Archives mensuelles : février 2015

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, Sauvegarde

Comment préserver les données confidentielles de sa messagerie ?

Google a récemment révélé à trois journalistes de Wikileaks que l’entreprise avait du fournir au FBI le contenu de leurs messageries suite à un mandat de perquisition resté secret. Une opération plutôt indélicate qui aurait pu être en partie contrée.

Lorsque l’on aborde la sécurité des données, on parle souvent de protection contre les cybercriminels ou contre les employés peu scrupuleux, prêts à partager les informations confidentielles de l’entreprise. On oublie souvent l’aspect juridique. Il arrive en effet que dans le cadre d’une enquête ou d’une procédure judiciaire, la justice donne accès à tout ou partie des données d’une entreprise ou d’une personne.

C’est la mésaventure qui est récemment arrivée à trois journalistes de Wikileaks qui ont été informés par Google, que ce dernier avait été contraint de fournir le contenu de leurs messageries et potentiellement d’autres informations sur eux au FBI. Cette démarche qui reste relativement exceptionnelle faisait suite à un mandat de perquisition secret.

Sans les révélations de Google, peu de chance que les journalistes eussent été informés. Cela pose néanmoins un problème de confiance. Comment se fait-il que Google ai attendu deux ans avant d’informer les journalistes de cette requête et qu’a-t-il fait de concret pour protéger les données de ses utilisateurs ? Certains rétorqueront qu’il ne fallait pas faire confiance à Google et à sa messagerie gratuite – « si c’est gratuit vous êtes le produit ». Néanmoins, entre une utilisation marketing de certaines informations stipulées dans les conditions d’utilisation et les révélations de ces informations dans le plus grand secret, il y a quand même une différence.

Comment protéger ses données sur le web ?
Aujourd’hui les données d’une entreprise ou des personnes sont stockées en plusieurs endroits : serveurs, disques externes, services Cloud et les différents terminaux (PC, tablettes, téléphones). Difficile d’assurer la sécurité de tous les terminaux à tout moment et d’être totalement sûr de la fiabilité de la protection assurée par les services tiers susceptibles d’être utilisés. Reste alors la solution de protéger la donnée elle-même.

Le chiffrement, une solution idéale !
Comme le définit Wikipedia « Le chiffrement est un procédé de cryptographie grâce auquel on souhaite rendre la compréhension d’un document impossible à toute personne qui n’a pas la clé de (dé)chiffrement. ». Le chiffrement présente donc un réel intérêt pour les entreprises ou les particuliers qui souhaitent protéger leurs données et les rendre illisibles, même (et surtout) en cas de vol. Il faudrait en effet déployer des efforts considérables et utiliser un matériel tel qu’un supercalculateur, pour avoir une chance de déchiffrer des données chiffrées obtenues de manière frauduleuse.

Une fois chiffrées, les données, où qu’elles se trouvent, ne peuvent effectivement être lues que par les personnes ayant connaissance du mot de passe. Qu’elles soient dans le périmètre de l’entreprise, dans le cloud, sur une clé USB ou qu’elles soient échangées par mail ou tout autre moyen, les données chiffrées resteront constamment protégées. Seul le détenteur de la clé de chiffrement pourra accéder au contenu des fichiers garantissant ainsi leur totale sécurité.

Et en cas de requête judiciaire ?
Pour en revenir au sujet des journalistes de Wikileaks, le chiffrement n’aurait pas empêché la justice d’obliger Google de livrer des données privées au FBI. Toutefois, sans la clé il est quasiment certain que le FBI aurait été incapable de lire ces dernières. De plus, si la justice peut vous contraindre à fournir votre clé, au moins vous êtes informé de la démarche et en mesure de pouvoir intervenir et de faire appel à un avocat.

Sur quels critères choisir sa solution de chiffrement ?
Le choix d’une solution de chiffrement doit être effectué avec soin. Mieux vaut éviter les solutions de chiffrement non validées ou gratuites dont la fiabilité n’est pas complètement garantie. Idéalement une entreprise devra porter son choix vers une solution certifiée par des organismes reconnus tel que l’ANSSI. Ensuite, il faut que cette solution garantisse à l’entreprise ou à l’utilisateur, et uniquement à ce dernier, la totale responsabilité en ce qui concerne la gestion des clés. Le chiffrement doit se faire sur votre système avec la clé conservée en interne. Si vous décidez d’opter pour le chiffrement et que vous restez maître de vos clés, alors la sécurité de vos données sera pleinement garantie. Des solutions telles que Zed! permettent à des utilisateurs de chiffrer très facilement des données confidentielles et de les échanger en toute sécurité que ce soit par mail, par téléchargement FTP ou au travers de solutions de type Cloud. Seuls les détenteurs de la clé permettant d’accéder aux données seront en mesure de lire ces dernières. Les données confidentielles sont ainsi protégées à tout moment, où qu’elles soient. Par Xavier Dreux, Responsable Marketing Prim’X.

Emploi, Entreprise, ID, Identité numérique, Particuliers, Propriété Industrielle

Bon plan

Découvrez les dernières innovations technologiques le 14 et 15 mars au Grand Palais de Lille.

Google Glass, Oculus Rift, objets connectées, imprimantes 3D, drones… L’innovation, ce n’est pas qu’en Californie ! Le 14 et 15 mars, vous aurez l’opportunité d’essayer ces technologies du futur lors de la 3ème édition du salon HelloWorld!.

Le Forum HelloWorld! est le salon Lillois consacré aux nouvelles technologies. C’est un véritable moment d’échange, où les professionnels issus du numérique  et le grand public se côtoient pendant deux jours. L’innovation est mise à l’honneur, et permet aux visiteurs de découvrir les nouvelles créations et tendances. Des grandes entreprises comme Microsoft, IBM ou OVH aux jeunes startups, ce ne sont pas moins de 30 exposants qui présenteront les nouveautés sur 1500 m².

De nombreuses animations et tests auront lieu : tests des Google Glass, de l’Oculus Rift, de montres et bracelets connectées, de drones Parrot, tests de plusieurs jeux vidéo en avant-première. Envie d’aller plus loin ? Certaines entreprises prestigieuses et d’envergures mondiales ouvriront leurs portes. N’oubliez pas d’amener votre CV, comme l’ont fait plus de 200 étudiants l’an dernier !

Un tournoi LAN de jeux vidéo inter-écoles, la HelloWorld!CUP, sera organisée en parallèle. Des étudiants de toute la France viendront représenter leurs écoles et s’affronteront pour tenter de remporter 10000€ de lots sur les célèbres jeux League of Legends et HearthStone. Ce moment de convivialité et de festivité sera commenté par des professionnels de l’eSport, et des pizzas et boissons seront distribués gratuitement à tous les joueurs.

le salon du numérique se déroulera du 14 au 15 mars à Lille Grand Palais de 9h à 18h. Entrée Gratuite.

Emploi, Entreprise, Sauvegarde

e-reputation des entreprises et des administrations

Une norme internationale – ISO 20488 – se prépare et la France est en tête de pont. Le comité technique international de normalisation « réputation en ligne » (ISO) a été créé à l’initiative de la France. AFNOR appelle tous les professionnels français de l’e-reputation à rejoindre la commission créée pour participer à la diffusion de leur savoir-faire dans le monde.

A l’international, les entreprises partagent toutes les mêmes problématiques. Leur réputation est désormais liée à la digitalisation des comportements des consommateurs. Les clients décident de ce qu’elles sont, ils le partagent à toute heure et dans toutes les langues. Le besoin de capitaliser sur les pratiques des professionnels d’e-réputation est partagé au niveau international. En mettant en commun leur savoir-faire en commission de normalisation AFNOR, les français pourront participer à la définition des outils et des méthodes de référence internationales de demain. Par des normes d’application volontaire, toutes les parties prenantes pourront partager des bonnes pratiques, et donc les faire connaître.

Les premières pistes de réflexion
·      Elaborer à l’échelle internationale une méthode fiable de traitement des avis de consommateurs,
sur la base de la 1ere norme française qui a ouvert la voie en 2013.
·      S’accorder sur un glossaire commun sur la e-réputation des organisations publiques et privées.
·      Etudier le rôle des médias sociaux et des autres outils dans les débats de normalisation.

D’abord renforcer la commission de normalisation française
La France est au coeur de norme internationale du projet pour plusieurs raisons.

1 – Son avance avec la 1ere norme française internationalement reconnue, publiée en 2013.

2 – Le pilotage du projet international confié à un français, Laurent Petit dialogue & digital skills manager de Décathlon et président du comité technique ISO « online reputation ». Son rôle : susciter un travail constructif entre tous les pays volontaires, créer un consensus, et  encourager d’autres pays à s’investir dans les travaux…

3 – La France s’engage aussi avec la volonté de diversifier la commission de normalisation nationale qui défendra nos couleurs dans les discussions internationales. Les représentants des voyagistes et des hôteliers, déjà très présents, doivent être rejoints par des professionnels de la e-reputation car la France a un vrai savoir-faire en la matière.

Les représentants de l’automobile, des nouvelles technologies, des équipements sportifs, des médicaments, du secteur des services, du secteur bancaire ont toute leur place au sein de la commission française.

Qui compose le comité de l’ISO sur l’e-reputation piloté par La France ?
27 pays représentés par des entreprises, des administrations et des associations de consommateurs. 9 ont le statut de participants actifs (Allemagne, Canada, Chine, Espagne, Finlande, France, Malaisie, Royaume-Uni et République Tchèque) ; 18 sont des observateurs, parmi les quels le Brésil, le Japon et l’Inde. Cette liste est appelée à évoluer selon les choix stratégiques opérés par les parties intéressées.
Le rôle d’AFNOR est de contribuer aux travaux des instances de normalisation européenne et internationale où 87% des normes volontaires, disponibles en France, ont été réalisées en 2014.

Les initiatives prises par les parties prenantes, les bureaux de normalisation sectoriels et AFNOR ont permis, en 2014, de maintenir la France en 2ème position en Europe et en 3ème place au niveau mondial (devant le Royaume-Uni et le Japon) en termes d’exercices de responsabilités au sein des instances de normalisation. Pour rejoindre la commission de normalisation française E-reputation.

Qu’est-ce qu’une norme volontaire ?
A la différence de la réglementation, une norme volontaire est une méthode de référence élaborée à la demande et avec le concours actifs des parties intéressées, réunies de manière représentative (industriels, consommateurs, associations, syndicats, collectivités locales…) par AFNOR. Elle est d’application optionnelle, sauf si la réglementation l’impose (1% des cas). Les normes volontaires fournissent des principes et des exigences pour une activité ou ses résultats. Elles sont revues systématiquement et a minima tous les cinq ans. Les utilisateurs décident de leur maintien, de leur mise à jour ou de leur annulation.

Les normes volontaires en chiffres
33 614 normes volontaires étaient disponibles à fin 2014. 756 nouvelles normes ont été publiées en 2014 (87% d’origine européenne ou internationale). 1 249 ont été mises à jour et 1790 ont été supprimées.

Adobe, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Logiciels, Mise à jour, Patch, Piratage, Propriété Industrielle

Nouvelle vulnérabilité zero-day dans Adobe Flash

Un commentaire

Trend Micro, éditeur de logiciel et solutions de sécurité, a identifié le week-end dernier une nouvelle vulnérabilité 0day affectant Adobe Flash Player, la troisième depuis le début de l’année ! Confirmée par Adobe mais pas encore patchée, cette faille expose plus d’un milliard d’ordinateurs utilisant la dernière version d’Adobe Flash.

Dans un post publié hier sur leur blog, les chercheurs de Trend Micro expliquent que cette vulnérabilité est semblable à celle de la semaine dernière, qui affectait les produits Flash pour Windows. Les attaques sont en effet menées via des publicités en ligne malveillantes, une technique appelée « malvertising ».

L’attaque révélée hier est en cours depuis le 14 janvier et s’est intensifiée à partir du 27 janvier. 3 294 compromissions ont déjà été détectées par les chercheurs sur l’un des sites concernés. Dailymotion.com est l’un des premiers sites où ces attaques ont été détectées.

« Il s’agit de la troisième vulnérabilité découverte depuis le début de l’année dans ce logiciel très répandu chez les particuliers et au sein des entreprises ! Un incident qui rappelle l’importance du Virtual Patching », commente à DataSecurityBreach.fr Loïc Guézo, de chez Trend Micro. « Cette démarche est essentielle pour compenser le temps nécessaire à l’éditeur concerné pour publier son patch correctif. Des délais parfois très longs ! De plus, certains patches sont incorrects, comme c’est arrivé avec Heartbleed, ou n’arrivent tout simplement jamais si les systèmes ne disposent plus de support, comme c’est le cas pour les anciennes versions de Windows. »

Il est recommandé aux entreprises ne disposant pas d’un système de sécurité adéquat de désactiver Adobe Flash Player en attendant qu’un patch de sécurité soit disponible. Data Security Breach en profite pour vous rappeler de vous méfier des fausses mises à jour [lire].

Cybersécurité, Entreprise, Fuite de données, Logiciels, Propriété Industrielle

Enterprise Immune System : combattre pro activement les cybermenaces

Un commentaire

Darktrace est une société de cyberdéfense britannique, fondée en 2013 par des mathématiciens de l’Université de Cambridge. DataSecurityBreach.fr va vous proposer  de découvrir une nouvelle catégorie de technologie, appelée « Enterprise Immune System ». Elle permet aux entreprises de se défendre contre les cybermenaces avancées d’aujourd’hui, de façon proactive. Son socle technologique est basé sur des avancées récentes dans le domaine des mathématiques probabilistes et de l’apprentissage automatique. Découverte de Darktrace !

DataSecurityBreach.fr :  Qu’est-ce qu’un « système immunitaire d’entreprise » ?
DarkTrace : Le « système immunitaire d’entreprise » est une nouvelle approche de cyberdéfense, qui prend comme point de départ l’inévitable infiltration des réseaux d’entreprise. De la même façon que le corps humain est constamment attaqué par des bactéries et des virus, les entreprises sont également exposées à une gamme de menaces complexes qui ne sont pas prévisibles à l’avance. Le système immunitaire du corps humain nous permet de gérer ces attaques constantes tout en apprenant ce qui fait partie de « nous-mêmes » et ainsi en repérant ce qui est « anormal » en mode adaptatif. Cette capacité d’auto-apprentissage est aussi primordiale pour les stratégies de cyberdéfense d’avenir, permettant ainsi aux entreprises de détecter, en temps réel, des menaces potentielles à l’intérieur de leur système et de les stopper avant qu’elles ne deviennent des incidents nuisibles.

DataSecurityBreach.fr :  Cela fonctionne comment ?
DT : Le « système immunitaire d’entreprise » s’inspire du corps humain qui a la même capacité de repérer des éléments étrangers qui pourraient représenter une menace  mais aussi de « se connaître » et de « s’apprendre » de manière évolutive. La technologie « Enterprise Immune System » repose sur des mathématiques et des techniques d’apprentissage automatique très pointues qui analysent en temps réel les comportements de chaque machine, chaque individu et de l’entreprise dans sa globalité, tout en s’adaptant dynamiquement à leur évolution. Avec ces modèles probabilistes, le système immunitaire d’entreprise établit une compréhension de la « normalité » (pattern of life) qui change constamment selon les activités de l’entreprise, des utilisateurs et des machines. Ce système est capable de repérer les comportements anormaux, au fur et à mesure que ceux-ci apparaissent.

DataSecurityBreach.fr :  Identifier une menace qui n’existe pas encore publiquement (0day) demande de connaître cette menace, Darktrace fait comment pour y arriver ?
DT : Il est impossible de prédire chaque menace à l’avance. Nous faisons face à de plus en plus attaques ciblées, menées par des personnes compétentes qui savent se cacher dans le bruit d’un réseau. Il y a aussi la menace interne, provenant des employés, qui est souvent sous-estimée, car elle est très difficile à détecter. Darktrace fait des calculs probabilistes selon des évidences informatiques changeantes, corrélant des traces d’activité faibles pour établir une vue d’ensemble de normalité et anormalité. Ce processus se passe en temps réel, ce qui nous donne la meilleure opportunité de détecter de vraies menaces qui n’ont pas encore été identifiées.

DataSecurityBreach.fr :  Achetez-vous des 0day pour être capable d’agir en amont ?
DT : Non. Toute la valeur de l’approche du « système immunitaire »’ repose sur l’auto-apprentissage de la plateforme Darktrace, qui n’a pas besoin de connaissances « a priori » sur les menaces déjà existantes ou des règles prédéfinies.

DataSecurityBreach.fr :  Qu’est-ce qu’une activité anormale dans une entreprise ?
DT : Une activité anormale peut être n’importe quelle action ou comportement qui sort du tissu de vie « normal » pour l’entreprise dans sa globalité, une machine ou une personne, ou bien l’ensemble de ces trois éléments. Darktrace prend en compte la mesure de 300 dimensions d’activité pour avoir une visibilité très riche de ce qui se passe à l’intérieur de l’entreprise – par exemple, l’heure normale de connexion au réseau par un employé le matin, les dossiers qu’il utilise souvent, le volume de données envoyées et ses destinations. – etc. Chaque entreprise est différente, alors Darktrace apprend la ‘normalité’ pour chaque client de manière évolutive.

DataSecurityBreach.fr : Les mathématiques (Recursive Bayesian Estimation) seraient-elle plus forte que les pirates/les malveillants/… ?
DT : Les mathématiques probabilistes, y compris le « Recursive Bayesian Estimation », représente une innovation fondamentale dans ce domaine qui aident les organisations de reprendre l’avantage sur l’attaqueur ou des menaces potentielles. Grace à sa vision globale de l’entreprise digitale, Darktrace permet aux organisations de voir – pour la première fois – la topologie de leurs systèmes d’informations en temps réel. Fort de cette surveillance probabiliste, le défendeur est capable d’anticiper les signes de compromission subtils, avant que les malveillants et les attaqueurs aient l’opportunité de voler des informations ou de nuire à l’organisation.

DataSecurityBreach.fr :  Travailler sur le comportement (le soi) de ses employés pour en extraire des comportements « illicites », n’est-ce pas un problème d’un cyber espionnage en entreprise, à l’insu des employés ?
DT : Non ce n’est pas un problème, Darktrace ne lit pas le contenu des données qu’elle analyse, et la consommation de ces données est passive. Nos modèles mathématiques détectent les anomalies automatiquement, et n’alertent l’opérateur de sécurité qu’en cas d’anomalie suspecte.

DataSecurityBreach.fr : Darktrace est capable de gérer ses menaces « inconnues » aujourd’hui, mais certains peuvent agir/se lancer demain, comment gérer le risque de faux positif ?
DT : Les menaces présentes et futures sont traitées de la même façon par Darktrace. Les attaques sont identifiées avant qu’elles lancent de manière définitive de façon proactive. La puissance des modèles mathématiques probabilistes de Darktrace est telle que le nombre de faux positifs typique est radicalement réduit. Il est impossible d’adresser chaque violation de politique ou problème potentiel. Mais comme les probabilités se mettent en œuvre dès l’installation, tout comme l’apprentissage du système qui se construit en temps réel, tout en étant auto-apprenant, cela permet d’éviter les faux positifs et rend l’utilisation de Darktrace unique et extrêmement efficace. Par définition l’utilisation de Darktrace permet d’anticiper les potentialités malveillantes qui n’ont jamais été rencontrées. Grâce à son modèle comportemental, le « système immunitaire d’entreprise » est capable non pas de prédire, mais de se prémunir d’attaque jamais rencontrée auparavant.

Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage

Cyberattaques de points de vente

Comme le montrent les titres de la presse depuis quelques mois, les pirates font preuve de plus en plus de ressources quand il s’agit de traverser les pare-feu des entreprises pour attaquer directement les terminaux des points de vente et leurs serveurs back-end. Si le service informatique ne peut les empêcher d’entrer par la porte, existe-t-il une seconde ligne de défense permettant au moins de contenir les cybervoleurs une fois que ceux-ci se trouvent à l’intérieur ?

Le modus operandi des pirates reste relativement simple dans le cas des attaques liées à la vente au détail. Ils pénètrent dans le poste fixe ou le portable d’un utilisateur par phishing ou en devinant le mot de passe. L’injection SQL, un autre vecteur d’attaque éprouvé, peut également avoir été employée lors d’une certaine occasion.

Dans tous les cas, les cybervoleurs ont contourné les vérifications de périmètre et les défenses anti-intrusion pour lesquelles les entreprises ont dépensé des centaines de millions de dollars ou d’euros. La détection antivirus traditionnelle ne peut, au mieux, que rester au fait des signatures les plus récentes. De plus, les programmes malveillants comportent maintenant des routines anti-investigation qui déjouent les stratégies de blocage de base. Mais il existe une furtivité encore plus grande dans ces attaques.

L’art de la furtivité
Après avoir examiné de nombreux incidents réels, je peux vous dire que les pirates testent les vulnérabilités d’authentification de manière réflexe dès leur entrée, au moyen de Pass the Hash, de rainbow tables, etc.

Si vous voulez des statistiques plus précises, le Rapport d’enquête sur les compromissions de données de Verizon Data Breach indique qu’environ 80 % des incidents de piratage comportent une attaque de type authentification.

La stratégie des pirates consiste à moissonner autant d’informations d’identification que possible. Le logiciel de surveillance les voit comme de simples utilisateurs lors de leur passage furtif de serveur en serveur. Leur objectif ultime est d’obtenir les informations d’identification d’un utilisateur avancé disposant de permissions élevées afin de pouvoir aboutir au serveur contenant les données les plus précieuses.

À partir de là, leur outil malveillant préféré est la ligne de commande habituelle : ils copient les fichiers vers un serveur spécial à partir duquel les informations de carte de crédit seront finalement extraites.

En quoi consiste un programme malveillant exactement ?
Cette question mène à des considérations plus vastes sur la disparition des limites entre programmes malveillants et vrais logiciels. Nombre de logiciels que les pirates chargent après leur arrivée sont souvent les mêmes que ceux utilisés par les services de sécurité informatique.

Les outils présents dans la panoplie d’un pirate peuvent comprendre PWDump (extraction de chaînes de hachage), Netview (mappage des connexions réseau), Psll (listeur de processus) et CheckSQL (force brute appliquée aux comptes SQL). Tous se trouvent dans une zone d’ombre et ne sont pas entièrement inappropriés dans le dossier d’un administrateur système. Ainsi, leur existence ne prouve pas nécessairement qu’un système a été compromis.

L’essentiel à retenir : si vous comptez sur les logiciels commerciaux de détection d’intrusion pour analyser la liste de « programmes malveillants » ci-dessus, vous finirez par lever beaucoup de faux lièvres.

Faire le premier pas
Sans surprise, il existe différentes approches pour réduire les risques. Lorsque les cyber voleurs passent les premiers murs de défense, certains voient la situation comme un autre problème de périmètre : un problème interne résolu au mieux par une meilleure architecture réseau (c.-à-d. en isolant les serveurs et les terminaux PDV de tout le reste). Mais les autres (moi y compris) pensent qu’il vaut mieux concentrer les efforts de sécurité sur les défenses se trouvant vers le haut de la pile, à savoir au niveau de l’OS. Toutefois, lors de mes propres conversations avec les pros de la sécurité d’une grande société d’antivirus, j’ai découvert qu’il existe un consensus sur quelques mesures de prévention. Outre la mise en place de politiques de mot de passe strictes, l’action suivante consiste à restreindre les connexions réseau à distance à partir des machines des utilisateurs ordinaires.

Pourquoi cela ?
Il faut empêcher les intrus de repartir depuis leur point d’entrée initial. Malheureusement, dans de nombreux environnements Windows, les services de connexion à distance au PC sont souvent largement activés et les pirates peuvent confortablement s’y connecter et même lancer l’interface utilisateur depuis la ligne de commande. Ce risque peut être réduit en limitant le nombre d’utilisateurs et d’ordinateurs capable d’effectuer des connexions via RDP (Remote Desktop Protocol). Les administrateurs peuvent le faire au moyen de l’éditeur d’objets de stratégie de groupe (GPO : Group Policy Object), en naviguant vers les Composants Windows | Hôte de session Bureau à distance | Connexions. Ils pourront également configurer la stratégie Attribution des droits utilisateur. Vous pouvez en savoir plus sur cette procédure ici. (Par Norman Girard, Vice Président et directeur général Europe de Varonis)

Cybersécurité, Espionnae, Facebook, Fuite de données, Identité numérique, Particuliers, Social engineering

Connaître vos ami(e)s sur Facebook, un jeu d’enfant

Facebook permet de protéger son compte des regards non autorisés. Lorsqu’une personne configure correctement son profile, la protection des informations et des ami(e)s semble correcte… ou pas.

Voici un bug qui affiche vos ami(e)s alors normalement invisbles. Mario Gosparini, analyste et développeur R&D, explique ce problème qui permet de retrouver l’identité de vos ami(e)s. Plutôt génant quand on sait la vivacité des escrocs à intervenir sur Facebook.

Etonnant, le « truc » jongle avec les personnes inscrites sur votre compte et une url qu’il suffit de manipuler : facebook.com/{ pseudo de la personne cible}/friends?and={ pseudo de l’ami de la personne cible }&sk=friends.

Grace à ce lien « modifié », les visages des ami(e)s des ami(e)s permet de faire ressortir les ami(e)s en commun. « Du coup de fil en aiguille en prenant chaque amis et en utilisant un lien spéciale, je peux comparer les amis des 2 personnes, et récupérer progressivement la liste des amis intégralement« . C’est long, mais c’est efficace. (Dyrk)

Biométrie, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données

La biométrie peut-elle vraiment remplacer les mots de passe ?

Les hackers du Chaos Computer Club ont réussir, fin décembre, à reproduire l’empreinte digitale du ministre allemand de la défense à partir de photos publiques en haute définition. Sachant qu’ils avaient précédemment montré qu’ils savent utiliser ces empreintes reconstituées sur les capteurs des téléphones portables grand public… Prenons un peu de recul et analysons ce que cela veut dire pour l’avenir de l’authentification en ligne. Par Emmanuel Schalit, CEO de Dashlane.

Il y a traditionnellement trois types de facteurs qui permettent d’authentifier un individu :
·         Ce qu’il sait (mot de passe, code pin, question secrète…)
·         Ce qu’il possède (jetons, cartes…)
·         Ce qu’il est (signature de l’iris, empreinte digitale…)

Les systèmes informatiques très sensibles des gouvernements ou des grandes entreprises utilisent souvent des processus d’authentification forte, multi facteurs, qui requièrent la mise en œuvre de deux ou trois facteurs parmi les trois types citées ci-dessus. Les sites Internet grand public quant à eux utilisent des systèmes d’authentification simples, basés sur un identifiant et un mot de passe connu uniquement de l’utilisateur. Pour des raisons pratiques, les consommateurs ne sont pas prêts à utiliser des systèmes multi facteurs sur les dizaines de sites web qu’ils utilisent régulièrement.

Quels sont les avantages et les désavantages de la biométrie pour l’authentification en ligne des consommateurs?
Le point fort de la biométrie c’est qu’elle résout à la fois le problème de l’identification (déterminer l’identité d’un individu) et de l’authentification (confirmer son droit à accéder à un contenu ou un service). Sur le papier c’est un bon outil pour prévenir l’usurpation d’identité et de nombreuses fraudes. On peut me voler ma carte de crédit ou mes mots de passe mais on ne peut pas me voler mon empreinte digitale… C’est ce qu’on pensait jusqu’à maintenant. La reconstitution d’empreinte réalisée par les hackers la semaine dernière bouleverse cette croyance.

Désormais on sait que l’authentification biométrique peut être piratée comme toute autre forme d’authentification. Et apparaît alors un gros inconvénient : à la différence des mots de passe, les données biométriques ne peuvent pas être modifiées en cas de piratage,  si on vous vole vos empreintes digitales, vous ne pouvez pas les remplacer par de nouvelles. Et si tous vos comptes sont protégés par la même information biométrique, ils risquent devenir tous vulnérables en même temps. Il y a d’autres limites à l’utilisation de données biométriques : elles ne peuvent être partagées et elles ne peuvent pas être rendues anonymes. Le partage et l’utilisation anonyme d’identifiants sont cependant de plus en plus répandus sur le web…

La biométrie est pertinente pour ajouter un facteur d’authentification supplémentaire dans le cadre de l’authentification multi facteurs mais il y a peu de chances qu’elle succède au mot de passe comme standard pour l’ensemble des sites, contrairement à ce que l’on veut nous faire croire. Utilisés correctement (un mot de passe fort et unique pour chaque site web), les mots de passe ont de réels avantages :

·         Un mot de passe peut être volé mais si vous utilisez un mot de passe unique pour chaque site, l’intégrité de vos autres accès n’est pas compromise en cas de vol. C’est différent avec les données biométriques qui sont par définition les mêmes partout
·         Un mot de passe peut être partagé, ce qui est nécessaire à la fois en famille et au travail. Les comptes Netflix à la maison ou les comptes Twitter d’entreprise sont par exemple généralement accessibles via un seul compte dont les identifiants sont partagés.
·         Le mot de passe préserve l’anonymat qui est très important pour les internautes. Que serait Twitter sans la possibilité de créer des comptes anonymes ?

Compte tenu de notre utilisation croissante d’Internet, nos cerveaux ne peuvent plus accomplir seuls toutes les tâches nécessaires pour bien gérer ses mots de passe : génération aléatoire, stockage sous forme cryptée, mémorisation, changement des mots de passe. Nous avons trop de comptes et trop d’appareils pour cela. C’est pourquoi de plus en plus d’utilisateurs d’Internet se reposent sur un gestionnaire de mot de passe pour s’assurer de respecter les règles de bases du bon usage des mots de passe.

Certains voient les mots de passe comme un système temporaire qui sera remplacé très rapidement par un système d’authentification ultra sophistiqué. Cela sera peut-être vrai un jour mais en attendant, le mot de passe reste le standard, et un standard ne se remplace pas si facilement. Pour preuve, nous utilisons toujours le clavier au format azerty, non pas parce que l’ordre de ces lettres est nécessaire aujourd’hui (c’était le cas uniquement sur les machines à écrire avec ruban), mais parce que c’est devenu un standard, et qu’aucune innovation n’a réussi à le supplanter, en termes de facilité d’usage comme en termes de déploiement. Nous ferions mieux de veiller à bien utiliser nos mots de passe plutôt que de croire à une hypothétique solution miracle !

Cybersécurité, DDoS, Entreprise, Piratage

Recrudescence des attaques DDoS en France au lendemain des marches contre le terrorisme

Le 15 janvier, le vice-amiral Arnaud Coustillière, officier général à la cyberdéfense faisait état d’une montée en flèche des attaques contre des sites Web français : « Parlant d’une vague sans précédent, le vice-amiral Arnaud Coustillière, officier général de la cyberdéfense à l’état-major des armées françaises, a déclaré que 19 000 sites Web français avaient été la cible de cyberattaques ces derniers jours, … ». Une attaque que révélait le site zataz.com.

Avec l’aide de l’observatoire ATLAS, la société Arbor Networks nous a permis de constater les répercussions de conflits du monde réel sur l’espace numérique. ATLAS reçoit des données anonymes du trafic relatives aux incidents DDoS provenant de plus de 330 fournisseurs d’accès Internet partenaires à travers le monde. Nous nous sommes intéressés aux attaques DDoS survenues avant et après le dimanche 11 janvier. Afin de jauger cette riposte, nous comparons les attaques DDoS observées entre le 3 et le 10 janvier à celles recensées du 11 au 18 janvier inclus.

Fréquence des attaques
Entre le 3 et le 18 janvier, au total 11 342 attaques distinctes ont été signalées contre la France, soit en moyenne 708 par jour. La série suivante de graphiques illustre la fréquence et l’ampleur des attaques DDoS durant les 8 jours ayant précédé et suivi la date du 11 janvier à 00:00:00 GMT. Nous observons une augmentation de 26 % du nombre d’attaques DDoS dans la période qui a suivi le 11 janvier.

Ampleur des attaques
Nous constatons une hausse de 35 % de l’ampleur moyenne des attaques DDoS après le 11 janvier. En effet, dans les huit jours précédant le 11 janvier, la moyenne était de 1,21 Gbit/s. Après le 11 janvier, elle est passée à 1,64 Gbit/s.

Répartition de l’ampleur des attaques
247 (5 %) des attaques DDoS sur la période antérieure au 11 janvier ont dépassé 5 Gbit/s, chiffre qui est passé à 678 (11 %) après le 11 janvier. Tandis que la Figure 2 indique une augmentation de 35 % de l’ampleur moyenne des attaques le 11 janvier, le pourcentage d’attaques supérieures à 5 Gbit/s a, quant à lui, plus que doublé.

Pics d’attaques
Le 9 janvier s’est déroulée une attaque à 40,96 Gbit/s, tandis qu’une attaque à 63,02 Gbit/s a été signalée le 11 janvier. L’attaque du 11 janvier a donc été 54 % plus violente que celle du 9 janvier.

Le 11 janvier, la plus grande manifestation depuis la libération, a vu des millions de personnes marcher pour lutter contre le terrorisme dans tout le pays[5]. Le 15 janvier, le vice-amiral Arnaud Coustillière a fait état d’une vague sans précédent de cyberattaques contre des sites Web français, parlant d’une « riposte aux manifestations de masse ». Les données Arbor ATLAS présentées ci-dessus paraissent corroborer ces affirmations.

Les comparaisons des statistiques d’attaques DDoS durant les huit jours ayant précédé et suivi le 11 janvier font en effet apparaître une hausse de 26 % du nombre d’attaques, une augmentation de 35 % de l’ampleur moyenne des attaques, un doublement du nombre d’attaques supérieures à 5 Gbit/s et un accroissement de 54 % de l’ampleur de l’attaque la plus violente entre les deux périodes. Il s’agit là d’un nouvel exemple frappant d’une recrudescence des cyberattaques en écho à des événements géopolitiques.