Archives de catégorie : Sauvegarde

BYOD, Chiffrement, cryptage, Cybersécurité, Entreprise, Sauvegarde

Votre photocopieur cache-t-il un pirate ?

L’intrusion informatique ne se fait pas que par un site Internet, via un serveur. Les pirates peuvent aussi s’inviter dans votre entreprise via la gestion de la climatisation, comme pour Target, ou encore via votre photocopieur connecté.

Les nombreux points de contact électroniques qui jalonnent le cycle de vie d’un document multiplient également les risques de sécurité. Chaque fois qu’un document est copié, scanné, imprimé, faxé ou envoyé par e-mail, il peut être soit accidentellement exposé ou intentionnellement compromis, entraînant des coûts organisationnels et des sanctions pécuniaires conséquents. L’un des appareils les plus vulnérables face à la fuite des données est le copieur numérique ou « périphérique multifonction », qui intègre parfois un disque dur ainsi qu’un micro logiciel et communique avec les autres systèmes du réseau. Bien qu’ils facilitent la vie tant professionnelle que personnelle, ces équipements de bureau constituent également un risque de divulgation des données.

Nuance vient de proposer 9 points de vulnérabilité pouvant viser votre réseau. Les pirates informatiques peuvent infiltrer votre organisation via vos copieurs et autreses imprimantes multifonctions que vous utilisez tous les jours. Ils dotés de disques durs, de systèmes d’exploitation et de plusieurs moyens de communiquer à l’intérieur et à l’extérieur de votre entreprise (wifi, réseau câblé, téléphone…). Des équipements qui doivent être intégrés au plan de sécurité.

Voilà quelques pratiques qui rendent votre infrastructure vulnérable :
N’importe qui peut récupérer des documents dans les bacs de vos imprimantes et multifonctions
N’importe qui peut consulter des impressions contenant des informations sensibles sur vos clients ou vos employés
L’utilisation de vos multifonctions de réseau se fait sans identification ni authentification
Vos multifonctions de réseau permettent l’envoi de documents vers n’importe quelle destination
N’importe qui peut récupérer des documents dans les bacs de réception de vos télécopieurs
N’importe qui peut faxer des documents, sans contrôle ni suivi
Vos visiteurs peuvent utiliser vos multifonctions sans aucune restriction
Les opérations réalisées sur vos multifonctions ne font l’objet d’aucun enregistrement ni audit
Les documents numérisés sur vos multifonctions ne sont pas chiffrés

Si une ou plusieurs de ces pratiques sont en vigueur dans votre société, DataSecurityBreach.fr vous conseil d’agir au plus vite.

Base de données, Cybersécurité, Entreprise, Fuite de données, ID, Identité numérique, Particuliers, Sauvegarde

Police : gestion de la base de données des plaques d’immatriculation

Pendant des années, la police américaine a utilisé des scanners de plaques d’immatriculation installées dans les voitures de patrouille. Elle achète aussi, aujourd’hui, des BDD à des entreprises privées.

Aux USA, mais aussi en Europe, comme en France d’ailleurs avec les contrôle automatisé de données signalétiques des véhicules (radars automatiques), ou encore avec LAPI (lecture automatisée de plaques d’immatriculation), les plaques d’immatriculations des automobiles sont stockées. Chez l’Oncle Sam, la lecture automatisée, via des caméras embarquées sur les véhicules, permet de télécharger les images dans les bases de données qui sont utilisées pour identifier les suspects de crimes et délits.

Il s’avère que la base de données policière n’est pas suffisante. Bilan, des bases de données de plaques sont acquises dans le secteur privé, chez les dépanneurs automobiles par exemple qui photographient les plaques, et les documents des automobilistes.

Les associations en charge des libertés civiles, et certains législateurs, s’inquiètent de ces partenariats, estimant que des protections devaient être mises en place contre les abus. Autres problèmes, l’obsolescence des bases de données acquises et la durée de conservation des données. Certains voix réclament que la police devrait obtenir un mandat d’un juge pour accéder aux bases de données en question. (WTOP)

Base de données, BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données, Paiement en ligne, Propriété Industrielle, ransomware, Sauvegarde, Scada, Social engineering

Quand les incidents de sécurité coûtent cher aux entreprises

Il est souvent difficile pour les victimes elles-mêmes d’estimer le coût total d’un incident de sécurité en raison de la diversité des dommages. Mais une chose est sûre, l’addition monte vite.

Une enquête mondiale réalisée en 2015 par Kaspersky Lab auprès de 5 500 entreprises, en coopération avec B2B International révèle également que les fraudes commises par les employés, les cas de cyber espionnage, les intrusions sur le réseau et les défaillances de prestataires extérieurs représentent les incidents de sécurité les plus coûteux. Selon ce rapport, le budget moyen nécessaire aux grandes entreprises pour se remettre d’un incident de sécurité serait de 551 000 et 38 000 dollars pour les PME.

« Définir le coût d’une attaque est une tâche très difficile à réaliser car le périmètre d’impact est variable d’une entreprise à l’autre. Cependant, ces chiffres nous rappellent que les coûts d’une attaque ne se limitent pas au remplacement du matériel, et nous obligent à nous interroger sur son impact à long terme. A noter également que toutes les entreprises ne sont pas égales : certaines attaques visent à stopper l’activité commerciale d’une entreprise quand d’autres ciblent l’exfiltration de données secrètes, par exemple. Il ne faut pas oublier non plus que l’onde de choc générée par l’annonce publique d’une attaque ou d’une fuite de données à des conséquences directes sur la réputation d’une entreprise, et ce qui est alors perdu est souvent inestimable » explique à DataSecurityBreach.fr Tanguy de Coatpont, directeur général de Kaspersky Lab France.

Facture moyenne d’un incident pour une entreprise :

  • Services professionnels (informaticiens, gestion du risque, juristes) : il existe 88% de chance d’arriver à une facture pouvant atteindre jusqu’à 84 000 dollars
  • Perte d’opportunités commerciales : dans 29 % cela peut représenter jusqu’à 203 000 dollars
  • Interruption d’activité : jusqu’à 1,4 million de dollars, soit 30 %
  • Total moyen : 551 000 dollars
  • Dépenses indirectes : jusqu’à 69 000 dollars
  • Atteinte à la réputation : jusqu’à 204 750 dollars

Les PME et les grandes entreprises ne sont pas logées à la même enseigne

Neuf entreprises sur dix ayant participé à notre enquête ont fait état d’au moins un incident de sécurité. Cependant, tous les incidents n’ont pas le même niveau de gravité et n’aboutissent pas à la perte de données sensibles. Le plus souvent, un incident grave résulte d’une attaque de malware ou de phishing, de fuites imputables à des employés ou de l’exploitation de vulnérabilités dans des logiciels. L’estimation des coûts permet de considérer la gravité des incidents de sécurité informatique sous un nouvel angle et fait apparaître une perspective légèrement différente entre les PME et les entreprises.

Les grandes entreprises encourent un préjudice nettement plus élevé lorsqu’un incident de sécurité est le fait d’une défaillance d’une tierce partie, les autres types d’incidents coûteux étant liés à des fraudes commises par les employés, des cas de cyber espionnage ou des intrusions sur le réseau. Les PME tendent à subir un préjudice important sur pratiquement tous les types d’incidents, qu’il s’agisse d’espionnage, d’attaques DDoS ou de phishing.

Pour télécharger le rapport complet sur le coût des incidents de sécurité, cliquez ici.

Base de données, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, Sauvegarde

Chiffrement des données en natif pour MariaDB

MariaDB colmate les failles de sécurité des données grâce à la contribution de Google sur le chiffrement des bases de données Open Source.

MariaDB Corporation, leader reconnu des solutions de bases de données Open Source garantissant haute disponibilité, évolutivité et performances élevées, annonce sa nouvelle version MariaDB 10.1 RC, une version supervisée par la Fondation MariaDB qui fournit un chiffrement natif des bases de données, facile à déployer, sans sacrifice de performances, ni d’augmentation des coûts. Avec la mise à jour de MariaDB 10.1, les utilisateurs de MySQL et de MariaDB peuvent entièrement chiffrer leurs bases de données sans aucune modification des applications ni dégradation des performances globales. Les bases de données et applications commerciales peuvent également migrer vers MariaDB 10.1 pour permettre aux entreprises de chiffrer et de protéger leurs bases de données ainsi que les données qui y sont stockées ; pour une infime partie du coût total de possession actuel. MariaDB 10.1 intègre également des améliorations en termes d’évolutivité, de haute disponibilité, de performances et d’interopérabilité pour les applications critiques.

Étant donné le coût de réaction et de remédiation des failles de données qui atteint 3,8 millions de dollars au niveau mondial ainsi que le coût moyen par enregistrement compromis estimé à 154 dollars, chiffrer ses données est un impératif majeur. Les pilleurs de données ont évolué et leurs techniques sont désormais plus sophistiquées. Si l’on ajoute à cela la croissance exponentielle des données sensibles que doivent gérer les entreprises, que ce soit dans des environnements distribués, sur site ou dans le Cloud, le coût lié à l’utilisation de systèmes de sécurité périmétrique n’est plus une option viable.

Traditionnellement, les fournisseurs de SGBD ont enrichi leurs offres avec des extensions tierces pour chiffrer les bases de données, mais leur coût élevé, leurs besoins en maintenance ainsi que leur impact sur les performances en font une solution qui n’est plus viable sur le long terme pour la plupart des entreprises. En intégrant à la version MariaDB 10.1 le chiffrement natif des bases de données fourni par Google, MariaDB facilite la création d’une protection de sécurité multicouche.

« La sécurité des données est essentielle, mais le coût, les problèmes de performances et les défis de déploiement ont toujours été des obstacles à une adoption plus massive du chiffrement des données » déclare Garrett Bekker, analyste en chef de la division Sécurité d’entreprise chez 451 Research. « Le chiffrement natif et transparent des données intégré à MariaDB 10.1 résout les problèmes d’adoption rencontrés par les CISO et CIO qui cherchent à adopter les meilleures pratiques en matière de sécurité des données. »

« Nous sommes ravis de mettre MariaDB 10.1 à la disposition de la communauté Open Source avec des fonctionnalités de chiffrement de données fournies par Google, » déclare Otto Kekäläinen, CEO de la Fondation MariaDB, « Avec cette toute dernière version, MariaDB offre la base de données Open Source la plus évolutive, fiable et sécurisée actuellement disponible sur le marché ».

Sécurité – Les avantages par rapport à d’autres bases de données Open Source :

  • Chiffrement des données au repos : chiffrement au niveau des instances et des tables avec support des clés tournantes (contribution Google)
  • Validation des mots de passe
  • Contrôle d’accès à base de profils (profil par défaut) renforcé et optimisé

Haute disponibilité – Les améliorations apportées en termes de disponibilité élevée offrent une solution hors pair avec une intégration totale de Galera Cluster.

Montée en charge – le renforcement comprend :

  • Réplication parallèle optimiste : toutes les transactions sont considérées comme exécutées en parallèle pour renforcer les performances de réplication maître-esclave
  • Exécution de déclencheurs par l’esclave lors de l’utilisation de réplication
  • Améliorations spécifiques de WebScaleSQL

Performances accrues :

  • Délai d’attente des requêtes
  • Améliorations apportées à InnoDB, qu’il s’agisse du nettoyage multi-thread ou de la compression des pages pour FusionIO/nvmfs
  • Amélioration de l’optimiseur et EXPLAIN JSON, EXPLAIN ANALYZE (avec FORMAT=JSON)

Interopérabilité renforcée :

  • Support JSON/BSON pour le moteur CONNECT

MariaDB a été positionnée par Gartner dans la catégorie Leaders du Magic Quadrant pour les systèmes de gestion de bases de données opérationnels. »

Disponibilité

MariaDB 10.1 RC est disponible immédiatement en téléchargement ; sa disponibilité générale est prévue pour début octobre.

Cybersécurité, Entreprise, Fuite de données, ID, Identité numérique, loi, Particuliers, Sauvegarde, Social engineering

Les écoles autorisées à vendre les données des enfants

Des écoles américaines autorisées par la loi fédérale à vendre des informations de leurs élèves aux commerçants.

Voilà qui ne présage rien de bon pour le futur de nos écoles. Aux USA, la loi fédérale autorise dorénavant les écoles publiques à remplir leur caisse en commercialisant les informations des élèves. Il faut dire aussi qu’à la vue des documents que les parents peuvent remplir à chaque rentrée, et durant l’année, les bases de données des établissements scolaires n’ont rien à envier à big brother.

Les sociétés de marketing louchent sur ces clients prescripteurs. En Europe, les sociétés investissent, sous forme de mécénat et autres rendez-vous scolaires (Junicode, cross de l’école, soirée étudiante, …) mais n’ont pas encore la main mise sur les données. Aux USA, les parents doivent trouver la petite case qui interdit la diffusion des données. Elle est souvent cachée dans le monceau de feuilles à signer. En France, comme ailleurs, n’hésitez pas à ouvrir une adresse mail dédiée uniquement à l’année scolaire en cours [sco2016@votrenomdedomaine.fr, par exemple] et lisez bien les petites lignes, comme celle qui vous informe que votre enfant pourra finir dans la presse locale/territoriale lors d’une sortie de classe, d’une fête d’école, … [WTOP]

Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Justice, Leak, Piratage, Sauvegarde

Aux USA, les entreprises qui fuitent peuvent être poursuivies

Une cour fédérale américaine confirme que la Federal Trade Commission peut dorénavant prendre des mesures contre les entreprises qui ne parviennent pas à protéger les données de leurs clients.

Une cour d’appel américaine a statué ce lundi 24 août que dorénavant, la Federal Trade Commission peut prendre des mesures contre les entreprises qui ne protègent pas correctement les données de leurs clients.

Tout est parti de l’affaire des Hôtels du groupe Wyndham. Trois violations de données, entre 2008 et 2009 occasionnant 10,6 millions de dollars de fraudes. Le groupe hôtelier avait fait appel de la décision du tribunal. Il contestait la compétence de la FTC.

La décision du tribunal d’appel vient donc de tomber, confirmant la première décision. En bonus, la cour d’appel suggère que la FTC peut dorénavant tenir les entreprises responsables en cas de problème de sécurité informatique occasionnant une fuite de données.

En France, et en Europe, les internautes sont toujours en attente d’une application législative définitive qui obligera les entreprises à mieux protéger nos données et à alerter les clients maltraités. Des rumeurs font état que la France va accélérer le mouvement d’ici la fin de l’année. Il serait peut-être temps !

Apple, backdoor, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Logiciels, Microsoft, Mise à jour, OS X, Patch, Piratage, Propriété Industrielle, Sauvegarde

Le premier worm pour MAC débarque

2 commentaires

Des chercheurs découvrent comment corrompre le firmware des appareils Apple avec un worm dédié. La fin des MAC ?

Quand vous parlez informatique, les amateurs fortunés d’un MAC vous crieront haut et fort que les machines d’Apple sont infaillibles. Pas de virus, pas de piratage, pas de danger. Bon, il faut aussi admettre que les utilisateurs de MAC sont tellement sûrs de leur fait qu’ils oublient les différents cas ayant visé leur machine, comme ce keylogger indirect caché. Là ou les utilisateurs de MAC avaient plus ou moins raison est que des attaques directes, comme à l’encontre d’un ordinateur sous Windows, il n’en existait pas, du moins d’efficace. A première vue, la découverte de chercheurs américains risque de changer la donne si des pirates se penchent sur le problème.

Trois chercheurs [Xeno Kovah, Trammell Hudson et Corey Kallenberg] ont constaté que plusieurs vulnérabilités connues affectant le firmware de tous les meilleurs fabricants de PC peuvent également frapper le firmware du MAC. Qui plus est, les chercheurs ont conçu un ver, un worm « proof-of-concept », qui permettrait une attaque de firmware afin de se diffuser automatiquement de MacBook à MacBook, sans la nécessité pour eux d’être mis en réseau.

L’année dernière, Kovah et son partenaire Corey Kallenberg ont découvert une série de vulnérabilités de firmware qui touchaient 80% des ordinateurs qu’ils avaient examiné, y compris ceux de Dell, Lenovo, Samsung ou encore HP.

Bien que les fabricants de matériel ont mis en œuvre certaines protections pour éviter la modification sauvage de leur firmware, les chercheurs ont constaté qu’il restait assez simple de contourner les protections et flasher de nouveau le BIOS afin d’implanter un code malveillant. Les chercheurs ont alors décidé de voir si les mêmes vulnérabilités pouvaient s’appliquer à Apple. Ils ont constaté que oui, comme il l’indique dans Wired !

Démonstration du Thunderstrike 2 « firmworm » attendu lors du DEFCON 2015 de Las Vegas, cette semaine.

BYOD, Cloud, Cybersécurité, Entreprise, Fuite de données, Logiciels, Microsoft, Propriété Industrielle, Sauvegarde, Sécurité, Smartphone

Une technologie anti pirate signée Microsoft

Des milliers de cas démontrent que les pirates, une fois dans un serveur infiltré, se cachent et agissent sans même que le propriétaire s’en aperçoive. Il est souvent trop tard quand la première alerte apparait sur les prompteurs. Microsoft va proposer un cerbère capable de repérer la moindre modification.

Les pirates sont connus pour se cacher sur les réseaux d’entreprise, et cela durant des semaines, des mois. Ils collectent des données, surveillent ou se servent de l’espace à différentes fins (DDoS, Bot, Chat, stockage, entrainements, …). Microsoft affirme qu’il veut aborder ce problème pour ses clients et a annoncé que son Advanced Threat Analytics, qui sera proposé le mois prochain, est capable de bloquer les pirates. Son outil apprend, un peu à la sauce « Chappie » [Le film].

L’apprentissage de la machine et de l’analyse comportementale doivent permettre de détecter les activités malveillantes qui pourraient passer inaperçus normalement. Une technologie acquise, l’année derniére par Microsoft, lors de l’achat de la start-up israélienne Aorato.

L’ATA utilise les temps de déplacement et les données géographiques pour détecter une connexion saine, ou non. Bref, si vous travaillez à Dunkerque et que la connexion, ou des téléchargements, se font à Manille, ATA alerte et bloque. A suivre !

Argent, Banque, Chiffrement, cryptage, Cybersécurité, Emploi, Entreprise, escroquerie, Espionnae, Fuite de données, ID, Identité numérique, loi, Particuliers, Sauvegarde, Social engineering, Téléphonie, Vie privée

Fuite de données dans les poubelles de Motel 6

Retrouver des photocopies de permis de conduire, des copies de plaques d’immatriculations, des signatures ou encore des identités à la sortie d’un Hôtel, voilà une fuite de données pas courante… ou presque.

La chaîne américaine d’hôtels, Motel 6, fait face à une fuite de données peu courante. Une cliente a découvert des centaines de dossiers aux pieds des poubelles d’une des structures hôtelière du groupe. En regardant les dossiers, des contenus privés et sensibles allant des photocopies de permis de conduire, des numéros de téléphones, des numéros de plaques d’immatriculation et même des signatures de clients.

A première vue l’Oncle Sam a du mal à faire comprendre à certaines entreprises comment bien détruire les données privées et sensibles qu’elles collectent. Comme ces confettis utilisés pour fêtes les championnes du monde de football qui n’étaient rien d’autre que des dossiers médicaux découpés en petites bandes de papier… pour faire la fête ! (Image KalTv)

Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, Sauvegarde

595 To données accessibles via de mauvaises configurations de MonGoDB

Le système de gestion de bases de données MongoDB mal configuré est une vraie pipelette. Un chercheur découvre que plus de 595 TO de données fuitent pour cette raison, sur Internet.

Les sites Internet d’envergure comme le New-York Times, eBay ou encore Foursquare utilisent MongoDB. Cet excellent système de gestion de base de données est pourtant une possibilité de fuite en cas de mauvaise configuration. Ici, ce n’est pas l’outil qui est dangereux, mais la manipulation humaine de ce dernier. John Matherly, un chercheur en sécurité informatique a constaté que près de 600 téraoctets de données sont accessibles en raison de cette mauvaise configuration ou obsolescence de MongoDB non mis à jour. Les sites cités ci-dessus sont des « fuiteurs« . Matherly explique que 30.000 bases de données sont ainsi exposées à travers l’utilisation d’anciennes versions de la plate-forme.

Banque, BYOD, Cloud, Cybersécurité, Entreprise, Fuite de données, Justice, Paiement en ligne, Sauvegarde, Social engineering

Piratage de données bancaires pour le groupe Hôtelier Trump ?

Une alerte concernant une importante fuite de données bancaires touche le groupe Hôtelier du milliardaire américain Donald Trump.

Décidément, l’ambiance n’est pas à la fête pour le milliardaire américain Donald Trump. Son concours de Miss USA vient d’être rejeté des chaines de télévisions Univision et NBC après des propos racistes du candidat aux présidentielles américaines. Donald Trump considérant les migrants mexicains comme des personnes dangereuses.

L’homme d’affaire doit faire face à un nouveau problème de taille. Il semble que ses hôtels ont été victimes d’un piratage informatique. Pour le moment le groupe hôtelier n’a pas confirmé. Par la bouche de son vice-président, Eric Trump, l’entreprise explique enquêter sur de très nombreuses plaintes concernant des utilisations frauduleuses de cartes bancaires de clients.

D’après une enquête en cours au sein de Visa et MasterCard, plusieurs hôtels Trump sont concernés dont ceux de Chicago, Honolulu, Las Vegas, Los Angeles, Miami, et New York. Un pirate serait passé par un serveur centralisateur ? Les premières fuites ont été détectées en Février à 2015.

En mars 2015, c’était le groupe Mandarin Oriental d’être touché par une fuite de données. En avril, et pour la seconde fois en 1 an, le White lodging.

backdoor, Chiffrement, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données, Mise à jour, pourriel, Propriété Industrielle, ransomware, Sauvegarde, Social engineering

Les collaborateurs, première menace pour les données de l’entreprise ?

Selon une récente étude[1] réalisée en France, les salariés seraient très confiants quant à la sécurité informatique au sein de leur entreprise. En effet, seuls 36% d’entre eux pensent qu’elle a déjà été la cible de hackers alors qu’en réalité, 90% des organisations reconnaissent avoir déjà subi une attaque. En outre, 85% des personnes interrogées estiment que leur entreprise est bien protégée contre les cyber-attaques et les hackers.

Des résultats qui révèlent une importante contradiction entre la perception des employés et la réalité des risques actuels qui planent sur les ressources et les données d’une organisation alors que les menaces se multiplient et sont de plus en plus sophistiquées. Jean-Pierre Carlin, Directeur Europe du Sud chez LogRhythm, a fait les commentaires suivants : « Ces chiffres sont surprenants dans la mesure où les affaires de faille de sécurité et de vol de données massifs font très régulièrement la une des médias depuis quelques mois. Ce sentiment de confiance représente une véritable porte ouverte aux hackers car si les collaborateurs n’ont pas conscience des risques qui planent sur les données et les ressources de l’entreprise, il y a fort à parier pour que les bonnes pratiques et les procédures essentielles en matière de sécurité ne soient pas non plus appliquées, voire négligées ».

En outre, ce n’est pas parce qu’une entreprise est protégée qu’elle ne subira pas d’attaque, ce que semblent pourtant penser les employés interrogés. En effet, des hackers qui souhaitent pénétrer au sein d’un système d’information finiront tôt ou tard par y parvenir, même si cela prend du temps.

Pour que les collaborateurs aient une perception en adéquation avec la réalité, les entreprises doivent impérativement poursuivre leurs efforts pour les sensibiliser aux cyber-risques, aussi bien pour leurs données personnelles que pour celles de l’organisation, ainsi qu’aux conséquences préjudiciables que peut entrainer une fuite de données. La formation de l’ensemble des membres d’une organisation aux risques, aux différents types d’attaques potentielles ainsi qu’à l’application systématique des bonnes pratiques représentent la base pour initier une stratégie globale de sécurité efficace. Le contrôle d’accès, la vigilance relative aux emails ainsi que le renouvellement régulier des mots de passe font notamment partie des mesures indispensables. En outre, les responsables de la sécurité doivent mettre en place un dispositif de sanction pour les employés qui ne respectent pas les règles imposées par l’entreprise, pour une meilleure implication mais aussi pour engager leur responsabilité.

Selon l’étude Capgemini, 28% des personnes interrogées estiment que la politique de sécurité informatique de leur société n’est pas vraiment claire, voire pas du tout, et 39% déclarent ne pas la connaître. Ces résultats révèlent un manque d’information et peut-être un manque d’implication de la part des directions à se saisir de ces problématiques auquel les entreprises doivent rapidement remédier. Pour les entreprises qui ne possèdent pas forcément les ressources en interne (un CSO par exemple, responsable principal de la sécurité), l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) et la Confédération Générale du Patronat des Petites et Moyennes Entreprises (CGPME) ont publié en mars dernier un guide des bonnes pratiques pour les PME. Cette excellente initiative répond à l’urgente nécessité de sensibiliser les salariés aux conséquences qui peuvent résulter d’une simple négligence et des règles de base à respecter, et aide les organisations en leur proposant une expertise adaptée à leurs besoins. Nous les encourageons donc vivement à partager ce guide en marge de leur stratégie globale de sécurité pour une meilleure information, prévention et prise de conscience des risques qui conduiront à l’adoption des bons réflexes.

La contradiction entre la perception de la cyber-sécurité par les salariés et la réalité met en avant le fait que l’humain reste l’un des maillons faibles d’une organisation. Les hackers le savent très bien, c’est la raison pour laquelle ils sont à l’affût du moindre faux pas. Dans ce contexte, la protection des données et des ressources représente aujourd’hui un véritable défi pour les entreprises. Il est donc primordial de faire prendre conscience aux employés que les cyber-risques sont réels, que les attaques ne sont pas uniquement portées sur les grandes organisations connues, et qu’ils peuvent eux-mêmes en être à l’origine. Avec une plus grande implication de la direction générale pour la formation de l’ensemble des collaborateurs, associée aux initiatives des autorités régissant la sécurité informatique, les entreprises vont pouvoir renforcer la protection de leurs données ainsi que l’efficacité de leur politique de sécurité, un enjeu majeur à l’heure où les cyber-attaques sont devenues monnaie courante.

[1] Etude « La Cybersécurité vue par les collaborateurs » menée par Opinion Way pour Capgemini auprès d’un échantillon de 1010 salariés français de bureau d’entreprises privées en mai 2015

Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Logiciels, Microsoft, Mise à jour, Patch, Piratage, Propriété Industrielle, Sauvegarde

Microsoft ne veut pas corriger une faille

Un commentaire

Le géant de l’informatique, Microsoft, ne corrigera pas une faille visant Internte Explorer. Les chercheurs, derrière la découverte de la vulnérabilité, annonce diffuser le problème pour s’en protéger, seul.

En Février 2015, l’équipe de sécurité informatique de HP mettait à jour un 0day, une faille non publique, visant Internet Explorer. Présenté à Microsoft lors du Zero Day Initiative, l’équipe HP avait gagné 125.000 dollars de la Microsoft Mitigation Bypass Bounty.

Lors de la conférence RECon de Montréal, l’équipe a divulgué les détails de leur recherche. Ils ont expliqué cette divulgation par le fait que Microsoft a annoncé ne pas avoir l’intention de corriger la faille et de laisser Internet Explorer en danger face à l’utilisation de la vulnérabilité par des pirates. DataSecurityBreach.fr pense tout simplement que Microsoft faisant disparaitre son navigateur dans la prochaine monture de Windows, cette non correction peut inciter « consommateurs » à migrer vers Microsoft Edge.

Bilan, le problème découvert dans l’Address Space Layout Randomization (ASLR) restera problème. « Libérer des informations sur une faille non corrigée est une première pour nous, confirme l’équipe HP, nous ne faisons pas cela par dépit ou par malveillance. Nous préférerions expliquer le problème une fois corrigé. Cependant, depuis que Microsoft a confirmé nos contacts, ils ont indiqué ne pas prévoir de mesures à partir de nos recherches ». A noter que cela ne doit pas être si compliqué à protéger, HP en profite pour annoncer que ses outils de sécurité bloquent l’attaque !

Les informations techniques se trouvent sur GitHub. Une non correction, qui ressemble bizarrement aux inquiétudes autours du non « patchage », par certains opérateurs, des smartphones Samsung s4, s5, s6 en danger face à un piratage possible de masse.

backdoor, BYOD, Chiffrement, Cloud, cryptage, Cyber-attaque, Cybersécurité, Emploi, Entreprise, Fuite de données, Leak, Mise à jour, Patch, Piratage, Propriété Industrielle, Sauvegarde

Une nouvelle menace nommée Equation Group

En février dernier, la sphère de la cyber-sécurité a pris conscience des efforts déployés par Equation Group, organisation de cyber-espionnage de haut niveau qui exploite les firmwares HDD et SSD.

McAfee Labs a évalué les modules de reprogrammation exposés et a observé qu’ils pouvaient reprogrammés les firmwares des HDD et des SSD. Ainsi, les logiciels malveillants peuvent être rechargés et infecter l’ordinateur à chaque redémarrage du système : ils ne disparaissent pas, même en cas de reformatage du disque ou de réinstallation du système d’exploitation. Une fois infecté, le logiciel de sécurité ne peut plus détecter le malware qui est caché au sein du système. « Chez Intel Security, explique David Grout, nous avons suivi de près ces types de menaces hybrides software/hardware. En effet, bien que ces logiciels malveillants aient historiquement été déployés pour des attaques ciblées, les entreprises doivent se préparer à l’inévitable volet commercial que pourraient représenter de telles menaces à l’avenir ».

Il est nécessaire pour une entreprise de prendre des mesures pour renforcer la détection des menaces existantes telles que l’hameçonnage intégrant des liens frauduleux et les malwares infestant les périphériques USB, et d’envisager des solutions qui pourraient prévaloir l’exfiltration des données.

Cybersécurité, Entreprise, Logiciels, Microsoft, Mise à jour, Patch, Propriété Industrielle, Sauvegarde

Windows Server 2003 : la fin des mises à jour le 14 juillet

Microsoft Windows Server 2003 ne sera plus mis à jour à partir du 14 juillet 2015. Changer ou subir de potentielles futures failles ? Faîtes vos jeux !

Les utilisateurs de Windows Server 2003 sont encore très nombreux. Microsoft parle même de 23,8 millions de WS 2003 en fonction dans le monde. Le cabinet  Enterprise Strategy Group a révélé dernièrement que 25% des sociétés interrogées déclaraient vouloir continuer à utiliser WS 2003 après le 14 juillet.  Difficile de passer à autre chose. Le coût, premier frein.

Sans service de support, ni de maintenance

Utiliser Windows Server 2003 peut être perçu comme une vulnérabilité d’exploitation dès la mis juillet. Un danger potentiel, comme les utilisateurs, et ils sont encore nombreux, de Windows XP.  Pour une question de budget, de temps ou tout simplement par manque d’information, vous ne changerez pas avant le 15 juillet. Ou parce que certaines de vos applications critiques exigent cet OS. Selon Distributique l’opération couterait 60 000 dollars par migration. Si vous êtes dans une situation qui vous oblige à garder Windows Server 2003 au-delà du 15 juillet, vous devriez vous pencher sur la gestion des vulnérabilités sans patch, grâce aux fonctionnalités de Deep Security comme le préconise Trend Micro.

Attention, l’outil ne va pas combattre une éventuelle vulnérabilité qui affecte le système, mais elle fournira une protection contre les attaques susceptibles d’utiliser cette vulnérabilité indique Sophie Saulet sur le blog de l’éditeur japonais. Trend Micro a diffusé un livre blanc sur le sujet. A consulter pour ce faire une idée. La meilleure des options est de mettre au rebut Windows Server 2003 avant la date butoir.

Android, BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, ios, Mise à jour, OS X, Sauvegarde, Sécurité, Smartphone, Social engineering, Windows phone

56 millions de données exposées par des applications de smartphones

Des chercheurs de l’Université Allemande de Darmstadt annoncent que les développeurs d’applications prennent la sécurité des données par dessus la jambe.

Leurs applications auraient exposé 56 millions de données en utilisant les services de Google, Amazon et Facebook. L’équipe de chercheurs a testé 750.000 applications Android et iOS. Ils ont utilisé les services d’identité « fédérés » afin de s’authentifier plus simplement, plus rapidement, entre leurs différents appareils. Sauf qu’il semble y avoir un gros problème. L’équipe a trouvé des données, y compris les adresses mails, mots de passe, et les dossiers de santé, se promenant entre les connexions. Autant de données qui pourraient être exposées à des yeux indiscrets, et les comptes respectifs compromis si les jetons d’authentifications étaient  capturés. « Les développeurs d’applications utilisent des bases de données dans le cloud, explique les étudiants. Ils stockent  les données des utilisateurs, mais apparemment ignorent les recommandations de sécurité des données que recommandent pourtant les fournisseurs cloud

Les pirates ont besoin, cependant, d’extraire la clé de l’application et/ou exploiter une connexion sans fil non sécurisée, pour agir. Les sociétés qui hébergent ont besoin de beaucoup moins ! (The Register)

Argent, Arnaque, backdoor, Chiffrement, cryptage, cryptolocker, Cyber-attaque, Cybersécurité, Entreprise, escroquerie, Fuite de données, Identité numérique, Leak, Logiciels, Mise à jour, Paiement en ligne, Particuliers, Patch, Piratage, Propriété Industrielle, Sauvegarde, Social engineering, Vie privée

Outils anti ransomwares

Un commentaire

Disque dur bloqué, fichiers chiffrés, … les attaques de ransomwares n’ont jamais été aussi nombreuses. Un kit de sauvetage vient d’être diffusé. Il ne corrige pas toutes les possibilités malveillantes, mais permet déjà d’y voir plus clair.

L’internaute Jada Cyrus a compilé un kit de secours pour aider les victimes de ransomwares à déchiffrer les fichiers verrouillés. Cette boite à outils serait efficace contre les variantes de CryptoLocker, TeslaCrypt, et CoinVault, trois logiciels rançonneurs malheureusement très populaire sur la toile… et dans les ordinateurs de leurs victimes. « Nous avons des dizaines de cas » souligne à DataSecurityBreach.fr un technicien officiant dans une boutique informatique du Nord de la France, à Seclin. « Beaucoup de personnes se retrouvent avec leurs fichiers chiffrés et n’hésitent pas à payer pour retrouver leurs biens« .

ZATAZ.COM a proposé, il y a quelques semaines, un article les premières minutes d’une attaque d’un ransomware. De quoi vous donner une idée de l’efficacité de ce genre d’attaque. Pour rappel, pour se protéger de ce genre de cochonnerie : Ne pas télécharger ou cliquer sur n’importe quoi ; Un courriel proposant un fichier joint de types .rar ; .zip ; .exe ; .svg ; … sont à bannir. Les alertes s’ouvrant dans votre navigateur vous annonçant « des virus » ou une mise à jour urgente de VLC (vidéo, NDR) ; Flash ; … ne sont pas à prendre à la lettre. Un antivirus mis à jour est obligatoire. La meilleure des défenses face à ce genre d’attaque reste la réflexion. Ce kit regroupe des anti ransomwares pour BitCryptor, CoinVault, CryptoLocker, FBI Ransomware, PC Lock, Tesla Crypt, Torrent Locker.

Un faux courriel, une pièce jointe piégée et le disque dur est chiffré !

Pendant ce temps…

Le Ministère de la justice Vietnamien est devenu la dernière victime de taille d’une attaque d’un ransomware. Plusieurs ordinateurs connectés au réseau du ministère ont été infectés par le malware. Beaucoup de données « importantes » se sont retrouvées cryptés. Comme il n’y a aucun moyen de récupérer les données autres que de payer la rançon, il est très probable que le ministère va perdre toutes ses données. Espérons pour ce ministère que les mots « sauvegardes », « Backup » ou « Kar surxng kahxmul » ne lui soit pas inconnu.

Le kit est à télécharger ICI.

backdoor, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Espionnae, Fuite de données, Identité numérique, Leak, Particuliers, Piratage, Propriété Industrielle, Sauvegarde

Infiltration du réseau PacNet

Un pirate informatique a visité le réseau PacNet de la société TelStra. Plusieurs organismes gouvernementaux, dont la police fédérale australienne infiltrés.

Courriels, réseaux, serveurs, sites Internet. Pas de doute, l’infiltration que vient de révéler la société Telstra fait bondir les kangourous Australiens. Le réseau d’entreprises Pacnet a été piraté et infiltré. La filiale asiatique de Telstra a été visitée, mettant en danger ses clients, dont la police fédérale australienne, le ministère des Affaires étrangères, le ministère du Commerce et de nombreux autres organismes gouvernementaux. Une attaque qui a visé les systèmes d’administrations des clients de ce géant de l’informatique, ainsi que leurs courriels. Une attaque qui a été lancée début avril 2015.

Une attaque qui débarque au moment ou TelStra finalise le rachat de PacNet (697 millions de dollars, NDR DataSecuritybreach.fr) et se prépare à lancer une grande campagne de communication, en Asie, pour
vanter ses services.

L’Australian Cyber Security Centre (ACSC) enquête sur cette affaire. Il n’y a pas encore eu de communication sur les données qui ont pu être volées aux différents ministères. Le plus inquiétant est que le pirate, via une injection SQL, a pu tout simplement installer un shell (une porte cachée – backdoor) dans le serveur et lancer sa petite visite que personne n’a vu, du moins jusqu’au 16 avril dernier. Bref, une attaque d’un classique qui a de quoi faire revenir sur terre le thylacine (animal australien aujourd’hui disparu, NDR).

Pacnet est l’une des rares entreprises à avoir des datas center en Chine occidentale. L’origine géographique du pirate reste inconnue. (CT)

Chiffrement, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données, Leak, Piratage, Propriété Industrielle, Sauvegarde

ErsatzPasswords : un système qui bloque les pirates ?

Des chercheurs annoncent avoir trouvé une méthode pour bloquer les pirates face à une base de données volées. Ils vont présenter Ersatz Passwords, un outil qui empêcherait de mettre la main sur les données sensibles des BDD dérobées.

Une équipe de chercheurs (Christopher N. Gutierrez, Mikhail J. Atallah et Eugene H. Spafford) a développé un système qui doit rendre beaucoup plus difficile la lecture des mots de passe trouvés dans une base de données piratée.

Pour Mohammed H. Almeshekah, un des doctorants de l’Université Purdue (USA), cette méthode fournira tellement de leurres dans la BDD volée que les pirates ne pourront rien faire des informations qu’ils auront pu intercepter (Doc PDF).

Le système rajoute de fausses informations. Sans le support physique, impossible de connaitre les bons mots de passe.

Bref, les injections SQL ont encore, malheureusement, de l’avenir, mais la lecture des contenus volés s’annoncent plus compliquée. ErsatzPasswords rajoute une nouvelle étape dans le hashage des mots de passe (MD5, …) contenus dans les BDD.

Avant qu’un mot de passe soit chiffré, le « précieux » est sécurisé via un matériel précis, comme une clé USB par exemple. Bilan, si un pirate met la main sur les mots de passe, il tentera de les retrouver via un outil en ligne comme Crack MD Online ou des logiciels dédiés, comme John the ripper.

Seulement, ErsatzPasswords aura modifié ces précieuses informations qui deviendront inutilisables sans la clé USB. Côté serveur, le système semble assez facile à installer. D’ailleurs le code est disponible sur GitHub. Il est gratuit et est publié sous une licence open-source. Ce système sera présenté, début juin à Los Angeles lors de l’Annual Computer Security Application Conference (ACSAC).

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données, Leak, loi, Mise à jour, Piratage, Propriété Industrielle, ransomware, Sauvegarde

Secteur médical : la prochaine cible des cybercriminels ?

Le système d’informations de santé, qui regroupe les dossiers électroniques des patients jusqu’aux dispositifs médicaux, est plus vulnérable qu’on ne l’imagine. Et les enjeux sont bien trop importants pour fermer les yeux sur cette problématique épineuse.

Aujourd’hui, sur le marché noir, les données de patients se monnayent jusqu’à 20 fois plus cher que les données de cartes de paiement récupérées, par exemple, à l’issue d’un piratage visant un acteur de la grande distribution. Les données médicales sont en effet détaillées, riches et regorgent d’informations que recherchent les cybercriminels pour perpétrer leurs détournements d’identité et autres fraudes. De plus, les patients prennent bien plus de temps à se rendre compte du détournement de leurs informations de santé, jusqu’à près d’un an pour certains patients. En effet, pour identifier
une utilisation frauduleuse des cartes de paiement, les banques disposent d’algorithmes qui repèrent rapidement les activités suspectes et prennent souvent automatiquement les mesures de sécurité qui s’imposent. Ces mesures de sécurité n’existent pas dans le domaine médical. Les acteurs de santé, eux-mêmes, ne se rendent pas toujours compte de la vulnérabilité des nombreux systèmes qu’ils utilisent face aux cyber-attaques:

Cyber-attaques traditionnelles
Ces attaques, qui s’en prennent à tous les profils d’organisations, sont véhiculées par des logiciels malveillants, phishing, chevaux de Troie ou encore des ransomware. Par rapport aux autres secteurs d’activité, celui de la santé est particulièrement vulnérable en l’absence de mesures de protection
intégrées et compte tenu d’une priorité moindre accordée à la sécurité. Ces logiciels malveillants, qu’ils soient déployés via des attaques ciblées, des sites Web piratés ou des dispositifs mobiles infectés, entraînent une divulgation de données confidentielles et aboutissent à des coûts importants et à
des tâches de restauration post-incident particulièrement chronophages. Ces attaques ne sont pas vraiment nouvelles, mais elles gagnent en sophistication et la perte de données de patients est une vraie problématique. Les cybercriminels ont d’ailleurs conçu des plateformes entières de logiciels malveillants qui peuvent être personnalisées pour attaquer les acteurs de santé.

Dispositifs médicaux connectés
Aujourd’hui, des moniteurs cardiaques aux pompes à perfusion, tous les équipements peuvent être connectés à un réseau et s’interfacer avec les dossiers électroniques de patient, permettant ainsi d’activer des alertes en temps réel à l’intention du personnel soignant. Cette interactivité est, dans la
perspective du patient, une bonne nouvelle. Mais au niveau sécurité, il s’agit plutôt d’un cauchemar.

La majorité de ces équipements, et notamment les IRM, les scanners et autres équipements de diagnostic n’ont pas été conçus en faisant de la sécurité une priorité. Ils sont nombreux à utiliser des systèmes d’exploitation comme Microsoft Windows et des logiciels conçus pour collecter les données… Et pas forcément les garder en sécurité. Le piratage de ces appareils est donc possible et une fois compromis, les cybercriminels peuvent accéder directement aux systèmes de données cliniques avec lesquels ces équipements sont interfacés.

Les données de patients ne constituent pas les seules ressources pouvant être piratées via des dispositifs connectés. Les cyber-terroristes pourraient potentiellement manipuler les machines et porter atteinte aux patients. D’ailleurs, dès 2011, un chercheur en sécurité a su démontrer qu’une pompe à insuline pouvait être piratée et utilisée pour injecter une dose mortelle d’insuline[1].

Les équipements de santé personnels et résidentiels
Les dispositifs de santé prolifèrent bien au-delà des murs des hôpitaux. Les équipements de santé personnels, les applications de santé et autres coachs de fitness sont de plus en plus nombreux à recueillir et à transmettre des données. Ces systèmes peuvent potentiellement mettre les données de patients en péril (ou du moins ne pas assurer leur parfaite protection), et ils s’interfacent aussi souvent avec des dossiers électroniques de patients ou des systèmes hébergeant des données cliniques. Si un dispositif de contrôle du taux de glucose ou une application de santé sur iPhone peuvent être la cible
d’attaques, ces vulnérabilités s’appliquent également aux institutions de soins de santé. Les dispositifs cliniques ont, en effet, pour priorité d’offrir de nouvelles modalités pour une prise en charge pratique, innovante et performante des patients. La sécurité, elle, est moins prioritaire.

La sécurité des soins de santé ne doit pas attendre que les piratages de données de patients aient réussi pour devenir prioritaire. Il faut s’en préoccuper dès aujourd’hui. Le secteur de soins de santé, dans sa globalité, doit engager des actions proactives et privilégier les équipements qui
intègrent la sécurité en natif, mais aussi déployer une protection active au niveau du réseau et des applications. Les enjeux sont tout simplement trop critiques pour s’offrir le luxe d’attendre.  (Par Christophe Auberger, Responsable Technique France, Fortinet)

backdoor, Chiffrement, cryptage, Cybersécurité, Entreprise, Espionnae, Fuite de données, Justice, Particuliers, Sauvegarde, Téléphonie, Vie privée

Les Députés américains votent la fin de la collecte en vrac de la NSA

Un commentaire

La NSA collecte, à la tonne, les données téléphoniques. Mission officielle, traquer les terroristes. 338 députés, sur 88, ont décidé que cet espionnage devait être mieux contrôlé.

Alors qu’en France les députés ont décidé de permettre la collecte de données « en vrac » de personnes considérées comme dangereuses par les services de renseignements, aux USA, le Capitole a confirmé par le vote positif de 338 députés (pour 88 contre, NDR) que la même collecte, réalisée par la Nationale Security Agency (NSA) devait être contrôlée.

La Chambre a voté ce 13 mai le projet de loi baptisée USA Freedom Act. Bilan, elle aura pour effet, si le Sénat vote dans le même sens, de faire fermer de nombreux programmes d’espionnage de la NSA. Un espionnage visant les ressortissants américains, sur le sol de l’Oncle Sam. Ce projet de loi, adopté massivement par les députés, mettra peut-être fin à la collecte en vrac des appels téléphoniques à partir d’un fournisseur de télécommunication américain.

Un programme d’espionnage dénoncé en 2006 par USA Today, et qui reviendra sur le devant de la scéne en 2013, via les dossiers de la NSA volés par Edward Snowden, ancien analyste privé des grandes oreilles américaines.

Ce projet de loi prévoit que la NSA devra passer par la Foreign Intelligence Surveillance Court avant de demander une écoute. Ce projet exige de l’agence l’utilisation de mots spécifiques lors de ces
recherches. Des mots qui doivent affiner son accès aux seuls dossiers pertinents. Il faut attendre, maintenant, le vote du Sénat pour entériner ce projet de loi. L’Electronic Frontier Foundation (EFF) se félicite de cette nouvelle avancé, même si l’EFF doute du vote final. La semaine dernière, une cour
d’appel fédérale avait statué que cette collecte massive de données téléphonique était totalement illicite. Une collecte qui n’avait jamais été autorisée par l’article 215 du Patriot Act (Fight 215).

Argent, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Paiement en ligne, Particuliers, Piratage, Sauvegarde, Vie privée

Infiltration dans la boutique SallyBeauty.com

La boutique de vente en ligne de produits de beauté SallyBeauty confirme le piratage de données bancaires appartenant à certains de ses clients.

L’entreprise américaine SallyBeauty, basée au Texas, vient d’alerter la rédaction de DataSecurityBreach.fr, et ses clients, d’une probable attaque informatique à l’encontre de ses serveurs. Ce spécialiste des produits de beautés semble avoir des clientes françaises dans ses bases de données.

Une enquête en cours, visant à savoir si un pirate informatique a mis la main sur des donnés privées et sensibles de clients, oblige l’entreprise à diffuser un courriel d’alerte. « Nous pensons qu’il est dans l’intérêt de nos clients de vous avertir que nous avons maintenant suffisamment de preuves pour confirmer qu’une intrusion illégale dans nos systèmes de cartes de paiement a effectivement eu lieu« .

Pour le moment, aucun chiffre n’est donné. L’enquête et les analyses sont toujours en cours. « Nous encourageons nos clients à surveiller leurs relevés de carte de paiement et de signaler toute transaction suspecte à leurs institutions financières« . Un courriel dédié à cette intrusion a été mis en place customerserviceinquiry@sallybeauty.com.

Argent, Arnaque, Banque, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Emploi, Entreprise, escroquerie, Fuite de données, Identité numérique, Leak, loi, Mise à jour, Particuliers, Piratage, Propriété Industrielle, Sauvegarde, Vie privée

Sécurité numérique et risques : enjeux et chances pour les entreprises

À l’heure de l’omniprésence du numérique et du développement constant de ses spectaculaires potentialités, les entreprises doivent pouvoir compter sur des outils numériques sécurisés. Or, chaque jour, de tous côtés, les exemples de nouvelles vulnérabilités se multiplient.

L’escalade entre les failles découvertes et les parades pour y remédier semble sans fin, d’autant plus que l’origine de ces fragilités réside dans nombre de comportements humains irréfléchis et dans la lenteur de l’indispensable prise de conscience.

Après avoir entendu plus d’une centaine de personnes et analysé en détail les atouts et les fragilités des messages numériques et de leurs canaux de diffusion, l’Office parlementaire d’évaluation des choix scientifiques et technologiques propose d’abord une trentaine de recommandations d’ordre général (culture du numérique, souveraineté, coopération entre les acteurs, droit européen de la donnée) puis un vade-mecum de sécurité numérique à l’usage des entreprises qui voudront bien s’attacher à la construction réfléchie et évolutive dont dépend leur future prospérité.

Face à la mondialisation numérique, l’élaboration de solutions se révèle être d’abord individuelle et nationale pour éviter que les entreprises françaises acquiescent elles-mêmes au pillage de leurs données en les offrant en libre-service.

Mme Anne-Yvonne Le Dain, députée, et M. Bruno Sido, sénateur, ont présenté l’étude de l’Office parlementaire d’évaluation des choix scientifiques et technologiques (OPECST) sur « Sécurité numérique et risques : enjeux et chances pour les entreprises ».

Le rapport (tomes I et II) est désormais en ligne sur les sites de l’Assemblée nationale et du Sénat au pages de l’OPECST.
– Tome I (rapport) : http://www.senat.fr/notice-rapport/2014/r14-271-1-notice.html
– Tome II (auditions) : http://www.senat.fr/notice-rapport/2014/r14-271-2-notice.html

backdoor, BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, Identité numérique, Sauvegarde, Vie privée

1 milliard de données personnelles identifiables divulguées en 2014

L’équipe de recherche et développement IBM X-force vient de publier son rapport trimestriel sur son analyse des menaces avancées. Ce rapport dévoile qu’au moins 1 milliard de données personnelles identifiables (PII) ont été divulguées en 2014.

Le rapport 2015, qui met également en évidence les résultats du dernier trimestre 2014, a recensé plus de 9 200 nouvelles failles de sécurité affectant plus de 2 600 fournisseurs, ce qui représente une augmentation de 9,8% par rapport à 2013 et constitue l’augmentation la plus importante en une seule année depuis que le rapport X-Force a été créé il y a 18 ans.

Selon ce rapport (qui ne prend en compte que les informations d’IBM, NDR), le nombre total de failles enregistrées en 2014 était de près de 20% plus élevé qu’en 2013 (où l’on enregistrait 800 millions de données divulguées). 74,5%, le nombre d’incidents enregistrés aux Etats-Unis, ce qui est beaucoup plus élevé que dans les autres pays. Une majorité (40,2%) des types d’attaques les plus courants n’ont pas été identifiés. Les logiciels malveillants (malwares) et les DDoS (déni de service distribué) arrivent en seconde position avec un taux de 17,2% chacun. La divulgation par l’US-CERT d’une classe de vulnérabilités affectant des milliers d’applications Android qui mettent à mal les certificats SSL représentent 15% du total pour l’année, portant peu à peu le décompte final à un nouveau sommet historique.

Les chercheurs attribuent largement ces chiffres croissants à l’augmentation de l’indifférence des développeurs en matière de sécurité. Ces derniers ont été lents à mettre en œuvre des « patches » en dépit des avertissements et de la sensibilisation accrue aux vulnérabilités. En fait, 10 des 17 (59%) applications bancaires utilisant Apache Cordova qui ont été initialement divulguées en octobre 2014 étaient encore vulnérables en janvier de cette année.

Le rapport montre également une augmentation des vulnérabilités de « conception », qui sont de plus en plus meurtrières, très reconnaissables, ayant des noms et logos accrocheurs (par exemple : Heartbleed et Shellshock) et qui devraient désormais être prises en compte dans la conception et le développement. Ces vulnérabilités ont révélé des failles facilement exploitables dans les systèmes de base et les bibliothèques sous-jacentes qui supportent presque toutes plateformes web et les systèmes de gestion de contenu habituels.

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, Propriété Industrielle, Sauvegarde

Pour une meilleure défense contre les attaques avancées

Kill Chain 3.0 : mettre à jour la Cyber Kill Chain pour une meilleure défense contre les attaques avancées.

Tous les responsables de la sécurité des réseaux ont déjà entendu parler de la Kill chain – une méthode de défense conçue pour combattre efficacement les cyber attaques avancées ou APT. Cette méthode comporte sept étapes pour l’attaquant, et propose un mode spécifique de défense pour chacune d’elles. Les étapes de la kill chain comprennent :

·         Reconnaissance – S’informer sur la cible en utilisant de nombreuses techniques.
·         Armement – Combiner le vecteur d’attaque avec un contenu malicieux.
·         Livraison – Transmettre le contenu malicieux avec un vecteur de communications
·         Exploitation – Profiter d’une faiblesse logicielle ou humaine pour activer le contenu malicieux
·         Installation – Installer durablement le contenu malicieux sur un ordinateur hôte individuel
·         Commande & Contrôle (C2) – Le malware appelle l’attaquant, qui en prend la contrôle
·         Actions prévues – L’attaquant vole ou fait ce qu’il avait prévu de faire.

Les professionnels de la sécurité réseau ont des opinions diverses quant à l’efficacité de la kill chain en tant que méthode de défense. Certains l’adorent, décrivant comment leurs équipes de sécurité l’utilisent, tandis que d’autres indiquent qu’il lui manque certains détails cruciaux, et qu’elle n’est adaptée qu’à certains types d’attaques. Les deux interprétations ont chacun leur part de vérité, mais il existe trois étapes simples pour rendre la kill chain encore plus efficace, appelons la Kill Chain 3.0.

Tout d’abord, il convient de modifier les étapes de la kill chain telle que décrite plus haut. Si l’on utilise la kill chain en tant qu’outil de défense, alors chacune des mailles de la chaîne doit donner lieu à une ou des actions de défense. Par exemple, l’étape Armement de la kill chain n’est pas réellement exploitable par les défenseurs. Dès lors pourquoi faire apparaître une étape qui n’a pas grand-chose à voir avec la défense ? Par ailleurs, comme beaucoup l’ont déjà fait remarquer, la kill chain actuelle se concentre avant tout sur l’intrusion initiale, et pas assez sur la façon dont les auteurs des attaques avancées exploitent leur premier point d’entrée pour se répandre dans l’ensemble du réseau de leur victime. La kill chain doit inclure une étape pour les mouvements latéraux et la modification des droits d’accès en local. De ce fait, la chaîne devrait être modifiée de la façon suivante :

·         Reconnaissance
·         Armement Livraison
·         Exploitation
·         Installation Infection
·         Commande & Contrôle

Ø  Mouvement Latéral & Pivotement

·         Objectifs/Exfiltration

Après cette simple modification, à chaque étape de la kill chain correspondent des moyens de défense adaptés. Par exemple, la détection des ports et des adresses IP et la traduction d’adresses NAT seront efficaces à l’étape Reconnaissance ; le blocage des ports firewall, l’IPS et le contrôle applicatif le seront à l’étape Livraison ; .le Patching et l’IPS le seront à l’étape Exploitation ; La segmentation du réseau le sera à l’étape Mouvement Latéral, et ainsi de suite.

Ensuite, il convient de retenir qu’il est important d’avoir des défenses pour chacune des étapes de la kill chain, et que chacune des étapes à la même importance. Un des concepts à la base de la kill chain est que plus tôt dans le cycle vous prévenez une attaque, meilleur c’est. Bien que cela soit techniquement vrai, ceci explique également pourquoi beaucoup se concentrent sur des mesures de protection lors des premières étapes de la kill chain, et consacrent moins de temps et d’efforts à protéger les étapes suivantes, même si ces défenses ont le pouvoir de contenir ou de limiter significativement les conséquences d’une intrusion réussie. En vérité, les attaques les plus sophistiquées contourneront ou éluderont souvent les défenses mises en place sur les premières étapes. Si l’entreprise ne s’est pas suffisamment concentrée sur les défenses adaptées aux étapes suivantes, telles que la détection des botnets, la prévention des pertes de données et la segmentation du réseau interne, elle n’exploite pas toutes ses chances de prévenir une attaque majeure. En bref, la bataille n’est pas perdue après une infection initiale si l’on a consacré toute son attention aux défenses lors des étapes suivantes de la Kill Chain 3.0.

Enfin, il est nécessaire de disposer d’un outil d’affichage qui permette de visualiser l’ensemble des sept étapes de la kill chain. Celle-ci est parfaite pour mettre en valeur chacune des zones où peut être stoppée une attaque sur le réseau, mais s’il n’est pas possible de contrôler le parcours d’une attaque au travers de chacune des étapes, l’entreprise se prive d’elle-même de données critiques qui pourraient l’aider à se protéger. Les outils d’affichage et d’analytiques doivent être des composants clés de la Kill Chain 3.0. Si l’entreprise ne dispose pas d’un outil de reporting capable de rassembler les logs de tous ses contrôles de sécurité, et de corréler différentes alertes en un seul et même incident, elle a de fortes chances de manquer les signes d’une attaque sophistiquée.

Pour récapituler : modifiez un peu les étapes de la kill chain, accordez la même importance à chacune des étapes – y compris les dernières, et dotez-vous d’un outil de reporting et d’affichage capable de contrôler l’ensemble du processus, et vous obtenez la Kill Chain 3.0, une méthode optimisée pour se protéger au mieux contre les attaques avancées. (Par Pierre Poggi, Country Manager France de WatchGuard)

BYOD, Chiffrement, Cloud, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Identité numérique, Leak, Particuliers, Piratage, Sauvegarde, Vie privée

Sécurité des données personnelles : le palmarès des régions les plus soucieuses de la sécurité de leurs mots de passe

L’éditeur Dashlane a réalisé une étude anonyme sur 45,000 de ses utilisateurs français pour évaluer le niveau de sécurité de leurs mots de passe.

On ne compte plus les gros titres annonçant un nouveau piratage d’ampleur. Malgré cette insécurité croissante sur Internet, les internautes continuent de ne pas vraiment protéger leurs données personnelles… et pourtant, s’il y a 10 ans le mot de passe ne servait qu’à s’identifier sur un site web, maintenant il est le premier rempart pour protéger toutes ses données personnelles. Il suffit de regarder son compte Facebook pour s’apercevoir à quel point on met de plus en plus d’informations privées sur Internet.

Après avoir mené une enquête au niveau international en décembre dernier, Dashlane s’est intéressé à la France. Le spécialiste de la gestion des mots de passe pour les particuliers, a réalisé une étude anonyme sur 45 000 de ses utilisateurs français pour établir un classement des régions qui protègent le mieux leurs données personnelles sur Internet. Chaque région s’est vue attribuer un score moyen de sécurité, en fonction du niveau de sécurité des mots de passe des habitants de cette région. La note va de 0 à 100 (le maximum).

 Aucune région ne dépasse le score de 55

Principal constat, aucune région française n’obtient un score de sécurité rassurant… aucune ne dépasse le score de 55 et 3 régions n’obtiennent même pas la moyenne de 50 points : le Languedoc-Roussillon, la Provence-Alpes-Côte d’Azur et le Limousin (49.9), tous trois dans la moitié sud du pays. Mais le Nord-Pas-de-Calais ne fait pas beaucoup mieux avec 50,8. La moyenne des régions françaises se situe donc à 51,8, ce qui place 12 régions (sur un total de 22) en dessous de cette moyenne.

« On observe un noyau de bons élèves, la Franche-Comté, Rhône Alpes et Auvergne, alors que le Languedoc-Roussillon et la Provence-Alpes-Côte d’Azur ferment la marche. Ce classement illustre des différences d’état d’esprit dans la manière dont les gens envisagent leur sécurité en ligne.» indique à DataSecurityBreach.fr, Guillaume Desnoes, Responsable des marchés européens de Dashlane.

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage, Propriété Industrielle, Sauvegarde, Social engineering

Cyber-sécurité : éviter la menace interne en surveillant les portes du royaume

Les récentes cyberattaques de grande envergure telles que le récent « cyber hold-up » via le malware Carbanak à l’encontre des établissements bancaires ou encore celle qui a permis la révélation de la fraude fiscale HSBC par son ex-informaticien Hervé Falciani, rappellent que les menaces internes sont de plus en plus présentes. Les hackers ne cessent d’affiner leurs techniques de piratage pour garder une longueur d’avance sur les mesures mises en place par les organisations. Leur atout majeur : le manque manifeste de vigilance autour des pratiques en interne de la plupart des organisations. La tâche des hackers s’en trouve donc simplifiée, puisque des techniques simples et classiques pour infiltrer les comptes à hauts pouvoirs de l’entreprise suffisent à bouleverser toute une structure.

Aujourd’hui, les pirates s’infiltrent insidieusement dans les systèmes et s’y installent aussi longtemps que nécessaire pour récolter les données qu’ils convoitent. Les techniques varient et si elles se renouvellent, les vieux schémas restent de mise. Dans le cas de HSBC par exemple, très semblable à l’affaire Snowden, la révélation des Swissleaks a été perpétrée par un ex-informaticien de la banque hongkongaise ayant eu accès aux données des clients en situation de fraude fiscale. Au-delà des clauses de confidentialité auxquelles sont soumis les employés d’une entreprise, ce cas de figure rappelle la nécessité de surveiller les accès des employés aux données de l’entreprise, et notamment à celles qui ne dépendent pas de leur champ d’intervention. Il en est de même pour tout individu extérieur à l’organisation.

De plus, une surveillance accrue de l’activité en interne peut permettre de détecter des tentatives d’intrusion en cours. En effet, l’attaquant motivé trouvera coûte que coûte un moyen de s’infiltrer dans le système et un minimum d’attention permet parfois aux employés d’identifier ces tentatives qui ne sont pas toujours discrètes. La récente cyberattaque relative au malware Carbanak confirme que les hackers développent des méthodes de plus en plus sophistiquées pour rendre leurs faux emails aussi crédibles que possibles. Dans le cas de Carbanak, les attaquants ont pu copier un ver informatique inséré dans la pièce jointe de mails personnalisés et se frayer un chemin jusqu’aux caméras de sécurité des banques visées. Ils ont ainsi pu visionner les vidéos et copier l’ensemble des démarches des employés pour accéder aux comptes des clients.

La sensibilisation des équipes internes permet d’éviter ce type de situations comme cela a été récemment le cas pour Le Monde où les employés ont détecté plusieurs tentatives d’intrusion conduites via des techniques de phishing, de mails de spams et de dénis de services ; leur mobilisation combinée à un système de sécurité efficace ont contribué à détecter les signes précurseurs d’une attaque et à stopper les hackers avant qu’il ne soit trop tard. Car une fois à l’intérieur du système, les hackers se concentrent sur le détournement et l’exploitation des comptes utilisateurs. Ils se tournent notamment vers les comptes administrateurs détenant des accès privilégiés aux données critiques, qui sont en général encore moins bien surveillés que les comptes des employés, constituant ainsi une zone d’ombre privilégiée par les hackers pour agir sur le long terme en toute discrétion. Ils peuvent ainsi se déplacer à travers le réseau, accéder aux systèmes critiques et exfiltrer les données préalablement volées.

Aujourd’hui, les employés tendent à devenir un point d’entrée incontournable pour les attaques ciblées, il est donc indispensable que les organisations tiennent compte de la menace interne et surveillent à la fois les points d’entrées sensibles, respectent les bonnes pratiques et restent en alerte face aux signaux précurseurs d’attaques. Quel que soit l’objectif final d’une cyberattaque, les chemins empruntés sont souvent les mêmes, sachant que les hackers visent la plupart du temps la voie royale que sont les comptes à privilèges pour parvenir à leurs fins. (Par Olivier Mélis, Country Manager France chez CyberArk pour DataSecurityBreach.fr)

backdoor, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage, Propriété Industrielle, Sauvegarde

Equation Group : l’ancêtre du cyber espionnage ?

Un commentaire

Depuis plusieurs années, l’équipe GReAT (Global Research & Analysis Team) suivrait étroitement plus de 60 menaces avancées responsables de différentes cyber attaques à travers le monde. Elle a ainsi fait des observations de toutes sortes, les attaques gagnant en complexité à mesure qu’un nombre croissant de pays se sont impliqués et efforcés de se doter des outils les plus évolués. Cependant, ce n’est qu’aujourd’hui que les experts de  peuvent confirmer la découverte d’une menace dépassant tout ce qui était connu jusque-là en termes de complexité et de sophistication techniques. Le groupe à l’origine de cette menace, dénommé « Equation Group », est actif depuis près de 20 ans.

Le groupe se singularise par pratiquement chaque aspect de ses activités : il utilise des outils très complexes et coûteux à développer pour infecter ses victimes, récupérer des données et masquer ses actions d’une façon extrêmement professionnelle, ainsi que des techniques classiques d’espionnage pour diffuser ses codes malveillants. Pour infecter ses victimes, le groupe emploie un puissant arsenal d’« implants » (Troyen), notamment les suivants : Equation Laser, Equation Drug, Double Fantasy, Triple Fantasy, Fanny et Gray Fish. L’existence d’autres implants ne paraît faire aucun doute.

L’équipe GReAT a pu récupérer deux modules servant à reprogrammer le firmware du disque dur de plus d’une douzaine de marques répandues. Il s’agit peut-être de l’outil le plus puissant dans l’arsenal d’Equation Group et du premier malware connu capable d’infecter les disques durs. En reprogrammant le firmware du disque dur (c’est-à-dire en réécrivant le système d’exploitation du disque comme nous vous l’expliquons plus haut), le groupe atteint deux objectifs :

1.       Un niveau extrême de persistance permettant au malware de résister à un reformatage du disque et une réinstallation du système d’exploitation. Dès lors que le malware s’est introduit dans le firmware, il est à même de se régénérer à l’infini. Il peut par exemple empêcher l’effacement d’un certain secteur du disque ou bien le remplacer par un code malveillant à l’amorçage du système. « Un autre danger tient au fait qu’une fois le disque dur infecté par ce code malveillant, il devient impossible d’analyser son firmware. En termes simples, les disques durs comportent pour la plupart des fonctions permettant d’écrire dans le firmware matériel mais aucune pour vérifier l’écriture, de sorte que nous sommes pratiquement aveugles et incapables de détecter les disques durs infectés par ce malware », avertit Costin Raiu, Directeur de l’équipe GReAT. A noter que l’attaque de disque dur n’est pas une nouveauté comme l’annonce Kaspersky. Snowden en avait déjà fait la preuve via des documents volés à ses anciens employeurs, la NSA.

2.       La capacité de créer une zone invisible et persistante à l’intérieur du disque dur. Celle-ci sert à enregistrer des informations qui pourront être exfiltrées ultérieurement par les auteurs de l’attaque. En outre, dans certains cas, elle peut aussi aider le groupe à percer le cryptage : « Etant donné que l’implant GrayFish est actif dès le début de l’amorçage du système, il permet de capturer la clé de cryptage et de l’enregistrer dans la zone cachée », explique Costin Raiu.

Capacité de récupérer des données sur des réseaux isolés
Parmi toutes les attaques lancées par Equation Group, le ver Fanny se démarque. Il a pour but principal de cartographier les réseaux isolés, c’est-à-dire de déterminer la topologie d’un réseau inaccessible par Internet et d’y exécuter des commandes. Pour ce faire, il utilise un mécanisme unique de commande et contrôle (C&C) sur une clé USB, permettant aux auteurs de l’attaque de faire entrer et sortir des données sur les réseaux isolés.

En particulier, une clé USB infectée avec une zone de stockage cachée a été employée pour recueillir des informations système de base sur un ordinateur non connecté à Internet et les transmettre à un serveur C&C dès que la clé est insérée dans une autre machine infectée par Fanny et disposant d’une connexion Internet. Pour exécuter des commandes sur un réseau isolé, il suffit de les enregistrer dans la zone cachée de la clé. Lorsque cette dernière est introduite dans un ordinateur du réseau, Fanny reconnaît les commandes et les exécute.

Méthodes classiques d’espionnage pour la diffusion des malwares
Les auteurs des attaques ont utilisé des méthodes universelles pour infecter les cibles, que ce soit via le Web ou dans le monde physique. A cette fin, ils ont intercepté des produits physiques pour leur substituer des versions contaminées par des chevaux de Troie. Cette technique a été employée, par exemple, pour cibler les participants d’une conférence scientifique à Houston (Texas) : à leur retour chez eux, certains des participants ont reçu un compte rendu de la conférence sur un CD-ROM qui a ensuite servi à installer l’implant DoubleFantasy sur la machine cible. La méthode exacte de falsification des CD reste inconnue.

Il existe de solides indices d’interactions d’Equation Group avec d’autres groupes puissants, tels que les opérateurs des campagnes Stuxnet et Flame, généralement en position de supériorité. Equation Group a ainsi eu accès à des failles « zero day » avant qu’elles ne soient exploitées par Stuxnet et Flame. A un moment donné, il a également partagé des exploitations de vulnérabilités avec d’autres. Par exemple, en 2008, Fanny a utilisé deux failles « zero day » qui ont été par la suite exploitées dans Stuxnet en juin 2009 et mars 2010. Pour l’une d’elles, Stuxnet reprenait en fait un module Flame exploitant la même vulnérabilité et passé directement d’une plate-forme à l’autre.

Equation Group utilise une vaste infrastructure C&C qui comprend plus de 300 domaines et 100 serveurs. Les serveurs sont hébergés dans de nombreux pays (Etats-Unis, Royaume-Uni, Italie, Allemagne, Pays-Bas, Panama, Costa Rica, Malaisie, Colombie et République tchèque, notamment). Kaspersky surveillerait  actuellement plus d’une vingtaine de serveurs C&C (autant dire que les pirates derrières ces centres de commande n’ont plus qu’à changer d’espace, ndlr). Depuis 2001, Equation Group aurait infecté des milliers voire des dizaines de milliers de victimes dans plus d’une trentaine de pays à travers le monde, appartenant aux secteurs ou milieux suivants : administrations et missions diplomatiques, télécommunications, aéronautique, énergie, recherche nucléaire, pétrole et gaz, défense, nanotechnologies, militants et érudits islamiques, médias, transports, établissements financiers ou encore développeurs de technologies de cryptage. Sept exploits utilisés par l’Equation Group dans ses malwares, dont au moins 4 comme « zero day » (ils ne sont donc plus inconnus, ndlr). En outre, des failles inconnues, peut-être « zero day », ont été exploitées contre Firefox 17, tout comme dans le navigateur Tor.

Pendant la phase d’infection, le groupe a la capacité d’exploiter dix vulnérabilités en chaîne. Cependant, les experts n’en ont constaté pas plus de 3 à la suite : si la première échoue, une deuxième est essayée, puis une troisième. En cas de triple échec, le système n’est pas infecté. Ce qui est assez étonnant car ZATAZ.COM a pu constater des « HQ » malveillants exploitant l’intégralité des failles, exploits disponibles au moment de l’attaque lancée par ce type d’outil.

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, Sauvegarde

Comment préserver les données confidentielles de sa messagerie ?

Google a récemment révélé à trois journalistes de Wikileaks que l’entreprise avait du fournir au FBI le contenu de leurs messageries suite à un mandat de perquisition resté secret. Une opération plutôt indélicate qui aurait pu être en partie contrée.

Lorsque l’on aborde la sécurité des données, on parle souvent de protection contre les cybercriminels ou contre les employés peu scrupuleux, prêts à partager les informations confidentielles de l’entreprise. On oublie souvent l’aspect juridique. Il arrive en effet que dans le cadre d’une enquête ou d’une procédure judiciaire, la justice donne accès à tout ou partie des données d’une entreprise ou d’une personne.

C’est la mésaventure qui est récemment arrivée à trois journalistes de Wikileaks qui ont été informés par Google, que ce dernier avait été contraint de fournir le contenu de leurs messageries et potentiellement d’autres informations sur eux au FBI. Cette démarche qui reste relativement exceptionnelle faisait suite à un mandat de perquisition secret.

Sans les révélations de Google, peu de chance que les journalistes eussent été informés. Cela pose néanmoins un problème de confiance. Comment se fait-il que Google ai attendu deux ans avant d’informer les journalistes de cette requête et qu’a-t-il fait de concret pour protéger les données de ses utilisateurs ? Certains rétorqueront qu’il ne fallait pas faire confiance à Google et à sa messagerie gratuite – « si c’est gratuit vous êtes le produit ». Néanmoins, entre une utilisation marketing de certaines informations stipulées dans les conditions d’utilisation et les révélations de ces informations dans le plus grand secret, il y a quand même une différence.

Comment protéger ses données sur le web ?
Aujourd’hui les données d’une entreprise ou des personnes sont stockées en plusieurs endroits : serveurs, disques externes, services Cloud et les différents terminaux (PC, tablettes, téléphones). Difficile d’assurer la sécurité de tous les terminaux à tout moment et d’être totalement sûr de la fiabilité de la protection assurée par les services tiers susceptibles d’être utilisés. Reste alors la solution de protéger la donnée elle-même.

Le chiffrement, une solution idéale !
Comme le définit Wikipedia « Le chiffrement est un procédé de cryptographie grâce auquel on souhaite rendre la compréhension d’un document impossible à toute personne qui n’a pas la clé de (dé)chiffrement. ». Le chiffrement présente donc un réel intérêt pour les entreprises ou les particuliers qui souhaitent protéger leurs données et les rendre illisibles, même (et surtout) en cas de vol. Il faudrait en effet déployer des efforts considérables et utiliser un matériel tel qu’un supercalculateur, pour avoir une chance de déchiffrer des données chiffrées obtenues de manière frauduleuse.

Une fois chiffrées, les données, où qu’elles se trouvent, ne peuvent effectivement être lues que par les personnes ayant connaissance du mot de passe. Qu’elles soient dans le périmètre de l’entreprise, dans le cloud, sur une clé USB ou qu’elles soient échangées par mail ou tout autre moyen, les données chiffrées resteront constamment protégées. Seul le détenteur de la clé de chiffrement pourra accéder au contenu des fichiers garantissant ainsi leur totale sécurité.

Et en cas de requête judiciaire ?
Pour en revenir au sujet des journalistes de Wikileaks, le chiffrement n’aurait pas empêché la justice d’obliger Google de livrer des données privées au FBI. Toutefois, sans la clé il est quasiment certain que le FBI aurait été incapable de lire ces dernières. De plus, si la justice peut vous contraindre à fournir votre clé, au moins vous êtes informé de la démarche et en mesure de pouvoir intervenir et de faire appel à un avocat.

Sur quels critères choisir sa solution de chiffrement ?
Le choix d’une solution de chiffrement doit être effectué avec soin. Mieux vaut éviter les solutions de chiffrement non validées ou gratuites dont la fiabilité n’est pas complètement garantie. Idéalement une entreprise devra porter son choix vers une solution certifiée par des organismes reconnus tel que l’ANSSI. Ensuite, il faut que cette solution garantisse à l’entreprise ou à l’utilisateur, et uniquement à ce dernier, la totale responsabilité en ce qui concerne la gestion des clés. Le chiffrement doit se faire sur votre système avec la clé conservée en interne. Si vous décidez d’opter pour le chiffrement et que vous restez maître de vos clés, alors la sécurité de vos données sera pleinement garantie. Des solutions telles que Zed! permettent à des utilisateurs de chiffrer très facilement des données confidentielles et de les échanger en toute sécurité que ce soit par mail, par téléchargement FTP ou au travers de solutions de type Cloud. Seuls les détenteurs de la clé permettant d’accéder aux données seront en mesure de lire ces dernières. Les données confidentielles sont ainsi protégées à tout moment, où qu’elles soient. Par Xavier Dreux, Responsable Marketing Prim’X.

Emploi, Entreprise, Sauvegarde

e-reputation des entreprises et des administrations

Une norme internationale – ISO 20488 – se prépare et la France est en tête de pont. Le comité technique international de normalisation « réputation en ligne » (ISO) a été créé à l’initiative de la France. AFNOR appelle tous les professionnels français de l’e-reputation à rejoindre la commission créée pour participer à la diffusion de leur savoir-faire dans le monde.

A l’international, les entreprises partagent toutes les mêmes problématiques. Leur réputation est désormais liée à la digitalisation des comportements des consommateurs. Les clients décident de ce qu’elles sont, ils le partagent à toute heure et dans toutes les langues. Le besoin de capitaliser sur les pratiques des professionnels d’e-réputation est partagé au niveau international. En mettant en commun leur savoir-faire en commission de normalisation AFNOR, les français pourront participer à la définition des outils et des méthodes de référence internationales de demain. Par des normes d’application volontaire, toutes les parties prenantes pourront partager des bonnes pratiques, et donc les faire connaître.

Les premières pistes de réflexion
·      Elaborer à l’échelle internationale une méthode fiable de traitement des avis de consommateurs,
sur la base de la 1ere norme française qui a ouvert la voie en 2013.
·      S’accorder sur un glossaire commun sur la e-réputation des organisations publiques et privées.
·      Etudier le rôle des médias sociaux et des autres outils dans les débats de normalisation.

D’abord renforcer la commission de normalisation française
La France est au coeur de norme internationale du projet pour plusieurs raisons.

1 – Son avance avec la 1ere norme française internationalement reconnue, publiée en 2013.

2 – Le pilotage du projet international confié à un français, Laurent Petit dialogue & digital skills manager de Décathlon et président du comité technique ISO « online reputation ». Son rôle : susciter un travail constructif entre tous les pays volontaires, créer un consensus, et  encourager d’autres pays à s’investir dans les travaux…

3 – La France s’engage aussi avec la volonté de diversifier la commission de normalisation nationale qui défendra nos couleurs dans les discussions internationales. Les représentants des voyagistes et des hôteliers, déjà très présents, doivent être rejoints par des professionnels de la e-reputation car la France a un vrai savoir-faire en la matière.

Les représentants de l’automobile, des nouvelles technologies, des équipements sportifs, des médicaments, du secteur des services, du secteur bancaire ont toute leur place au sein de la commission française.

Qui compose le comité de l’ISO sur l’e-reputation piloté par La France ?
27 pays représentés par des entreprises, des administrations et des associations de consommateurs. 9 ont le statut de participants actifs (Allemagne, Canada, Chine, Espagne, Finlande, France, Malaisie, Royaume-Uni et République Tchèque) ; 18 sont des observateurs, parmi les quels le Brésil, le Japon et l’Inde. Cette liste est appelée à évoluer selon les choix stratégiques opérés par les parties intéressées.
Le rôle d’AFNOR est de contribuer aux travaux des instances de normalisation européenne et internationale où 87% des normes volontaires, disponibles en France, ont été réalisées en 2014.

Les initiatives prises par les parties prenantes, les bureaux de normalisation sectoriels et AFNOR ont permis, en 2014, de maintenir la France en 2ème position en Europe et en 3ème place au niveau mondial (devant le Royaume-Uni et le Japon) en termes d’exercices de responsabilités au sein des instances de normalisation. Pour rejoindre la commission de normalisation française E-reputation.

Qu’est-ce qu’une norme volontaire ?
A la différence de la réglementation, une norme volontaire est une méthode de référence élaborée à la demande et avec le concours actifs des parties intéressées, réunies de manière représentative (industriels, consommateurs, associations, syndicats, collectivités locales…) par AFNOR. Elle est d’application optionnelle, sauf si la réglementation l’impose (1% des cas). Les normes volontaires fournissent des principes et des exigences pour une activité ou ses résultats. Elles sont revues systématiquement et a minima tous les cinq ans. Les utilisateurs décident de leur maintien, de leur mise à jour ou de leur annulation.

Les normes volontaires en chiffres
33 614 normes volontaires étaient disponibles à fin 2014. 756 nouvelles normes ont été publiées en 2014 (87% d’origine européenne ou internationale). 1 249 ont été mises à jour et 1790 ont été supprimées.