Archives quotidiennes :

BYOD, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Propriété Industrielle, Sauvegarde

Nécessité d’inspecter le trafic chiffré en entreprise

2 commentaires

Aujourd’hui Internet est le principal vecteur de menaces pour l’entreprise, qu’il s’agisse de menaces massives ou ciblées. Cela concerne toutes les formes d’utilisation d’Internet, aussi bien les sites web classiques, l’Internet 2.0 avec des pages web dynamiques, les applications web et utilisant le Cloud, les réseaux sociaux etc…

L’usage d’Internet évolue avec les nouvelles technologies, les employés utilisent de plus en plus de solutions liées au Cloud, des applications web, des terminaux mobiles et même leur propre équipement informatique. L’Internet mobile représentait 40% des connexions à Internet selon la dernière étude de l’INSEE. Quelques soient ces évolutions et les suivantes, tous ces usages utilisent les flux Internet, et donc le vecteur de propagation des menaces ne change pas.

Toute entreprise devrait être en mesure de protéger ses actifs. Pour cela, elle se doit d’être capable d’analyser la totalité des flux transitant par Internet pour pouvoir bloquer les menaces connues et identifier les objets qui pourraient être des menaces inconnues. Elle doit donc pouvoir inspecter 100% du trafic.

L’accroissement du trafic chiffré

On constate une augmentation importante du volume des flux chiffrés sur Internet. On estime, en moyenne, que le trafic chiffré représente déjà entre 25 et 35% du trafic web entrant dans les entreprises. Hors si auparavant le trafic chiffré était à l’initiative de l’utilisateur qui souhaitait garantir la confidentialité de ses informations lorsqu’il se connectait à certains sites comme les sites bancaire, l’administration, un paiement en ligne… désormais ce n’est plus le cas. Le plus simple exemple est de taper l’adresse http://www.google.fr dans votre navigateur. Surprise, c’est l’adresse https://www.google.fr  qui apparaîtra quand la page va s’afficher. C’est le serveur de Google qui a lancé le chiffrement de cette connexion, sans que vous l’ayez demandé.

Force est de constater que la majorité des sites et applications sur Internet chiffrent leur trafic sans que l’utilisateur en ai fait la demande. Et ce phénomène ne va aller qu’en s’accélérant. Pour preuve, Google a récemment annoncé qu’il référencerait mieux dans son moteur de recherche les sites utilisant un trafic chiffré. Quand on connait l’importance d’avoir un bon référencement dans le premier moteur de recherche du monde, on comprend aisément que la majorité des sites web vont accélérer leur passage au trafic chiffré ! Autre donnée qui va dans le même sens, le laboratoire indépendant NSS Labs estime que le trafic chiffré connait actuellement une croissance de 20% chaque année.

Même si l’utilisation du SSL est censée accroitre la sécurité des données qui transitent, cela pose un vrai problème pour les entreprises. Car dans ces 25 à 35% des flux Internet qui sont chiffrés, les outils de sécurité déployés par l’entreprise ne peuvent pas effectuer leurs missions correctement, quel que soit l’outil utilisé : un anti-virus, un IPS, du contrôle de contenu, un SIEM…

On estime que 80% des attaques complexes (APT – Advanced Persistent Threat) utilisent les connections SSL. La découverte de la faille HeartBleed a montrée au grand jour à quel point un problème sur le trafic chiffré pouvait toucher les entreprises. La grande majorité des entreprises ont dû prendre des dispositions suite à cette découverte.

Que doit faire l’entreprise pour garantir sa sécurité face à la croissance des flux chiffrés ?

Pour garantir le même niveau de sécurité, il faut que l’entreprise soit capable de déchiffrer les trafics SSL, et la technique existe depuis plusieurs années, le « Man in the Middle ». Cela n’est pas si simple à mettre en œuvre. D’abord, l’entreprise doit respecter les réglementations et donc elle doit mettre en place des politiques de déchiffrement, c’est-à-dire définir ce qui doit être déchiffré et ce qui ne doit pas l’être, avec la mise en place de catégories de sites, de type de profils d’utilisateurs etc… Il faut également que le processus de déchiffrement n’ai pas d’impact sur l’expérience utilisateur, hors cela consomme beaucoup de ressources de déchiffrer un flux Internet.

Une étude récente du NSS Labs (un test sur 7 firewalls de dernière génération) montre que l’impact sur le déchiffrement est double :

– En premier lieu cette opération entraine une diminution drastique de la capacité de traitement globale et une baisse des performances de 74% ! Et ces résultats ne concernent que les sites web utilisant une clé de chiffrement de 512 ou de 1024 bits. La chute des performances atteint 80% lorsque les clés de chiffrement utilisées sont de 2048 bits.

– Deuxièmement, l’étude constate également une diminution très important du nombre de transactions traitées par ces firewalls, pourtant de nouvelle génération, la baisse allant de 86,8% (avec des clés de 512 bits) jusqu’à 92.28% pour des clés de 2048 bits.

Il faut prévoir que cette baisse de performances va être accentuée dans les déploiements de l’infrastructure de sécurité « en silo » c’est à dire où chaque outils de sécurité fonctionne indépendamment.

Que faire ?

Dans un monde idéal, l’entreprise doit pouvoir bénéficier d’une technologie haute performance capable de d’effectuer du déchiffrement à haute vitesse (40 Gbits), sur laquelle l’entreprise sera en mesure de mettre en place une politique de déchiffrement basé sur le contexte (catégorie de site, provenance, destination, profil d’utilisateur…) et qui devra être en capacité d’alimenter différentes solutions de sécurité afin de garantir qu’une fois déchiffré, le trafic bénéficie du même niveau de contrôle que le trafic en clair. (Par Dominique Loiselet, Blue Coat)

Cybersécurité, Virus

Les cyber-attaques MiniDuke font leur retour en France

Des chercheurs découvrent que les implants MiniDuke mis à jour en 2013 n’ont pas disparu et sont même utilisés dans le cadre de cyber attaques actives ciblant les gouvernements et d’autres entités.

En outre, la nouvelle plate-forme MiniDuke, appelée BotGenStudio, pourrait non seulement être utilisée par des cybercriminels dans le cadre d’attaques ciblées, mais également par des forces de l’ordre et des criminels traditionnels. La nouvelle vague d’attaques enregistrée en 2014 est quelque peu différente de celle décelée en 2013.

Mode opératoire

La nouvelle backdoor principale de MiniDuke (appelé TinyBaron ou CosmicDuke) est codée grâce à un framework personnalisable appelé BotGenStudio. Il est suffisamment flexible pour activer ou désactiver des composants lorsque le bot est construit. Les composants peuvent être divisés en 3 groupes : persistance (le malware peut se lancer via Windows Task Scheduler), reconnaissance (le malware peut voler un grand nombre d’informations) et exfiltration (le malware dépose plusieurs connecteurs réseaux pour aspirer les données)

Typologie de cibles

Alors qu’en 2013 MiniDuke était utilisé pour cibler des entités gouvernementales, la nouvelle version CosmicDuke cible également les organisations diplomatiques, le secteur de l’énergie, les opérateurs télécoms, des prestataires dans l’armée mais également des individus impliqués dans la vente et le trafic de substance illicites (notamment des stéroïdes et des hormones).

Zones géographiques ciblées

Les utilisateurs des anciens serveurs MiniDuke ciblent la France, l’Australie, la Belgique, l’Allemagne, la Hongrie, les Pays-Bas, l’Espagne, l’Ukraine et les Etats-Unis. CosmicDuke est plutôt intéressé par la Grande Bretagne, les Etats Unis, la Géorgie, la Russie, le Kazakhstan, l’Inde, le Belarus, Chypre, l’Ukraine et la Lituanie.

Rythme de travail classique

Les cybercriminels semblent travailler selon un rythme de travail classique du lundi au vendredi, même s’il leur arrive de travailler le week-end également. Leurs horaires de travail sont également classiques : de 7h à 20h CET (mais la majeur partie du travail est réalisée entre 7h et 17h). (Kaspersky)

BYOD, Cloud, Entreprise, Fuite de données

Risques de violation de données liés à la sécurité d’impression

Dans l’environnement commercial actuel, les entreprises ont plus tendance à subir les dangers de faiblesses subtiles et dissimulées que ceux de menaces puissantes et évidentes.

Avec l’évolution de la technologie, les entreprises modernes se développent constamment pour répondre aux besoins du monde du travail. Malheureusement, la conséquence de cette évolution peut être que des fonctions de sécurité d’impression peuvent passer inaperçues. Ce problème n’est pas forcément majeur, mais une étude réalisée par Ponemon en 2013 indique que les violations de données peuvent coûter jusqu’à 5 millions de US$ par an dans certains pays. L’étude révèle aussi qu’un pourcentage important de ce chiffre était dû à un manque de solutions d’impression sécurisée pour protéger les entreprises des violations de données.

Découvrir les risques

On estime qu’il existe trois types principaux de violations de données en raison d’une sécurité d’impression inadéquate. La plus courante est la violation de données avec intention de nuire. Quand les données privées et sensibles sont imprimées régulièrement, si elles tombent entre de mauvaises mains, les conséquences peuvent être coûteuses pour l’entreprise. Les violations de données sont devenues plus courantes au fur et à mesure que les entreprises utilisent le Cloud dans leur travail. Les informations sont maintenant plus faciles à extraire car elles peuvent être interceptées de façon virtuelle au lieu de les récupérer sur place. Le risque de vol interne existe toujours.

L’erreur humaine peut aussi être un facteur entraînant des violations de données. Choisir accidentellement la mauvaise imprimante de bureauet envoyer un document sensible sur le mauvais réseau peuvent avoir des conséquences graves pour l’entreprise. Éliminer l’élément humain de ce processus n’éliminera pas nécessairement le problème. Si un réseau d’impression est connecté de façon incorrecte au Cloud, les documents peuvent se perdre. L’erreur humaine n’a donc rien à voir dans ce cas.

Éviter les risques

Les entreprises qui traitent de données sensibles ont des mesures de sécurité leur permettant de protéger leur propriété intellectuelle. Appliquer ces mesures de sécurité aux réseaux d’impression contribue à réduire le nombre de violations de données. La première mesure à prendre pour protéger la sécurité des réseaux d’impression est d’introduire des contrôles des privilèges d’impression des collaborateurs. Il est possible de réduire le nombre de vols internes en réduisant le nombre de collaborateurs ayant accès et pouvant imprimer des données sensibles. Il est toujours possible de contourner un système de sécurité et donc de réduire l’erreur humaine. Les données peuvent toujours être violées.

Quand vous mettez en place un réseau d’impression sécurisé, il est important de faire appel à un spécialiste informatique car les erreurs de programmation et de mise en réseau peuvent affecter la précision des réseaux et donc être plus coûteux au long terme. Si le réseau est mis en place correctement, la fonction de mode d’impression sécurisé, courante sur la plupart des appareils compatibles avec le Cloud, peut réduire considérablement le nombre de violations de données provoquées par des défaillances informatiques. Bien entendu, ceci dépend de la précision d’installation du réseau de sécurité

Si la gestion de la sécurité d’impression est bien planifiée et mise en place, la protection de la propriété intellectuelle d’une entreprise sera simple et les violations seront réduites de façon considérable.