Tous les articles par Damien Bancal

Damien Bancal, expert reconnu en cybersécurité Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles. Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe. Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.
Cybersécurité, Securite informatique

Constat en matière de cybersécurité sur les Français vis-à-vis de leurs voisins européens

A l’heure de la crise Coronavirus, beaucoup d’entreprises françaises ont adopté le télétravail mais ne prennent-elles toutes en compte les risques de sécurité liés ? Comment les Français se comportent en comparaison des autres pays Européens ?

Une enquête mondiale examinant les conséquences en matière de sécurité de la généralisation du télétravail en raison de la pandémie du Covid-19 met à jour quelques chiffres intéressants. L’enquête, réalisée par le cabinet d’études OnePoll en avril 2020 auprès de 1 000 professionnels en télétravail respectivement en Allemagne, en France, au Royaume Uni, en Irlande et aux Etats Unis, révèle que ces pays n’ont clairement pas accordé la priorité aux mesures de sécurité et aux meilleures pratiques en matière de mots de passe avec la mise en place de ce nouveau mode travail.

5 Français sur 10 ne change pas de mot de passe

Globalement, près de 52% des Français interrogés n’ont jamais changé le mot de passe de leur ordinateur professionnel contre seulement 37% des Allemands, exposant ainsi toutes les données de leur entreprise à un risque d’intrusion. L’enquête révèle aussi des risques externes, 46% des personnes interrogées, tous pays confondus, admettent ne pas avoir changé leur mot de passe WiFi à leur domicile depuis plus d’un an, exposant ainsi leur ordinateur professionnel à un risque de sécurité, soit un chiffre déjà impressionnant mais pourtant moins élevé qu’en France, puisque les statistiques Françaises s’élèvent elles à plus de 50%.

La rapidité avec laquelle le travail à distance a dû être instauré au début de 2020 a laissé beaucoup d’entreprises vulnérables, particulièrement en raison de l’utilisation inappropriée d’ordinateurs professionnels. Globalement, la majorité des Français interrogés dans l’enquête, soit 73% d’entre eux, estiment que l’adoption du télétravail va s’accroître encore après la crise du Covid-19 malgré ces menaces contre 60% des Anglais et 67% des Allemands. Si cette tendance se poursuit, beaucoup d’entreprises seront ainsi potentiellement vulnérables sans même le savoir.

Des différences entre les pays

Un examen des pratiques en matière de sécurité des différents pays interrogés révèle des différences dans de nombreux domaines dont notamment le partage des mots de passe et l’importance des accès à des sites web à risque. Parmi ces différences entre pays, on peut citer :

Les sites à risque: Les Anglais sont plus sages que les autres pays européens de l’étude puisque près de 60% d’entre eux n’utilisent pas leur ordinateur professionnel sur des sites à risques tel que le streaming, Youtube, jeux en ligne ou sites pour adultes, contre 51% des Allemands et seulement 44% des Français.

Téléchargements sans autorisation : Les Français sont aussi les moins précautionneux en matière de téléchargement puisque 20% d’entre eux téléchargent des applications sur leur ordinateur professionnel sans l’approbation au préalable de leur entreprise contre seulement 10% des Anglais et 7% des Allemands

Authentification multi-facteurs : Du point de vue de l’authentification, les Français cette fois-ci sont plutôt bons élèves puisque près d’un Français sur 2 utilise un système d’authentification multi-facteurs, tout comme la moitié des Allemands mais seulement un tiers des Anglais.

Les habitudes de changements de mots de passe : A la réception d’un nouvel ordinateur professionnel contre près de 40% des Allemands ont pris le réflexe de changer leur mot de passe dans les 48h, contre 35% des Français et seulement 30% des Anglais.

Communiqué de presse

Suspension de l’utilisation des drones pour contrôler le déconfinement à Paris par le Conseil d’Etat : les contrôles de la CNIL

Par une ordonnance de référé rendue le 18 mai 2020, le Conseil d’État a enjoint à « l’État de cesser, sans délai, de procéder aux mesures de surveillance par drone, du respect, à Paris, des règles de sécurité sanitaire applicables à la période de déconfinement ».

Le Conseil d’État a estimé que, du fait de la possibilité de zoomer et d’identifier des personnes physiques, les dispositifs utilisés par la préfecture de police de Paris étaient soumis aux règles protégeant les données personnelles. Il a jugé que ces drones étaient utilisés en dehors du cadre prévu par la loi Informatique et Libertés du 6 janvier 1978 et portaient une atteinte « grave et manifestement illégale au droit au respect de la vie privée ».

Depuis plusieurs semaines, la CNIL s’est interrogée sur ces pratiques. Elle a diligenté des contrôles auprès du ministère de l’Intérieur concernant l’usage de drones dans plusieurs villes. Ces contrôles visent des services de la police nationale et de la gendarmerie. Des vérifications similaires sont effectuées auprès de plusieurs communes dont les polices municipales ont elles aussi, semble-t-il, eu recours à des drones.

Ces investigations portent tant sur la situation actuelle que sur ce qui s’est passé durant la période de confinement. Les premières demandes d’information à l’initiative de la CNIL datent du 23 avril 2020 et sont en cours d’instruction, en l’attente notamment des éléments de réponse du ministère de l’Intérieur.

La CNIL prendra position sur cette question à l’issue des procédures de contrôle en cours.

Cybersécurité, Securite informatique

Happy Birthay virus ILOVEYOU

Le virus ILOVEYOU vient de fêter ses 20 ans. Le microbe numérique avait infecté 10 % des ordinateurs connectés à travers le monde à une époque ou les gens pensaient que les cyber malveillances n’arrivaient qu’aux autres. I Love You se faisait passer pour une lettre d’amour.

Aujourd’hui, les logiciels malveillants peuvent se propager vite, beaucoup plus rapidement que le virus ILOVEYOU il y a 20 ans, mais la situation n’est plus la même : à l’époque, personne n’avait vu un fichier .vbs (script de visuel basique) utilisé à des fins malveillantes, ce qui a poussé de nombreuses personnes à cliquer dessus. En outre, du point de vue de l’infrastructure, les réseaux affectés à l’époque – dont ceux de gouvernements et d’entreprises – n’avaient rien de comparable à ceux d’aujourd’hui. Il avait donc suffi qu’un seul réseau soit compromis pour que tout s’effondre. Enfin, l’emails était le seul outil de communication numérique utilisé par les entreprises ; il n’y avait pas d’applications de chat destinées aux professionnels, comme Slack. Les entreprises victimes s’étaient donc retrouvées complètement isolées. Les fournisseurs d’antivirus avaient dû envoyer des instructions par fax à leurs clients désespérés, car ces derniers ne pouvaient plus recevoir d’emails et le trafic généré par le virus pour se répandre les obligeait à se déconnecter totalement. Aujourd’hui, il n’est plus étonnant de voir cliquer sur un PDF, un Word, un Excel sans même vérifier la source de diffusion.

Suite à ILOVEYOU, nous avions vu des vers se propager beaucoup plus rapidement sans interaction avec les utilisateurs, affectant des millions de personnes à travers le monde. Cependant, les réseaux sont restés solides lors de ces attaques, notamment contre Blaster.

Aujourd’hui, le risque est ailleurs. Il y a des milliards d’appareils connectés à Internet. Pour qu’un ″ver malveillant″ se propage largement et rapidement, les malwares exploitent désormais une vulnérabilité qui leur permet d’infecter et de se propager sans interaction avec l’utilisateur, de la même manière que Wannacry. Un ver tirant parti de multiples vulnérabilités de l’Internet des Objets (IoT), par exemple, pourrait provoquer une attaque mondiale, ciblant à la fois les particuliers et les entreprises.

Iloveyou… to

La clé pour empêcher toute attaque est la sécurité. Windows était très vulnérable dans le passé, mais est désormais beaucoup plus sûr. Néanmoins, des personnes malveillantes continueront de découvrir des vulnérabilités et des risques dans le système d’exploitation Windows et tenteront donc d’en tirer profit. En ce qui concerne les appareils IoT, la plupart sont au stade de Windows 95 en termes de sécurité. Cette dernière est rarement prise en compte lorsqu’ils sont conçus. Par conséquent, le logiciel des objets connectés, la transmission des données et la sécurité des ports sont tous vulnérables.

De plus, une attaque peut être déclenchée par un utilisateur qui ouvre simplement un email, ou clique sur un lien, par phishing. Nous avons vu des cas où l’ouverture d’un lien malveillant par un utilisateur a compromis le routeur du réseau. Cela pourrait ouvrir plus de portes dérobées au système de l’utilisateur ou rediriger les sessions de navigation vers des sites Web malveillants ; qui peuvent alors élargir les menaces, allant du ransomware aux voleurs de mots de passe, et rechercher plus de victimes potentielles sur Internet.

La motivation des attaques a considérablement changé au cours des deux dernières décennies. Le premier virus que j’ai rencontré était Michel-Ange en 1991, qui a écrasé les cent premiers secteurs d’un disque dur, rendant la machine incapable de démarrer. Alors qu’à l’époque les virus ressemblaient davantage à des concepts et à une source de fierté pour leurs auteurs, le paysage des menaces est aujourd’hui une machine à sous bien huilée, visant les entreprises avec des ransomwares et des services bancaires pour voler de l’argent, ainsi que des fake news pour soutenir la propagande, ou encore des cyberguerres parrainées par des États.

Les appareils connectés ont élargi significativement la surface d’attaque, prête à être utilisée à mauvais escient. Nous sommes maintenant connectés 24 heures sur 24, 7 jours sur 7, ce qui laisse ces appareils disponibles pour une attaque à tout moment. Ceci, combiné au nombre important d’appareils vulnérables dotés d’une faible sécurité, rend inévitable une attaque à grande échelle. Le chaos mondial commence toujours par une faille largement présente. Nous avons vu ces dernières années une explosion massive d’attaques menées au niveau du microprogramme (firmware) des objets connectés ou des ordinateurs, et sans interaction avec l’utilisateur ; comme VPNFilter ou encore LoJack, des attaques visant le firmware du moteur de gestion d’Intel. En effet, ces attaques restent généralement indétectables, car difficiles à identifier par les utilisateurs non avertis.

J’ajouterais également que la sensibilisation des utilisateurs aux menaces courantes, à quoi elles ressemblent et comment les gérer est essentielle pour empêcher les attaques ; de même que se tenir au courant des problèmes de sécurité et d’utiliser des solutions adéquates. L’industrie de la sécurité, bien sûr, est responsable de la protection des personnes en améliorant les mécanismes de détection des produits de sécurité, en fournissant diverses solutions et en sensibilisant les utilisateurs.

Cependant, il revient aussi à ces derniers de se renseigner sur la cybersécurité et d’appliquer les bonnes pratiques pour se protéger. Il est également particulièrement important qu’ils soient en mesure de prendre du recul et la bonne décision lorsqu’ils sont confrontés à une tentative d’arnaque par ingénierie sociale, susceptible de conduire à l’installation de malwares ou au vol d’informations sensibles.

Cybersécurité

Le secteur technologique serait devenu le plus cyber attaqué

Selon un énième rapport, on découvre que le secteur technologique représenterait 43% de l’ensemble des cyberattaques en France et 25% des attaques mondiales.

Je ne sais pas pour vous, mais découvrir que les cybercriminels innovent plus rapidement pour lancer des attaques faisant appel à l’intelligence artificielle et au Machine Learning et en investissant dans l’automatisation me fait doucement sourire. A croire que les experts découvrent l’automatisation des attaques informatiques. S’il ne fallait qu’en citer deux, souvenez-vous du Virus « Leonard de Vinci » ou plus récent, il y a 20 ans, le virus « I Love You« . Bref, deux époques ou la cyber sécurité n’était qu’un petit mot, en soirée.

La dernière en date, indique que les cybercriminels font évoluer leurs techniques grâce à de nouvelles innovations et automatisent de plus en plus leurs attaques. Selon le rapport GTIR (Global Threat Intelligence Report) 2020 de NTT Ltd, une entreprise spécialisée dans les services technologiques, le secteur technologique devient pour la première fois le secteur le plus attaqué, que se soit en France, mais aussi au niveau mondial.

Le secteur technologique, n°1 des secteurs les plus touchés

Si le volume des attaques a augmenté dans tous les secteurs l’an passé, le secteur technologique apparaît pour la première fois comme l’une des industries les plus attaquées au niveau mondial représentant 25 % de l’ensemble des attaques (contre 17 % l’année précédente). Plus de la moitié des attaques dirigées contre ce secteur étaient spécifiques à des applications (31 %) ou de type DoS/DDoS (25 %), tandis que les attaques militarisées contre l’Internet des objets (IoT) se sont multipliées.

En France, les entreprises technologiques sont les premières cibles des attaques, et de loin, avec 43%, suivie par les services professionnels à 23%, et par l’industrie qui complète le podium avec 22% de l’ensemble des attaques. Les auteurs des attaques innovent, en faisant appel à l’intelligence artificielle et au Machine Learning ainsi qu’en investissant dans l’automatisation. Environ 21 % des malwares détectés ont pris la forme d’un scanner de vulnérabilités, confirmant que l’automatisation est l’une des priorités des assaillants.

Le rapport démontre également la militarisation des attaques contre l’IoT : des botnets tels que Mirai, IoTroop et Echobot ont progressé en matière d’automatisation, améliorant ainsi leurs capacités de propagation. Mirai et IoTroop sont également réputés pour se répandre via des attaques IoT, puis se diffuser par l’utilisation de scanners et l’infection qui s’ensuit des hôtes identifiés comme vulnérables.

Mark Thomas, qui dirige le Global Threat Intelligence Center de NTT Ltd., commente : « Les années précédentes, nous avions observé que la plupart des attaques visaient le secteur financier mais, cette année, la situation a changé puisque le secteur technologique a enregistré une hausse de 70 % des attaques. La militarisation des attaques contre l’IoT a également contribué à cette augmentation et, si aucun botnet ne domine à lui seul, nous avons noté d’importants volumes d’activité provenant à la fois de Mirai et IoTroop. Les attaques contre les administrations ont quasi doublé, notamment avec des bonds des attaques de reconnaissance ou applicatives, menées par des acteurs malveillants qui profitent de l’intensification des services en ligne offerts aux citoyens au niveau local. »

Des failles, partout !

Les vulnérabilités anciennes demeurent une cible active : les attaques ont exploité des failles vieilles de plusieurs années mais toujours non corrigées par les entreprises, par exemple HeartBleed, qui a contribué à faire d’OpenSSL le deuxième logiciel le plus ciblé (par 19 % des attaques au niveau mondial). Au total, 258 nouvelles vulnérabilités ont été identifiées dans les frameworks et logiciels Apache ces deux dernières années, faisant de cette plateforme la troisième la plus visée en 2019 (victime de plus de 15 % de l’ensemble des attaques observées). Les attaques sur les systèmes de gestion de contenu (CMS) ont représenté environ 20 % du total : ciblant des plateformes CMS répandues telles que WordPress, Joomla!, Drupal et noneCMS, les cybercriminels s’en sont servis comme porte d’entrée dans les entreprises afin de leur dérober de précieuses informations et d’y lancer des attaques supplémentaires. En outre, plus de 28 % des technologies ciblées (à l’image de ColdFusion et Apache Struts) participent au fonctionnement des sites web. La vitesse de création de sites web se présentant comme une source « officielle » d’informations COVID-19, mais hébergeant des kits d’exploitation et/ou des logiciels malveillants – dépassant parfois 2 000 nouveaux sites par jour.

Chiffrement, Cybersécurité

Zoom acquiert Keybase, spécialiste du chiffrement, et annonce son objectif de développer l’offre de chiffrement de bout en bout la plus utilisée par les entreprises

Zoom acquiert Keybase, spécialiste du chiffrement, et annonce son objectif de développer l’offre de chiffrement de bout en bout la plus utilisée par les entreprises

Zoom Video Communications, Inc., spécialiste de la visioconférence dans le cloud et Keybase annoncent aujourd’hui que Zoom a fait l’acquisition de Keybase, un service de messagerie et de partage de fichiers sécurisé. L’acquisition de ce spécialiste en sécurité et en chiffrement permettra d’accélérer le plan que Zoom s’est fixé pour construire un chiffrement de bout en bout pouvant accompagner la croissance actuelle de la société.

« Il existe aujourd’hui des plateformes de communication chiffrées de bout en bout, des plateformes dont la sécurité peut être facilement déployée et des plateformes répondant aux besoins des entreprises à très grande échelle. Nous pensons toutefois qu’aucune offre sur le marché ne propose actuellement tous ces éléments réunis. Et c’est ce que Zoom souhaite construire, en offrant à ses utilisateurs, dans un même produit, sécurité, facilité d’utilisation et évolutivité. », a déclaré Eric S. Yuan, PDG et fondateur de Zoom. « La première étape consiste à réunir les bonnes personnes. Keybase apporte à Zoom une expertise approfondie en matière de chiffrement et de sécurité, et nous sommes ravis d’accueillir Max et son équipe. L’arrivée d’un groupe cohésif d’ingénieurs en sécurité comme celui-ci fait considérablement avancer notre plan de 90 jours pour renforcer nos efforts en matière de sécurité ».

« Keybase est ravie de rejoindre l’équipe Zoom », a déclaré Max Krohn, co-fondateur et développeur de Keybase.io. « Notre équipe est passionnée par la sécurité et le respect de la vie privée. C’est un honneur de pouvoir apporter notre expertise en matière de chiffrement à une plateforme telle que Zoom qui est utilisée par des centaines de millions de participants par jour ».

Intégrée à l’équipe d’ingénieurs en charge de la sécurité de Zoom, Keybase jouera un rôle clé dans l’articulation du plan de 90 jours que Zoom s’est fixé pour identifier et traiter les failles potentielles, et ainsi améliorer les capacités de sécurité et de confidentialité de sa plateforme. Max Krohn prend la tête de l’équipe d’ingénieurs en charge de la sécurité de Zoom. Il relèvera directement d’Eric Yuan. Les dirigeants de Zoom et de Keybase travailleront ensemble pour déterminer l’avenir du produit Keybase. Les termes de la transaction n’ont pas été divulgués.

Keybase est une entreprise qui se consacre à la sécurité, au chiffrement, à l’identification forte et à la protection de la vie privée. Keybase propose des services de chat chiffré de bout en bout, de partage de fichiers et d’hébergement de codes, tous basés sur une plateforme de chiffrement capable de supporter plusieurs appareils par utilisateur et des équipes importantes et dynamiques.

A noter que la ville de New-York a levé l’interdiction d’utiliser ZOOM dans les établissements scolaires de la Grosse Pomme.

Sauvegarde

Vous avez effacé des données par mégarde ? Voici EaseUS Data Recovery Wizard

Vous avez effacé un fichier, un dossier par mégarde ? L’erreur qui fait souvent froid dans le dos. Il existe de nombreux logiciels de récupération de documents effacés. Nous allons tester aujourd’hui la version gratuite de EaseUS Data Recovery Wizard.

En 2016, nous vous avions proposé les tests de plusieurs logiciels de récupération de fichiers que vous aviez malencontreusement effacés. Quatre ans plus tard, revenons sur ces outils. Leur évolution, les mises à jour, les nouveautés. Nous allons commencer cette série avec EaseUS Data Recovery Wizard et sa version gratuite.

En quatre ans, l’outil a gagné en puissance, aidé par de nouveaux algorithmes et des disques dur plus rapide. Toujours aussi pratique, il vous permet de lancer une recherche concernant tous les fichiers que vous avez pu effacer. Textes, vidéos, photos … l’outil se lancera dans une recherche qui se veut efficace. Mais l’est-elle vraiment ? Le logiciel pése au téléchargement 1,47Mo. 5Mo une fois installé.

Oui, incontestablement ! Nous avons effacé six fichiers de tailles et formats différents. Un MP3 (musique), une vidéo en .MP4 et des textes sous les formats de Word, Excel ou encore OpenOffice. Sur une durée de 72 heures, le temps de travailler, effacer d’autres fichiers et documents, nous avons lancer EaseUS Data Recovery Wizard à la recherche des « effacés ». 100% de réussite, même sur le document écrasé par un congénère portant le même nom. Vitesse de recherche non négligeable, il nous aura fallu 1 heures pour remonter toutes les informations effacés sur une clé USB de 250Go ; Deux heures pour une disque dur interne de 500Go.

Depuis 2016, l’outil fonctionne aussi dorénavant pour PC (sous Windows) et MAC. Pour « la Pomme », l’outil travaille sur le disque dur, SSD, disque Fusion drive, lecteur de sauvegarde Time Machine et comme le PC, recherche sur carte sd, carte mémoire, clé USB, appareil photo, etc. Plus de 15 millions d’utilisateurs l’utilisent pour récupérer des fichiers, des e-mails, des photos, des vidéos, etc. supprimés, perdus ou formatés. Deux versions sont disponibles. Pour les particuliers, une version gratuite. Et pour les entreprises, une version payante. Compter une licence à vie pour 146€ (mise à jour comprise). Compter 96€ pour une année. Le prix peut paraitre élevé mais pour retrouver des données perdues, facilement, le ratio coût d’achat/coût de perte est rapidement fait.

Pour finir, EaseUS Data Recovery Wizard recherche tous les fichiers récupérables à partir de tout périphérique de stockage inaccessible, le terrible RAW, et terminera la récupération des fichiers. A noter que nous avons réussi à vous avoir une réduction de -50% sur les versions pro pour Windows et MacOS (nous ne touchons aucun pourcentage sur les ventes).

double authentification

Connexion à distance et double authentification

Dans une telle période, la protection souvent inadéquate des connexions Active Directory expose les entreprises à un risque cyber significatif. Et maintenant, alors que la majorité des entreprises se tournent vers le travail à distance, cette surface de menace s’est rapidement étendue.

En activant l’authentification à deux facteurs (2FA), vous protégez les ressources réseau contre ces accès non autorisés. Si un facteur est compromis, un attaquant doit encore franchir une barrière avant de pénétrer dans le système cible.

Une solution pour sécuriser le télétravail

IS Decisions, fournisseur de logiciels de gestion des accès, a annoncé une mise à jour importante de son produit phare, UserLock. La situation de COVID-19 actuelle, qui force les entreprises à pratiquer le travail à distance, a poussé IS Decisions à développer une nouvelle version afin d’aider les administrateurs informatiques à mieux sécuriser le télétravail. UserLock propose désormais la 2FA pour les connexions à distance (RDP) qui proviennent uniquement de l’extérieur du réseau d’entreprise, ou pour toute connexion RDP à l’intérieur ou à l’extérieur du réseau.

Outre cette nouvelle fonctionnalité, UserLock prend désormais en charge les YubiKey en plus des applications d’authentification mobiles.

Authentification à deux facteurs UserLock – YubiKey

Travaillant aux côtés d’Active Directory, UserLock s’intègre de manière transparente au processus de connexion pour fournir une authentification à deux facteurs avec YubiKey, des restrictions contextuelles et une gestion de session en temps réel pour toutes les tentatives de connexion.

  • Hébergement sécurisé sur site: Avec son intégration YubiKey, UserLock travaille aux côtés d’Active Directory pour offrir une solution MFA sur site sécurisée et complète, sans avoir besoin d’un accès Internet.
  • Maximisez la productivité et la sécurité des utilisateurs: UserLock peut personnaliser la fréquence et les circonstances de l’authentification YubiKey. Combinez la 2FA avec les restrictions UserLock basées sur le contexte de connexion pour sécuriser davantage tous les accès utilisateur.
  • Facile pour tous les utilisateurs d’Active Directory: UserLock et YubiKey fonctionnent ensemble pour faciliter la sécurisation de toutes les connexions utilisateur Active Directory, y compris les comptes système et administrateur les plus privilégiés.

En activant l’authentification à deux facteurs, les restrictions contextuelles et les informations en temps réel sur les ouvertures de session des comptes d’utilisateurs Active Directory, UserLock permet de garantir l’utilisation appropriée des systèmes critiques et des données sensibles pour éviter une violation ou une non-conformité.

Solidaires face à la crise

IS Decisions a pris la décision d’offrir UserLock gratuitement pendant 3 mois afin d’aider les entreprises à faire face à la situation actuelle. Vous pouvez désormais  sécuriser l’ensemble des connexions à un réseau informatique Microsoft Active Directory, et en particulier les accès à distance des télétravailleurs.

Téléchargez la solution Userlock ici puis envoyez un email à l’adresse suivante en demandant de bénéficier de l’offre de gratuité (sales@isdecisions.com). Vous recevrez une clef d’activation valide pour une durée de 3 mois.

Cybersécurité

Zoom renforce la sécurité de sa solution en intégrant des outils de verrouillage et de protection des réunions

Après plusieurs révélations sur des problèmes de confidentialité, Zoom intègre de nouvelles fonctionnalités de sécurité visant, entre autres, à protéger les réunions organisées sur sa plateforme des risques de meeting bombing. Elles simplifient notamment l’accès aux différentes options de sécurité et masquent les ID de meeting.

Zoom Video Communications Inc., le spécialiste de la visioconférence dans le cloud a déployé le 9 avril une mise à jour pour renforcer la sécurité de sa plateforme. Cette mise à jour intègre la fonctionnalité Security qui simplifie la manière dont les animateurs peuvent trouver et activer de nombreuses fonctionnalités de sécurité de Zoom pour protéger leurs réunions d’éventuel meeting bombing. À Security, s’ajoute également le masquage natif des ID de meeting ainsi que diverses mesures comme l’instauration obligatoire des mots de passe et le verrouillage des alias pour certains comptes.

Visible uniquement par les animateurs et co-animateurs, la fonctionnalité Security permet d’accéder rapidement à des fonctions de sécurité avancées de Zoom pendant les réunions afin de les protéger plus facilement, dont :

  • Verrouiller la réunion

  • Activer la salle d’attente (si elle n’est pas déjà activée)

  • Supprimer des participants

  • Limiter la capacité des participants à :

    • Partager leurs écrans

    • Chatter en réunion

    • Se renommer

    • Annoter sur le contenu partagé de l’hôte

Pour empêcher les participants à une réunion de voir les numéros d’identité des réunions actifs quand des captures d’écran Zoom sont par exemple affichées publiquement, l’identifiant des réunions Zoom n’est dorénavant plus affiché sur la barre de titre. Il est remplacé par une mention « Zoom » pour toutes les réunions.

Autres mesures de sécurité

D’autres mesures de sécurité ont été introduites avec cette mise à jour. L’équipe Zoom a également mis à jour plusieurs fonctionnalités pour des types de comptes spécifiques :

Salles d’attente : La fonction Salle d’attente est maintenant activée par défaut pour les comptes Basic et Pro sous licence unique gratuite, ainsi que pour les comptes éducation inscrits à notre programme K-12.

Mots de passe : Les mots de passe pour les réunions sont activés par défaut pour les comptes Basic gratuits et les comptes Pro sous licence unique, ainsi que pour les comptes éducation inscrits à notre programme K-12. Le paramètre par défaut ne peut pas être modifié pour ces comptes d’éducation.

Contacts de domaine : Pour les comptes Basic gratuits et les comptes Pro à licence unique avec des domaines non gérés, les contacts dans le même domaine ne seront plus visibles. Nous avons également supprimé l’option permettant de remplir automatiquement votre liste de contacts avec des utilisateurs du même domaine. Pour conserver ces contacts, les utilisateurs peuvent les ajouter en tant que contacts externes.

Renommer les participants : Les administrateurs de compte et les animateurs peuvent désormais désactiver la possibilité pour les participants de se renommer (pour chaque réunion) au niveau du compte, du groupe et de l’utilisateur dans le portail web.

L’icône de sécurité et ces mises à jour sont disponible dans notre dernière version (version 4.6.10) pour les utilisateurs de Zoom sur desktop (Mac & Windows), mobile (iOS & Android), l’iPad, et dans le client web.

Cybersécurité, Securite informatique

COMMENT EVITER ET DÉTECTER LA FALSIFICATION DE FICHIERS ?

Dans le secteur de la justice, les entreprises travaillent sur des affaires particulièrement délicates et importantes. Le risque que certains fichiers soient falsifiés est important car cela les rendrait inutilisables aux yeux de la loi. Les entreprises de l’industrie juridique doivent donc surveiller de près les dossiers sensibles ainsi que contrôler et limiter les accès.

C’est le cas de cette division d’un organisme gouvernemental d’application de la loi qui a décidé d’utiliser FileAudit afin de protéger ses fichiers et dossiers sensibles.

Découverte de cet outil qui permet de sécuriser certains éléments de votre informatique professionnel.

Entreprise

Les options de configuration : la boîte de Pandore des pirates

Les détails revêtent d’une importance cruciale en matière de sécurité d’entreprise. En effet, disposer seulement des meilleurs équipements technologiques ne suffisent plus à s’assurer une fiabilité totale.

Pour les pirates informatiques, l’environnement idéal pour une attaque est celui qui demande aussi peu d’effort que possible à infiltrer. Ces opportunités s’expliquent par des systèmes, des équipements peu ou mal configurés et entraînent une vulnérabilité totale de l’environnement et de ses données.

Voici les cinq principales erreurs de configuration qui peuvent entraîner des failles de sécurité.

1. Ne pas reconfigurer les identifiants par défaut

L’une des erreurs les plus courantes, et pourtant les plus évidentes, consiste à ne pas reconfigurer les noms d’utilisateur et les mots de passe par défaut des bases de données, des installations et des équipements. C’est un problème tellement basique qu’il est comparable à des clés laissées sur une porte verrouillée. Et quand cela arrive, les informations d’identification par défaut sont l’une des erreurs de configuration les plus faciles à exploiter.

Les scanners de vérification des mots de passe peuvent en effet permettre aux pirates d’accéder aux équipements clés du réseau, comme les pare-feu et les routeurs. Même les systèmes d’exploitation peuvent se trouver exposés à cause d’informations d’identification par défaut. Les attaques de force brute scriptées peuvent également fournir accès aux divers équipements en ciblant des noms d’utilisateur et des mots de passe par défaut, ou des options basiques comme « 12345 », « azerty » ou « password ».

Le processus est également automatisé jusqu’à un certain point. Les chercheurs ont récemment découvert un scanner web en Python appelé Xwo, en mesure de balayer facilement le web à la recherche de services web exposés et de mots de passe par défaut. Après avoir collecté les informations d’identification par défaut pour MySQL, MongoDB, Postgre SAL et Tomcat, le scanner transfère les résultats à un serveur de commande et contrôle pour poursuivre son action.

2. Retarder la mise à jour des logiciels

Les prestataires technologiques et les spécialistes de la sécurité répètent ce message essentiel à la sécurité depuis des années. Pourquoi ? Parce que c’est efficace. Des systèmes d’exploitation mis à jour à l’aide des derniers correctifs peuvent avoir un impact crucial sur la prévention des failles.
Certes, il peut être difficile de suivre le rythme des correctifs. Ces éléments peuvent changer tous les jours, et le défi s’étoffe à mesure que les environnements se complexifient. Mais si les administrateurs n’assurent pas une maintenance correcte sur le plan des correctifs, ils ne font qu’attendre un accident inévitable.

Et les attaquants continueront à exploiter les vieux bugs tant qu’ils seront efficaces. Bien que la détection et la prévention des vulnérabilités de type « Zéro Day » suscitent une attention justifiée, les vulnérabilités les plus couramment exploitées remontent, par comparaison, à l’âge de pierre du numérique.

3. Appliquer les mêmes mots de passe sur différents périphériques

Bien que des mots de passe forts et complexes constituent l’un des piliers de toute stratégie de sécurité basique, même lorsqu’ils sont mis en place, leur utilisation est discutable. Les environnements utilisent souvent le même compte utilisateur et le même mot de passe sur tous les périphériques d’un parc de terminaux.

L’une des principales raisons est que cela facilite la gestion. Mais, et c’est un inconvénient majeur, c’est également pratique pour les malveillants, et cela peut leur permettre de compromettre toutes les machines à partir d’une faille sur une seule d’entre elles. À partir de là, ils peuvent utiliser des programmes d’extraction des informations d’identification pour révéler les mots de passe, voire leurs hachages. C’est alors que les vrais problèmes commencent. La réutilisation des mots de passe doit être évitée à tout prix, et les comptes non indispensables doivent être désactivés avant de pouvoir fournir un accès.

4. La mauvaise configuration des interfaces à distance

Tout appareil en contact avec l’extérieur et connecté à Internet doit faire l’objet d’une protection particulièrement soignée. Des services tels que le protocole propriétaire RDP (Remote Desktop Protocol) développé par Microsoft peuvent fournir aux administrateurs une interface permettant de contrôler les ordinateurs à distance. Mais leur mauvaise configuration offre aux cybercriminels une possibilité d’accéder aux systèmes.

Par exemple, des ransomwares ont déjà ciblé les entreprises via des ports RDP ouverts, en utilisant des attaques par force brute et par dictionnaire. Les administrateurs doivent utiliser une combinaison de mots de passe forts et complexes, de pare-feu et de listes de contrôle d’accès pour réduire le risque de compromission.

5. Désactiver la journalisation ou la cape d’invisibilité des pirates

Bien que la désactivation de la journalisation ne permette pas nécessairement à un attaquant d’accéder à un système, cela lui permet d’agir en restant inaperçu sur la machine. Lorsque la journalisation est désactivée, les pirates informatiques peuvent se déplacer latéralement sur un réseau à la recherche de données ou d’actifs à exploiter, sans laisser de trace de leur activité.

Cela complique énormément le travail des analystes judiciaires et des intervenants en cas d’incident lorsqu’ils doivent reconstituer ce qui s’est produit lors d’un incident ou d’une intrusion. En revanche, il peut être très bénéfique d’activer la journalisation et d’en envoyer les données vers un emplacement centralisé, par exemple une plateforme de gestion des informations et des événements de sécurité (SIEM). Ces données fourniront les indices nécessaires aux analystes judiciaires lors d’une enquête pour reproduire l’attaque et comprendre l’ampleur de l’intrusion.

Tout périphérique, toute plateforme laissé(s) dans un état par défaut ou mal configuré facilite d’autant le travail d’un criminel. Bien que ces vulnérabilités n’entraînent pas nécessairement de problèmes tout de suite, les pirates informatiques les découvriront probablement à un moment donné et les exploiteront pour obtenir un accès non autorisé. La mise en place de configurations de sécurité appropriées pour protéger les applications, les serveurs et les bases de données peut aider les entreprises à préserver leurs données et leur éviter de devenir une cible facile.