se sont retrouvés dans les backups… automatisés.

Effectuer des tests réguliers – L’élaboration d’une stratégie et le déploiement d’une technologie de récupération des données constitue un bon départ. Elle pourra vous sauver en cas de besoin de récupération de données en cas de ransomware, incident… Mais il faut aller plus loin pour véritablement se protéger. Pour s’assurer que la stratégie de récupération en cas de désastre fonctionne avec les outils choisis, il faut procéder régulièrement à des essais pour vérifier le plan de sauvegarde. Les tests permettent de s’assurer que le plan fonctionne toujours parfaitement, même en cas d’ajout de nouveaux éléments au sein du réseau ou du centre de données.

Déléguer pour plus d’efficacité – Pour la plupart des entreprises, un sinistre n’arrive heureusement pas tous les jours. C’est pourquoi même les professionnels de l’informatique les plus aguerris peuvent profiter d’un coup de main pour la récupération des données après un désastre. Lorsque de l’élaboration du plan et du choix de la solution, il est important de travailler avec un partenaire spécialisé dans ce domaine, bénéficiant d’une expérience et d’une expertise pour garantir une récupération réussie. Ces 6 étapes permet de s’assurer que le sinistre, quelque soit sa taille et sa nature, n’entraine pas une grande période d’interruption de services et une perte de données. (Par Serguei Beloussov, CEO d’Acronis)

L’accès mobile est-il vraiment sûr ?

L’accès mobile est-il vraiment sûr ? À l’heure actuelle, les salariés disposent de plus en plus de smartphones ou d’accessoires connectés dont ils ne se séparent jamais. En fait, d’après de récentes prévisions de Gartner, les ventes mondiales de mobiles pourraient franchir la barre des 2,5 milliards d’unités d’ici 2016. Face à la progression d’intérêt manifesté pour les solutions en mode cloud et les plates-formes axées sur la mobilité, de plus en plus de responsables de la sécurité réfléchissent aux possibilités que peut offrir un système d’accès mobile en termes de sécurité physique.

Rarement égaré et constamment à portée de main, l’appareil mobile est devenu la plus précieuse des technologies en notre possession. Toutefois, comme l’a mis en évidence IFSEC Global dans un récent rapport, près de 80 % des responsables de sécurité interrogés redoutent que l’intégration de solutions d’accès mobile dans leur architecture de contrôle des accès physiques n’accentue la vulnérabilité du système.

Quelles sont donc les principales craintes des responsables de sécurité ? Ces derniers doivent tenir compte de plusieurs paramètres. Un authentifiant numérique est-il aussi sûr qu’un badge physique ? Peut-il être copié facilement, ou bien un collaborateur pourrait-il manipuler ces données sur son téléphone personnel dans le cadre d’une stratégie BYOD ? La transmission radio des clés est-elle vraiment fiable ? La voie de communication entre un mobile et un lecteur peut-elle être détournée à des fins malhonnêtes ? Si les responsables de sécurité se posent légitimement ces questions, c’est parce qu’ils souhaiteraient faire toute la lumière sur le degré de protection dont bénéficieraient leurs locaux et installations sur site s’ils optaient pour un accès mobile. La question cruciale étant de savoir si, en agissant de la sorte, ils sacrifieraient la sécurité sur l’autel de la commodité.

Les authentifiants mobiles reposent sur les dernières évolutions technologiques en date
Il est primordial que les techniques de cryptage remplissent les critères de sécurité les plus stricts. Un système d’accès mobile sécurisé reposera, en règle générale, sur des protocoles de sécurité certifiés par des organismes indépendants crédibles ? suite B d’algorithmes cryptographiques, algorithmes de chiffrement AES (Advanced Encryption Standards), à savoir AES-128 et SHA (Secure Hash Algorithm) du NIST (National Institute of Science and Technology). Un système d’accès mobile normalisé respectant ces protocoles de sécurité draconiens avec sécurisation des messages, couplé à une authentification forte, procurera aux responsables de sécurité une réelle tranquillité d’esprit quant à la confidentialité des données de leurs collaborateurs.

L’accès mobile est-il vraiment sûr ? Toute manipulation d’identifiants mobiles est exclue

Les identités mobiles doivent être signées et cryptées afin de prévenir leur manipulation. S’agissant des identifiants mobiles, ils sont stockés dans le sandbox du système d’exploitation applicatif, périmètre réservé sur l’appareil au stockage des informations confidentielles. Les données qui y figurent étant cryptées, elles ne peuvent être dupliquées ni dérobées via un accès non autorisé au téléphone. Les identifiants mobiles ne sont pas transférables, mais propres à l’appareil pour lequel ils ont été créés. Les clés cryptographiques étant diversifiées, aucune clé maître n’est stockée sur l’appareil. Chaque identifiant mobile est spécifique à l’appareil.

L’accès mobile est-il vraiment sûr ? Transmission entre un appareil mobile et le lecteur de contrôle d’accès

À partir du moment où un accès est octroyé à un collaborateur pour pénétrer dans un local ou une installation sur site, la transaction entre l’application installée sur l’appareil mobile et le lecteur de contrôle d’accès est indépendante du protocole de communication utilisé. La transmission radio via NFC ou Bluetooth Smart pour l’émission de la clé est protégée par la dernière technologie en date, et tout vol est impossible lors de la délivrance de l’autorisation d’accès par ondes radio. L’appareil et le lecteur utilisent tous deux des techniques de communication cryptographique ultra-sécurisées. En outre, aucun appairage Bluetooth n’est requis entre le lecteur et l’appareil, puisque des interactions ne sont possibles qu’entre des équipements éligibles. Chacun des connecteurs du module est protégé par une clé d’authentification et aucun d’eux n’a recours à la technologie NFC ou Bluetooth Smart. En fait, l’application d’accès mobile peut être configurée de manière à rendre l’identifiant mobile uniquement actif une fois l’écran déverrouillé afin de prévenir les attaques par relais.

Les systèmes de contrôle d’accès mobile créent également une culture de la sécurité, même si vos collaborateurs n’en sont pas conscients. Dans le cadre d’un accès par carte ou jeton aux locaux et installations sur site, ces derniers sont effectivement contraints de se munir en permanence d’un élément dont ils ne s’encombreraient pas en temps normal. De ce fait, si leur carte est perdue ou dérobée, ils sont moins susceptibles de le remarquer et le signalent donc assez tardivement. Voilà qui rend votre infrastructure physique vulnérable, puisqu’une carte valide peut virtuellement tomber entre de mauvaises mains. Le collaborateur est, en revanche, davantage « attaché » à ses équipements mobiles : la perte comme le vol d’un téléphone sont signalés immédiatement, et l’identifiant mobile peut être révoqué dans la foulée afin d’empêcher tout accès non autorisé.

L’accès mobile est-il vraiment sûr ? Les technologies d’accès mobile appliquées à l’architecture de contrôle des accès physiques ont de beaux jours devant elles. Les équipements mobiles présentent, entre autres avantages, celui d’une actualisation dynamique du logiciel de sécurité tandis que l’actualisation des données sur carte prend davantage de temps et induit des coûts supplémentaires. L’environnement mobile permet, par conséquent, de résoudre rapidement les problématiques de sécurité.

Par ailleurs, les fabricants de téléphones mobiles intégrant toujours plus de technologies évoluées en matière de sécurité comme la biométrie ? reconnaissance digitale, faciale et même vocale ? la sécurisation des appareils mobiles s’avère plus robuste. Un téléphone volé n’est donc d’aucune utilité pour tenter d’obtenir un accès non autorisé : l’application étant protégée par logiciel sur le téléphone, ce dernier est encore mieux sécurisé qu’un authentifiant physique.

L’accès mobile est-il vraiment sûr ? S’il est légitime que les responsables de la sécurité s’interrogent sur la fiabilité des systèmes d’accès mobile, il s’avère que cette technologie est parfaitement capable de conjurer les menaces pesant sur la sécurité des bâtiments. Par ses multiples niveaux de sécurité, l’accès mobile représente un choix sûr pour le système de contrôle d’accès aux locaux de toute entreprise. (Par Yves Ackermann, Directeur Segments Stratégiques Europe, HID Global)

Sécurité des terminaux mobiles, talon d’Achille des entreprises

Sécurité des terminaux mobiles – Gérer de la meilleure façon les terminaux mobiles des collaborateurs en entreprise.
Tandis que l’on utilise chaque jour davantage l’Internet sur mobile, les risques aussi augmentent et les menaces s’y multiplient. Et comme l’entreprise a massivement adopté le mobile comme plateforme professionnelle, les logiciels malveillants et attaques réseau sont de plus en plus nombreux à tirer parti de ses failles. Il faut alors admettre que l’ampleur des attaques ne peut que croître sur nos terminaux encore mal protégés.

Au cours de notre enquête trimestrielle sur la sécurité mobile entre octobre et décembre 2015, il s’est avéré que la majorité des entreprises comptait au moins un terminal non conforme sur cette période. Ce chiffre s’explique directement par la désactivation de la protection par code PIN, la perte d’un terminal, l’absence de règles à jour, etc. Des terminaux défaillants sont des cibles plus vulnérables pour les logiciels malveillants, les codes exploitant les failles et le vol de données. Face à ces risques croissants, on insistera sur l’importance d’utiliser les règles de sécurité et de conformité disponibles pour mettre en quarantaine ces terminaux.

Les entreprises confient encore trop souvent leur sécurité mobile à des systèmes dépassées par la  nouvelle génération de menaces. La sécurité des terminaux mobiles n’est pas une option. La sécurité des terminaux mobiles est encore moins un gadget. D’ailleurs, les entreprises gèrent les risques de pertes de leurs données stockées dans le cloud selon ces mêmes méthodes obsolètes. Celles-ci essaient de limiter les risques en plaçant sur liste noire une ou plusieurs applications cloud de synchronisation et de partage de fichiers dans l’entreprise. Le recours aux listes noires revient à étouffer les problèmes. Au vu de la multitude d’applications et de services de synchronisation et de partage disponibles, une règle de liste noire n’est en pas suffisamment efficace et exhaustive pour tous les repérer. Les utilisateurs n’auront alors plus qu’à trouver une autre application pour stocker leurs données professionnelles dans le cloud. En outre, les logiciels mobiles malveillants et les risques liés aux applications n’ont cessé d’augmenter en 2015. Ainsi, de nouvelles versions de logiciels malveillants, tels que YiSpecter et XcodeGhost qui ciblent iOS d’Apple, n’ont plus besoin que le terminal soit jailbreaké. Pourtant, l’adoption de solutions contre les logiciels malveillants sur les mobiles reste très limitée en dépit de la protection accrue qu’elles confèrent contre les risques liés au mobile.

En matière de sécurité mobile, de sécurité des terminaux mobiles, beaucoup d’entreprises sont encore en phase d’affinage de leur stratégie. Les statistiques s’appuyant sur la prévalence des failles identifiables en matière de terminaux mobiles, d’applications, de réseaux et de comportement des utilisateurs sont essentielles pour élaborer des approches plus astucieuses et des outils plus performants afin de réduire l’incidence de ces failles. Les entreprises dans lesquelles une solution EMM est déjà déployée disposent généralement de la plupart des outils dont elles ont besoin. Il leur suffit alors de les mettre en pratique.
Sécurité des terminaux mobiles

Quelques conseils peuvent cependant se révéler utiles aux entreprises qui n’auraient pas encore de politique sécuritaire pour leurs terminaux mobiles :

Appliquez les règles de conformité et mettez en quarantaine les terminaux qui ne sont plus conformes. Sécurité des terminaux mobiles doit mettre en gras, au bureau, que le fait d’un terminal qui ne répond pas aux normes étant une cible de choix pour une attaque malveillante à l’encontre de l’entreprise, il est fortement recommandé d’utiliser systématiquement les règles strictes de conformité proposées avec les solutions EMM afin de mettre en quarantaine les terminaux à risque. Une solution EMM peut détecter si un utilisateur a désactivé son code PIN, a un terminal piraté, applique une règle obsolète et bien plus encore. Les fonctions de mise en quarantaine peuvent servir à bloquer l’accès au réseau et/ou à supprimer de façon sélective les données d’entreprise stockées sur le terminal. Elles contribuent à limiter la perte de données et à respecter les exigences réglementaires en matière de conformité, ce qui évite à l’entreprise de faire les gros titres à la rubrique « Victimes de cybercriminalité ».

Cessez de mettre sur liste noire les applications de stockage dans le cloud personnel et privilégiez plutôt les fonctionnalités de gestion ou de conteneurisation des applications fournies avec les solutions EMM pour permettre à vos employés de stocker leurs données dans un cloud d’entreprise sécurisé. L’approche EMM, qui consiste à éviter la dissémination des données d’entreprise plutôt que de bloquer un nombre toujours plus important d’applications cloud, offre l’avantage non négligeable de séparer les données d’entreprise des données personnelles.

Ajoutez un service de réputation des applications ou de prévention des menaces sur les terminaux mobiles qui s’intègre à votre solution EMM. Ces services détectent les applications dangereuses, les logiciels malveillants, les risques liés aux applications, les attaques réseau et bien plus encore. Ils s’appuient sur la solution EMM pour prendre des mesures et mettre en quarantaine un terminal si une menace est détectée.

Appliquez les correctifs sur vos terminaux gérés. Il vous suffit de passer par le biais de la console EMM pour mettre en œuvre une version minimale du système d’exploitation. Si cette opération est simple sous iOS, elle peut s’avérer plus complexe avec Android en raison de la fragmentation expliquée plus haut. En revanche, les services de réputation des applications ou de prévention des menaces précédemment mentionnés peuvent identifier les risques liés aux terminaux Android en mettant des failles connues en corrélation avec le système d’exploitation. Ils peuvent ensuite informer la solution EMM qu’un terminal vulnérable a été détecté afin de le mettre en quarantaine.

Par Michael Raggo, directeur du MobileIron Security Labs

Une tentative de piratage oblige une entreprise de transport à fermer ses serveurs

L’autorité des transports publics australienne, qui gère trains, bus et ferries, a du fermer ses sites web et serveurs informatiques internes à la suite d’une tentative de piratage.

Une tentative de piratage a mis en panique totale l’autorité des transports publics australienne. Une tentative malveillante suffisamment sérieuse, à première vue, pour obliger la compagnie à fermer l’accès de l’intégralité de ses sites Internet et serveurs informatiques internes. Bilan, les clients ne pouvaient plus accéder aux informations liées aux bus, trains et bateaux. Les employés ne pouvaient plus utiliser leur compte mail. « Les lignes téléphoniques ne sont pas affectées » annonce la société sur son fil Twitter !

Une fausse société revendait des identifiants de connexion à des Chinois

Identifiants de connexion – Les identifiants et les mots de passe d’environ 18 millions d’utilisateurs d’Internet Japonais retrouvés dans un serveur mis en place par une fausse société. Elle revendait les connexions à des Chinois.

La Nicchu Shinsei Corp., basée dans le quartier de Toshima Ward de Tokyo semblait être une PME nippone comme toutes les autres. Sauf qu’elle fournissait à des Chinois des moyens de se connecter à Internet en usurpant les identités des clients originaire du pays du soleil levant.

La police locale a trouvé sur un serveur informatique de cette entreprise, pas moins de 18 millions de japonais piratés. Nicchu Shinsei Corp. fournissait un serveur de relais pour des accès illicites. 18 millions de données (ID, Mot de passe), ainsi que 1,78 millions de données Twitter, Rakuten… Le nombre de victimes dans cette affaire récente fait de ce piratage le plus grand cas de vol d’informations au Japon. Sur le serveur, un programme automatique tentait illégalement d’accéder aux espaces ainsi compromis.

Des pirates Chinois seraient derrière cette « installation ». Un piratage qui ressemble comme deux goutes d’eau à celui vécu, en 2014. Ici aussi, une autre société avait permis d’intercepter 5.928.290 millions de données personnelles. (Japan News)

Applications et VPN pour téléphone portable et tablette

Surfer anonyme et sécurisé sur votre téléphone portable et autre tablette est devenu un acte obligation. Pour cela, l’utilisation d’un VPN est devenue indispensable. Pas toujours simple à employer, il existe des applications qui automatisent et facilitent l’exploitation d’un VPN. Voici quelques solutions d’outils et de VPN pour votre téléphone portable et votre tablette, simples à mettre en place et efficace.

S’il fallait faire simple, un VPN est une machine qui va vous permettre de cacher votre adresse Internet lors de vos surfs, téléchargements, … La machine, entre vous et l’espace numérique que vous souhaitez visiter va servir de leurre. C’est l’adresse du VPN qui apparaitra dans les traces du forum, des sites… que vous visitez. A noter que de plus en plus de service VPN vous proposent aussi de chiffrer les informations qui transitent entre lui, votre FAI et votre ordinateur. En gros, les informations que vous envoyez/recevez, sont chiffrés entre le fournisseur de VPN, votre FAI [ou celui qui vous propose la connexion : hôtel, restaurant, conférence…] et vous. Bilan, un « espion » ayant la main sur votre connexion (un wi-fi public par exemple, NDR) ne pourra pas intercepter/lire/modifier les données qui arrivent/sortent de votre ordinateur. Bref, indispensable sur un ordinateur (PC, MAC). Encore plus indispensable sur un smartphone, tablette et tout autre objet nomade.

Voici quelques solutions de VPN et d’applications proposées par ZATAZ.COM dédié au surf anonyme et sécurisé pour votre smartphone et tablette. Ils vous permettant de surfer, converser… en mode sécurisé et chiffré. Je vais commencer par les applications que j’utilise. A noter que je n’exploite  jamais deux fois la même application/VPN dans la même journée.

A partir de 3€ par mois, sans abonnement.

HideMyAss! est un service permettant de surfer en mode chiffré, et quasi anonymement. Pour cela, HMA vous permet d’utiliser un VPN, un tunnel qui chiffre les informations qui transitent entre vous et les réseaux que vous pouvez utiliser (Oueb, FTP, IRC…). Hide My Ass, que l’on peut traduire par… « protéger son petit fessier sur Internet » propose une application simple et efficace. Sélection aléatoire des serveurs, recommandations géographiques (pour plus de rapidité, par exemple), planification des changements d’ip (toutes les 5 minutes, une nouvelle adresse, un nouveau serveur, un nouveau pays, par exemples).

Très pratique, vous pouvez choisir les applications qui ne peuvent se connecter qu’avec un VPN (mails…). L’application pour iPhone et Android est très intuitive. Bref, avec 929 serveurs basés dans plus de 190 pays, HMA met à disposition 125688 adresses IP. Cette société propose une option TV et console de jeux. Fonctionne sur PC, MAC, Android, iOS. Surf anonyme et sécurisé pour votre smartphone et tablette, téléchargez et testez HideMyAss!

VyprVPN, comme son cousin HideMyAss, offre un système de chiffrement. OpenVPN, et par une invention maison, le Chameleon (256 bits). Il utilise le protocole OpenVPN 256 bits, et permet de brouiller les métadonnées pour éviter le Deep Packet Inspection (DPI), les blocages… Ici aussi, vous pouvez définir les applications qui se lanceront uniquement avec un VPN. L’appli VyprVPN peut aussi être configurée de manière à s’allumer dès qu’une connexion wi-fi non sécurisée est détectée.

Nouveau, l’outil pour smartphone et tablette permet de bloquer les contenus et espaces numériques que votre mobile souhaiterait visiter sans votre accord (pub, redirection, lancement de programme malveillant…). Plus de 200.000 adresses IP, quelques 800 serveurs. Compter 10€ par mois, sans obliger de souscrire à un abonnement. VyprVPN propose une option TV, console de jeux et routeur. Fonctionne sur PC, MAC, Android, iOS. Surf anonyme et sécurisé pour votre smartphone et tablette – Téléchargez et testez VyprVPN.

Retrouvez plusieurs autres solutions gratuites et payantes d’application et VPN pour un surf anonyme et sécurisé pour votre smartphone et tablette sur zataz.com.

Apple vs. FBI : suite et fin ?

Apple vs. FBI – Suites du jugement rendu mardi 16 février par la Cour fédérale du Riverside en Californie, dans lequel cette dernière exigeait de la multinationale « une assistance technique raisonnable » au FBI afin de lui permettre d’accéder au contenu crypté de l’iPhone d’un des auteurs présumés de la fusillade de San Bernadino.

Il semblerait que le gouvernement qui parallèlement à ce jugement poursuivait ses efforts pour accéder au contenu de l’iPhone soit arrivé à ses fins. Le FBI contacté par un tiers serait sur le point de parvenir à accéder (si ce n’est déjà le cas) aux données de l’iPhone. S’en est suivie la levée d’une audience qui devait se tenir ce mardi. Le test de la viabilité de méthode fera l’objet d’un rapport d’évaluation et sera prochainement communiqué au juge en charge de l’affaire, Sheri Pym.

Il y serait parvenu sans l’aide d’Apple. Dans une telle hypothèse, la personne à l’origine de cette méthode pourrait néanmoins s’exposer à des poursuites judiciaires. Selon Robert Enderle, expert en technologies, il pourrait s’agir de John McAfee (créateur de l’anti-virus éponyme), ou d’un ancien employé d’Apple. En France, cette personne aurait pu être poursuivie sur le fondement des articles L 323-1 et suivants du Code pénal qui incriminent l’accès ou le maintien frauduleux dans un système automatisé de traitement des données. S’il s’agit d’un ancien employé d’Apple, il pourrait se voir opposer la clause de confidentialité présente dans son ancien contrat de travail.

Apple vs. FBI

En réalité, il serait surprenant qu’Apple ne soit pas intervenu. La version des faits telle qu’avancée par le gouvernement américain constituerait un juste milieu et permettrait à Apple de collaborer avec le FBI tout en maintenant son image de garant des libertés fondamentales auprès des consommateurs. En effet, depuis le jugement du 16 février dernier, la multinationale était dans une position ambigüe puisque si fournir au FBI un moyen pour accéder au contenu de l’iPhone permet de démontrer qu’Apple participe à lutter contre le terrorisme, a contrario cela engendrerait une menace de sécurité pour ses clients.

Depuis l’affaire Snowden qui avait révélé une collecte massive des données par la NSA dépassant le cadre sécuritaire, les sociétés américaines surfant sur cette vague d’indignation ont fait de la sécurité des données un véritable argument marketing. Si l’inviolabilité des téléphones rassure les consommateurs, les autorités regrettent qu’elle puisse aider la criminalité. Cette affaire ravive ainsi le débat sur la nécessité d’accéder aux contenus en vue de lutter contre le terrorisme d’une part et de renforcer la sécurité des données, d’autre part. D’un point de vue informatique, le premier suppose l’introduction d’une faille de sécurité dans le programme au moyen notamment des backdoors (ou « portes dérobées »), tandis que le second vise à rendre le logiciel infaillible à toute intrusion tierce.

Dans l’un comme dans l’autre cas, l’impact en termes d’image est négatif pour Apple. Il semble qu’elle s’en soit néanmoins sortis de cette confrontation Apple vs. FBI. Ainsi, lundi dernier alors que le FBI affirmait détenir une méthode viable pour accéder aux données de l’iPhone, Tim Cook déclarait que « nous devons décider en tant que nation quel pouvoir devrait avoir le gouvernement sur nos données et notre vie privée ».

En France, le projet renforçant la lutte contre le crime organisé, le terrorisme et leur financement qui sera prochainement en discussion devant le Sénat, complète l’article L 230-1 du Code pénal qui permet aux autorités judiciaires de désigner toute personne morale ou physique en vue d’accéder à des données chiffrées. Ce faisant, il disposera désormais en son dernier alinéa que « le fait, pour un organisme privé, de refuser de communiquer à l’autorité judiciaire requérante enquêtant sur des crimes ou délits terroristes (…) des données protégées par un moyen de cryptologie dont il est le constructeur, est puni de cinq ans d’emprisonnement et de 350 000 euros d’amende », l’amende étant portée au quintuple concernant les personnes morales. (Par Maitre Antoine Chéron, avocat spécialisé en propriété intellectuelle et NTIC, fondateur du cabinet ACBM.)

Data leak – Piratage des forums de LitecoinTalk

Durant plusieurs heures, le site LitecoinTalk ne répondait plus aux demandes des visiteurs. Le site vient de demander à ses utilisateurs de changer leur mot de passe. Ça sent le piratage et le data leak !

Il y a quelques jours, les amateurs de la monnaie numérique Litecoin, et utilisateurs des forums de LitecoinTalk, se sont retrouvés à la porte de cet espace dédié au concurrent du Bitcoin. Il y a cinq jours, le 11 mars 2016, un message d’alerte a été diffusé par les administrateurs. Une annonce inquiétante, LitecoinTalk demande à ses utilisateurs de modifier leur mot de passe d’accès.

Même si les mots de passe sont hachés (dont illisibles et inutilisables, NDR), rien n’empêche de penser que ces derniers peuvent être crackés. Au moment de l’écriture de cette brève, je constate que les forums de LitecoinTalk sont toujours fermés. Les administrateurs indiquent sur Reddit « Nous ne pouvons pas confirmer si l’attaquant a obtenu la base de données, mais il convient de supposer qu’il a pu y accéder, et si vous avez utilisé votre mot de passe Litecointalk ailleurs, changer le immédiatement« .

Un piratage ? Il y a malheureusement une forte chance. Une « probable » attaque qui démontre une fois de plus qu’il est important d’utiliser des mots de passe différents pour chaque site et services web utilisés. Le risque de  » data leak « , la diffusion de la base de données volées, via la revente dans le blackmarket ou gratuitement, est un danger loin d’être négligeable. Les informations ainsi rendues publiques deviennent incontrôlables !  Une problème qui intervient alors que la monnaie Litcoin prend de la valeur, ce qui n’était pas arrivé depuis pas mal de temps.

Partage de fichiers et phishing

Le partage de fichiers devient le service le plus ciblé par le phishing. Près d’une URL malveillante sur cinq utilise un service de partage de fichiers.

Le phishing via les services de partage de fichiers a explosé au cours des trois derniers mois, classant ainsi les services Cloud de distribution de fichiers en tête de liste des secteurs les plus ciblés par des actions malveillantes, selon une étude de Bitdefender.

À l’échelle mondiale, le partage de fichiers est davantage utilisé pour propager les arnaques de phishing que les achats en ligne et les services de paiement, qui sont les couvertures traditionnellement favorisées par les hackers. Près d’une URL malveillante sur cinq utilise un service de partage de fichiers pour infecter les utilisateurs avec des malwares, comme le montrent ces dernières données Bitdefender.

Le manque d’innovation de cette technique est compensé par sa facilité d’utilisation et la popularité des services de partage de fichiers entre particuliers. L’an dernier, Dropbox a atteint la barre des 400 millions d’utilisateurs ayant stocké 35 milliards de fichiers Microsoft Office, tandis que Google Drive en hébergeait 190 millions en 2014.

Il est également important de noter que les services de partage de fichiers et de stockage dans le Cloud ne disposent pas des fonctions de sécurité pour filtrer les contenus illicites. Les pirates profitent de cette lacune pour dissimuler leurs fichiers infectés par des malwares, sans laisser de trace.

Par exemple, Dropbox n’examine pas les fichiers détenus dans les dossiers privés des utilisateurs. Cependant, ce service a réussi à mettre en place un système basé sur le hachage qui reconnaît le contenu protégé par des droits d’auteur. Cela permet de générer automatiquement une empreinte pour les fichiers stockés. Celle-ci est ensuite comparée avec une liste des empreintes de fichiers protégés par un copyright et les contenus sont bloqués uniquement si les utilisateurs essaient de les partager avec des contacts externes. Sans grande surprise, Dropbox se place au 4e rang des marques les plus usurpées, après PayPal, Apple et Google.

Une attaque typique suit globalement ce procédé : l’utilisateur reçoit un e-mail en apparence authentique, l’invitant à cliquer sur un lien intégré afin d’afficher un document en pièce jointe. Ce lien redirige l’utilisateur vers une page de phishing hébergée sur le nom de domaine du fournisseur. La page en question demande les informations d’identification de l’utilisateur, puis les capture pour envoyer ces données aux cybercriminels via un SSL. Si les certificats SSL s’assurent que les données sur un site Web sont présentées de manière sécurisée, ils ne garantissent pas que le site lui-même soit sécurisé. C’est pourquoi les pirates en profitent : ils achètent des certificats SSL bon marché et les utilisent sur des sites de phishing pour se faire passer pour des sites légitimes.

En général, les cybercriminels ne se limitent pas à vouloir dérober uniquement de simples identifiants de service de stockage en ligne ; les URL malveillantes peuvent, par exemple, pousser les utilisateurs à télécharger des crypto-ransomwares à leur insu. Dans ce cas, les conséquences sont beaucoup plus graves car les nouvelles générations de ransomwares peuvent prendre le contrôle des fichiers stockés par ces services d’hébergement en ligne. La plupart des sites de phishing sont hébergés aux États-Unis.

« Le phishing reste un vecteur d’attaque très efficace, responsable d’une part de plus en plus élevée d’incidents provoquant des fuites de données, touchant aussi bien les particuliers que les entreprises », déclare Bogdan Botezatu, Analyste Senior chez Bitdefender. Le phishing est une technique encore très efficace et dont la proportion connaît des niveaux sans précédent comme l’a récemment souligné l’IRS (Internal Revenue Service) aux États-Unis avec une augmentation de +400% d’e-mails et de messages faussement légitimes, envoyés en 2015.

Si un employé est victime d’un e-mail de phishing, il peut compromettre à son insu l’ensemble du réseau de l’entreprise, y compris les comptes bancaires, mots de passe du système informatique et identifiants professionnels. Le spear-phishing (phishing personnalisé visant un utilisateur) est efficace parce qu’il est crédible. C’est pourquoi il est conseillé aux utilisateurs d’éviter de trop partager leurs données personnelles sur les plates-formes publiques et de ne pas ouvrir de liens et de fichiers provenant de sources inconnues.

Quand le ver est dans la pomme : comment se protéger des ransomwares ?

Les utilisateurs Mac ne sont plus aussi sereins en ce qui concerne la sécurité de leurs données : la première attaque de ransomwares ciblant des terminaux Apple vient d’être répertoriée, confirmant la fin du mythe selon lequel les dispositifs de la célèbre enseigne à la pomme seraient épargnés par le fléau des cyber-attaques.

Bien qu’Apple ait pu identifier rapidement l’origine de l’infection et enrayer sa propagation, les entreprises prennent conscience de la multiplication des risques liés aux nombreux modèles de terminaux accédant à leur système d’information, créant par ce biais autant de nouvelles failles et potentielles vulnérabilités qui ne peuvent pas être ignorées.

Parmi les solutions proposées, la mise à jour des applications – et notamment celle incriminée dans le cadre de ce ransomware – est la première et la plus importante des étapes. Cette première ″cyber-extorsion″ à grande échelle témoigne de la sophistication et de l’accélération de la propagation de ransomware, affectant aussi bien les grandes que les petites entreprises. En général, le ransomware se propage par le biais d’emails d’hameçonnage contenant des pièces jointes corrompues, mais les téléchargements involontaires depuis des sites web ou des logiciels infectés peuvent également lui permettre de s’infiltrer dans le système, comme le prouve la récente attaque sur les périphériques Mac.

Les Mac étaient autrefois considérés comme étant immunisés contre les cyber-attaques, mais la croissance d’Apple au sein des entreprises a transformé les utilisateurs de Mac en une cible toute aussi intéressante que leurs homologues sur PC. La gestion des patchs reste l’un des moyens les plus efficaces de lutter contre les cyber-attaques, y compris dans le cadre de rançongiciels basés sur des programmes de chiffrement appelés ″cryptoransomware″. La mise à jour des correctifs permet en effet de réduire les vulnérabilités connues des logiciels et des réseaux, et ainsi de minimiser les zones d’intervention potentielles des cybercriminels.

Pour se protéger des ransomwares, au même titre que d’autres types de cyber-menaces, les entreprises doivent placer la gestion des patchs comme l’une des priorités de leur stratégie de sécurité, pour contrôler  à la fois les systèmes d’exploitation, Microsoft Office, les applications Adobe, les navigateurs web et les plug-ins de navigation. Grâce à des plateformes centralisées, incluant souvent des fonctionnalités d’automatisation, les entreprises sont aujourd’hui capables de répondre au défi de la multiplication des terminaux en leur sein et d’assurer ainsi la protection de leur système d’information – quels que soient les terminaux utilisés par leurs collaborateurs ou tiers. C’est uniquement à ce prix que les données peuvent être réellement protégées et que  la réputation de l’entreprise peut être préservée. (Par Benjamin DeRose, Directeur des Ventes SEMEA chez HEAT Software)

Les angles morts créés par le trafic chiffré SSL

Le chiffrement SSL/TLS est largement utilisé pour garantir la confidentialité des communications vers les serveurs internes et externes. Malheureusement, cette confidentialité s’applique également aux solutions de sécurité en les aveuglant et de ce fait en empêchant l’inspection du trafic réseau. Ce qui augmente les risques encourus. Le cabinet Gartner prévoit ainsi qu’en 2017, plus de la moitié des attaques réseau menées contre les entreprises utiliseront le trafic chiffré afin de contourner les mécanismes de contrôle.

Les flux chiffrés étant de plus en plus utilisé par les pirates informatiques, intéressons-nous aux cinq erreurs les plus fréquemment commises en matière d’inspection des communications réseau :

La négligence. Selon Gartner, les entreprises sont nombreuses à ignorer le manque d’efficacité de leurs systèmes de protection en profondeur. Ainsi, la plupart des organisations n’ont pas mis en place de politique formelle de sécurisation des flux chiffrés. Moins de 50% des entreprises équipées de passerelles Web sécurisées (SWG) s’en servent pour déchiffrer le trafic Web sortant. Enfin, moins de 20% des organisations équipées d’un pare-feu, d’un système de prévention des intrusions (IPS) ou d’une appliance de gestion unifiée des menaces (UTM) analysent le contenu des flux lorsqu’ils sont chiffrés.

Le manque de précision. Les entreprises gaspillent de l’argent dans toutes sortes de solutions : IDS/IPS (systèmes de détection/prévention d’intrusion), DLP (solutions de prévention contre la perte de données), pare-feu de nouvelle génération, outils d’analyse de logiciels malveillants, etc. Bien que ces solutions répondent à une variété de problématiques, l’inspection du trafic SSL n’y est tout au plus présente qu’en tant que fonctionnalité optionnelle, et se limite à fournir une visibilité sur les communications Web/HTTPS. De plus, ces fonctionnalités étant tellement consommatrice de ressources, les entreprises doivent déployer plusieurs appliances supplémentaires afin de prendre en charge l’inspection d’un trafic SSL. Cette méthode s’avère  couteuse, problématique sur le plan opérationnel et souvent incomplète.

Le manque de cohérence. Le manque de cohérence dans le déploiement des politiques de déchiffrement du trafic sur les différentes solutions de sécurité utilisées est souvent problématique pour les services chargés de la sécurité informatique. La complexité des réglementations en matière de confidentialité des données est généralement identifiée comme étant un obstacle aux prises de décisions par les départements juridiques, RH ou de conformité. En outre, le manque de communication avec les employés et souvent source de mécontentement (« Pourquoi mes flux sont-ils inspectés ? ») et annihile souvent l’aboutissement des efforts de déchiffrement de ce type.

S’appuyer sur une protection insuffisante. Les logiciels malveillants utilisent le trafic SSL pour commettre leurs méfaits. Ainsi, selon Gartner, l’omniprésent botnet Zeus utilise les communications SSL/TLS pour se mettre à jour après une première infection par e-mail. Par ailleurs, notre centre de recherche Blue Coat Research Labs a constaté que le cheval de Troie Dyre utilisait souvent des mécanismes de commande et de contrôle (C2C) malfaisants tels qu’Upatre pour communiquer secrètement avec ses serveurs de contrôle et de commandement.

Se laisser perturber par l’évolution de l’environnement. L’adoption rapide d’applications et de services cloud étend et complique considérablement les environnements informatiques, accélère le développement du trafic SSL/TLS chiffré, et augmente l’exposition aux risques de piratage. Les applications modernes telles que les médias sociaux, les solutions de stockage de fichier, les moteurs de recherche et les logiciels cloud s’appuient de plus en plus sur ces protocoles pour communiquer. Il est vivement recommandé de superviser et d’analyser ces applications et services, à la recherche de contenu et d’activité malveillants. La généralisation de l’utilisation de ces applications rend encore plus critique la mise en place d’une politique de déchiffrement permettant d’identifier ce qui peut l’être ou ce qui doit rester chiffré.

Voici quatre recommandations pour combler les lacunes vis-à-vis de la sécurité de votre réseau :

1.     Identifier la volumétrie et prévoir son augmentation : évaluez le pourcentage et le volume de trafic réseau chiffré par SSL dans votre organisation.

2.     Évaluez le risque que le trafic ne soit pas inspecté : partagez des informations et collaborez avec vos collègues en dehors des services informatiques (départements RH, juridiques, conformité) ; étudiez et affinez vos stratégies d’entreprise sur le plan de la confidentialité et de la conformité ; et créez un plan d’action commun afin de gérer toute vulnérabilité.

3.     Renforcez votre infrastructure de sécurité réseau en assurant une gestion complète du trafic chiffré : renforcez vos solutions existantes (pare-feu de nouvelle génération, IDS/IPS, antivirus, DLP, outils d’analyse de malware/sandbox et autres logiciels d’analyse de la sécurité) en leur donnant la possibilité de détecter toutes les menaces (même celles issues du trafic précédemment chiffré) et de les traiter comme il se doit.

4.     Supervisez, affinez et appliquez vos stratégies : supervisez, affinez et mettez en œuvre vos stratégies relatives aux applications et au trafic chiffrés entrant et sortant de votre réseau. (par Par Dominique Loiselet, Directeur Général de Blue Coat France)

1,5 million de comptes volés sur le site KM.RU à la suite d’un piratage politique

Piratage – Le portail Russe KM.RU piraté. L’auteur indique avoir volé 1,5 million de données pour soutenir l’Ukraine.

Le portail Russe KM.RU propose un service de webmail. Ce service de courriel a été la cible d’une attaque informatique qui est annoncée comme une action politique par son auteur. Le pirate, qui se baptise Cyber Anak, explique sur Internet que les données ont été volées en juillet 2015. Il souhaitait les diffuser après qu’un avion Ukrainien se soit écrasé. Un missile Russe avait été pointé alors du doigt comme la raison de ce mystérieux incident. « La raison qui me pousse à diffuser ces données aujourd’hui [mars 2016] (…) je proteste contre la politique étrangère de la Russie en ce qui concerne l’Ukraine. » Dans les données volées, j’ai pu constater les dates de naissance, adresses mails, emplacements géographique, adresses mails de secours, questions et réponses de sécurité, pseudonymes… d’1,5 millions d’utilisateurs Russes.

Des données de pharmacies diffusées en raison d’une erreur de codage

Fuite de données pour les pharmacies de l’enseigne de grande distribution américaine Wal-Mart. Une erreur de codage et de cookie donnait accès aux informations des clients patients.

Une erreur de codage, c’est le risque de l’informatique et de n’importe quel système numérique. La sécurité informatique à 100% n’existera jamais, et les fuites de données existeront toujours, surtout que nous fournissons de plus en plus d’informations que nous ne maitrisons plus du tout ensuite.

L’enseigne de grande distribution américaine Wal-Mart Stores INC vient de confirmer une fuite de données concernant ses pharmacies. Une erreur de codage qui permettait d’accéder aux dossiers des clients et patients. « Nous avons eu une erreur de codage dans un de nos logiciels, indique le service presse. Un bug qui a couru sur une période de 72 heures ».

Un bug plutôt gênant. Du 15 au 18 février 2016, il suffisait de se connecter en même temps qu’un autre utilisateur pour accéder aux données de ce dernier. La faute à la gestion des cookies qui se partageaient. « Nous avons agi rapidement pour résoudre le problème une fois qu’il a été découvert. » Une fuite qui donnait accès à de nombreuses informations : nom, adresse, date de naissance et l’historique des prescriptions. Heureusement, les utilisateurs n’étaient pas en mesure de voir les numéros de sécurité sociale ou encore les données bancaires. Des informations cependant suffisantes pour des dealers à la recherche de médicaments vendus uniquement sur ordonnance. Médicaments plus faciles à voler chez un particulier que dans une pharmacie !

Les dirigeants ne sont pas en phase sur la façon de lutter contre les cybercriminels

Selon les résultats de l’étude C-Suite d’IBM : les dirigeants ne sont pas en phase sur la façon de lutter contre les cybercriminels. Éducation et engagement sont nécessaires pour mettre les dirigeants au niveau du nouvel environnement de sécurité.

La division sécurité d’IBM et l’Institut IBM for Business Value (IBV) publient aujourd’hui les résultats d’une étude réalisée auprès de plus de 700 dirigeants qui met en lumière leur confusion concernant leurs véritables ennemis cyber et la façon de les combattre efficacement.

La nouvelle étude, Securing the C-Suite, Cybersecurity Perspectives from the Boardroom and C-Suite est basée sur des entretiens avec des dirigeants de 28 pays et de 18 secteurs industriels concernant la cybersécurité dans l’entreprise. L’étude n’a pas pris en compte les responsables de la sécurité des systèmes d’information (RSSI), afin d’obtenir une image fidèle de ce que les dirigeants pensent de la cybersécurité. Si sur le papier, la cybersécurité est considérée comme une préoccupation majeure pour 68% des dirigeants1, et que 75% pensent qu’une stratégie globale de sécurité est importante, l’étude révèle que les dirigeants clés doivent être plus engagés auprès des RSSI, au-delà de la stratégie en matière de sécurité, et avoir un rôle plus actif.

L’une des principales conclusions de l’étude est que 70% des dirigeants pensent que les individus malveillants constituent la plus grande menace pour leur entreprise. Selon un rapport des Nations Unies2, la réalité est que 80% des cyberattaques sont réalisées par des réseaux criminels hautement organisés au sein desquels les données, les outils et l’expertise sont largement partagés. L’étude C-Suite révèle un large éventail d’ennemis : 54% des  dirigeants reconnaissent que les réseaux criminels sont un sujet de préoccupation mais leur ont donné un poids à peu près égal aux individus malveillants (50%).

Plus de 50% des PDG s’accordent à dire qu’une collaboration est nécessaire pour lutter contre la cybercriminalité. Ironiquement, seulement 1/3 des chefs d’entreprise a exprimé sa volonté de partager à l’extérieur ses informations sur les incidents liés à la cybersécurité survenus dans leur entreprise. Cette situation est un frein à la collaboration coordonnée au niveau de l’industrie, alors même que les groupes de pirates partagent de mieux en mieux l’information en temps quasi réel sur le Dark Web. Les PDG soulignent également que les organisations externes doivent faire davantage ; une surveillance accrue du gouvernement, une augmentation de la collaboration dans l’industrie, un partage de l’information transfrontalière – cette dichotomie doit être résolue.

«Le monde de la cybercriminalité est en pleine évolution, mais de nombreux dirigeants n’ont pas mis à jour leur compréhension des menaces », a déclaré Caleb Barlow, Vice-Président, IBM Security. « Bien que les RSSI et le Conseil d’administration puissent aider à fournir les conseils et des outils appropriés, les dirigeants en marketing, ressources humaines et finances, quelques-uns des départements les plus exposés et les plus fournis en données sensibles, devraient s’impliquer de façon plus proactive dans les décisions de sécurité avec les RSSI. »

En fait, les départements marketing, ressources humaines, et finances représentent des cibles de choix pour les cybercriminels car ils gèrent les données clients et employés parmi les plus sensibles, avec les données financières de l’entreprise et les informations bancaires. Dans l’étude, environ 60% des directeurs financiers, DRH, et directeurs marketing reconnaissent volontiers qu’ils, et par extension leurs divisions, ne sont pas actifs dans la stratégie et l’exécution de la politique de cybersécurité de l’entreprise. Par exemple, seuls 57% des DRH ont déployé une formation à la cybersécurité pour les employés, première étape pour que ces derniers s’engagent en la matière.

Que peuvent faire les entreprises ?
Un nombre impressionnant de dirigeants interrogés, 94%, pensent qu’il y a une certaine probabilité pour que leur entreprise subisse un incident de cybersécurité significatif au cours des deux prochaines années. Selon l’étude d’IBM, 17% des personnes interrogées se sentent capables et prêtes à répondre à ces menaces. IBM a identifié des répondants exceptionnels, 17% de répondants classés «Cyber-Securisés», ce sont les dirigeants les plus préparés et capables de faire face aux menaces. Les dirigeants « Cyber-sécurisés » sont deux fois plus susceptibles d’avoir intégré la collaboration dans leur politique de cybersécurité et deux fois plus susceptibles d’avoir intégré la cybersécurité à l’ordre du jour des Conseils d’administration de façon régulière.

 Conseils « Cyber-Securisés» pour les entreprises :
• Comprendre le risque : Évaluer les risques liés à votre écosystème, analyser les risques de sécurité, développer l’éducation et la formation des employés et intégrer la sécurité dans la stratégie de risques de l’entreprise.

• Collaborer, éduquer et responsabiliser : Mettre en place un programme de gouvernance de la sécurité, accroître le pouvoir des RSSI, promouvoir et discuter régulièrement de la cybersécurité lors des réunions de direction, intégrer les dirigeants dans l’élaboration d’une stratégie de réponse aux incidents.

• Gérer les risques avec vigilance et rapidité : Mettre en œuvre une surveillance continue de la sécurité, tirer profit des analyses d’incidents, partager et utiliser les renseignements de sécurité pour sécuriser l’environnement, comprendre où les données numériques des entreprises se trouvent et élaborer des stratégies en conséquence, développer et appliquer les politiques de cybersécurité.

1.     “Redefining Boundaries: Insights from the Global C-suite Study.” IBM Institute for Business Value. November 2015.
2.     UNODC Comprehensive Study on Cybercrime 2013

5 tendances en matière de sécurité informatique pour l’édition 2016 de la RSA Conférence

L’année 2015 a été marquée par d’importantes failles de sécurité avec des répercussions allant parfois au-delà de l’impact purement financier et touchant notamment la sécurité intérieure des pays ou la confidentialité de vos données personnelles. L’édition 2016 de la RSA Conférence sera l’occasion pour l’éditeur de rappeler les enjeux majeurs en matière de sécurité informatique qui figurent désormais en première page des médias et s’invite à l’ordre du jour des conseils d’administration.

CA Technologies réalise chaque année des prévisions sur les principales menaces et avancées en matière de sécurité. A la suite d’un webcast organisé sur le sujet (« The Rise of the User – Security Predictions for 2016 ») l’éditeur partage son analyse en 5 tendances clés pour cette année. CA Technologies présentera ces tendances au cours de la 25ème édition de la RSA Conférence. Michelle Waugh, Directrice de la Division Sécurité sera chargée d’un Tech Briefing intitulé « Identity-Centric Security: Enjoying Digital Business Transformation »  le 2 mars à 17h00 (North Exhibit Hall Briefing Center)

Des prévisions 2015 avérées en sécurité informatique
« Au début de l’année 2015 nous avions déjà fait 5 prévisions concernant les tendances de la sécurité. Après analyse des 12 derniers mois, nous avons constaté que 4 de ces prévisions se sont vérifiées, tandis que la dernière devrait se réaliser à plus long terme (indiquée en vert sur le graphique) », précise Michelle Waugh.

Ce qui nous attend en 2016 en matiére de sécurité informatique
En 2016, CA Technologies anticipe l’émergence des cinq tendances suivantes, et prévoit qu’elles affecteront considérablement les professionnels de la sécurité.

1.      Les équipes chargées de la gestion des identités laisseront progressivement la main aux équipes métiers. L’expérience utilisateur devant sans cesse être améliorée, les métiers seront amenés à intégrer la gestion des identités dès la conception de leurs services, afin de les rendre plus intuitifs et sans contrainte pour les utilisateurs.  Cette prise de contrôle permettra à la fois de renforcer l’engagement des utilisateurs (employés, partenaires, clients) et de réduire les risques.

2.      Les zones exposées aux attaques et les failles seront de plus en plus étendues, et les conséquences de ces violations iront bien au-delà de pertes financières. Le recours accru au développement Agile, à DevOps, à la virtualisation ou au Cloud créeront de nouvelles brèches de sécurité propices aux attaques. La cybercriminalité laissera la place au cyber-espionnage, menaçant la sécurité intérieure des pays et ouvrant la voie à de potentielles attaques cyber-terroristes.

3.      L’analyse des risques ne sera plus réservée aux services financiers et deviendra accessible à l’ensemble de l’entreprise. N’utilisant qu’un simple mot de passe pour identifier leurs utilisateurs, les entreprises peineront à différencier les utilisateurs légitimes des usurpateurs d’identité et vont recourir à des analyses basées sur les risques pour protéger leurs plateformes web et leurs applications mobiles.

4.      La gestion et la sécurité informatique des identités et des accès (IAM) deviendra un axe de plus en plus stratégique pour les entreprises, qui seront de plus en plus demandeuses d’expertise en la matière en 2016. Une plus grande attention sera prêtée aux identités privilégiées, aux identités s’étendant sur le Cloud et aux identités tierces intégrées aux ‘frameworks’ de sécurité, ce qui rendra les défis associés à la sécurité des identités encore plus difficiles à relever.

5.      L’Internet des Objets (IdO) gagnant le marché, la nécessité d’y incorporer des fonctionnalités de gestion des identités sera de plus en plus évidente. L’acronyme IdO aura désormais également le sens d’« Identité » des Objets. Les informations circulant sur Internet et stockées sur ces appareils connectés devront ainsi être authentifiés et dignes de confiance, de la même manière que l’identité d’une personne doit être vérifiée.

Bref, la sécurité informatique a encore beaucoup de chemin à faire !

FBI Vs Apple : violation du système de confiance

Pourquoi la demande du FBI auprès d’Apple constitue une violation du système de confiance … une question qui va bien au delà du chiffrement des données.

En résumé, on demande à Apple de démonter le système de confiance utilisé depuis plus de 20 ans pour sécuriser Internet. Cette action du gouvernement américain -qui exige de pouvoir utiliser des certificats Apple- constitue un détournement et un piratage d’Internet. La question n’est pas de décrypter un téléphone utilisé par un terroriste.

Les certificats constituent le socle de la cybersécurité. Si le gouvernement est autorisé à utiliser les certificats Apple, il contrôle le logiciel qui contrôle en grande partie l’accès aux logiciels, à Internet et aux applications. Il en prendra alors le contrôle et le détournera.

L’enjeu de la demande du FBI et le défi d’Apple ne se limitent pas à un seul téléphone chiffré utilisé par un terroriste. C’est une violation du système de confiance à base de certificats [numériques] sur lequel reposent les logiciels et Internet ! Le FBI souhaite qu’Apple utilise un certificat Apple pour signer le logiciel qui s’exécutera ensuite (ce que le FBI appelle le fichier logiciel signé de l’iPhone [‘‘signed iPhone Software File’’]). Ces tactiques rappellent celles utilisées pour rendre Stuxnet si efficace – un malware signé à l’aide de certificats valides qui avait pu s’exécuter sans éveiller la méfiance. La requête du FBI risque de marquer un précédent, car elle porte, non sur le fait de casser le chiffrement, mais sur le fait de casser le logiciel. D’où la réponse de Tim Cook : ‘‘Le gouvernement demande à Apple de pirater ses propres utilisateurs et de saper les avancées réalisées depuis plusieurs décennies dans le domaine de la sécurité pour assurer la protection de nos clients.’’

Or, la plus grosse ‘‘avancée’’ dans le cas présent est l’intérêt croissant que les cybercriminels portent au système de confiance créé par les certificats tel que nous le connaissons, et les attaques dont il fait l’objet. Les logiciels font tourner le monde et c’est le rôle des certificats TLS ou les signatures de code de distinguer ce qui est digne de confiance de ce qui ne l’est pas, de trier le bon grain de l’ivraie. Le logiciel signé par Apple ne deviendrait pas seulement une arme convoitée, ce serait également un prototype supplémentaire dans le manuel d’attaques des méchants, comme l’a été Stuxnet il y a 6 ans.

Qu’est-ce que cela signifie pour les entreprises du Global 5000 ? À une époque où certificats et clés suscitent de plus en plus l’intérêt des gouvernements et les convoitises de personnes mal intentionnées, je dirais qu’il est d’autant plus important de connaître les certificats et clés auxquels l’on peut se fier, pour protéger ceux que l’on utilise.

La réponse rapide et légitime d’Apple au FBI contraste fortement avec un autre grand problème de sécurité qui a concerné tous les utilisateurs de smartphones et d’ordinateurs dans le monde. L’autorité de certification chinoise CNNIC, une entité du gouvernement chinois qui contrôle le ‘‘Grand Pare-feu de Chine’’ et surveille le cybercomportement des citoyens de l’Empire du Milieu, était jugée digne de confiance par l’ensemble des navigateurs, ordinateurs, smartphones et tablettes Microsoft, Apple et Google. Or, la CNNIC a été impliquée dans une tentative d’usurpation de Google en Égypte – un incident auquel Google et Mozilla ont rapidement réagi en jetant le discrédit sur la CNNIC. Face aux dizaines de milliards de dollars de chiffres d’affaires en jeu chaque trimestre sur le marché chinois, Apple et Microsoft n’ont pas bougé pendant des mois. Apple a discrètement choisi de faire confiance à certains certificats CNNIC, tandis que Microsoft a laissé faire. L’incident n’a pas reçu la même couverture médiatique que la requête du FBI. Malheureusement, dans le cas de la CNNIC et contrairement à aujourd’hui, Apple n’a pas réagi. Son absence de réaction rapide ou publique a donné l’impression que la firme à la pomme faisait passer ses intérêts financiers chinois devant la sécurité et la confidentialité des données de tous les utilisateurs d’iPhone, d’iPad et de Mac à travers le monde. La réactivité d’Apple à la demande du FBI est un changement bienvenu et nous espérons qu’à l’avenir, l’entreprise ferait de même en cas d’incidents impliquant les autorités chinoises. [Kevin Bocek, VP Threat Intelligence and Security Strategy, Venafi]

Protection de vos données sensibles : évaluation des risques et des menaces

Protection de vos données sensibles : le cheminement de vos données, de votre clavier jusqu’au CPU en passant par l’écran est jalonné de dangers. Dans le cas d’un système cloisonné, à savoir le bon vieux PC autonome, le risque était quasi absent.

Mais aujourd’hui, alors que chaque frappe au clavier mène on-ne-sait-où, que les opérations de traitement peuvent s’effectuer en tout endroit du monde, et que les utilisateurs se retrouvent souvent localisés à distance de leurs données, l’intégrité de ces données est menacée en tous points. Chaque “maillon faible” dans le processus de gestion de données devient particulièrement problématique.

Protection de vos données sensibles : cartographier vos données
Plus vos données sont disséminées, plus le risque est important. Avec l’avènement du Cloud, le contrôle sur vos données est moindre et il devient complexe d’identifier le cheminement de ces données. Quant à évaluer le niveau de sécurité des différents processus actifs, voilà qui est quasiment impossible. Et pourtant, cette mesure des risques doit être effectuée, sauf à accepter que votre organisation soit soumise à un niveau de risque… inacceptable.

La première mission consiste à classifier vos données pour hiérarchiser les types de données devant être sécurisés. Vous découvrirez sans doute que la majorité de vos données corporate ne sont pas critiques, ou qu’elles sont redondantes ou obsolètes. Vous devez certes les protéger, mais elles ne sont pas prioritaires. Reste bien sûr les joyaux de la couronne : les données financières, personnelles ou commerciales. Ces bases de données doivent être sécurisées et protégées contre tout accès non autorisé.

Protection de vos données sensibles : le stockage, ici, là, n’importe où
Les données sont forcément archivées quelque part. Lorsque vous aurez identifié celles qui requièrent toute votre attention, vous devrez identifier leur localisation. En interne, les données peuvent être stockées sur la mémoire vive (le traitement analytique in-memory est devenu essentiel pour les analyses du Big Data), sur des dispositifs connectés au réseau, voire sur des bandes magnétiques. Pour rendre les choses plus complexes, notons que les données mènent leur propre vie une fois recueillies. Dans un système de point de vente par exemple, les données brutes peuvent être stockées dans un environnement A, puis être traitées au sein d’un environnement B, avant d’être mises à disposition de multiples applications (C à Z). Le risque est alors présent à chaque étape du processus.

Lorsque les données sont protégées derrière un pare-feu, les choses sont plutôt simples. Vous pouvez définir vos propres règles d’accès, surveiller les activités sur le réseau et prendre les bonnes actions en cas d’anomalie détectée. Vous pouvez aussi définir des seuils pour automatiser ces actions. Mais les menaces existent même au sein d’environnements cloisonnés.

Protection de vos données sensibles : prévenir les accès prohibés
Les administrateurs systèmes, généralement via le système de gestion des bases de données, peuvent attribuer des droits de lecture et d’écriture sur des ensembles de données au sein de leur organisation. Sauf que les gens se déplacent au sein des organisations, et que les rôles, besoins et autorisations sont appelés à évoluer. Les administrateurs des bases de données doivent donc réévaluer leurs droits de lecture et d’écriture régulièrement (spécifiés par les règles d’accès) pour s’assurer que seuls les profils et personnes légitimes accèdent aux données sensibles.

Protection de vos données sensibles : des ressources qui peuvent vous aider
Des recommandations sont disponibles pour vous aider à piloter ces processus de manière fluide. À titre d’exemple, les normes ISO/IEC 27002 ont été conçues spécifiquement pour aider les responsables des bases de données à assurer la traçabilité et la sécurité de leurs données. Les éditeurs sont responsables de la mise en œuvre de ces principes au sein de leurs solutions. D’autre part, le chapitre dédié à la gestion de la sécurité de la norme ITIL (Information Technology Infrastructure Library), basée sur ISO/IEC 27002, décrit comment intégrer la sécurité de l’information au sein des processus de gestion.

Mais quelle que soit la norme adoptée, il est essentiel de disposer d’une cartographie globale de vos données, de leur cheminement, des accès aux données et des autorisations associées. L’introduction de la sécurité à chacune des étapes du processus doit ensuite être menée avec précaution. Bien sûr, il est tout aussi important de définir des règles qui stipulent précisément les droits d’accès de chacun pour chaque type de données, ainsi que l’acheminement de ces données du point A au point Z. Si vous êtes capable de cartographier les processus sur un (sans doute grand !) tableau, vous êtes sur la bonne voie pour identifier les menaces potentielles et maîtriser les risques. (par Christophe Auberger, Directeur Technique France)

G DATA partenaire sécurité de l’équipe Ducati pour le championnat MotoGP 2016

G DATA, l’éditeur de logiciels allemand spécialisé dans les solutions antivirus, devient partenaire technique de Ducati Corse pour le championnat du monde de MotoGP. En tant que partenaire, G DATA protège le système informatique de l’équipe Borgo Panigale contre les menaces en ligne pendant toute la saison du championnat, qui commence le 20 mars sur le circuit international de Losail au Qatar.

G DATA protège les serveurs de données de l’équipe Ducati, équipements vitaux pour les activités sur pistes de l’équipe. Ces ordinateurs gèrent le stockage des données générées pendant des essais et les courses, synchronisent l’acquisition de données avec les serveurs distants de l’entreprise et permettent aux techniciens de piste de traiter les données et réaliser des simulations en temps réel.

« Protéger l’intégrité des données et des systèmes critiques en itinérance est un vrai challenge. Nous devons garantir leur sécurité avec des solutions et des politiques qui doivent s’adapter aux différents réseaux que l’équipe trouvera sur les multiples lieux de la compétition internationale MotoGP, et gérer à distance les informations, les mises à jour et journaux d’entrée des données en garantissant un service continu. C’est un défi et nous sommes honorés de relever », déclare Giulio Vada, Country Manager de G DATA Italie.

La relation avec Ducati inclut également une série d’activités conjointes pour l’année 2016.

Etude : quel est l’impact de la cybersécurité sur la finance et la réputation des entreprises ?

La prévention des fuites de données passe par la collaboration, le partage des connaissances et la définition de critères de réussite, avant que des changements réglementaires ne s’opèrent.

Une nouvelle étude de Palo Alto Networks révèle qu’il reste encore beaucoup à faire dans les domaines de la collaboration et du partage de responsabilités pour ce qui est de la prévention des cyberfailles – deux démarches pourtant cruciales que doivent adopter les entreprises en France si elles veulent éviter de lourdes pénalités financières et préserver leur réputation.

Le principal enseignement de cette étude d’envergure européenne est que l’essentiel des responsabilités repose exclusivement sur les épaules des professionnels de l’informatique, puisque près de la moitié (46 %) des décideurs estiment que la protection d’une entreprise contre les risques de cybersécurité est en définitive du ressort du service informatique. Les effectifs de ce service admettent d’ailleurs, dans une proportion significative (57 %), être seuls compétents pour assurer cette sécurité.

Ces conclusions interviennent alors même que l’Union européenne est en passe de finaliser son Règlement général sur la protection des données, qui obligera les entreprises à se conformer à certaines spécifications de pointe en matière de cybersécurité. Ces dernières les aideront à prévenir les risques de non-conformité et, ce faisant, à éviter des amendes de l’ordre de 10 à 20 M€ (jusqu’à 2 à 4 % de leur chiffre d’affaires annuel mondial). En cas de fuite avérée, ce règlement engage également la responsabilité de quiconque a accès aux données – depuis le service clients jusqu’à la direction en passant par les informaticiens.

Nombre de décideurs ont toujours bien du mal à appréhender la cybersécurité
Ces résultats semblent indiquer que la pierre d’achoppement, s’agissant de la répartition inégale des responsabilités, pourrait être la conséquence d’une méconnaissance de la cybersécurité au niveau de la direction. Plus d’un décideur sur dix (13 %), parmi les participants explicitement interrogés à ce sujet, avoue cerner « à peu près » ce qui constitue un risque pour la sécurité en ligne de l’entreprise, mais « devoir malgré tout faire appel à Google pour obtenir des éclaircissements ».

Si les participants prennent de plus en plus la mesure des cyber-risques auxquels sont confrontées les entreprises, un salarié sur dix demeure convaincu que les dirigeants de sa société n’ont pas une idée suffisamment précise ou exacte des problématiques de cybersécurité actuelles pour mettre obstacle aux cyberattaques, et éviter ainsi qu’elles ne portent atteinte à l’environnement informatique.

La définition des critères de « réussite » indispensable à l’attribution des rôles
Divers règlements et dispositifs normaliseront les critères de réussite déterminant l’efficacité de la cybersécurité ; néanmoins, dans l’intervalle, un accord interne doit être trouvé permettant de définir les rôles et responsabilités de chacun, et de parvenir à un consensus sur une approche unifiée entre entreprises.

Les résultats de l’étude mettent en exergue le fait que les évaluations de sécurité réalisées par les entreprises ne prennent pas en compte la totalité des éléments composant le risque. À l’heure actuelle, une entreprise sur quatre (25 %) mesure l’efficacité de la cybersécurité en fonction du nombre d’incidents bloqués par sa politique de cybersécurité ; une sur cinq (21 %) se réfère à la durée de résolution des incidents. Elles sont 13 % à prendre en compte la date du dernier incident. Des mesures préemptives et en temps réel, comme la capacité d’une entité à superviser la totalité du trafic sur son réseau, doivent être prises en compte pour évaluer précisément les risques encourus.

« Les nouvelles réglementations de l’UE obligeront les entreprises à intensifier leurs pratiques en matière de cybersécurité, et il s’agira là d’une opportunité ou d’un risque, selon l’approche qu’elles auront choisie. En définitive, il est essentiel que les décideurs admettent que la cybersécurité relève de la responsabilité de chacun – car il ne s’agit plus ici d’un artifice obscur, mais d’une pratique quotidienne à laquelle aucun échelon de l’entreprise ne peut se soustraire », commente Arnaud Kopp, Directeur Technique Europe du Sud chez Palo Alto Networks

Recommandations aux entreprises européennes
Palo Alto Networks recommande aux entreprises de prendre les mesures suivantes pour consolider leurs environnements informatiques et mieux les protéger des cyberattaques :

1.     Élaborer une stratégie de cybersécurité axée sur la prévention des cyberattaques à chaque stade du cycle de vie des attaques, en sensibilisant et responsabilisant les collaborateurs.

2.     Faire appel à une technologie de sécurité automatisée de pointe qui, non seulement, se conforme aux réglementations, mais donne également aux collaborateurs les moyens de travailler efficacement avec les outils qui leur sont indispensables.

3.     Sensibiliser tous les acteurs de l’entreprise au rôle qui doit être le leur afin de prévenir la menée à bien des cyberattaques à son encontre.

Méthodologie de l’étude : L’étude a été réalisée en ligne par Redshift Research en octobre 2015. Elle a été menée auprès de 765 décideurs dans des entreprises comptant au moins 1 000 salariés, implantées au Royaume-Uni, en Allemagne, en France, aux Pays-Bas et en Belgique.

Classification des données : la première étape pour sécuriser votre propriété intellectuelle

Le piratage médiatisé du site Ashley Madison devrait inciter toute entreprise hébergeant des données (à vrai dire, toutes les entreprises de la planète) à se pencher sérieusement sur la sécurité de leurs données. Dès lors que vous saisissez des informations d’une personne dans la base de données de votre entreprise, vous devez vous assurez que ces dernières restent privées et confidentielles. Cette exigence fait partie des bonnes pratiques, et, dans certains pays, elle est même réglementaire.  En cas de piratage et de divulgation de ces données, vous pourriez bien encourir des poursuites judiciaires et des pénalités… sans compter la mauvaise presse qui ternira l’image de votre entreprise.

Les entreprises soumises aux réglementations les plus strictes, dans les métiers de la finance et des soins de santé par exemple, connaissent plutôt bien les informations dont elles disposent, ainsi que leur niveau de confidentialité. Mais de nombreuses autres entreprises ne sont pas forcément au fait de leurs obligations en matière de sécurité de leurs bases de données. A titre d’exemple, un point de vente est susceptible de détenir des informations personnelles liées à un programme de fidélité, tandis qu’un acteur de la vente par correspondance gère des centaines ou des milliers de numéros de carte de paiement. Autant de données qui exigent d’être parfaitement sécurisées.

Et il ne s’agit pas que des informations personnelles : toute ressource ou donnée confidentielle ou propriétaire (propositions commerciales, rapport de gestion de la relation clients, plans stratégiques, et autres), bien que ne relevant pas forcément de la réglementation en matière de confidentialité des données, doit néanmoins rester à l’abri des regards indiscrets.  Et pour compliquer les choses, dès que vous stockez les données dans le Cloud ou dans des centres de données tiers, vous perdez quelque peu le contrôle sur la gestion de ces données. Pas simple et clair de connaître précisément vos obligations et responsabilités.

Les métadonnées, essentielles à la protection des données
L’une des étapes clé lorsque vous sécurisez vos bases de données est de classifier ces données. Toutes les données ne représentent pas la même valeur pour votre entreprise. Certaines, d’ordre financière, ou portant sur des informations clients ou personnelles, exigent une protection optimale. D’autres éléments, à l’image de documents internes généralistes ou de brochures marketing ne sont pas aussi sensibles. Il est donc pertinent de ne pas traiter toutes vos données de la même façon. La hiérarchisation des données peut également impacter le stockage. Certaines données peuvent être stockées en mémoire pour un accès rapide, tandis que d’autres trouveront leur place sur des bandes magnétiques.

Le concept essentiel qui sous-tend cette approche est celui de la métadonnée. C’est une information à propos d’une information. Une métadonnée descriptive, lorsque formulée de manière appropriée, présente un réel atout pour votre stratégie de sécurité de données. Les métadonnées peuvent contenir des champs dédiés au niveau de la confidentialité (public ou privé, secret, très sensible, etc.), la date de recueil des données, le détail des traitements réalisés sur les données, les niveaux d’accès (rôles et profils pouvant accéder à cette donnée) et, très important, le délai à partir duquel ces données peuvent être supprimées.

Arbitrer le coût de la sécurité/du stockage des données et leur valeur
Les audits de données gagnent en importance et témoignent de la lutte menée par les organisations pour sécuriser et stocker des bases de données toujours plus volumineuses. Avec la business intelligence, les référentiels de données et le Big Data, les organisations se contentent de recueillir les données une fois, pour ensuite les propager sur l’ensemble de leur parc systèmes. Le stockage et la sécurité des données sont onéreux et les meilleures pratiques incitent à évaluer vos investissements de sécurité et de stockage compte tenu de la valeur de chaque profil de données pour votre organisation. Les métadonnées forment ainsi un levier qui permet d’effectuer des audits de données efficaces et exhaustifs.