Archives de catégorie : Sauvegarde

Google s’ouvre les portes de centaines de milliers de dossiers de santé

Un accord signé entre Google et le National Health Service (NHS) britannique va permettre à Google d’accéder à plus de 1,6 millions de dossiers médicaux.

Le National Health Service (NHS) est le système de la santé publique du Royaume-Uni. Sa mission, permettre aux britanniques de se soigner dans les meilleures conditions. Quatre NHS régissent le système de santé publique des Écossais, Britanniques, Irlandais et Gallois. Les sujets de sa gracieuse majesté vont adorer apprendre que le NHS a signé un accord avec une filiale de Google, DeepMind. Finalité de ce partenariat, comprendre la santé humaine. Sauf qu’il semble que ce contrat passé en 2014 vient de prendre une nouvelle tournure plus intrusive.

DeepMind a dorénavant un accès complet à 1,6 millions de dossiers de patients britanniques. Des dossiers de patients passés par les trois principaux hôpitaux de Londres : Barnet, Chase Farm, et le Royal Free. En février, la filiale de Google dédiée à l’intelligence artificielle a indiqué avoir mis en place une application appelée Streams. Elle est destinée à aider les hôpitaux à surveiller les patients atteints de maladie rénale. Cependant, il vient d’être révélé que l’étendue des données partagées va beaucoup plus loin et inclut des journaux d’activité, au jour le jour, de l’hôpital (qui rend visite au malade, quand…) et de l’état des patients.

Les résultats des tests de pathologie et de radiologie sont également partagés. En outre, DeepMind a accès aux registres centralisés de tous les traitements hospitaliers du NHS au Royaume-Uni, et cela depuis 5 ans. Dans le même temps, DeepMind développe une plate-forme appelée Rescue Patient. Le logiciel utilise les flux de données de l’hôpital. Des informations qui doivent permettre de mener à bien un diagnostic. New Scientist explique que l’application compare les informations d’un nouveau patient avec des millions d’autres cas « Patient Rescue pourrait être en mesure de prédire les premiers stades d’une maladie. Les médecins pourraient alors effectuer des tests pour voir si la prédiction est correcte« .

Fraude au président : 2 millions de dollars volés, il attaque ses associés

Fraude au président : 2 millions de dollars volés à un ancien employé de Lehman Brothers, une banque d’investissement multinationale.

Ce qui est bien avec le public dit « en col blanc » est qu’il n’écoute pas. On pourrait penser, à la suite des centaines de piratages médiatiques qu’une banque d’affaire, et donc ses employés, sont au fait de la sécurité informatique. Je les vois ses « stages » coutant des milliers d’euros de sensibilisation. Sensibilisations effectuées, dans la plupart des cas, par des gens qui ne connaissent du terrain numérique, que les heures de bureau qu’ils lui allouent.

Bref, normalement, un phishing et une fraude au président, cela ne doit plus exister chez nos banquiers. Le cas de Robert Millard, ancien codirigeant de la banque d’investissement multinationale Lehman Brothers a de quoi faire sourire. L’homme de « pouvoir » et « d’argent » a fait un virement de 1.938.000 dollars pour un achat d’appartement qu’il était en train d’orchestrer. Une jolie studette à 20 millions de dollars, à New York. Sauf que le virement a été effectué à destination d’un arnaqueur. L’escroc a piraté l’agence immobilière de Millard, son compte mail AOL et l’avocat en charge de son immobilier. Personne n’avait remarqué que le nom de l’avocat avait été mal orthographié.

Bilan, le « banquier » volé attaque en justice ce qu’il considère comme les coupables, ses anciens associés, afin de récupérer 200.000 dollars qu’il n’a pu retrouver.

Les agences immobilières sont aussi de belles cibles pour les pirates informatiques. Si vous êtes en train d’acquérir un bien, méfiez-vous de cette demande de changement d’adresse pour le virement bancaire. Je vous expliquais, en mars, comment les professionnels du FoVI, la fraude aux virements bancaires, visaient aussi les locataires de maison et d’appartements en faisant détourner les loyers.

Pendant ce temps…

… nous pourrions penser que les internautes sont maintenant habitués à ne plus cliquer sur n’importe quoi. Qu’ils ont entendu parler des ransomwares. Bref, ils se sont informés sur ces logiciels malveillants de rançonnage, ils sont donc sécurisés. A première vue… non ! Le département de la police de Newark, dans le New-Jersey s’est retrouvé fort dépourvu quand la bise numérique fut venue. Un ransomware activé et les machines des policiers prisent en otage. « Le service de police a indiqué  qu’il n’y avait aucune preuve d’une quelconque violation de données et que l’attaque n’a pas perturbé la prestation des services d’urgence aux citoyens« . Aucunes informations sur les informations chiffrées et à savoir si les données prises en otage ont été retrouvées.

Fuite de données santé pour 1.400 institutions

Fuite de données santé – Les tests de la mise à jour d’un logiciel américain dédié aux études cardiovasculaires effectués avec de vraies données de patients. 1.400 institutions de santé américaines alertées par l’American College of Cardiology.

Ce n’est pas la première fois qu’un tel cas est découvert. J’ai bien peur que cela ne soit pas le dernier. L’American College of Cardiology vient d’alerter 1.400 institutions américaines de santé après la découverte d’une fuite de données de patients pas comme les autres.

L’American College of Cardiology indique que des informations de patients ont pu être compromises après que les dites informations se soient retrouvées dans une base de données utilisées lors du test d’un logiciel professionnel. Des dossiers médicaux datant de 2009 et 2010.

C’est lors de la refonte du logiciel du registre des données cardiovasculaires national ACC, qu’une table de la base de données (BDD) officielle a été copiée. L’incident a été découvert en Décembre 2015. Les hôpitaux ont reçu l’alerte deux mois plus tard. Dans les données de la BDD malmenée : noms, dates de naissance, numéros de sécurité sociale et les numéros d’identification des patients.

Patch Tuesday Avril 2016

Place au Patch Tuesday d’avril 2016 qui nous donne un aperçu de ce qui nous attend. La semaine dernière, Adobe a été contraint d’anticiper la publication de son patch mensuel pour Adobe Flash Player (APSB16-10) afin d’aider ses utilisateurs à se protéger contre une menace Zero Day exploitée en aveugle. Qui plus est, nous avons appris il y a deux semaines par l’équipe de développement de Samba l’existence de la vulnérabilité « Badlock » qui affecte à la fois Windows et Samba sur Linux/Unix.

Badlock semble cependant moins dangereuse qu’elle n’y paraît puisqu’elle est résolue par MS16-047, un bulletin Microsoft classé comme « important ». Il s’agit d’une vulnérabilité de type Man-in-the-Middle qui permet de se connecter à la place d’une autre personne utilisant des applications basées sur le protocole SAMR ou LSAD, le protocole SMB n’étant pas affecté. Toutes les versions de Windows sont touchées, de Vista à Server 2012 R2. Même s’il est difficile de la classer, cette vulnérabilité ne figure pas pour autant parmi les priorités absolues.

Hormis MS16-047, Microsoft a publié 12 autres bulletins lors de ce Patch Tuesday , soit 50 à ce jour pour l’année 2016. 30 vulnérabilités y sont traitées au total mais aucune menace Zero-Day. Le bulletin MS16-039 contient des correctifs pour un composant graphique de Windows et concerne toutes les versions, de Vista à Windows 10 en passant par Server 2008 et 2102 R2. Il est également destiné aux versions Office 2007 et 2010 plus anciennes ainsi qu’à .NET, Skype et Lync. Situées toutes les deux dans Windows, les deux menaces Zero-Day facilitent une élévation de privilèges, que ce soit pour un utilisateur normal ou un administrateur. Elles permettront d’exploiter une vulnérabilité qui introduit l’attaquant sur la machine, notamment via la faille dans Flash Player traitée par le patch APSB16-10 et résolue dans le bulletin Microsoft MS16-050. Dans ce cas de figure, l’utilisateur se rend sur un site Web anodin puis est victime d’un exploit Flash qui se développe ensuite via les vulnérabilités CVE-2016-0165/7 résolues dans le bulletin MS16-039. Pour se protéger contre de telles attaques, corrigez aussi vite que possible. Les bulletins MS16-050 pour Flash (APSB16-10 si vous utilisez Firefox) et MS16-039 figurent tout en haut de la liste des priorités de ce mois.

Le suivant sur la liste de ce Patch Tuesday est le bulletin de sécurité MS16-042 qui résout quatre failles dans Microsoft Office. Microsoft classe ce bulletin comme critique, ce qui est uniquement le cas lorsqu’une vulnérabilité peut être directement attaquée sans interaction de l’utilisateur. En effet, CVE-2016-0127 est une vulnérabilité basée sur l’exécution de code à distance (RCE) dans le format de fichier RTF. Ce dernier est automatiquement visualisé dans le volet d’aperçu d’Outlook et facilite une exécution RCE pour l’attaquant via un simple courrier électronique. Renforcez si possible votre configuration en bannissant les emails contenant des formats de fichier RTF. Vous pouvez également désactiver ces emails via la politique de blocage de fichiers d’Office qui fonctionne aussi bien sur 2007/2010 que sur 2013.

Microsoft Internet Explorer et Edge sont respectivement corrigés au moyen des bulletins critiques MS16-037 et MS16-038. Ces deux navigateurs sont affectés par six vulnérabilités. C’est d’ailleurs la première fois qu’Edge contient autant de failles qu’IE et qu’Edge rencontre des problèmes plus sérieux qu’IE, ce qui constitue également une première. Aucune de ces vulnérabilités n’est actuellement exploitée, mais comme la plupart des exploits visent les navigateurs, il est légitime de les mettre à jour sans tarder. N’oubliez pas que Microsoft ne propose des correctifs que pour le navigateur le plus récent associé à chaque système d’exploitation, à savoir IE11 à partir de Windows 7, IE9 pour Vista et IE10 pour Windows Server 2012.

Quant à la dernière vulnérabilité critique, elle se trouve dans le sous-système de traitement XML. Aucun patch n’a été publié à ce niveau depuis plus d’un an. Le bulletin MS16-040 fournit une nouvelle version de msxml.dll pour résoudre la seule vulnérabilité présente, CVE-2016-0147. Le vecteur d’attaque se situe au niveau d’un site Web qui transmet le format XML malveillant à la machine ciblée.

Même si elles sont classées comme non critiques, les autres vulnérabilités de ce Patch Tuesday peuvent avoir un impact non négligeable et être également intéressantes. Hyper-V fait ainsi l’objet d’un correctif dans le bulletin MS16-045 dans la mesure où un système invité peut abriter une élévation de privilèges susceptible d’être très critique dans un environnement hôte où l’attaquant accède aux systèmes à cause d’un problème de conception de Hyper-V. Les systèmes d’exploitation affectés sont Windows 8.1, Server 2012 et 2012 R2. Le bulletin MS16-041 résout une vulnérabilité unique dans .NET tandis que MS16-049 corrige une vulnérabilité DoS dans les systèmes Windows 10 au niveau du pilote HTTP.sys.

Adobe a corrigé Flash la semaine dernière en urgence à l’aide du patch APSB16-10, mais publie aujourd’hui des mises à jour pour Robohelp avec le patch APS16-12 et pour les applications Creative Cloud via le patch APSB16-11.

Ce sera tout pour avril et ce Patch Tuesday avec plusieurs menaces 0-Day et des vulnérabilités immédiatement exploitables qui rendent ce mois-ci plus critique que le mois dernier. Attendez-vous à ce que la vulnérabilité affectant Adobe Flash se répande et mettez en œuvre des solutions de contournement pour les procédures d’atténuation actuellement déployées. (Publié par wkandek dans The Laws of Vulnerabilities)

Fuite, perte, piratage de données ? Entreprise, il va falloir communiquer !

La directive européenne de protection des données personnelles est morte ! Vive le règlement général sur la protection des données (GDPR). Fuite, perte, piratage de données ? Entreprise, il va falloir communiquer !

En 1995, l’Europe s’équipait de la directive européenne de protection des données personnelles. Mission, protéger les informations des utilisateurs d’informatique. 21 ans plus tard, voici venir le règlement général sur la protection des données (GDPR). La Commission européenne avait proposé en 2012 un nouveau règlement portant sur un ensemble de règles unique pour toutes les données collectées en ligne afin de garantir qu’elles soient conservées de manière sûre et de fournir aux entreprises un cadre clair sur la façon dont les traiter.

Mercredi 13 avril 2016, le paquet législatif a été formellement approuvé par le Parlement dans son ensemble. Le GDPR impose aux entreprises (petites ou grandes) détenant des données à caractère personnel d’alerter les personnes touchées par une fuite, une perte, un piratage de la dire informations privée. Grand groupe, PME, TPE doivent informer les autorités de contrôle nationales (CNIL) en cas de violation importante de ces données. Comme je pouvais déjà vous en parler en 2014, il faut alerter les autorités dans les 72 heures après avoir découvert le problème. Les entreprises risquent une grosse amende en cas de non respect : jusqu’à 4% de son chiffre d’affaire. Les informations que nous fournissons doivent être protégées par défaut (Art. 19). A noter que cette régle est déjà applicable en France, il suffit de lire le règlement de la CNIL à ce sujet. Faut-il maintenant que tout cela soit véritablement appliqué.

Fuite, perte, piratage de données

Parmi les autres articles, le « 7 » indique que les entreprises ont l’obligation de demander l’accord « clair et explicite » avant tout traitement de données personnelles. Adieu la case par défaut imposée, en bas de page. De l’opt-in (consentement préalable clair et précis) uniquement. Plus compliqué à mettre en place, l’article 8. Je le vois dans les ateliers que je mets en place pour les écoles primaires et collèges. Les parents devront donner leur autorisation pour toutes inscriptions et collectes de données. Comme indiqué plus haut, les informations que nous allons fournir devront être protégées par défaut (Art. 19). Intéressant à suivre aussi, l’article 20. Comme pour sa ligne téléphonique, le numéro peut dorénavant vous suivre si vous changez d’opérateur, cet article annonce un droit à la portabilité des données. Bilan, si vous changez de Fournisseur d’Accès à Internet par exemple, mails et contacts doivent pouvoir vous suivre. L’histoire ne dit pas si on va pouvoir, du coup, garder son adresse mail. 92829@orange.fr fonctionnera-t-il si je passe chez Free ?

La limitation du profilage par algorithmes n’a pas été oublié. En gros, votre box TV Canal +, Orange ou Netflix (pour ne citer que le plus simple) utilisent des algorithmes pour vous fournir ce qu’ils considèrent comme les films, séries, émissions qui vous conviennent le mieux. L’article 21 annonce que l’algorithme seul ne sera plus toléré, surtout si l’utilisation n’a pas donné son accord. Enfin, notre vie numérique est prise en compte. Les articles 33 et 34 s’annoncent comme les défenseurs de notre identité numérique, mais aussi notre réputation numérique. L’affaire Ashley Madisson est un des exemples. Votre identité numérique est volée. L’entreprise ne le dit pas. Votre identité numérique est diffusée sur Internet. Vous ne la maîtrisez plus.

Bref, 33 et 34 annonce clairement que les internautes ont le droit d’être informé en cas de piratage des données. La CNIL sera le récipiendaire des alertes communiquées par les entreprises piratées. Bref, fuite, perte, piratage de données ? Entreprise, il va falloir communiquer !

Les entreprises ont jusqu’au 1er janvier 2018 pour se mettre en conformité. Les 28 pays membres doivent maintenant harmoniser leurs lois sur le sujet. Je me tiens à la disposition des entreprises, associations, particuliers qui souhaiteraient réfléchir à leur hygiène informatique.

Police : nouvelles règles sur les transferts de données

Le paquet sur la protection des données inclut par ailleurs une directive relative aux transferts de données à des fins policières et judiciaires. La directive s’appliquera aux transferts de données à travers les frontières de l’UE et fixera, pour la première fois, des normes minimales pour le traitement des données à des fins policières au sein de chaque État membre.

Les nouvelles règles ont pour but de protéger les individus, qu’il s’agisse de la victime, du criminel ou du témoin, en prévoyant des droits et limites clairs en matière de transferts de données à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales – incluant des garanties et des mesures de prévention contre les menaces à la sécurité publique, tout en facilitant une coopération plus aisée et plus efficace entre les autorités répressives.

« Le principal problème concernant les attentats terroristes et d’autres crimes transnationaux est que les autorités répressives des États membres sont réticentes à échanger des informations précieuses », a affirmé Marju Lauristin (S&D, ET), députée responsable du dossier au Parlement. « En fixant des normes européennes sur l’échange d’informations entre les autorités répressives, la directive sur la protection des données deviendra un instrument puissant et utile pour aider les autorités à transférer facilement et efficacement des données à caractère personnel tout en respectant le droit fondamental à la vie privée« , a-t-elle conclu.

Porn Account : 270000 amateurs de pornos piratés

Un internaute a tenté de revendre les données de 270 000 amateurs de sites pornographiques dans le blackmarket. Le business du Porn Account pour les nuls !

Vous avez peut-être entendu à la radio et lu dans la presse généraliste ce piratage de données ayant visé 270 000 amateurs de sites pornographiques. Un piratage qui a débuté via l’attaque par injection SQL de plusieurs sites pour adultes appartenant au groupe Paper Street Media.

Le pirate a expliqué avoir contacté l’entreprise pour « discuter ». Soyons clair, il a tenté de leur soutirer de l’argent en proposant la faille qui lui a permis d’extraire les informations des clients (IP, mail, mots de passe…).

Paper Street Media n’a pas répondu dans le sens de l’internaute. Bilan, l’adolescent a mis en vente, dans le blackmarket, la base de données volée pour 360 euros. Pourquoi revendre les données dans le BM ? Tout simplement pour que les professionnels du porn account puissent sauter sur l’occasion.

Dans cette même boutique qui aurait servi au pirate à revendre cette base de données [je n’ai pas retrouvé le vendeur], d’autres « commerçants » proposent des accès « piratés » aux sites interdit au – de 18 ans de Paper Street Media pour 9 $. Je vous laisse faire l’addition. Nous sommes très très loin des 360 euros réclamés ! « Je peux me faire entre 300 et 500 dollars par semaine » m’indique un de ces vendeurs de Porn Account croisé dans une boutique spécialisée.

Un pirate russe revend des milliers de comptes du site Naughty America.

A noter que j’ai pu consulter [ci-dessus] un document diffusé par un autre pirate informatique. Ce dernier, il est russe, a mis la main sur 150 000 comptes clients du site pornographique Naughty America. Un injection SQL, une backdoor (shell) dans le serveur et les comptes clients ont fini dans les mains du pirate.

Pendant ce temps…

… le groupe hôtelier Trump est de nouveau piraté. Des logiciels d’espionnage ont été retrouvés dans les ordinateurs des hôtels Trump situés à New York, Toronto et Honolulu. Même type d’attaque vécue en juillet 2015. Cela donne une idée de la gestion de la sécurité informatique de ce groupe. Les pirates visaient les identités et les données bancaires.

En ce qui concerne les numéros de CB, pas besoin d’être intelligent pour comprendre l’intérêt. Achats de produits dématérialisés qui seront revendus moitié prix [blanchir l’argent détourné]… En ce qui concerne les informations dédiées aux identités : fraude bancaire [ouverture de compte], usurpation d’identité, …

Récupération des données en cas de ransomware : 6 règles à respecter

Récupération des données en cas de ransomware ! Catastrophes naturelles, pannes de courant ou d’équipements, piratage informatique, erreurs de manipulation, virus… La liste des menaces potentielles planant sur les données et les activités d’une entreprise est sans fin. La grande mode des ransomwares permet, malheureusement, de rappeler que la sauvegarde informatique n’est pas un gadget.

Les meilleurs outils pour se protéger d’un ransomware existent-ils ? Efficace à 100 %, non. La sauvegarde est le principal secours [le meilleur outil étant de ne pas cliquer sur le fichier joint envoyé par un inconnu]. En suivant des stratégies éprouvées de récupération des données en cas de sinistre, les professionnels de l’informatique peuvent protéger efficacement les données de l’entreprise et garantir que cette dernière reste opérationnelle en cas de désastre d’origine naturelle ou humaine, et même en cas de cyberattaque. Plusieurs étapes existent pour protéger son entreprise et réduire l’impact d’un sinistre.

Planifier et se documenter – Se préparer à un sinistre éventuel consiste tout d’abord à accepter pleinement le fait qu’un désastre peut se produire. Il faut pour cela visualiser les désastres potentiels, qu’il s’agisse d’un incendie détruisant le centre de traitement des données ou d’une panne d’un serveur hébergeant des données critiques. La première étape est donc de préparer des plans de restauration des données spécifiques pour chaque scénario, et de documenter chaque étape nécessaire. Cela représente un investissement de temps, mais le temps passé à planifier maintenant peut sauver l’entreprise de la faillite plus tard.

Répliquer les applications – La protection des données de l’entreprise est essentielle en cas de désastre. Mais pour assurer la continuité des activités, il est également important que les applications de l’entreprise restent fonctionnelles et accessibles aux employés, clients et partenaires, car toute interruption des opérations à la suite d’un désastre peut causer d’importants dommages. Les professionnels de l’informatique doivent sauvegarder les applications comme Active Directory, SQL, les serveurs de courrier électronique, ERP, CRM… ainsi que toutes les applications requises pour permettre aux utilisateurs d’accéder aux données et aux services.

Utiliser une protection sur site et hors site – La sauvegarde et la restauration des données et applications représente une étape cruciale pour la préparation à un désastre éventuel. Mais si le serveur stockant les données de sauvegarde est dans la même pièce – ou sur le même lieu – que le serveur de stockage des données originales, les deux peuvent être endommagés simultanément, notamment en cas d’inondation ou d’incendie. Pour se prémunir de ce type de risque, les entreprises peuvent sauvegarder et répliquer les données et les systèmes sur un équipement basé sur site et dans le Cloud. En cas de panne, la récupération à partir de la sauvegarde Cloud est rapide et l’entreprise peut redémarrer localement ou dans le Cloud. Cette approche hybride, basée sur le Cloud, protège les données dupliquées contre une destruction éventuelle.

Récupération des données en cas de ransomware

Automatiser – Les désastres ne s’invitent que rarement au moment opportun, et même les professionnels les plus avertis peuvent avoir une réaction conflictuelle. En effet, les membres de l’équipe informatique peuvent avoir des préoccupations personnelles en tête, plus ou moins importantes selon la nature du désastre. La disponibilité, ou l’indisponibilité des techniciens IT en cas de désastre, peut donc impacter la durée d’arrêt de l’activité pour l’entreprise. L’automatisation d’un maximum de procédures permet de réduire considérablement le facteur humain dans une équation déjà très complexe. Prudence, cependant à une automatisation sans contrôle. La récupération des données en cas de ransomware doit se faire avec réflexion. Des cas de chiffrements de fichiers, à la suite d’un ransomware, se sont retrouvés dans les backups… automatisés.

Effectuer des tests réguliers – L’élaboration d’une stratégie et le déploiement d’une technologie de récupération des données constitue un bon départ. Elle pourra vous sauver en cas de besoin de récupération de données en cas de ransomware, incident… Mais il faut aller plus loin pour véritablement se protéger. Pour s’assurer que la stratégie de récupération en cas de désastre fonctionne avec les outils choisis, il faut procéder régulièrement à des essais pour vérifier le plan de sauvegarde. Les tests permettent de s’assurer que le plan fonctionne toujours parfaitement, même en cas d’ajout de nouveaux éléments au sein du réseau ou du centre de données.

Déléguer pour plus d’efficacité – Pour la plupart des entreprises, un sinistre n’arrive heureusement pas tous les jours. C’est pourquoi même les professionnels de l’informatique les plus aguerris peuvent profiter d’un coup de main pour la récupération des données après un désastre. Lorsque de l’élaboration du plan et du choix de la solution, il est important de travailler avec un partenaire spécialisé dans ce domaine, bénéficiant d’une expérience et d’une expertise pour garantir une récupération réussie. Ces 6 étapes permet de s’assurer que le sinistre, quelque soit sa taille et sa nature, n’entraine pas une grande période d’interruption de services et une perte de données. (Par Serguei Beloussov, CEO d’Acronis)

L’accès mobile est-il vraiment sûr ?

L’accès mobile est-il vraiment sûr ? À l’heure actuelle, les salariés disposent de plus en plus de smartphones ou d’accessoires connectés dont ils ne se séparent jamais. En fait, d’après de récentes prévisions de Gartner, les ventes mondiales de mobiles pourraient franchir la barre des 2,5 milliards d’unités d’ici 2016. Face à la progression d’intérêt manifesté pour les solutions en mode cloud et les plates-formes axées sur la mobilité, de plus en plus de responsables de la sécurité réfléchissent aux possibilités que peut offrir un système d’accès mobile en termes de sécurité physique.

Rarement égaré et constamment à portée de main, l’appareil mobile est devenu la plus précieuse des technologies en notre possession. Toutefois, comme l’a mis en évidence IFSEC Global dans un récent rapport, près de 80 % des responsables de sécurité interrogés redoutent que l’intégration de solutions d’accès mobile dans leur architecture de contrôle des accès physiques n’accentue la vulnérabilité du système.

Quelles sont donc les principales craintes des responsables de sécurité ? Ces derniers doivent tenir compte de plusieurs paramètres. Un authentifiant numérique est-il aussi sûr qu’un badge physique ? Peut-il être copié facilement, ou bien un collaborateur pourrait-il manipuler ces données sur son téléphone personnel dans le cadre d’une stratégie BYOD ? La transmission radio des clés est-elle vraiment fiable ? La voie de communication entre un mobile et un lecteur peut-elle être détournée à des fins malhonnêtes ? Si les responsables de sécurité se posent légitimement ces questions, c’est parce qu’ils souhaiteraient faire toute la lumière sur le degré de protection dont bénéficieraient leurs locaux et installations sur site s’ils optaient pour un accès mobile. La question cruciale étant de savoir si, en agissant de la sorte, ils sacrifieraient la sécurité sur l’autel de la commodité.

Les authentifiants mobiles reposent sur les dernières évolutions technologiques en date
Il est primordial que les techniques de cryptage remplissent les critères de sécurité les plus stricts. Un système d’accès mobile sécurisé reposera, en règle générale, sur des protocoles de sécurité certifiés par des organismes indépendants crédibles ? suite B d’algorithmes cryptographiques, algorithmes de chiffrement AES (Advanced Encryption Standards), à savoir AES-128 et SHA (Secure Hash Algorithm) du NIST (National Institute of Science and Technology). Un système d’accès mobile normalisé respectant ces protocoles de sécurité draconiens avec sécurisation des messages, couplé à une authentification forte, procurera aux responsables de sécurité une réelle tranquillité d’esprit quant à la confidentialité des données de leurs collaborateurs.

L’accès mobile est-il vraiment sûr ? Toute manipulation d’identifiants mobiles est exclue

Les identités mobiles doivent être signées et cryptées afin de prévenir leur manipulation. S’agissant des identifiants mobiles, ils sont stockés dans le sandbox du système d’exploitation applicatif, périmètre réservé sur l’appareil au stockage des informations confidentielles. Les données qui y figurent étant cryptées, elles ne peuvent être dupliquées ni dérobées via un accès non autorisé au téléphone. Les identifiants mobiles ne sont pas transférables, mais propres à l’appareil pour lequel ils ont été créés. Les clés cryptographiques étant diversifiées, aucune clé maître n’est stockée sur l’appareil. Chaque identifiant mobile est spécifique à l’appareil.

L’accès mobile est-il vraiment sûr ? Transmission entre un appareil mobile et le lecteur de contrôle d’accès

À partir du moment où un accès est octroyé à un collaborateur pour pénétrer dans un local ou une installation sur site, la transaction entre l’application installée sur l’appareil mobile et le lecteur de contrôle d’accès est indépendante du protocole de communication utilisé. La transmission radio via NFC ou Bluetooth Smart pour l’émission de la clé est protégée par la dernière technologie en date, et tout vol est impossible lors de la délivrance de l’autorisation d’accès par ondes radio. L’appareil et le lecteur utilisent tous deux des techniques de communication cryptographique ultra-sécurisées. En outre, aucun appairage Bluetooth n’est requis entre le lecteur et l’appareil, puisque des interactions ne sont possibles qu’entre des équipements éligibles. Chacun des connecteurs du module est protégé par une clé d’authentification et aucun d’eux n’a recours à la technologie NFC ou Bluetooth Smart. En fait, l’application d’accès mobile peut être configurée de manière à rendre l’identifiant mobile uniquement actif une fois l’écran déverrouillé afin de prévenir les attaques par relais.

Les systèmes de contrôle d’accès mobile créent également une culture de la sécurité, même si vos collaborateurs n’en sont pas conscients. Dans le cadre d’un accès par carte ou jeton aux locaux et installations sur site, ces derniers sont effectivement contraints de se munir en permanence d’un élément dont ils ne s’encombreraient pas en temps normal. De ce fait, si leur carte est perdue ou dérobée, ils sont moins susceptibles de le remarquer et le signalent donc assez tardivement. Voilà qui rend votre infrastructure physique vulnérable, puisqu’une carte valide peut virtuellement tomber entre de mauvaises mains. Le collaborateur est, en revanche, davantage « attaché » à ses équipements mobiles : la perte comme le vol d’un téléphone sont signalés immédiatement, et l’identifiant mobile peut être révoqué dans la foulée afin d’empêcher tout accès non autorisé.

L’accès mobile est-il vraiment sûr ? Les technologies d’accès mobile appliquées à l’architecture de contrôle des accès physiques ont de beaux jours devant elles. Les équipements mobiles présentent, entre autres avantages, celui d’une actualisation dynamique du logiciel de sécurité tandis que l’actualisation des données sur carte prend davantage de temps et induit des coûts supplémentaires. L’environnement mobile permet, par conséquent, de résoudre rapidement les problématiques de sécurité.

Par ailleurs, les fabricants de téléphones mobiles intégrant toujours plus de technologies évoluées en matière de sécurité comme la biométrie ? reconnaissance digitale, faciale et même vocale ? la sécurisation des appareils mobiles s’avère plus robuste. Un téléphone volé n’est donc d’aucune utilité pour tenter d’obtenir un accès non autorisé : l’application étant protégée par logiciel sur le téléphone, ce dernier est encore mieux sécurisé qu’un authentifiant physique.

L’accès mobile est-il vraiment sûr ? S’il est légitime que les responsables de la sécurité s’interrogent sur la fiabilité des systèmes d’accès mobile, il s’avère que cette technologie est parfaitement capable de conjurer les menaces pesant sur la sécurité des bâtiments. Par ses multiples niveaux de sécurité, l’accès mobile représente un choix sûr pour le système de contrôle d’accès aux locaux de toute entreprise. (Par Yves Ackermann, Directeur Segments Stratégiques Europe, HID Global)

Sécurité des terminaux mobiles, talon d’Achille des entreprises

Sécurité des terminaux mobiles – Gérer de la meilleure façon les terminaux mobiles des collaborateurs en entreprise.
Tandis que l’on utilise chaque jour davantage l’Internet sur mobile, les risques aussi augmentent et les menaces s’y multiplient. Et comme l’entreprise a massivement adopté le mobile comme plateforme professionnelle, les logiciels malveillants et attaques réseau sont de plus en plus nombreux à tirer parti de ses failles. Il faut alors admettre que l’ampleur des attaques ne peut que croître sur nos terminaux encore mal protégés.

Au cours de notre enquête trimestrielle sur la sécurité mobile entre octobre et décembre 2015, il s’est avéré que la majorité des entreprises comptait au moins un terminal non conforme sur cette période. Ce chiffre s’explique directement par la désactivation de la protection par code PIN, la perte d’un terminal, l’absence de règles à jour, etc. Des terminaux défaillants sont des cibles plus vulnérables pour les logiciels malveillants, les codes exploitant les failles et le vol de données. Face à ces risques croissants, on insistera sur l’importance d’utiliser les règles de sécurité et de conformité disponibles pour mettre en quarantaine ces terminaux.

Les entreprises confient encore trop souvent leur sécurité mobile à des systèmes dépassées par la  nouvelle génération de menaces. La sécurité des terminaux mobiles n’est pas une option. La sécurité des terminaux mobiles est encore moins un gadget. D’ailleurs, les entreprises gèrent les risques de pertes de leurs données stockées dans le cloud selon ces mêmes méthodes obsolètes. Celles-ci essaient de limiter les risques en plaçant sur liste noire une ou plusieurs applications cloud de synchronisation et de partage de fichiers dans l’entreprise. Le recours aux listes noires revient à étouffer les problèmes. Au vu de la multitude d’applications et de services de synchronisation et de partage disponibles, une règle de liste noire n’est en pas suffisamment efficace et exhaustive pour tous les repérer. Les utilisateurs n’auront alors plus qu’à trouver une autre application pour stocker leurs données professionnelles dans le cloud. En outre, les logiciels mobiles malveillants et les risques liés aux applications n’ont cessé d’augmenter en 2015. Ainsi, de nouvelles versions de logiciels malveillants, tels que YiSpecter et XcodeGhost qui ciblent iOS d’Apple, n’ont plus besoin que le terminal soit jailbreaké. Pourtant, l’adoption de solutions contre les logiciels malveillants sur les mobiles reste très limitée en dépit de la protection accrue qu’elles confèrent contre les risques liés au mobile.

En matière de sécurité mobile, de sécurité des terminaux mobiles, beaucoup d’entreprises sont encore en phase d’affinage de leur stratégie. Les statistiques s’appuyant sur la prévalence des failles identifiables en matière de terminaux mobiles, d’applications, de réseaux et de comportement des utilisateurs sont essentielles pour élaborer des approches plus astucieuses et des outils plus performants afin de réduire l’incidence de ces failles. Les entreprises dans lesquelles une solution EMM est déjà déployée disposent généralement de la plupart des outils dont elles ont besoin. Il leur suffit alors de les mettre en pratique.
Sécurité des terminaux mobiles

Quelques conseils peuvent cependant se révéler utiles aux entreprises qui n’auraient pas encore de politique sécuritaire pour leurs terminaux mobiles :

Appliquez les règles de conformité et mettez en quarantaine les terminaux qui ne sont plus conformes. Sécurité des terminaux mobiles doit mettre en gras, au bureau, que le fait d’un terminal qui ne répond pas aux normes étant une cible de choix pour une attaque malveillante à l’encontre de l’entreprise, il est fortement recommandé d’utiliser systématiquement les règles strictes de conformité proposées avec les solutions EMM afin de mettre en quarantaine les terminaux à risque. Une solution EMM peut détecter si un utilisateur a désactivé son code PIN, a un terminal piraté, applique une règle obsolète et bien plus encore. Les fonctions de mise en quarantaine peuvent servir à bloquer l’accès au réseau et/ou à supprimer de façon sélective les données d’entreprise stockées sur le terminal. Elles contribuent à limiter la perte de données et à respecter les exigences réglementaires en matière de conformité, ce qui évite à l’entreprise de faire les gros titres à la rubrique « Victimes de cybercriminalité ».

Cessez de mettre sur liste noire les applications de stockage dans le cloud personnel et privilégiez plutôt les fonctionnalités de gestion ou de conteneurisation des applications fournies avec les solutions EMM pour permettre à vos employés de stocker leurs données dans un cloud d’entreprise sécurisé. L’approche EMM, qui consiste à éviter la dissémination des données d’entreprise plutôt que de bloquer un nombre toujours plus important d’applications cloud, offre l’avantage non négligeable de séparer les données d’entreprise des données personnelles.

Ajoutez un service de réputation des applications ou de prévention des menaces sur les terminaux mobiles qui s’intègre à votre solution EMM. Ces services détectent les applications dangereuses, les logiciels malveillants, les risques liés aux applications, les attaques réseau et bien plus encore. Ils s’appuient sur la solution EMM pour prendre des mesures et mettre en quarantaine un terminal si une menace est détectée.

Appliquez les correctifs sur vos terminaux gérés. Il vous suffit de passer par le biais de la console EMM pour mettre en œuvre une version minimale du système d’exploitation. Si cette opération est simple sous iOS, elle peut s’avérer plus complexe avec Android en raison de la fragmentation expliquée plus haut. En revanche, les services de réputation des applications ou de prévention des menaces précédemment mentionnés peuvent identifier les risques liés aux terminaux Android en mettant des failles connues en corrélation avec le système d’exploitation. Ils peuvent ensuite informer la solution EMM qu’un terminal vulnérable a été détecté afin de le mettre en quarantaine.

Par Michael Raggo, directeur du MobileIron Security Labs

Nouvelle tentative de Google d’échapper au droit à l’oubli

Le géant Google a été condamné à 100 000 euros d’amende par la Commission Nationale Informatique et Libertés (CNIL) pour ne pas avoir appliqué le droit à l’oubli sur l’ensemble des extensions géographiques de son nom de domaine.

Cette condamnation fait suite à une mise en demeure datant de mai 2015, par laquelle la CNIL reprochait au moteur de recherche de limiter le déférencement des liens signalés par les internautes européens, aux extensions géographiques européennes de son nom de domaine, comme par exemple : « google.fr » en France, « google.it » en Italie. Les contenus litigieux restent donc accessibles sur l’extension « google.com ».

En réplique, Google avait affirmé qu’il ne revient pas à une agence nationale de protection des données à caractère personnel de se revendiquer « une autorité à l’échelle mondiale pour contrôler les informations auxquelles ont accès les internautes à travers le monde ».

Isabelle Falque-Pierrotin, Présidente de la CNIL, avait alors décidé d’engager une procédure de sanction à l’encontre de Google. Elle souhaitait ainsi faire preuve d’une certaine fermeté en raison des nombreuses plaintes des internautes (700 plaintes dont 43% sont fondées).

En réalité, la CNIL cherche à faire appliquer l’arrêt du 13 mai 2014 dans lequel la Cour de justice européenne avait consacré le droit à l’oubli. Ce dernier permet à tout internaute européen qui en fait la demande, d’obtenir le déférencement de contenus de nature à porter atteinte au respect de sa vie privée.

Bien que désapprouvant cette décision, Google avait mis à disposition des internautes un formulaire de signalement. La démarche n’en est pas pour autant faciliter puisqu’en France seules 52% des pages web ayant fait l’objet d’une demande de déférencement ont été partiellement retirées. De plus, en cas de refus du moteur de recherche de déférencer les informations signalées, il ne reste à ces derniers plus qu’à se tourner soit vers le juge des référés, soit vers la CNIL. Or, le juge a tendance à mettre en balance le droit à l’oubli avec la liberté d’information (TGI de Paris, 23 mars 2015).

En janvier dernier, Google a proposé de mettre en place un filtrage afin que les internautes qui consultent le moteur de recherche à partir du même pays d’origine que le demandeur, ne voient plus le résultat ayant été déférencé. Comme soutenu par la CNIL, ce filtre ne permettrait pas de garantir efficacement le droit au respect de la vie privée au travers du droit à l’oubli.

A contrario, la position du géant américain est justifiée notamment au regard du principe de neutralité des contenus sur internet. De plus, le droit à l’oubli affaiblit la valeur économique de Google qui réside dans le référencement des liens hypertextes et qui est fondé sur le droit à l’information.

Google entend contester cette décision.

Par Par Maitre Antoine Chéron, avocat spécialisé en propriété intellectuelle et NTIC, fondateur du cabinet ACBM.

Une fausse société revendait des identifiants de connexion à des Chinois

Identifiants de connexion – Les identifiants et les mots de passe d’environ 18 millions d’utilisateurs d’Internet Japonais retrouvés dans un serveur mis en place par une fausse société. Elle revendait les connexions à des Chinois.

La Nicchu Shinsei Corp., basée dans le quartier de Toshima Ward de Tokyo semblait être une PME nippone comme toutes les autres. Sauf qu’elle fournissait à des Chinois des moyens de se connecter à Internet en usurpant les identités des clients originaire du pays du soleil levant.

La police locale a trouvé sur un serveur informatique de cette entreprise, pas moins de 18 millions de japonais piratés. Nicchu Shinsei Corp. fournissait un serveur de relais pour des accès illicites. 18 millions de données (ID, Mot de passe), ainsi que 1,78 millions de données Twitter, Rakuten… Le nombre de victimes dans cette affaire récente fait de ce piratage le plus grand cas de vol d’informations au Japon. Sur le serveur, un programme automatique tentait illégalement d’accéder aux espaces ainsi compromis.

Des pirates Chinois seraient derrière cette « installation ». Un piratage qui ressemble comme deux goutes d’eau à celui vécu, en 2014. Ici aussi, une autre société avait permis d’intercepter 5.928.290 millions de données personnelles. (Japan News)

Un tiers des pertes de données des entreprises se produit lors du déplacement des données

Les migrations de données et les mises à jour des systèmes d’exploitation présentent des risques de pertes de données selon une étude Kroll Ontrack.

Une étude Kroll Ontrack menée auprès d’environ 600 administrateurs IT dans le monde montre qu’un tiers (32 %) des organisations a perdu ses données pendant la migration d’un support de stockage sur un autre ou au cours d’une mise à jour de leur système. Kroll Ontrack a aussi noté que plus de la moitié (57 %) des répondants disposait d’une sauvegarde, les trois quarts (75 %) n’étaient pas capables de restaurer toutes leurs données perdues, et plus d’un sur cinq (23 %) incapable de retrouver une seule donnée.

Les résultats de l’enquête 2016 sont cohérents avec les études de ces trois dernières années : plus de la moitié des particuliers et des entreprises perdent des données malgré la mise en place d’un système de sauvegarde. Interrogés sur leurs pertes de données à la suite d’une migration ou d’une mise à jour, les répondants équipés d’un système de sauvegarde ont expliqué que la sauvegarde n’était pas à jour (17 %) ou défaillante (15 %), le support n’était pas inclus dans la sauvegarde (14 %), ou la sauvegarde était corrompue (11 %).


« Les mises à jour et la migration de données font partie du quotidien en informatique, c’est donc inquiétant de voir qu’il y a autant d’entreprises victimes d’une perte de données parce que leurs protocoles de sauvegarde échouent. » indique à DataSecurityBreach.fr Antoine Valette, Business Manager Kroll Ontrack France. « Nous constatons que les mises à jour et les processus de migration sont un risque quel que soit le support, téléphone portable, ordinateur portable, PC ou serveur. Les entreprises doivent bien sûr veiller à avoir une stratégie de sauvegarde rigoureuse et la tester régulièrement pour valider son efficacité ; notre étude montre que ces pratiques sont d’autant plus critiques avant une migration. »

Système d’exploitation ou matériel : quel est le plus risqué pour les pertes de données ?
La perte de données se produit aussi fréquemment sur des supports autonomes que sur des serveurs. La moitié (50 %) des répondants déclarent avoir perdu ses données pendant la migration vers un nouveau logiciel ou plate-forme, à partir d’un ordinateur de bureau ou d’un ordinateur portable. Les mises à jour des systèmes d’exploitation sont les plus à risque (39 %), suivies par les clones des médias (22 %), puis les migrations physiques du matériel (20 %) ou la mise à jour du matériel (17 %).

Les résultats indiquent que la perte de données est moins un problème pour les utilisateurs de mobile, mais affecte tout de même plus d’un tiers (34 %) des répondants. Malgré les mises à jour automatiques des téléphones portables, 53 % des répondants déclarent avoir perdu leurs données pendant la migration vers un nouveau portable.

Échelle des risques pertes de données
Quand on demande aux participants de l’étude d’estimer quelles seront les principales causes de perte de données en entreprise au cours des 12 prochains mois, ils classent les migrations et les mises à jour des systèmes en bas de leur échelle de préoccupation, alors qu’un tiers des répondants a perdu des données au cours de ces opérations. A la place, les répondants classent les défaillances matérielles (22 %), les erreurs d’utilisation (22 %) et les erreurs imprévues et inattendues (21 %) comme les principaux risques de perte de données. Seulement 11 % considèrent que le faible contrôle interne des données est un risque majeur.

Le smartphone, nouvelle identité numérique

Le smartphone pourrait-il devenir la nouvelle identité numérique permettant d’accéder à la fois aux données et aux bâtiments ? La réponse est oui : l’accès mobile est très en vogue. Plusieurs grandes entreprises sont prêtes à sauter le pas, de même pour les PME.

Le champ d’application des smartphones ne cesse de s’élargir. L’accès mobile, quoique récent, prend de plus en plus d’importance le domaine d’activité. Les smartphones peuvent ainsi servir d’identités numériques pour accéder aux bâtiments, aux systèmes informatiques et autres applications. Ce sont les nouvelles technologies d’accès mobile et les standards de communication, comme NFC et Bluetooth Smart, qui rendent cela possible. Dans ce cadre, les identités numériques de nouvelle génération offrent même une plus grande sécurité que de nombreuses cartes conventionnelles, le cryptage de leurs transmissions n’ayant pas encore été compromis. L’accès mobile signifie que les clés, les cartes et autres jetons sont intégrés dans les smartphones, les tablettes et autres objets connectés à l’instar de l’Apple Watch.

De nouvelles opportunités s’ouvrent également au sein des PME au sein desquelles l’utilisation des smartphones ne cesse de se développer. La tendance BYOD a accéléré la pénétration des smartphones dans la sphère professionnelle et lorsqu’un smartphone est utilisé au quotidien le chemin vers la solution d’accès mobile n’est pas long. Pour l’administrateur il s’agit cependant de trouver des solutions et de gérer un parc souvent hétéroclite.

Les avantages d’une stratégie d’accès mobile sont clairs. Les économies découlent de la numérisation intégrale des processus évitant la commande et l’impression des nouvelles cartes tout en rationalisant les flux. Ainsi, par exemple, il n’est plus nécessaire de disposer de différents processus pour l’émission et l’administration d’identités distinctes servant à l’accès informatique et au contrôle d’accès.

Identité numérique

Alliant sécurité et convivialité, une solution d’accès mobile peut marquer des points. La caractéristique clé des smartphones réside dans leur capacité de mise en œuvre de mesures de sécurité intégrées. Citons notamment le cryptage des données ou l’utilisation de procédures biométriques avec des empreintes digitales. L’application d’accès peut fonctionner en outre dans un sandbox dédié, ce qui permet de garantir qu’aucune autre application ne puisse accéder à des informations d’authentification ou d’accès confidentielles. Notamment en cas de perte, il doit être possible de révoquer à distance les données qu’il contient. Cette multitude de fonctions de sécurité permet d’assurer un niveau élevé de protection des données, ce qui répond justement aux exigences des entreprises de taille moyenne. Le confort des différents collaborateurs s’en trouve amélioré, ces derniers n’ayant plus à transporter de cartes et de clés, et à se souvenir de leurs nombreux codes ou mots de passe. Pour certaines applications comme le parking, il peut également bénéficier d’une distance de lecture pouvant aller jusqu’à plusieurs mètres.

La condition pour la mise en œuvre d’une solution d’accès mobile est la mise en place d’une infrastructure avec une gestion d’identité numérique et d’accès sécurisée et généralisée. Dans ce domaine, HID Global propose des lecteurs compatibles avec ces identités mobiles dont les fonctionnalités peuvent bénéficier de mises à jour et d’un portail sur le Cloud pour l’administration de ces mêmes identités numériques.

Les solutions d’accès mobiles sont clairement tendance et cette évolution n’épargnera pas les PME. En fin de compte, les solutions d’accès mobiles, et donc de l’identité numérique, ouvriront la voie à une nouvelle conception de la gestion des identités, démarche où le service sera très présent. (Par Yves Ackermann, Directeur Segments Stratégiques Europe, HID Global)

Protection de vos données sensibles : évaluation des risques et des menaces

Protection de vos données sensibles : le cheminement de vos données, de votre clavier jusqu’au CPU en passant par l’écran est jalonné de dangers. Dans le cas d’un système cloisonné, à savoir le bon vieux PC autonome, le risque était quasi absent.

Mais aujourd’hui, alors que chaque frappe au clavier mène on-ne-sait-où, que les opérations de traitement peuvent s’effectuer en tout endroit du monde, et que les utilisateurs se retrouvent souvent localisés à distance de leurs données, l’intégrité de ces données est menacée en tous points. Chaque “maillon faible” dans le processus de gestion de données devient particulièrement problématique.

Protection de vos données sensibles : cartographier vos données
Plus vos données sont disséminées, plus le risque est important. Avec l’avènement du Cloud, le contrôle sur vos données est moindre et il devient complexe d’identifier le cheminement de ces données. Quant à évaluer le niveau de sécurité des différents processus actifs, voilà qui est quasiment impossible. Et pourtant, cette mesure des risques doit être effectuée, sauf à accepter que votre organisation soit soumise à un niveau de risque… inacceptable.

La première mission consiste à classifier vos données pour hiérarchiser les types de données devant être sécurisés. Vous découvrirez sans doute que la majorité de vos données corporate ne sont pas critiques, ou qu’elles sont redondantes ou obsolètes. Vous devez certes les protéger, mais elles ne sont pas prioritaires. Reste bien sûr les joyaux de la couronne : les données financières, personnelles ou commerciales. Ces bases de données doivent être sécurisées et protégées contre tout accès non autorisé.

Protection de vos données sensibles : le stockage, ici, là, n’importe où
Les données sont forcément archivées quelque part. Lorsque vous aurez identifié celles qui requièrent toute votre attention, vous devrez identifier leur localisation. En interne, les données peuvent être stockées sur la mémoire vive (le traitement analytique in-memory est devenu essentiel pour les analyses du Big Data), sur des dispositifs connectés au réseau, voire sur des bandes magnétiques. Pour rendre les choses plus complexes, notons que les données mènent leur propre vie une fois recueillies. Dans un système de point de vente par exemple, les données brutes peuvent être stockées dans un environnement A, puis être traitées au sein d’un environnement B, avant d’être mises à disposition de multiples applications (C à Z). Le risque est alors présent à chaque étape du processus.

Lorsque les données sont protégées derrière un pare-feu, les choses sont plutôt simples. Vous pouvez définir vos propres règles d’accès, surveiller les activités sur le réseau et prendre les bonnes actions en cas d’anomalie détectée. Vous pouvez aussi définir des seuils pour automatiser ces actions. Mais les menaces existent même au sein d’environnements cloisonnés.

Protection de vos données sensibles : prévenir les accès prohibés
Les administrateurs systèmes, généralement via le système de gestion des bases de données, peuvent attribuer des droits de lecture et d’écriture sur des ensembles de données au sein de leur organisation. Sauf que les gens se déplacent au sein des organisations, et que les rôles, besoins et autorisations sont appelés à évoluer. Les administrateurs des bases de données doivent donc réévaluer leurs droits de lecture et d’écriture régulièrement (spécifiés par les règles d’accès) pour s’assurer que seuls les profils et personnes légitimes accèdent aux données sensibles.

Protection de vos données sensibles : des ressources qui peuvent vous aider
Des recommandations sont disponibles pour vous aider à piloter ces processus de manière fluide. À titre d’exemple, les normes ISO/IEC 27002 ont été conçues spécifiquement pour aider les responsables des bases de données à assurer la traçabilité et la sécurité de leurs données. Les éditeurs sont responsables de la mise en œuvre de ces principes au sein de leurs solutions. D’autre part, le chapitre dédié à la gestion de la sécurité de la norme ITIL (Information Technology Infrastructure Library), basée sur ISO/IEC 27002, décrit comment intégrer la sécurité de l’information au sein des processus de gestion.

Mais quelle que soit la norme adoptée, il est essentiel de disposer d’une cartographie globale de vos données, de leur cheminement, des accès aux données et des autorisations associées. L’introduction de la sécurité à chacune des étapes du processus doit ensuite être menée avec précaution. Bien sûr, il est tout aussi important de définir des règles qui stipulent précisément les droits d’accès de chacun pour chaque type de données, ainsi que l’acheminement de ces données du point A au point Z. Si vous êtes capable de cartographier les processus sur un (sans doute grand !) tableau, vous êtes sur la bonne voie pour identifier les menaces potentielles et maîtriser les risques. (par Christophe Auberger, Directeur Technique France)

G DATA partenaire sécurité de l’équipe Ducati pour le championnat MotoGP 2016

G DATA, l’éditeur de logiciels allemand spécialisé dans les solutions antivirus, devient partenaire technique de Ducati Corse pour le championnat du monde de MotoGP. En tant que partenaire, G DATA protège le système informatique de l’équipe Borgo Panigale contre les menaces en ligne pendant toute la saison du championnat, qui commence le 20 mars sur le circuit international de Losail au Qatar.

G DATA protège les serveurs de données de l’équipe Ducati, équipements vitaux pour les activités sur pistes de l’équipe. Ces ordinateurs gèrent le stockage des données générées pendant des essais et les courses, synchronisent l’acquisition de données avec les serveurs distants de l’entreprise et permettent aux techniciens de piste de traiter les données et réaliser des simulations en temps réel.

« Protéger l’intégrité des données et des systèmes critiques en itinérance est un vrai challenge. Nous devons garantir leur sécurité avec des solutions et des politiques qui doivent s’adapter aux différents réseaux que l’équipe trouvera sur les multiples lieux de la compétition internationale MotoGP, et gérer à distance les informations, les mises à jour et journaux d’entrée des données en garantissant un service continu. C’est un défi et nous sommes honorés de relever », déclare Giulio Vada, Country Manager de G DATA Italie.

La relation avec Ducati inclut également une série d’activités conjointes pour l’année 2016.

Etude : quel est l’impact de la cybersécurité sur la finance et la réputation des entreprises ?

La prévention des fuites de données passe par la collaboration, le partage des connaissances et la définition de critères de réussite, avant que des changements réglementaires ne s’opèrent.

Une nouvelle étude de Palo Alto Networks révèle qu’il reste encore beaucoup à faire dans les domaines de la collaboration et du partage de responsabilités pour ce qui est de la prévention des cyberfailles – deux démarches pourtant cruciales que doivent adopter les entreprises en France si elles veulent éviter de lourdes pénalités financières et préserver leur réputation.

Le principal enseignement de cette étude d’envergure européenne est que l’essentiel des responsabilités repose exclusivement sur les épaules des professionnels de l’informatique, puisque près de la moitié (46 %) des décideurs estiment que la protection d’une entreprise contre les risques de cybersécurité est en définitive du ressort du service informatique. Les effectifs de ce service admettent d’ailleurs, dans une proportion significative (57 %), être seuls compétents pour assurer cette sécurité.

Ces conclusions interviennent alors même que l’Union européenne est en passe de finaliser son Règlement général sur la protection des données, qui obligera les entreprises à se conformer à certaines spécifications de pointe en matière de cybersécurité. Ces dernières les aideront à prévenir les risques de non-conformité et, ce faisant, à éviter des amendes de l’ordre de 10 à 20 M€ (jusqu’à 2 à 4 % de leur chiffre d’affaires annuel mondial). En cas de fuite avérée, ce règlement engage également la responsabilité de quiconque a accès aux données – depuis le service clients jusqu’à la direction en passant par les informaticiens.

Nombre de décideurs ont toujours bien du mal à appréhender la cybersécurité
Ces résultats semblent indiquer que la pierre d’achoppement, s’agissant de la répartition inégale des responsabilités, pourrait être la conséquence d’une méconnaissance de la cybersécurité au niveau de la direction. Plus d’un décideur sur dix (13 %), parmi les participants explicitement interrogés à ce sujet, avoue cerner « à peu près » ce qui constitue un risque pour la sécurité en ligne de l’entreprise, mais « devoir malgré tout faire appel à Google pour obtenir des éclaircissements ».

Si les participants prennent de plus en plus la mesure des cyber-risques auxquels sont confrontées les entreprises, un salarié sur dix demeure convaincu que les dirigeants de sa société n’ont pas une idée suffisamment précise ou exacte des problématiques de cybersécurité actuelles pour mettre obstacle aux cyberattaques, et éviter ainsi qu’elles ne portent atteinte à l’environnement informatique.

La définition des critères de « réussite » indispensable à l’attribution des rôles
Divers règlements et dispositifs normaliseront les critères de réussite déterminant l’efficacité de la cybersécurité ; néanmoins, dans l’intervalle, un accord interne doit être trouvé permettant de définir les rôles et responsabilités de chacun, et de parvenir à un consensus sur une approche unifiée entre entreprises.

Les résultats de l’étude mettent en exergue le fait que les évaluations de sécurité réalisées par les entreprises ne prennent pas en compte la totalité des éléments composant le risque. À l’heure actuelle, une entreprise sur quatre (25 %) mesure l’efficacité de la cybersécurité en fonction du nombre d’incidents bloqués par sa politique de cybersécurité ; une sur cinq (21 %) se réfère à la durée de résolution des incidents. Elles sont 13 % à prendre en compte la date du dernier incident. Des mesures préemptives et en temps réel, comme la capacité d’une entité à superviser la totalité du trafic sur son réseau, doivent être prises en compte pour évaluer précisément les risques encourus.

« Les nouvelles réglementations de l’UE obligeront les entreprises à intensifier leurs pratiques en matière de cybersécurité, et il s’agira là d’une opportunité ou d’un risque, selon l’approche qu’elles auront choisie. En définitive, il est essentiel que les décideurs admettent que la cybersécurité relève de la responsabilité de chacun – car il ne s’agit plus ici d’un artifice obscur, mais d’une pratique quotidienne à laquelle aucun échelon de l’entreprise ne peut se soustraire », commente Arnaud Kopp, Directeur Technique Europe du Sud chez Palo Alto Networks

Recommandations aux entreprises européennes
Palo Alto Networks recommande aux entreprises de prendre les mesures suivantes pour consolider leurs environnements informatiques et mieux les protéger des cyberattaques :

1.     Élaborer une stratégie de cybersécurité axée sur la prévention des cyberattaques à chaque stade du cycle de vie des attaques, en sensibilisant et responsabilisant les collaborateurs.

2.     Faire appel à une technologie de sécurité automatisée de pointe qui, non seulement, se conforme aux réglementations, mais donne également aux collaborateurs les moyens de travailler efficacement avec les outils qui leur sont indispensables.

3.     Sensibiliser tous les acteurs de l’entreprise au rôle qui doit être le leur afin de prévenir la menée à bien des cyberattaques à son encontre.

Méthodologie de l’étude : L’étude a été réalisée en ligne par Redshift Research en octobre 2015. Elle a été menée auprès de 765 décideurs dans des entreprises comptant au moins 1 000 salariés, implantées au Royaume-Uni, en Allemagne, en France, aux Pays-Bas et en Belgique.

Technique et légalité des émulateurs de jeux vidéo

La nostalgie des années passées ne touche pas uniquement le monde de la mode ou de la musique !

La nostalgie des années passées ne touche pas uniquement le monde de la mode ou de la musique, celui de l’informatique et des jeux vidéo n’est pas en reste. Alors que les grandes entreprises informatiques et éditrices de jeux vidéo comme Sony ou Nintendo investissent des sommes colossales en R&D afin de mettre au point des appareils de haute technologie, il se développe un marché moins officiel qui est celui des logiciels émulateurs destinés à faire revivre des vieux jeux vidéo « abandonnés » par leurs éditeurs ou qui sont devenus commercialement obsolètes. L’émulateur est défini comme le logiciel ou programme permettant de simuler sur une machine le fonctionnement d’une autre. Plusieurs sites Internet proposent de rendre compatibles des ordinateurs récents avec d’anciens jeux vidéo. Les jeux vidéo d’une ancienne console qui ne fonctionnaient qu’avec des ordinateurs de l’époque (environnement MS-DOS) deviendront compatibles avec par exemple des périphériques graphiques, carte son et écran fonctionnant sous Windows XP.

Quid de la légalité des émulateurs au regard du droit d’auteur
Le développement de ce marché caché a fait si l’on peut dire des émules puisque Nintendo lui-même a stratégiquement choisi d’intégrer des émulateurs dans sa Wii, permettant à cette console d’accueillir des jeux édités pour d’anciennes consoles Nintendo. Mais si Nintendo dispose du droit de modifier ses propres logiciels, il n’en va pas de même du développeur qui sans aucun droit sur le jeu vidéo ou logiciel présent à l’intérieur de la console créé un programme permettant de simuler les composants du logiciel d’une console. En effet, modifier le Bios d’un logiciel constitue un acte de contrefaçon aux droits d’auteur portant sur ce logiciel. Cela est particulièrement vrai depuis l’arrêt de l’Assemblée plénière de la Cour de cassation du 7 mars 1986 considérant que le logiciel était une œuvre de l’esprit protégeable (protection du droit à la paternité et à l’exploitation de l’œuvre).

Mais qui sont les bénéficiaires de cette protection contre les actes de contrefaçon et ici singulièrement contre les logiciels émulateurs ?
Le droit d’auteur français étant un droit personnaliste, l’œuvre de l’esprit est relativement bien protégée et sauf les exceptions du droit à la décompilation, des logiciels libres ou lorsqu’il y a eu renoncement aux droits d‘auteur, ces œuvres ne sont jamais libres de droits durant le temps de protection prévu par l‘article L.123-1 du Code de la propriété intellectuelle (qui est de 70 ans après le décès de l’auteur de l‘œuvre).

Peu importe par conséquent les doutes récurrents en jurisprudence sur la qualification juridique à retenir du logiciel. Qu’il s’agisse d’une œuvre collective (bien souvent une personne morale en est l’instigatrice) ou d’une œuvre de collaboration entre plusieurs auteurs, les droits d’auteur sur le logiciel sont garantis pendant 70 ans après le décès de l’auteur. Ce droit d’exclusivité profitera donc aux ayants droits de chacun des auteurs en cas de qualification d’œuvre de collaboration du logiciel. Ce droit de protection bénéficiera également en cas de qualification d’œuvre collective du logiciel aux associés d’une entreprise ayant cessé son activité pour une raison quelconque (départ en retraite du dirigeant, liquidation etc…).

Il en résulte donc que les développeurs d’émulateurs ne pourront pas en cas de contentieux, invoquer devant le juge le décès de l’auteur ou l’abandon par une société éditrice de ses droits sur le logiciel reproduit. Tout acte de reproduction du logiciel ou de ses composants est  normalement soumis à l’autorisation de l’éditeur en vertu de l‘article L.122-6 du Code de la propriété intellectuelle.

Justification de l’émulateur par l’exclusivité de décompilation ?
La seule possibilité envisageable en cas de litige reste celle de l’exclusivité de décompilation prévue à l’article L.122-6-1 du CPI, exception légale aux droits d’auteur prévue afin de garantir une concurrence saine entre éditeurs de logiciels en permettant une interopérabilité entre différents logiciels. Les conditions de mise en œuvre de ce droit à décompilation sont très strictes et il est peu probable que les émulateurs de logiciels puissent entrer dans cette exception.

Décompiler un logiciel (ou ingénierie inverse) consiste à le désassembler afin d’en connaître les données et les instructions qui en permettent le fonctionnement, en vue de retraduire le code objet pour remonter au code source. Toutefois, entre les différentes phases de conception et les éléments qui composent le logiciel, il est difficile de déterminer ce qui est protégeable par le droit d’auteur. Si les fonctionnalités d’un logiciel ne sont pas protégeables selon la Cour européenne (CJUE, 2 mai 2012,  SAS Institute Inc. c/ World Programming Ltd), les travaux préparatoires de conception du logiciel tels que les plans électroniques sont eux susceptibles d’une protection par le droit d’auteur.

L’une des conditions essentielles pour décompiler légalement est d’être un utilisateur légitime du logiciel. La cour d’appel de Paris a rappelé que les développeurs de linkers, dispositifs permettant de lire des jeux vidéo piratés sur la console DS de Nintendo, étaient responsables d’actes de contrefaçon au motif pris qu’ils n’étaient pas des utilisateurs légitimes (Paris, 26/09/2011 affaires Nintendo).

L’émulateur de logiciel n’est donc pas en harmonie avec le droit d’auteur sauf lorsque les auteurs, éditeurs ou les ayants droits de ces derniers ont manifesté leur volonté de ne plus exploiter leurs droits et hormis ce cas, on est en présence d’actes de contrefaçon en cas de reproduction du logiciel ou de décompilation à d’autres fins que celle d’interopérabilité. (Par Maitre Antoine Chéron, avocat spécialisé en propriété intellectuelle et NTIC)

Un ours et une montre connectés diffusaient les infos privées des enfants

Les objets connectés, véritable plaie pour nos vies privées. Un nouvel exemple avec l’ours connecté Smart Bear de Fisher-Price, et une montre connectée pour les moins de 12 ans.

Le fabriquant de jouets Fisher-Price vient de corriger une fuite de données concernant un de ses jouets connecté, l’ours Smart Bear. Comme pour Vtech, plusieurs failles avaient été découvertes entre l’application connectée, l’ours et le serveur de gestion des données enregistrées par les parents/enfants. A la différence de Vtech, aucun pirate n’a été se servir dans les données.

La fuite, découverte par Rapid7, n’en n’était pas moins inquiétante. Dans les données qu’un malveillant aurait pu intercepter : l’identité et la date de naissance de l’enfant, son sexe et la langue parlait. Il y a de forte chance que l’ensemble des informations enregistrées étaient accessibles.

Toujours dans la grande famille des objets connectés, le GPS HereO avait un problème avec sa plateforme de gestion des données envoyées par la montre destinée aux 3-12 ans. Ici aussi, les données pour les enfants étaient accessibles. Faille corrigée.

Bref, parents, arrêtez de rentrer les vraies informations de vos enfants sur Internet ou via ces jouets connectés. Vous créez une identité numérique de votre môme que vous ne pourrez plus contrôler.

Disques durs perdus dans la nature

La société Centene Corporation a perdu six disques durs et plus d’un million de données d’assurés.

Centene Corporation est une entreprise américaine dédiée à l’assurance santé. Elle est basée à Clayton dans le Missouri. La direction vient de lancer une enquête après avoir découvert qui lui manquait six disques durs. L’histoire pourrait s’arrêter là, sauf que les supports de sauvegarde transportent plus d’un million de dossiers d’assurés.

Ces six disques durs contiennent des renseignements personnels de patients passés par des laboratoires entre 2009 et 2015. Dans les données, non chiffrées : nom, adresse, date de naissance, numéro de sécurité sociale, numéro d’identification d’assuré, et des informations de santé. La société a déclaré qu’aucun des disques durs contenaient des informations financières. (Fox2)

Cinq impératifs de sécurité à l’intention des nouveaux utilisateurs du Cloud

Apple, Amazon et Microsoft sont trois géants de la technologie et de véritables références en matière de fourniture de services cloud. Mais ils ont aussi comme point commun d’avoir été la cible de hackers plutôt virulents…

Le piratage Apple (le “celebgate”) a abouti à la divulgation de photos très personnelles de certaines célébrités qui utilisaient iCloud, une mésaventure qui a fait la une de nombreux médias l’année dernière. Au Royaume-Uni, le fournisseur technologique Code Spaces a tout simplement baissé le rideau en 2014, après avoir été la cible de maîtres chanteurs qui ont, au final, supprimé des données essentielles sur l’environnement de stockage cloud de l’entreprise basé sur Amazon Web Services. En 2013, un certificat SSL expiré au sein du cloud Azure de Microsoft permettait à des hackers de mettre à l’arrêt plusieurs services cloud, dont Xbox Live.

Les risques en matière de sécurité du Cloud sont à la hausse, tandis que les attaques ont progressé à un rythme effréné : +45% en glissement annuel selon le spécialiste de la sécurité Alert Logic. Au cours des 5 prochaines années, les entreprises devraient investir 2 milliards de dollars pour renforcer leurs défenses Cloud, selon Forrester Research.

Ce sont les primo-utilisateurs du cloud qui connaissent le plus grand risque, car peu familiers à ce nouvel environnement et confrontés à des méthodes différentes pour gérer les utilisateurs, les données et la sécurité. À leur intention, voici cinq règles d’or qui encadrent (et sécurisent) toute migration vers le Cloud.

1. Apprenez à mieux connaître les environnements Cloud
Tout projet cloud est tripartite, avec pour parties prenantes le fournisseur de la plateforme cloud, le fournisseur du service réseau et l’entreprise cliente. Le Cloud doit être pensé en tant qu’extension du centre de données de l’entreprise, d’où certaines questions : peut-on déployer des règles et services de sécurité communs aux trois domaines ? Quels sont les risques en matière de sécurité ?

Avant de sélectionner votre fournisseur cloud, interrogez-le sur les services de sécurité proposés et les éditeurs/constructeurs avec lequel il collabore. Le cloud est un environnement dynamique qui implique des mises à jour régulières de l’architecture de sécurité pour pouvoir neutraliser les menaces les plus récentes. Quels sont les outils, fonctions et méthodes de sécurité en vigueur pour s’immuniser contre les nouveaux types de menaces et les vulnérabilités zero-day ?

Pensez également à vous familiariser avec les modèles de sécurité partagée. Identifiez précisément les responsabilités de votre fournisseur cloud, ainsi que les vôtres. Pour certains types de cloud, les IaaS notamment, l’entreprise cliente est responsable de la sécurité de ses applications et données dans le cloud. Il est également essentiel d’identifier les appliances de sécurité et technologies proposées par le fournisseur de services cloud ou autorisées à être déployées pour assurer une sécurité optimale.

2. Nouvelles applications, nouvel arsenal de sécurité
Prêt à migrer une application dans le cloud ? Mais avant, interrogez-vous sur l’intérêt de déployer des couches de sécurité dédiées aux processus d’authentification et de connexion à vos applications cloud.

Pour sécuriser l’accès à votre application cloud, vous devez déployer un schéma d’accès granulaire aux données, qui, par exemple, associe des privilèges d’accès à des rôles, des postes ou des projets. Vous disposez ainsi d’une couche supplémentaire de protection lorsque les assaillants détournent les identifiants de connexion de vos collaborateurs.

Le détournement d’un compte est une exaction plutôt simple mais il constitue encore à ce jour, selon la Cloud Security Alliance, une menace virulente qui pèse sur les utilisateurs du cloud. Pour renforcer votre processus d’authentification, pourquoi ne pas adopter l’authentification à deux facteurs ou l’utilisation des mots de passe OTP (à usage unique) ? Autre bonne idée : obliger les utilisateurs à modifier leurs identifiants de connexion dès leurs premières authentifications à une application.

3. Optez pour le chiffrement
Le chiffrement des données est l’un de vos meilleurs alliés dans le cloud et doit d’ailleurs être obligatoire pour les transferts de fichiers et les emails. Bien sûr, le chiffrement ne préviendra pas les tentatives de piratage, mais il immunisera votre entreprise face au lourd impact financier lié aux amendes réglementaires infligées en cas de piratage avéré et de divulgation de données.

Interrogez ainsi votre fournisseur cloud sur les options de chiffrement disponibles. Identifiez comment les données sont chiffrées lorsqu’elles sont stockées, utilisées et transférées. Pour identifier le périmètre des données à chiffrer, il est essentiel de les localiser, qu’elles soient hébergées sur les serveurs de votre fournisseur cloud ou d’un tiers, les ordinateurs portables des collaborateurs, les PC fixes ou encore des dispositifs amovibles de stockage.

4. Maîtrisez le virtuel
En migrant vers le Cloud, les entreprises capitalisent sur les avantages de la virtualisation, mais un environnement virtualisé présente des défis spécifiques en matière de protection des données. La principale problématique ? La gestion de la sécurité et des échanges de données au sein de ces espaces virtualisés et mutualisés.

Les appliances physiques de sécurité ne sont pas conçues pour gérer les données dans le cloud. D’où l’intérêt de se pencher sur les appliances virtuelles pour sécuriser le trafic entre machines virtuelles. Ces appliances sont conçues pour simplifier la gestion de multiples instances d’applications et d’environnements mutualisés.

Elles permettent ainsi aux entreprises de contrôler plus précisément la sécurité de leurs données dans le Cloud. Demandez à votre fournisseur cloud comment il s’y prend pour sécuriser ses environnements virtualisés et découvrez quelles sont les appliances de sécurité virtuelles déployées. Si vous mettez en place votre propre cloud privé ou hybride, il est préférable de choisir des produits de sécurité virtualisés qui permettent un contrôle le plus fin de la sécurité.

5. Ne restez pas dans l’ombre du Shadow IT
Les anecdotes et exemples sont nombreux pour illustrer les cas d’utilisation non autorisés d’applications et de services cloud, ce qu’on appelle le Shadow IT, plus présent en entreprise qu’on ne le croirait. Cette activité regroupe les projets, outils ou services de communication existants au sein d’une organisation, mais sans approbation de la DSI. Le Shadow IT est donc, par définition, non contrôlé, ce qui constitue une certaine menace dont les impacts sont lourds en matière de gouvernance.

Votre application qui a récemment migré vers le Cloud connaît ainsi des risques. Considérez ce scénario dans lequel un collaborateur ouvre un fichier sur son smartphone. Il est probable qu’une copie du fichier soit réalisée et envoyée pour stockage vers un espace en ligne non approuvé et qui accueille les sauvegardes automatiques du téléphone. Et voilà des données de l’entreprise, jusqu’à présent sécurisées, qui se retrouvent dans un cadre non sécurisé.

Interdire le Shadow IT et les accès aux données et applications induits ne freinera sans doute pas cette pratique au sein d’une organisation. Il est plus intelligent de sensibiliser les utilisateurs et de miser sur la technologie pour régler cette problématique. Justement, le chiffrement des données, le monitoring réseau et les outils de gestion de la sécurité protègent vos applications cloud des risques liés au Shadow IT. (Christophe Auberger, Directeur Technique France chez Fortinet)

Sécurité des données : une tour en équilibre précaire

Pendant les fêtes, j’ai eu l’occasion de voir « The Big Short : Le Casse du siècle », film inspiré du livre de Michael Lewis sur la bulle immobilière. Ou plus exactement sur la manière dont un groupe de parias de Wall Street voit clairement les signes d’effondrement prochain du marché hypothécaire. Il est intéressant de constater qu’aucun de ces indices financiers ne constituait un secret.

Cela m’a poussé à me demander s’il existe aussi des signes incroyablement évidents montrant que la sécurité des données d’entreprise ne se trouve qu’à un ou deux piratages d’une explosion complète.

En guise de pièce à conviction A, veuillez consulter l’article de Krebs sur les nouvelles méthodes d’authentification mises en œuvre par Google et Yahoo. Google essaie une ouverture de session Gmail sans mot de passe par l’envoi d’un e-mail d’approbation au smartphone associé à votre adresse électronique. Après avoir accepté la requête, vous pouvez utiliser Gmail. Aucun mot de passe n’est nécessaire !

En octobre dernier, Yahoo a commencé à offrir un service similaire appelé « mots de passe à la demande ». Dans ce système, Yahoo envoie un code aléatoire de quatre caractères à un périphérique séparé lorsqu’un abonné tente de se connecter. Yahoo exige ensuite que l’utilisateur saisisse ce code sur son site Web pour obtenir l’accès.

Phishing récréatif et lucratif
Que dit Krebs à propos de ces changements ? Améliorer l’authentification est une bonne idée, mais Krebs pense que ces approches mèneront à des attaques de phishing plus sophistiquées. Aïe !

En règle générale, ce type de modèle reste exposé aux attaques de l’intercepteur.  Toutefois, Krebs semble suggérer que les pirates profitant de ces services enverront des e-mails contrefaits pour demander plus d’informations aux abonnés. Les utilisateurs de Yahoo et de Google ayant probablement l’habitude d’accepter et de répondre à des e-mails de vérification réels, ils pourraient accidentellement révéler un mot de passe ou d’autres informations en réponse à une communication falsifiée.

Alors que d’autres grands services en ligne commencent à essayer leurs propres méthodes et que certaines entreprises font appel à des techniques à facteurs multiples, d’insidieuses failles de sécurité restent possibles.

Le Web caché
Ma pièce à conviction B est constituée de toutes les données piratées au cours de ces deux dernières années. Étant donné que les IPI et autres données sensibles sont à la portée des pirates au moyen du Web caché, les cybercriminels possèdent beaucoup plus d’informations pour exécuter leurs futures opérations de phishing et autres attaques d’ingénierie sociale.

À l’heure où j’écris ces lignes, les médias technologiques signalent la divulgation massive de plus de 190 millions d’enregistrements électoraux comprenant des dates de naissance, des adresses électroniques et des affinités politiques. Bien sûr, cela s’ajoute à la violation géante de l’OPM, la violation de l’IRS  et les gigantesques violations des compagnies d’assurance.

Récemment, j’ai écrit un article au sujet des énormes quantités de données de santé protégées (PHI) qui se trouvent dans les systèmes informatiques des grandes entreprises. Ces dernières ne sont pas toutes des entreprises de services de santé. Souvent mal sécurisées, les PHI ont été écrémées par les pirates au cours des quelques dernières années. Elles constituent une autre remarquable source d’informations pour de futures attaques.

Le Jenga de la sécurité des données
Revenons au film « The Big Short ». Je ne pense pas que nous en dirons trop en révélant cette scène du film, car elle a déjà été largement distribuée. Je fais ici référence à Ryan Gosling montrant à ses collègues de Wall Street les pieds d’argile du colossal marché hypothécaire.

Comme au Jenga, il a lentement retiré les blocs de base de sa tour infernale. Comme on peut s’y attendre, la structure entière, y compris les blocs représentant les hypothèques les plus sûres, finit par s’effondrer.

J’attends qu’un DSI retire ce genre de bloc de Jenga ! C’est-à-dire qu’un collaborateur (peut-être un individu imprégné de philosophie « red team ») explique aux cadres dirigeants en quoi la sécurité informatique est semblable à une tour de Jenga.

Au sommet se trouvent une défense de périmètre et un chiffrement des données forts. Mais il existe des données mal sécurisées sous cette première couche. Et plus profondément encore, on rencontre des techniques d’authentification peu efficaces, des mauvaises stratégies de mots de passe, une gestion tardive des correctifs et une supervision des données insuffisante.

Le pirate mène ses essais et ses attaques à travers la main de l’employé. Guidé par les données volées existantes et d’autres informations de vulnérabilité acquises sur le marché noir (logiciels malveillants, IPI, informations d’identification volées), il sait quels blocs retirer de la base pour faciliter son accès à la prochaine couche de données mal sécurisées.

L’ensemble de la structure informatique s’effondre ensuite en laissant les blocs de Jenga éparpillés sur le bureau du DSI.

Je ne pense pas qu’en 2016 nous verrons l’équivalent informatique d’un effondrement financier dans lequel le commerce électronique et la pornographie seraient soudainement bloqués. Mais il existe depuis quelques années des signaux d’alarme en direction de sérieux problèmes au niveau des fondations mêmes de la sécurité des données informatiques. (Par Norman Girard, Vice Président et directeur général Europe de Varonis)

Le Groupe Oceanet Technology et NBS System se rapprochent !

Le groupe OT, acteur majeur des services d’hébergement et d’infogérance d’applications web & métier depuis 20 ans (partenaire hébergeur de DataSecuyrityBreach.fr et de zataz.com), annonce l’acquisition de NBS System, spécialiste de l’hébergement de haute sécurité et des plateformes web critiques.


NBS System, fondé en 1999 par Arnaud Becquart et Philippe Humeau, est le leader de l’hébergement et de l’infogérance de sites e-commerce avec plus de 300 clients. Spécialiste reconnu en sécurité informatique, NBS System développe, depuis 2012, un des environnements d’hébergement le plus sécurisé au monde : CerberHost. Après l’intégration de Net4All en 2012 et de Network Consulting en juillet 2015, cette acquisition, permet au groupe OT de se positionner en tant qu’acteur incontournable de l’hébergement de plateformes critiques. Le groupe OT renforce également sa présence parisienne et s’étend sur le marché anglais, source d’innovation.

« En tant que spécialiste de l’hébergement sécurisé, NBS System est un atout majeur pour le groupe OT. Son offre CerberHost va nous permettre de répondre aux exigences croissantes du marché pour assurer la sécurité des plateformes de nos clients ! » explique M. Pierre Voillet, Dirigeant Fondateur du groupe  Oceanet Technology.

« Même si nous partageons notre vision du marché, ce rapprochement est avant tout une histoire d’Hommes car nous partageons aussi les mêmes valeurs humaines et sommes heureux d’intégrer « The human touch ! » annonce M. Philippe Humeau, D.G de NBS System. Au travers de cette opération, le groupe souhaite accompagner la sécurité opérationnelle des plateformes digitales de ses clients. Le groupe OT apportera ses best practices et son savoir-faire des infrastructures à façon et NBS System sa capacité d’innovation et sa spécialisation dans la très haute sécurité.

Cette acquisition permet au groupe OT de développer plus de 21 M€ de CA avec 130 collaborateurs répondant aux besoins de 800 clients premium, en France ainsi qu’à l’international, et notamment en Suisse, au Royaume-Uni, aux États-Unis…

Guerre des bots en 2016 ?

Un nouveau rapport décrit les tendances relevées en 2015 en matière d’attaques et révèle les prédictions des experts sécurité concernant les principales menaces en 2016 : des bots toujours plus automatisés et une démultiplication des attaques de ransomware et des attaques par déni de service (DDoS  – déni de service distribué).

Radware, fournisseur de solutions optimisées de cybersécurité et d’accélération applicative pour le Cloud et les datacenters virtualisés et définis par logiciel, a diffusé un nouveau sur la sécurité applicative et réseaux à l’échelon mondial. Ce document annuel, qui identifie les principales tendances observées en matière de méthodes d’attaque en 2015, offre un état des lieux de la préparation de l’industrie face aux menaces et dévoile les prédictions des experts concernant le paysage des menaces de 2016. La double-conclusion de ce rapport, c’est que non seulement aucun secteur n’est à l’abri des cyber-attaques, mais qu’en outre peu d’organisations sont véritablement préparées à y faire face. En 2016, les attaques devraient gagner en agressivité, avec l’émergence d’attaques DoS persistantes avancées (Advanced Persistent Denial of Service, APDoS) et l’augmentation, tant en termes de volume que de portée, des attaques générées par des bots sophistiqués contre les infrastructures applicatives Web.

Première conséquence : « À l’avenir, les lignes de front de la sécurité de l’information n’intègreront plus d’êtres humains », martèle Carl Herberger, Vice President, Solutions Securité chez Radware. « Dans un monde qui voit chaque jour des défenses céder face à un flot incessant d’attaques sophistiquées et automatisées, et à un éventail de nouvelles techniques d’attaques quasi-infini, l’idée de laisser le soin de déployer des technologies de détection et d’orchestrer les réponses à ces attaques en temps réel à des êtres humains ne peut que disparaître. Nous sommes à l’aube d’une ère nouvelle, qui verra les systèmes de cyberdéfense humains abandonnés définitivement au profit de solutions de défense basées sur des bots. »

C’est l’équipe d’intervention d’urgence de Radware (Emergency Response Team, ERT), dont la mission est de surveiller et de lutter contre les attaques en temps réel, qui rédige ce rapport à l’attention de la communauté de sécurité informatique chaque année, en s’appuyant sur son expérience de première ligne et sur les perspectives de prestataires de services tiers. Le rapport a été compilé à partir des données collectées dans le cadre d’une enquête neutre réalisée auprès de plus de 300 organisations ; l’équipe d’intervention d’urgence a ensuite analysé ces informations afin de dégager des perspectives et les meilleures pratiques pour aider les organisations à renforcer leurs défenses.

« En 2015, les cyber-attaques sont devenues la nouvelle normalité, avec 90 % des organisations sondées touchées à divers degrés», explique Carl Herberger. « Les organisations doivent se préparer à répondre aux défis en préparation, en posant dès maintenant les fondations qui leur permettront de réagir pour contrer les nouvelles méthodes et motivations d’attaque qui ne manqueront pas d’émerger en 2016. »

L’équipe d’intervention d’urgence de Radware a émis les recommandations suivantes pour favoriser l’anticipation et l’atténuation des attaques :

·         Les bots et l’automatisation, deux armes indispensables : il n’est plus réaliste de croire les êtres humains capables de déployer des technologies de détection et d’orchestrer les réponses aux attaques en temps réel. Aujourd’hui, combattre des menaces automatisées impose de s’appuyer sur l’automatisation.

·         Élimination des angles morts : pour trouver les angles morts d’une organisation, les attaquants déploient des campagnes d’attaque multivectorielles parallèles, augmentant le nombre de vecteurs d’attaque lancés en parallèle et ciblant différentes couches du réseau et du centre de données. Si, dans la multitude, un seul vecteur parvient à passer les barrières de l’organisation sans se faire détecter, alors l’attaque est un succès. Et les dégâts à la clé peuvent s’avérer considérables.

·         Atténuation de tous les types d’attaques DDoS : les organisations ont besoin d’une solution hybride unique qui protège leurs réseaux et applications contre un éventail étendu d’attaques. Pour être véritablement intégrée, la solution choisie doit inclure toutes les technologies nécessaires : protection contre les attaques DoS, analyse comportementale, protection IPS, protection contre les attaques cryptées, Firewall Web Applicatif (WAF).

·         Compréhension de la probabilité et des causes des attaques : les hypothèses retenues en termes de besoins d’atténuation doivent être alignées sur les niveaux de risque. Qu’il s’agisse de se préparer à faire face à un niveau de risque accru ou de prendre pleinement conscience de la manière dont les hacktivistes agissent et sélectionnent leurs cibles, une meilleure compréhension contribuera à renforcer l’état de préparation de l’organisation, donc sa capacité à atténuer ses risques et à défendre ses réseaux.

Pour télécharger le rapport sur la sécurité des applications et des réseaux à l’échelon mondial 2015-2016, comprenant les prédictions et recommandations de l’équipe d’intervention d’urgence de Radware sur la meilleure préparation à mettre en œuvre pour atténuer les cybermenaces en 2016, vous pouvez visiter le site http://www.radware.com/ert-report-2015/.

85% des entreprises sont touchées par la fuite de données

Les entreprises doivent faire face à une industrialisation des attaques orchestrées par des cybercriminels organisés et dont le but est de ne pas être détectés par les solutions de sécurité pour exfiltrer les données de l’entreprise ciblée. Le nouveau rapport de Cisco est sans appel. 8 entreprises sur 10 seraient touchées par une fuite de données.

Le Rapport Annuel de Sécurité 2016 de Cisco analyse les plus grandes tendances en matière de cybersécurité avec l’aide des experts en sécurité de Cisco, en se basant sur les avancées de l’industrie de la sécurité et celles des cybercriminels qui cherchent à percer les défenses des entreprises. Il met également en évidence les éléments clés de l’étude Cisco sur les capacités sécuritaires des entreprises, en se concentrant sur la perception qu’ont les professionnels de l’état de la sécurité dans leurs propres entreprises. Les tendances géopolitiques, la perception des risques de cybersécurité ainsi que les principes d’une défense organisée (Integrated Threat Defense) contre les menaces, complètent le rapport.

Le Rapport Annuel sur la Sécurité 2016 de Cisco révèle que 54 % des entreprises sont confiantes dans leur capacité à détecter une attaque – 54 % également dans leur capacité à se défendre pendant une attaque – et 45 % dans leur capacité à évaluer l’ampleur d’une attaque et à y remédier. L’étude a été menée auprès de retour de 2 400 professionnels de la sécurité répartis dans des entreprises de toutes tailles dans 12 pays du monde.

Open bar dans les données
Les cybercriminels concentrent de plus en plus leurs attaques vers des cibles identifiées dans le but de leur soutirer de l’argent. En outre, les attaques menées via des ransomwares, ont déjà permis aux cybercriminels d’exfiltrer jusqu’à 34 millions de dollars par an et par campagne. Les cybercriminels s’appuient désormais sur des serveurs compromis pour lancer leurs attaques. Ainsi, le nombre de domaines WordPress utilisés pour des attaques par des hackers a grimpé de 221 % entre février et octobre 2015.

Fuite de données depuis les navigateurs : bien qu’elles soient souvent considérées par les équipes de sécurité comme des menaces de faible importance, les extensions de navigateurs malveillantes sont une source majeure de fuites de données, en affectant plus de 85% des entreprises. L’adware ou le malvertising touchent particulièrement les sites qui ne maintiennent pas à jour leurs logiciels.

Près de 92 % des malwares connus ont la capacité d’exploiter les DNS. Ces derniers sont régulièrement les grands oubliés de la sécurité, dans la mesure où les équipes de sécurité IT et les experts DNS travaillent dans différents groupes et échangent peu. Lors d’une attaque, 21 % des entreprises informent leurs partenaires, 18 % les autorités et 15 % leur compagnie d’assurance.

Infrastructures vieillissantes
Entre 2014 et 2015, le nombre d’entreprises qui affirment que leurs infrastructures de sécurité sont à jour a chuté de 10 %. L’étude montre que 92 % des outils connectés à Internet sont vulnérables aux failles connues. 31 % des outils analysés ne sont, quant à eux, plus pris en charge au niveau de la sécurité, ni maintenus par les constructeurs. Entre 2014 et 2015, le nombre de TPE/PME qui utilisent des solutions de sécurité a reculé de plus de 10 %, induisant des risques potentiels pour les grands comptes.

Dans le but de remédier à la pénurie de spécialistes, les entreprises trouvent dans l’outsourcing un véritable levier capable d’améliorer leur arsenal de sécurité, y compris  pour les missions de consulting, d’audits de sécurité et les prestations de réponse sur incident. Les TPE/PME, souvent moins bien structurées en termes de sécurisation, tentent d’améliorer leurs défenses en faisant appel à des prestations outsourcées. Celles-ci sont en hausse de 23 % en 2015, contre +14 % en 2014.

La rapidité de détection augmente
Le temps de détection (TDD) acceptable d’une attaque se situe entre 100 et 200 jours. Depuis la publication du Middle Security Report de Cisco en août dernier, Cisco a réduit son TDD de 46 à 17,5 heures. Réduire ce temps de détection permet de minimiser les dommages causés par une attaque, mais aussi les risques et les impacts tant sur les infrastructures que sur les clients. « Dans un contexte où chaque entreprise peut être la cible d’une cyber attaque, les professionnels de la sécurité travaillent quotidiennement pour résoudre les défis en matière de sécurité qui peuvent entraver leur capacité à détecter l’attaque, en limiter l’impact et récupérer les données compromises » explique Christophe Jolly, Directeur Sécurité Cisco France, à DataSecurityBreach.fr.

« Face à des cybercriminels organisés, les dirigeants et les directeurs métiers doivent prendre conscience de la réalité de la menace et s’impliquer auprès du RSSI pour mieux sécuriser l’ensemble des données de l’entreprise qui sont de plus en plus facilement partagées au-delà du périmètre de l’entreprise ».

Les Data Centers face aux risques : des menaces contrôlées

Le Cloud a réussi à convaincre de nombreux adeptes grâce à ses différents atouts : simplicité, adaptabilité, ou encore coûts contrôlés. Pour protéger au mieux les données qui leur sont confiées, les fournisseurs éthiques suivent une règle d’or : prévoir l’imprévisible pour pouvoir assurer la sécurité des données.  

En effet, les data centers – comme toute autre installation – sont confrontés à différents risques et cela peut effrayer les entreprises et les particuliers.  Cependant, les serveurs des centres de données sont souvent bien plus sécurisés que les propres structures informatiques des entreprises. Plusieurs menaces existent, et les fournisseurs de Cloud disposent de spécialistes afin d’analyser et d’anticiper chacun de ses risques.

Le risque physique et le vandalisme
Il s’agit du risque lié à une intrusion physique sur le lieu : vol de matériel contenant des données, incendies criminels, ou encore casse des serveurs. Pour répondre à ce risque, des systèmes de vidéosurveillance mais aussi de détection volumétrique de mouvements au sein du périmètre de sécurité sont mis en place.  De plus, l’entrée du bâtiment est sécurisée par un contrôle d’accès strict avec différents niveaux de droits selon les pièces.  En cas de problèmes, les droits d’accès peuvent être rapidement révoqués et les badges désactivés automatiquement. Le bâtiment est également équipé de portes blindées, de systèmes de détection des chocs sur les portes et les fenêtres. Toute cette installation vise à pouvoir réagir très rapidement en cas de tentative d’effraction, avec une prise en charge rapide par le personnel sur site présent 24h/24 7J/7 et par les forces de l’ordre.

Pour pallier la menace d’incendie, des détecteurs sont mis en place. Les Data Centers sont par ailleurs équipés de système d’extinction automatique par gaz, si un départ de feu est confirmé par 2 détections simultanées, des bouteilles seront percutées instantanément afin de remplir la salle informatique d’un gaz empêchant la réaction chimique de l’incendie et bloquer tout incendie en cours.

Le risque météorologique
Cette catégorie regroupe tous les dangers liés à des conditions climatiques extrêmes: inondation, foudre ou encore canicule. Afin de prévenir d’éventuels sinistres, ce risque est étudié avant même l’implantation du Data Center afin d’éviter la construction en zone inondable. Le bâtiment est également entouré par des paratonnerres, et les armoires électriques équipées de parafoudres pour protéger le lieu en cas de tempête. Les climatisations sont spécifiquement choisies afin de fonctionner même lorsqu’elles sont soumises à de très hautes températures.

Les risques intrinsèques et électriques
Pour la partie électrique, les onduleurs sont présents pour palier une éventuelle micro-coupure ; en cas de problème plus conséquents – comme une panne totale de l’arrivée électrique principale Haute Tension– les Data Centers sont équipés d’un groupe électrogène pouvant assurer leurs autonomies. Des audits annuels sont par ailleurs réalisés pour assurer une sécurité optimale du lieu. Une caméra thermique permet de vérifier qu’il n’y a pas de points chauds pouvant potentiellement créer un départ d’incendie et les câblages sont également vérifiés une fois par an. Enfin, en cas de fuite d’eau, un système automatisé permet de couper l’arrivée d’eau dans la salle informatique.

Le risque numérique
Les menaces numériques regroupent tous les risques liés au piratage informatique.  Pour cela, les serveurs peuvent—être équipés d’un antivirus, d’un firewall, mais aussi d’une solution visant à bloquer les attaques DDoS.  Ainsi, un large spectre de vecteurs d’attaques est contrôlé. Il s’agit là des précautions prises pour un unique Data Center par chaque fournisseur. La mise en place d’un deuxième Data Center, notamment s’il est utilisé pour effectuer des plans de reprises d’activité, exige également quelques bonnes pratiques. Les deux bâtiments ne doivent pas être éloignés de plus de 50 kms l’un de l’autre, dans l’idéal, afin d’avoir un délai de latence faible pour la synchronisation des données. Mais ils ne doivent pas non plus appartenir aux mêmes réseaux électriques, car si une longue coupure intervient, les deux seraient alors potentiellement impactés. (par Aurélien Poret, responsable Infrastructure – Ikoula)

Les équipes de sécurité sont dépassées par le nombre d’alertes de sécurité quotidiennes

76% des professionnels de sécurité interrogés par Rapid7 déclarent ne pas arriver à gérer plus de 25 alertes par jour alors que 29% d’entre eux reçoivent quotidiennement plus de 75 alertes de sécurité.

Rapid7, éditeur de solutions de sécurité analytique des données, dévoile les résultats de son étude 2015 sur la détection des menaces et la réponse aux incidents de sécurité. Face aux enjeux cruciaux de la protection des données de l’entreprise dans des contextes de réseaux étendus, les équipes de sécurité augmentent progressivement leurs capacités de détection des menaces et de réponses à incidents.

A travers une étude menée auprès de 271 professionnels de sécurité dans 20 pays, Rapid7 a cherché à analyser et à mieux comprendre le contexte et les problématiques auxquelles sont confrontées les équipes de sécurité en entreprise – leurs initiatives, les outils utilisés et leurs défis au quotidien – en matière de détection des menaces et de réponses aux incidents de sécurité.

Les équipes sécurité dépassées par le nombre d’alertes de sécurité générées par les équipements
Parmi les enseignements importants de cette étude, il ressort que les équipes de sécurité sont submergées par un volume d’alertes de sécurité trop important et pour lesquelles elles ne peuvent procéder à des recherches approfondies :

–       Les professionnels de la sécurité signalent un écart entre le nombre d’alertes générées par leurs systèmes de détection et le nombre de ces alertes que leurs équipes sont capables de gérer – c’est à dire de consulter, d’enquêter et de remédier.

–       76% des personnes interrogées n’arrivent pas à gérer plus de 25 alertes par jour, alors que 29% d’entres elles reçoivent plus de 75 alertes de sécurité par jour

La détection du vol d’identifiants : le problème majeur des équipes sécurité
Bien que cela souligne la nécessité d’une meilleure contextualisation, corrélation et hiérarchisation des alertes, les entreprises ne sont toujours pas satisfaites de leur capacité à détecter le premier vecteur d’attaque à l’origine des failles de sécurité : le vol d’identifiants.

–       90% des professionnels interrogés s’inquiètent des attaques utilisant des identifiants dérobés, et 60% déclarent ne pas bénéficier de solutions adaptées pour détecter le vol d’identifiants.

Concrètement, les équipes de sécurité ont toutes le même défi : elles doivent gérer trop d’alertes de sécurité ; les enquêtes sur chaque alerte prennent trop de temps ; elles ont trop peu de visibilité contextuelle sur les utilisateurs et les risques sur leur réseau.

Face à ces problématiques, les professionnels interrogés ont mis en place trois grandes initiatives en 2015, (dans l’ordre) :
1)    Le déploiement et le maintien d’une solution SIEM
2)    Le développement de leur programme de gestion des vulnérabilités
3)    L’amélioration ou le remplacement de leur réseau de pare-feu

L’étude rapporte également que 52% des entreprises interrogées utilisaient déjà un SIEM en 2015 alors que 21% prévoyaient de s’équiper dans le futur. Alors que la capacité flexible à agréger et corréler les logs permet aux entreprises de surveiller simultanément les données issues de pare-feu, de terminaux et des DNS, les professionnels estiment qu’il subsiste toujours un manque à ce niveau pour les services Cloud, des protocoles DHCP et des honeypots.

Les services Cloud, une surface d’attaque à risque
Les services Cloud sont une surface d’attaque importante et à risque, puisque 79% des personnes sondées dans le cadre de l’étude Rapid7 déclarent utiliser au moins un service Cloud, particulièrement Office 365, Google Apps et Salesforce. Pour les cybercriminels, il s’agit de voler les identifiants pour accéder aux dossiers confidentiels placés dans ces services. Et à ce sujet, les professionnels sont 59% à signaler un manque de visibilité au niveau de la sécurité des services Cloud.

Léonard Dahan, Regional Sales Manager pour la région Europe du Sud de Rapid7 indique à DataSecurityBreach.fr que « les enseignements de cette étude démontrent que les équipes de sécurité doivent prioriser la détection des identifiants compromis et les comportements suspicieux, non seulement sur le réseau mais également en local sur les postes de travail, tout comme autour des services Cloud. Le point positif est que les entreprises continuent de s’équiper et de mettre en place des programmes de détection et de réponse à incidents. Mais les équipes de sécurité doivent également s’appuyer sur une approche qui leur permettra d’améliorer la précision des alertes détectées, d’accélérer les enquêtes post-incidents et de mettre en évidence les risques liés aux utilisateurs de leur terminal jusqu’au Cloud ».

Clé USB perdue pour un hôpital, 29 000 patients concernés

La fuite de bases de données peut prendre de multiples formes. La perte d’un support de stockage contenant des informations sensibles médicaux par exemple.

Ca n’arrive pas qu’aux autres – 29 000 patients de l’hôpital universitaire Arnett de l’Indianna viennent d’être alertés d’un problème concernant leurs dossiers médicaux. Le centre hospitalier a alerté la justice de l’Etat à la suite de la « perte » d’une clé USB. Dans le support de stockage de l’University Health Arnett Hospital, des informations de santé de milliers de patients. La clé n’était pas chiffrée, n’avait pas de mot de passe. Le document n’était pas protégé contre les lectures non autorisées. Plus grave encore, les données couraient de novembre 2014 à novembre 2015. Quid des autres sauvegardes et de la sécurité de ces dernières ?

A noter, qu’en France, ce mardi 11 janvier, un hébergeur Lillois a été attaqué par un pirate informatique Turc. Des cabinets dentaires, des sites d’infirmiers et infirmières Français ont été impactés par cette attaque. Impossible de savoir si des données sensibles ont été collectées par le malveillant.

Facebook menace l’employeur d’un chercheur en sécurité informatique

Après avoir découvert une porte d’entrée dans l’administration d’Instragram, un chercheur en sécurité informatique est menacé par Facebook.

Wesley Wineberg, un chercheur en sécurité indépendant n’a pas apprécié la nouvelle méthode de Facebook pour récompenser les internautes qui lui remontent des problèmes de sécurité informatique. Il faut dire aussi que Wesley a été très loin dans sa recherche d’information.

Alors qu’il aurait pu se contenter d’expliquer comment il avait eu accès à un espace d’administration d’Instragram, le chercheur a continué de pousser sa recherche dans les méandres informatiques du service photographique de Facebook.

W.W. va sortir du serveur des fichiers de configuration, une clé d’un Amazon Web Services, … Il va utiliser cette clé [là, nous ne sommes plus dans de la recherche de bug, NDR] pour se connecter à des espaces de stockages. Une autre clé va lui ouvrir le code source d’Instagram, clés API et certificats SSL.

Wesley Wineberg va alerter le géant américain, le 1er décembre. L’entreprise va changer son fusil d’épaule à l’encontre de ce bidouilleur. Au lieu de parler « bug Bounty« , Facebook va le menacer en appelant son employeur. Alex Stamos, le CSO de Facebook, a contacté l’entreprise de Wesley en indiquant que les avocats de la firme étaient sur l’affaire. Facebook souhaitait faire disparaître la moindre trace de cette découverte et infiltration.

Fuite de données pour le service de réseautage Vixlet

Plusieurs centaines de milliers de comptes d’utilisateurs du service de réseautage Vixle accessible en quelques clics de souris.

La société Vixlet, anciennement Divide Nine LLC, est connue pour proposer des services de réseautage. Basée à Los Angeles, cette startup américaine propose des outils pour les réseaux sociaux à des clients tels que la ligue professionnelle de basket US ou encore l’ATP (Tennis).

Une faille a été découverte dans l’outil proposé par Wixlet. Elle permettait de mettre la main sur les informations des inscrits. Dans les données, mails, mots de passe et dates de naissance. Un serveur non protégé et le tour était joué pour accéder à la base de données. Les données des clients étaient sauvegardées dans un dossier baptisé VixLet prod. Un dossier de production contenant de vraies données… normale !

i-Guard, une solution Française de sécurité informatique

i-Guard s’annonce comme une solution innovante de protection de votre informatique fondée sur la nouvelle technologie Endpoint Detection and Response.

Pas un jour sans attaque et ce quelle que soit la taille de l’entreprise ou l’administration. La grande mutation des réseaux d’entreprise en termes d’accessibilité aux informations de ses utilisateurs salariés rend nécessaire la multiplication des points à partir desquelles les réseaux peuvent être consultés. Or, il s’agit d’autant de points d’accès potentiels pour un intrus malveillant. Les données sont partout, sur de multiples supports et toutes les machines doivent être protégées, qu’elles soient connectées au réseau d’entreprise ou non.

Les nouvelles menaces notamment les attaques personnalisées et ultra ciblées de logiciels malveillants sont conçues pour contourner les solutions antivirus traditionnelles. Ces dernières sont peu efficaces contre les pirates et autres hackers. Leur fonctionnement par signatures oblige à des mises à jour régulières qui sont autant de failles avouées.

Dans ce contexte, la détection précoce des menaces grâce à de nouveaux outils est devenue une composante essentielle de la sécurité des données et du réseau informatique de l’entreprise. En détectant, en analysant et en neutralisant les menaces avant qu’elles n’aient atteint leurs objectifs, i-Guard offre la solution la plus avancée aux problématiques de sécurité informatique actuelle. Une solution qui sera proposée, dans quelques jours, en mode bêta publique.

La solution i-Guard ?
i-Guard constitue, une solution unique sur le marché dont le moteur intelligent prend seul les décisions tout en laissant la possibilité à l’administrateur réseau ou au RSSI de modifier et d’améliorer la décision adoptée s’il l’estime nécessaire. Une console de management rend l’utilisation de i-Guard particulièrement simple.

i-Guard est la seule solution de sécurité Française Endpoint Detection and Response (ERD) multiplateforme et intelligente capable d’empêcher les menaces internes et externes de : bloquer, crypter, pirater et espionner votre réseau et vos PC. L’outil est auto-apprenant et n’a pas besoin d’un logiciel antivirus pour être fonctionnel. Il agit seul et apprend des comportements des logiciels en place.

Les capacités d’adaptation de ce logiciel 100% Français permettent également, grâce à son auto-apprentissage et à son intelligence artificielle, de faire évoluer, de façon autonome, les répliques aux menaces et de les adapter en fonction de la nature et de l’ampleur des attaques détectées. Une prévention proactive contre la perte de données (DLP), la gestion des événements de sécurité sur les machines, la protection contre les attaques « Zero-day » et la défense avancée contre les menaces (Advance Threat Defense – ATD).

i-Guard protégent tous les supports des serveurs, aux ordinateurs, ordinateurs portables, tablettes et smartphones (ordiphones). Une protection ultra fine machine par machine et une visibilité avancée de la sécurité via la console de managent permettant de détecter instantanément les menaces les plus avancées, bloquant la perte de données sensibles et le risque de destruction de données sur les machines.

i-Guard offre une console de management accessible simultanément depuis plusieurs machines : iPhone, tablette, smartphone, PC… Depuis la console de management, vous avez la possibilité de bloquer des applications malveillantes tant internes qu’externes à l’entreprise contre le cryptage, la copie, l’accès, ou la transmission de données sensibles. En outre, la technologie de sécurité extrême offre une visibilité sur une variété d’événements, y compris l’accès à l’activité des applications et du système d’exploitation.

L’installation et le fonctionnement de la solution i-Guard sont fort simples. Le logiciel recherche et identifie les machines sur le réseau. Il suffit ensuite, depuis la console d’administration, de procéder à une sélection des serveurs et terminaux à protéger. i-Guard va procéder à un profilage des logiciels installés et les valider ou non. Cette console fonctionne directement depuis un simple smartphone, tablette ou bien sûr un PC.

Deux modes de fonctionnement peuvent coexister sur le réseau en fonction des machines et du type de client. Le mode Normal et le mode Stricte.
– Le mode normal permet l’installation et la mise à jour de logiciels de confiance. L’administrateur réseau peut ajouter un logiciel en liste de confiance et i-Guard l’autorisera à s’exécuter, tout en le surveillant. Les logiciels non validés par i-Guard sont mis en liste noire et ne peuvent ni s’exécuter ni se mettre à jour. La seconde possibilité, le mode strict, bloque le/les postes dans l’état de sécurité qui a été établi par i-Guard et l’administrateur réseau. Il est ainsi impossible grâce à ce mode d’installer ou modifier une application, garantissant un très haut niveau de sécurité.

L’EDR définit une catégorie d’outils et de solutions qui mettent l’accent sur la détection d’activités suspectes directement sur les hôtes et les PC du réseau. L’ERD était initialement dénommée « Endpoint Threat Detection & Response » (EDTR).

D’ici quelques jours, une version béta stable sera proposée au public. Elle n’intègre pas encore toutes les fonctionnalités (notamment sur le déploiement en réseau et dans le support des OS). L’installation de i-Guard nécessite une double installation : la console de management et le client i-Guard. La console de management peut s’installer sur un PC du réseau (windows 10 seulement pour le moment) ou sur un iPhone/iPad. D’autres plateformes sont en développement. Dans cette bêta, depuis la console de management, il est possible de voir toute l’activité des machines protégées et interagir avec elles pour fixer le type de sécurité ou encore bloquer/débloquer des logiciels que i-Guard a stoppé.