Tous les articles par Damien Bancal

Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Logiciels, Wordpress

Protéger votre wp-config.php de votre WordPress

Adrien Thierry, Gérant-Fondateur de la société française SERAUM vient d’éditer une petite option intéressante pour les utilisateurs de WordPress.

L’idée de l’application wp-obfuscator est de permettre de cacher un fichier sensible, le wp-config.php. L’application obfusque le contenu du document dédié à votre WordPress. Un fichier, malheureusement en texte clair. Dans les mains d’un malveillant, ce fichier pourrait permettre au pirate de récupérer suffisamment d’informations pour atteindre votre base de données. « Avec ce plugin, souligne à DataSecurityBreach.fr Adrien Thierry, en un clic, le wp-config.php est illisible, et le site toujours fonctionnel ». Ce nouveau plugin est hébergé sur le site de wordpress. Vous pouvez aussi installer directement cette option en vous rendant dans l’ongle Extension et chercheur dans le moteur de recherche dédié obfuscator d’Adrien Thierry.

Cybersécurité, Microsoft, Mise à jour, Patch, Smartphone, Téléphonie, Windows phone

Faille Windows Phone 8.1

Une faille considérée comme sérieuse découverte dans le plus jeune des OS de Microsoft, Windows Phone 8.1. Bilan, les données d’un téléphone portable sous cet OS pourraient finir entre de mauvaises mains.

Un internaute, du nom de DJAmol, vient d’annoncer sur le forum XSA Developers la découverte d’une faille dans le plus récent des OS de Microsoft. D’après ce chercheur, une vulnérabilité sérieuse a été mise à jour dans Windows Phone 8.1. Bilan, le système d’exploitation de la firme de Redmond serait très facile à pirater. La vulnérabilité pourrait permettre à un malveillant d’exécuter l’application avec les privilèges d’un autre utilisateur et modifier à souhait le registre de l’appareil.

DJAmol s’est rendu compte qu’en changeant simplement le contenu d’une application OEM, application de confiance transférée vers la carte SD du téléphone, l’application hérite des privilèges de l’application d’origine. Une fois la copie effectuée, un pirate pourrait alors supprimer le répertoire existant et créer un nouveau répertoire avec le même nom original de l’App de base. La vulnérabilité a été annoncée à Microsoft. (XDAD)

Cybersécurité, Mise à jour, Patch

Une nouvelle histoire de hack du PSN de Sony ?

Un chercheur autrichien affirme qu’une nouvelle faille, grave, dans le PSN permet de mettre la main sur les données des utilisateurs des consoles de Sony.

Souvenez-vous, en 2011, des « Anonymous » annonçaient et diffusaient sur la toile, des informations concernant le piratage du Playstation Network. A l’époque, une faille iSQL (SQLi) avait permis de mettre la main sur la base de données des joueurs inscrits, 77 millions de personnes dans le monde. Sony avait été obligé de fermer son espace durant de longue journée, perdant au passage, plus de 100 millions de dollars. L’été dernier, un autre groupe s’attaquait à grands coups de DDoS au PSN pour des raisons futiles.

Trois ans plus tard, nouvelle possibilité d’injection SQL ? C’est du moins ce qu’affirme Aria Akhavan, bidouilleur de 20 ans. Il a expliqué au journal EH que la faille n’ayant pas encore été corrigée, il ne pouvait en dire plus. Espérons que son message a été entendu par Sony. C’est l’espace assistance de Sony qui serait vulnérable. Rappelons que Sony avait annoncé du chiffrement pour sécuriser les données de ses clients après les attaques de 2011. (Golem)

Cybersécurité, Drupal, Entreprise, Fuite de données, iOS, Logiciels, Microsoft, Mise à jour, Patch, Propriété Industrielle

Une faille corrigée dans Windows, problème pour Drupal et Yosemite

Depuis 19 ans, une faille présente dans Windows n’avait jamais été corrigée. Voilà qui est dorénavant de l’histoire ancienne.

Imaginez, un bug informatique connu et présent dans Windows depuis 19 ans. Depuis Windows 95, cette « faille » permettait dans certaines mesures difficiles (mais pas impossibles, ndlr zataz.com) de prendre la main sur un ordinateur. Une attaque possible à distance. Baptisée par les ingénieurs sécurité de chez IBM, inventeurs de la faille, WinShock, l’exploit permettait d’infiltrer un ordinateur sous Windows (95, 98, 2003, 2008, Vista, 7, 8) à distance. Il suffisait de mettre en place un site Internet particulièrement fabriqué (XSS, …) pour déclencher l’attaque via Internet Explorer. Microsoft a corrigé la faille… sauf pour Windows XP dont le support n’existe plus. « Les utilisateurs qui ont paramétré leur Windows de telle manière à recevoir automatiquement les mises à jour, ne doivent rien faire de particulier. Ils seront protégés » explique le service presse de Microsoft.

Pour novembre, Microsoft a publié un Patch Tuesday conséquent, avec 17 bulletins dont 5 concernent l’exécution de codes à distance (RCE), un type de vulnérabilité dont les pirates sont particulièrement friands. À ce jour, avec ces 17 bulletins, Microsoft en aura diffusé 79 en tout pour 2014. Nous finirons donc l’année sous la barre des 100 bulletins de sécurité, soit un peu moins qu’en 2013 et 2011 et à peu près autant qu’en 2012.

Pendant ce temps…
Une grave et importante faille a été découverte dans Drupal. La communauté Drupal, et son logiciel Open Source gratuit pour créer et administrer des sites Web, annonçait l’existence d’une vulnérabilité dans la couche d’API d’abstraction de base de données de Drupal 7. Cette vulnérabilité (CVE associé : CVE-2014-3704) permet à un pirate d’envoyer des requêtes personnalisées qui rendent arbitraire l’exécution de SQL. Selon le contenu des requêtes, ceci peut entraîner une élévation des privilèges, une exécution arbitraire de PHP ou d’autres attaques. Ce que nous savons La vulnérabilité affecte toutes les principales versions 7.x de Drupal antérieures à la 7.32. Survenue au moment de l’annonce de POODLE, cette vulnérabilité a été un peu occultée, même si elle est directement exploitable et similaire à Heartbleed.

Depuis le 15 octobre 2014, les exploits automatisés ciblant cette vulnérabilité spécifique ont semé le chaos sur Internet. L’équipe chargée de la sécurité Drupal conseille aux administrateurs de sites Web fonctionnant sous Drupal 7.x de considérer comme compromis les sites qui n’ont pas été mis à jour ou patchés avant le 15 octobre 2014, ou bien 7 heures après la première annonce de la vulnérabilité. Corriger ou mettre à niveau un site Web compromis ne suffira pas pour supprimer les portes dérobées et autres chevaux de Troie qui auraient pu être installés.

La société Qualys propose une vérification de cette vulnérabilité via son logiciel Qualys Freescan, accessible depuis son site Internet dédié.

Du côté d’Apple, une faille a été détectée dans la dernière version de l’OS de la grosse pomme, Mac OS X Yosemite. Le problème a été révélée par la société suédoise Truesec. Baptisée ‘RootPipe’, la faille pourrait permettre à un pirate, en local, de prendre la main sur l’ordinateur en mode administrateur. Un mode qui permet de faire tout et n’importe quoi dans la machine. Emil Kvarnhammar, l’inventeur de la probable faille n’a pas donné plus d’information. Il attend qu’Apple corrige. Un mot de passe sudo, il permet d’avoir des privilèges temporaires de super utilisateur, est demandé afin q’un administrateur puisse agir sur une machine sans pour autant être le Kalif à la place du Kalif. La faille RootPipe contournerait cette restriction sous  Mac OS X Yosemite, mais aussi sous Mountain Lion et Mavericks.

Entreprise, spam

SPAMPIONSHIP des douze pays émettant le plus de spams

Comme chaque trimestre, Sophos mesure le volume de spam envoyé dans le monde et publie le résultat des douze pays ayant émis le plus de spam.

Imaginez qu’un cybercriminel puisse à l’autre bout du monde et à n’importe quel moment, dicter les actions de votre ordinateur. Il exécuterait ou téléchargerait, comme vous, des programmes. Il visiterait les mêmes sites, cliquerait sur les mêmes liens, remplirait les mêmes formulaires, posterait les mêmes commentaires. Il ouvrirait les mêmes dossiers, corrigerait les mêmes documents, visualiserait les mêmes tableaux d’entreprise. Il se connecterait au même réseau social que vous.

N’importe quel ransomware que vous installeriez par erreur et qui effacerait toutes vos données, il pourrait l’installer volontairement. Voici exactement ce que peuvent faire les cybercriminels lorsque votre ordinateur est infecté par un vers (bot), également appelé zombie. Cette expression signifie que n’importe quel escroc peut prendre la main sur votre ordinateur, à votre insu, et lui ordonner à peu près n’importe quelle action, qui sera fort probablement illégale. Cependant, les zombies sont très connus pour une chose en particulier : l’envoi de spam.

Un PC personnel, avec une connexion internet personnelle peut facilement émettre jusqu’à 5 millions de spams par semaine et faire la promotion illégale de produits et de services obscurs, tout en dissimulant des malwares dans les pièces jointes. Ceci signifie que si nous cartographions les pays d’origine des spams, nous cartographions également ceux des zombies.

Pourquoi ces chiffres sont-ils importants ?
Si votre pays est en tête du classement sur le graphique des pays émetteurs de spams, cela signifie qu’il sera également en tête de celui recensant « là-où-les-cybercriminels-peuvent-faire-ce-qu’ils-souhaitent ». Pour le reste du monde, c’est une mauvaise nouvelle : cela signifie qu’il reçoit des tonnes de spams de votre part. C’est une mauvaise nouvelle pour vous également puisque cela fait peser un risque sur vos informations personnelles, vos finances et même votre identité. Soyons clairs : nous ne tentons pas de savoir quel pays compte le plus grand nombre de spammeurs ou de cybercriminels.

C’est la grande problématique autour du spam : la plupart des personnes qui relaient les emails d’une campagne de spams ne sont absolument pas des cybercriminels. Ils servent, malgré eux, de relais à un escroc qui agit probablement à partir d’un autre pays. Il est évidemment assez injuste de classer les pays en fonction du volume de spams qu’ils émettent : en effet, des pays très peuplés comme la Chine, ou extrêmement bien connectés, comme les USA arriveront indéniablement en tête des classements. Le classement des douze pays qui émettent le plus de spams est exactement le même qu’en Q2 2014 (avril, mai, juin). Comme on peut le voir, le bas du classement a quelque peu changé mais c’est à peu près tout. Les choses deviennent plus réalistes, et plus intéressantes, lorsque l’on divise le volume de spam d’un pays par le nombre approximatif d’habitants de ce même pays.

Nous avons désormais une évaluation du nombre de spams par personne. Il faut évidemment prendre un peu de distance par rapport à ce tableau, car bien entendu, tout le monde souhaite perdre le SPAMIONSHIP. Cependant, s’il nous fallait sélectionner le pays gagnant, car en réalité perdant, ce serait la Biélorussie qui continue de descendre dans le classement. Après avoir occupé la première place de Q2 2013 à Q1 2014, au trimestre dernier, la Biélorussie est descendue à la seconde place, pour atteindre la neuvième ce trimestre. La Biélorussie se place désormais derrière les six pays qui étaient dans les douze premiers au dernier classement. Ceci signifie que le pays a réussi à réduire considérablement son émission de spam, plutôt que d’avoir bénéficié d’une augmentation du volume dans d’autres pays. C’est un bon résultat. Cependant, dans sa globalité, le SPAMPIONSHIP nous rappelle deux choses importantes : Le spam est un problème d’envergure mondiale ; La prévention contre le spam démarre dans son propre pays. Choisissez donc de ne pas contribuer au problème, mais plutôt à sa solution. Tuez un zombie aujourd’hui !

BYOD, Cloud, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage

Cyber sécurité et protection des données personnelles : en avant marche !

2 commentaires

Deux jambes qui se doivent d’être coordonnées. Telles sont, d’un côté, la « cyber sécurité », et de l’autre la « protection des données personnelles ». Car si la liste des entreprises victimes de cyberattaques continue de s’allonger – Ebay, Orange et Domino’s Pizza ne sont qu’un échantillon des cibles atteintes en 2014 – il est évident que les moyens de lutte à privilégier doivent être aussi efficaces que respectueux, dans leur mise en œuvre, des règles en matière de protection des informations privées. Délicat équilibre.

Les autorités européennes ont déjà fait d’importants progrès en matière de cybercriminalité. Une  directive relative aux attaques contre les systèmes d’information a ainsi été adoptée en 2013, alors que des textes sur la protection du secret d’affaire, ainsi que sur l’identification électronique et les services de confiance pour les transactions électroniques ont été proposés au Parlement européen. Dernier en date : la directive sur la protection des systèmes d’information (NIS) – que la loi de programmation militaire française avait largement anticipée – a été adoptée en mars 2014. Les « opérateurs d’importance vitale » (IOV) se voient notamment imposer quelques obligations en matière de prévention et de notification des « incidents ».

Les solutions qui permettent de répondre de la manière la plus efficace possible à ces nouvelles obligations existent aussi. Certaines permettent ainsi de valider en quelques heures seulement la véracité d’un incident, d’identifier son origine, le chemin emprunté, l’agresseur et d’évaluer son impact… sachant qu’aujourd’hui le délai moyen actuel de découverte et d’identification d’une attaque se compte plutôt en semaines ou en mois ! Enfin, Bruxelles avance aussi sur la question des données personnelles – les discussions sur la directive dédiée devraient ainsi aboutir en 2015.

Reste que la coordination entre les deux jambes pourrait être améliorée. Le fait par exemple qu’il faille encourager le chiffrage des données pour sécuriser les informations personnelles, comme le recommande l’Agence Européenne de Cybersécurité ENISA, est incontestable. Mais les flux chiffrés sont aussi des voies d’accès privilégiées… pour les pirates. Quelles sont alors les conditions que les entreprises et organisations doivent respecter pour utiliser des outils de déchiffrage tout en respectant les impératifs en matière de protection des données personnelles ? A ce jour, aucun texte public – loi, règlement ou simple communication des autorités – ne répond clairement à la question. Rien non plus sur les règles internes à mettre en place pour utiliser des solutions d’enregistrement des données – qui permettent de « rembobiner le film » en cas d’attaque et donc d’identifier rapidement l’agresseur- tout en respectant les impératifs de protection des informations des individus. Résultat : certaines entreprises et organisations hésitent à se protéger…

Clarifier les conditions de mise en œuvre des solutions efficaces en matière de cybersécurité. Telle pourrait être une des priorités des nouvelles instances européennes. Pour faire de plus grands pas.(Par Dominique Loiselet, Directeur Général France Blue Coat)

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, escroquerie, Espionnae, Fuite de données, Identité numérique, Leak, Particuliers, Piratage, Propriété Industrielle, Social engineering, Vie privée

Le paradoxe de la sécurité

Les salariés adoptent des pratiques à risques, alors qu’ils s’estiment sensibilisés sur la sécurisation des données.

Près de 3/4 des actifs interrogés se considèrent bien sensibilisés à la protection des données professionnelles, pourtant une majorité d’entre eux ont toujours des pratiques risquées. Les techniques de protection sophistiquées (changement de mot de passe régulier, système de cryptage des données) ne concernent qu’une moitié des actifs interrogés équipés d’un appareil mobile et seulement 30% disposent de ce type de protection sur l’ensemble de ces appareils fournis par leur entreprise. Le partage de fichiers en ligne via un service de cloud n’est pas jugé dangereux par la majorité des répondants (54%). Bien que les mots de passe soient imposés dans la majorité des entreprises (9/10), on observe de grandes disparités quant à leur élaboration et leur mise à jour, 63% laissent leur ordinateur allumé lorsqu’ils quittent le bureau en fin de journée ou ne le verrouillent pas en quittant leur poste.

De nombreuses études confirment l’influence des appareils mobiles sur le rétrécissement des frontières entre les sphères professionnelles et personnelles. Mais qu’en est-il de leur impact sur la sécurité des données des entreprises ? Les salariés sont-ils suffisamment sensibilisés sur les risques inhérents à ces nouveaux usages et mettent-ils en pratique les règles de sécurité ? Hiscox, en collaboration avec l’institut IFOP, s’est penché sur le sujet et les résultats de cette étude illustrent un important décalage entre le sentiment de connaître les consignes de sécurité et des pratiques à risques largement répandues dans les entreprises.

Des pratiques jugées sans risque par les salariés, mais qui exposent la sécurité de l’entreprise
72% des actifs interrogés se considèrent bien sensibilisés quant à la nécessité de protéger les données professionnelles. Ces actifs sont pourtant les mêmes à adopter des pratiques qui peuvent s’avérer dangereuses pour les données de l’entreprise. Les salariés équipés d’au moins un appareil mobile professionnel sont les plus concernés par ces pratiques risquées puisqu’ils sont 77% à déclarer transporter des fichiers professionnels sur une clé USB ou un disque dur externe (contre 63% pour l’ensemble du panel) et la moitié (53%) partage des fichiers en ligne via un service de cloud (contre 39% pour l’ensemble du panel).

Ces usages ne sont pourtant pas jugés risqués par les répondants : en effet, 54% estiment que le partage de fichiers via le cloud n’a pas d’incidence sur la sécurité et 57% ne voient aucun danger à transporter des données professionnelles sur une clé USB. De même, 63% des actifs laissent leur ordinateur allumé lorsqu’ils quittent le bureau ou ne le verrouillent pas en quittant leur poste. Moins de la moitié seulement perçoit cette pratique comme potentiellement imprudente.

Les petites entreprises plus vulnérables… Et friandes de solutions mobiles
Les salariés des petites entreprises (0 à 49 employés) font partie des publics qui identifient le moins ces pratiques comme pouvant mettre en péril la sécurité des données des entreprises. Des attitudes pourtant risquées quand on sait que les travailleurs « mobiles » et les salariés des très petites entreprises (moins de 10 salariés) sont également ceux disposant de la plus grande latitude en termes d’achats et d’opérations bancaires impliquant l’entreprise. 65% des employés travaillant dans des structures de moins de 10 salariés sont en effet amenés à effectuer des achats en ligne à titre professionnel contre 46% pour l’ensemble des actifs interrogés.

L’utilisation des appareils professionnels dans la sphère personnelle est un autre vecteur de menace pour la sécurité des données des entreprises. Les salariés des petites structures (moins de 10 employés) sont les mieux équipés en appareils mobiles. Ils font aussi partie de ceux  qui utilisent le plus leur matériel professionnel à titre personnel. 82% des salariés de ces entreprises se connectent à Internet au moins une fois par semaine pour des raisons personnelles à partir de leur appareil professionnel (contre 72% de l’ensemble des actifs).

Des usages qui pèsent d’autant plus sur la sécurité de ces entreprises qu’elles ne disposent pas de services informatiques ou de services généraux pour assurer le contrôle et la gestion des appareils mobiles.

Des disparités dans la mise en place des techniques de sécurisation
Pour se prémunir des risques auxquels elles sont exposées et assurer la protection de leurs ordinateurs fixes, 9 entreprises sur 10 s’appuient sur la mise en place d’un mot de passe. Cependant, la fréquence de mise à jour exigée n’est pas la même partout. Seuls 18% des actifs doivent changer leur mot de passe tous les mois quand 34% déclarent devoir le changer moins de 2 fois par an. Une disparité également observée dans son élaboration : 62% des entreprises imposent un nombre minimum de caractères, 56% demandent à leurs salariés de choisir un mot de passe incluant des chiffres et des caractères spéciaux et 57% interdisent de réutiliser un ancien mot de passe. De manière globale, 70% des entreprises imposent au moins une règle à leurs salariés pour le choix du mot de passe mais cette proportion chute à 51% dans les structures de moins de 10 salariés.

Parmi les autres techniques, 35% des actifs interrogés déclarent disposer d’outils de cryptage des données mais 22% ne savent pas s’ils peuvent bénéficier de cette technique dans leur entreprise. De même, si les accès au réseau sont contrôlés dans 61% des entreprises, 16% des actifs ne connaissent pas la politique utilisée par leur entreprise dans ce domaine.

Sur les appareils mobiles, le mot de passe est également le mode de protection le plus répandu. Il concerne en effet 81% des actifs disposant d’appareils mobiles. Les techniques plus sophistiquées (changement de mot de passe tous les 3 mois, système de contrôle d’accès renforcé de type Token, données cryptées non accessibles) ne concernent qu’une moitié des actifs interrogés équipés d’un appareil mobile et seulement 30% disposent de ce type de protection sur l’ensemble des appareils que leur fournit leur entreprise.

Au delà de revoir leur méthode de sensibilisation des salariés aux risques informatiques, les entreprises doivent également faire évoluer leurs dispositifs techniques de sécurité pour les adapter aux nouveaux usages.

« L’explosion des appareils et solutions mobiles dans les entreprises soulève plus que jamais des problématiques de sécurité importantes. La mesure préventive la moins onéreuse consiste à sensibiliser le personnel à l’importance de la sécurité des données. Les connaissances en la matière sont souvent limitées, surtout dans les petites entreprises, et le recours à un expert pour en expliquer les bases peut représenter l’un des meilleurs investissements d’une entreprise » conseille François Brisson, Responsable marché Technologie-Média-Télécom chez Hiscox. « Néanmoins en cas de problème, les sociétés doivent disposer d’un plan de réaction rapide afin de limiter les dommages et de prouver qu’elles prennent toutes les mesures nécessaires. Dans ce cadre, elles sontparfois amenées à faire appel à des spécialistes en gestion de crise, voire à des conseillers en relations publiques. Notre assurance Data Risks permet de couvrir ces coûts et de réduire les conséquences d’une violation de données ».

Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage

Code malveillant dans les caisses enregistreuses

Alors que la chaîne américaine de magasins The Home Depot vient d’annoncer le vol de 53 millions d’adresses emails de clients* (en plus des 56 millions de données de cartes bancaires déjà déclarés en septembre), le G DATA SecurityLabs a découvert une nouvelle variante de FrameworkPOS, le code ayant ciblé cette entreprise. Nouveauté de ce code : il exfiltre les données volées par requêtes DNS (Domain Name System).

Cette analyse montre comment les cyber criminels travaillent à l’heure actuelle. La variante découverte envoie les données extraites via des requêtes DNS, ce qui est une technique très aboutie. Pour détecter ce type d’attaque, G Data conseille aux entreprises équipées de systèmes d’encaissement de mettre en place un système de DNS passif. Une analyse des requêtes facilite la détection de ce type d’attaque.

Qu’est-ce qu’un système PoS ?
Un système PoS (Point of Sales en anglais – Point de Vente en français) se compose en règle générale d’une caisse enregistreuse et d’un appareil pour lire les cartes de crédit. L’appareil POS enregistre les ventes des clients mais pas uniquement. Il sert également à l’inventaire, aux entrées et sorties de stocks.

Qu’est-ce qu’un DNS?
DNS signifie “Domain Name System”. Il s’agit du carnet d’adresse Internet. L’adresse d’un site internet est traduite en une adresse technique utilisant le système DNS. Il s’agit d’une combinaison de numéros appelée adresse IP (par exemple : 208.80.154.224). Un DNS passif est un système qui enregistre les requêtes DNS dans une base de données. Ainsi, on peut observer quelle valeur (adresse IP) un domaine a (ou inversement, quel nom/domaine est lié à telle adresse IP). (G Data)

* Le communiqué de presse de The Home Depot.

* ZATAZ Web TV du 09 novembre revient sur cette attaque informatique pas comme les autres.

Cybersécurité, Entreprise, Fuite de données, Logiciels

Attaques à l’encontre de serveurs SMTP

Depuis plusieurs jours, des pirates s’attaquent à certains serveurs SMTP avec la faille de sécurité Shellshock. Le mystére le plus complet plane sur cette attaque informatique.

Le CERT Renater, en charge de la sécurité informatique des établissements scolaires et universitaires s’est inquiété, le 4 novembre dernier, d’une mystérieuse attaque numérique visant des serveurs SMTP vulnérables à la faille Shellshock (Bash). L’objectif serait d’intégrer les serveurs faillibles à un réseau de botnet.

Un bot IRC écrit en PERL serait installé dans les serveurs piégés. Le CERT Renater indique que la France serait visée par ces tentatives d’infiltrations. La charge d’attaque est dissimulée dans des champs d’entête de courriers électroniques spécialement formatés (To, From, CC, Subject, Date, Comments, Keywords, Resent-Date, Resent-From, Message-ID, …). Les méthodes curl, wget, fetch sont invoquées pour récupérer le bot IRC via l’ip 178.254.31.165. « On ne trouve pas d’information pour l’instant sur la porte d’entrée recherchée par les attaquants » souligne le CERT. Le serveur SMTP sur lequel ce type d’attaque pourrait fonctionner reste un mystère. (Binary Defense)

 

Argent, Banque, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Particuliers

Piratage de carte bancaire NFC

5 commentaires

Intercepter les données d’une carte bancaire NFC, de la science fiction indique les lobbyistes des banques ? Un Français avait expliqué les dangers du NFC. Des chercheurs britanniques démontrent comment voler de l’argent risque de devenir un jeu d’enfant.

Les cartes sans contact permettent d’acheter des biens sans taper le moindre mot de passe. Il suffit juste de passer la carte à quelques centimètres d’un lecteur dédié pour payer (moins de 20€). Des cartes bancaires qui « balancent » dans les airs, via des ondes radios, données bancaires et validation de la transaction.

En France, Renaud Lifchitz, chercheur en sécurité informatique français mondialement connu et reconnu, avait mis à mal la sécurité du sans fil de nos CB. Depuis peu, une équipe de l’Université de Newcastle, au Royaume-Unis, a mis à jour une faille de sécurité considérée comme grave dans le système sans contact.

Lors de la conférence ACM (Conference on Computer and Communications Security) les ingénieurs ont expliqué comment il est facile de mettre en place un faux terminal de point de vente à partir d’un téléphone mobile (un concept qu’avait déjà démontré Renaud Lifchitz). A partir de ce « point de vente », les chercheurs ont montré qu’il était possible de créer une opération financiére pouvant atteindre 999,999.99 dollars, soit bien loin des 20€ normalement autorisés. « Il a fallu moins d’une seconde pour que la transaction soit approuvée » explique l’équipe britannique.

Pour contrer ce genre d’attaque, nous vous conseillons fortement de vous équiper d’un espace de protection que vous installez dans votre porte-feuille. La société Stop-RFID.fr propose plusieurs solutions de sécurisation physique de votre CB.

Visa, montré du doigt dans cette alerte, indique de son côté qu’il n’y a aucune cause d’inquiétude. « Nous avons examiné les conclusions de Newcastle dans le cadre de nos efforts constants sur la sécurité et la fraude des paiements. Les chercheurs ne tiennent pas compte des nombreuses mesures de protection mises en place par Visa« . Pour Visa, cette attaque ne fonctionne qu’en laboratoire, pas dans la vraie vie. (BBC)

BYOD, Cloud, Cybersécurité, DDoS, Entreprise, Mise à jour, Patch, Piratage

Faille pour les Linksys SMART WiFi

Les routeurs wifi Linksys SMART victimes de plusieurs failles qui pourraient permettre à un pirate de s’inviter dans les informations sensibles des boitiers.

Kyle Lovett, chercheur en sécurité informatique, a mis la main sur plusieurs failles ont été découvertes dans les routeurs de la marque Linksys. Le firmware des routeurs sont montrés du doigt. Un pirate, à distance,  peut être en mesure de lire ou de modifier les informations sensibles contenus dans les boitiers. Les linksys sensibles font parti de la gamme des EA. Les versions 2700, 3500, 4200v2, 4500, 6200, 6300, 6400, 6500, 6700 et 6900 sont faillibles.

Le problème a été découvert en juillet 2014. L’alerte officielle a été diffusée fin octobre par le KB Cert. Un attaquant non authentifié sur le réseau local (LAN) peut lire le fichier .htpassword du routeur en lançant la simple commande http://<router_ip>/.htpasswd. Le fichier .htpasswd contient le mot de passe de l’administrateur, chiffré en MD5. Même sanction pour les JNAP http://<router_ip>/JNAP/.

Une commande qui, dans certaines mesures, permet de lire et/ou modifier les informations sensibles sauvegardés sur le routeur. Deux ports ouverts ouvrent l’administration du routeur sans avoir besoin d’être authentifié : 100080 et 52000. LinkSys vient de diffuser une mise à jour qui est fortement conseillé d’installer. (nvd.nist.gov)

http://support.linksys.com/en-us/support/routers/E4200
http://support.linksys.com/en-us/support/routers/EA4500
http://support.linksys.com/en-us/support/routers/EA6200
http://support.linksys.com/en-us/support/routers/EA6300
http://support.linksys.com/en-us/support/routers/EA6400
http://support.linksys.com/en-us/support/routers/EA6500
http://support.linksys.com/en-us/support/routers/EA6700
http://support.linksys.com/en-us/support/routers/EA6900

Pendant ce temps…
Pensez aussi à protéger votre LinkSys des attaques du virus Moon. Ce malware « La Lune » a affecté certains Routeurs sélectionnés et anciens de série E de Linksys, et sélectionnés certains anciens points d’accès et routeurs Sans fil-N. Un correctif de micrologiciel est prévu au cours des prochaines semaines. Le malware The Moon contourne l’authentification sur le routeur en se connectant sans connaître les références de l’administrateur. Une fois infecté, le routeur commence à inonder le réseau avec des ports 80 et 8080 du trafic sortant. Bilan, ça rame ! Pour vous protéger, sélectionnez l’option « disabled » dans la partie Remote Managament Access dans votre administration de votre routeur. Assurez-vous aussi que l’option de Filter Anonymous Internet Requests sous Internet Filter est coché.

Hacking

Près de 20% des entreprises industrielles ont subi un vol de propriété intellectuelle

L’étude de Kaspersky Lab auprès de 3900 entreprises classe les répondants dans 17 secteurs différents, y compris la fabrication et l’énergie. Ces deux secteurs industriels se démarquent par l’architecture de leur réseau informatique, composé de machines gérées par des logiciels hautement spécifiques.

Propriété intellectuelle : 21% des organisations opérant dans le secteur de la production / fabrication ont dû faire face à une perte de leur propriété intellectuelle au cours des 12 derniers mois (le 5ème taux le plus important). Cela pourrait expliquer pourquoi elles donnent plus d’importance à la propriété intellectuelle (17%) que tous les autres secteurs.

Veille marché / Intelligence : les données de veille marché sont perçues comme étant de moyenne importance pour les entreprises de production, alors que les spécialistes de l’énergie les considèrent comme critiques. Les deux secteurs sont particulièrement touchés par le vol de ce type de données.

Informations clients : ces informations ne sont pas jugées comme critiques et ne sont pas la cible privilégiée des cyber criminels. Pourtant il faut prendre ces données très sérieusement, comme peut le montrer, très souvent, le protocole d’alerte de zataz.com.

Informations opérationnelles : les entreprises de production et énergétiques sont toutes particulièrement concernées par la perte de données internes liées à leur fonctionnement. Près de la moitié d’entre elles ont admis avoir perdu ce type d’informations après une fuite de données au cours des 12 derniers mois.

Les spécificités de la sécurité en secteur industriel
L’étude de Kaspersky Lab illustre les différences fondamentales qui existent entre les entreprises industrielles et les autres en matière d’informatique. Les entreprises traditionnelles se concentrent sur la protection des données, alors que les entreprises industrielles jugent critique la protection des process. Les données montrent l’importance accordée aux données liées au fonctionnement interne par rapport aux données clients, souvent considérées comme les plus sensibles dans d’autres secteurs.

À l’inverse, les données de moindre importance pour les entreprises classiques, comme la propriété intellectuelle, sont critiques dans le secteur industriel. 31% des entreprises de production sont convaincues que la propriété intellectuelle est directement visée lors d’attaques cyber criminelles. Tous secteurs confondus, c’est le taux le plus important après celui enregistré pour le secteur financier.

Il est clair que les réseaux informatiques industriels exigent une protection spécifique, en particulier face à des malware sophistiqués comme Wiper et Shamoon qui ont causé des millions d’euros de dommages en s’attaquant à des systèmes industriels. Kaspersky Lab a développé des solution de protection des infrastructures critiques, pensées pour répondre aux exigences de l’univers industriel en matière de contrôle et de sécurité.

Cybersécurité, DDoS, Entreprise, Piratage

Se protéger des attaques DDoS

Un commentaire

Les organisations doivent arrêter de compter sur leurs fournisseurs de services Internet pour les protéger des attaques DDoS et doivent prendre les choses en main. (Par Christophe Auberger, Directeur Technique France chez Fortinet pour datasecuritybreach.fr)

Les attaques par Déni de Services Distribués (DDoS) sont l’une des menaces Internet les plus anciennes et continuent d’être le principal risque pour les réseaux à travers le monde. En même temps que les protections ont évolué, la technologie utilisée par les hackers s’est adaptée et est devenue beaucoup plus sophistiquée. De nouveaux types d’attaques ciblent désormais les applications et services, et sont souvent cachées dans les couches 3 et 4, ce qui les rend difficilement détectables.

En matière d’attaques DDoS, le secteur financier est l’une des cibles privilégiées des cybercriminels, suivie de près par le secteur public. Outre le fait de perturber les opérations Internet par un assaut brutal de données, les attaques DDoS ont récemment été utilisées pour recueillir des informations financières et relatives au commerce en ligne. Ces attaques ont souvent pour objectif de perturber les opérations, principalement en détruisant l’accès à l’information.

Il y a généralement trois catégories de motivations derrière les attaques DDoS: politique, de représaille et financière. Les attaquants politiques ciblent ceux qui ne sont pas d’accords avec leurs convictions politiques, sociales ou religieuses. Lorsqu’un botnet ou un important réseau cybercriminel est démantelé, cela peut déclencher des attaques de représailles contre ceux qui ont aidé ou assisté les autorités. Les attaques motivées par l’argent suivent un schéma « pay-to-play » dans lequel les hackers sont compensés par une tierce partie qui leur demande de mener l’attaque pour elle. Quelle que soit la motivation, le résultat est le même – votre réseau et services en ligne deviennent indisponibles, et peuvent rester ainsi pendant un long moment.

Méfiez-vous des attaques DDoS avancées visant la couche applicative
Il existe de nombreux types d’attaques DDoS largement utilisés aujourd’hui, allant des anciennes méthodes des débuts de l’Internet aux dernières attaques avancées visant la couche 7 et ciblant les applications. L’inondation de requêtes SYN et HTTP GET sont les plus communes et utilisées pour surcharger les connexions réseau ou les serveurs derrière les pare-feux et système de prévention d’intrusion (IPS).

Toutefois, le plus inquiétant est que les attaques visant la couche applicative utilisent des mécanismes beaucoup plus sophistiqués pour attaquer les services et réseau des organisations. Plutôt que d’inonder simplement un réseau avec du trafic ou des sessions, ces types d’attaques ciblent des services et applications spécifiques pour épuiser lentement les ressources au niveau de l’application (couche 7).

Les attaques visant la couche applicative peuvent être très efficaces en utilisant peu de volumes de trafic, et peuvent être considérer comme tout à fait normales par la plupart des méthodes de détection DDoS traditionnelles. Cela rend les attaques visant la couche applicative beaucoup plus difficiles à détecter que les autres types d’attaques DDoS basiques.

Les options en matière de protection DDoS
La plupart des FAI offrent une protection DDoS des couches 3 et 4 pour empêcher les liens des organisations d’être inonder lors d’attaques volumétriques de masse. Cependant, ils n’ont pas la capacité de détecter les plus petites attaques visant la couche 7. Ainsi, les centres de données ne devraient pas uniquement compter sur leur FAI pour bénéficier d’une solution complète DDoS, dont la protection de la couche applicative. Au lieu de cela, ils devraient envisager de mettre en place une des mesures suivantes:

1. Les fournisseurs de services DDoS: Il existe beaucoup de solutions hébergées DDoS basées sur le cloud qui fournissent des services de protection des couches 3, 4 et 7. Elles vont des projets peu couteux pour les petits sites Web jusqu’à ceux pour les grandes entreprises qui requièrent la couverture de plusieurs sites Web. Elles sont en général très faciles à mettre en place et fortement poussées auprès des petites et moyennes entreprises. La plupart offre des options de tarification personnalisée et beaucoup ont des services de détection avancée de la couche 7 à disposition des grandes organisations qui nécessitent que des capteurs soient installés dans le centre de données. Beaucoup d’entreprises choisissent cette option, mais certaines d’entre elles doivent faire face à des frais excédentaires importants et imprévus lorsqu’elles sont frappées par des attaques DDoS en masse. Par ailleurs, la performance n’est parfois pas à la hauteur car les fournisseurs de services redirigent le trafic DDoS vers les centres de protection au lieu de les stopper en temps réel, ce qui est particulièrement problématique pour les attaques de courte durée, qui sont celles généralement rencontrées.

2. Pare-feu ou IPS: Presque tous les pare-feux et système de prévention d’intrusion (IPS) modernes revendiquent un certain niveau de défense DDoS. Les pare-feux nouvelles générations avancés  (NGFW) offrent des services DDoS et IPS et peuvent protéger de nombreuses attaques DDoS. Avoir un dispositif pour le pare-feu, IPS et DDoS est plus facile à gérer, mais peut être submergé par des attaques volumétriques DDoS, et peut ne pas avoir les mécanismes sophistiqués de détection pour la couche 7 que d’autres solutions ont. Un autre compromis à prendre en compte est que l’activation de la protection DDoS sur le pare-feu ou l’IPS peut impacter la performance globale du seul dispositif, entrainant des débits réduits et une augmentation de la latence pour les utilisateurs finaux.

3. Appliances dédiées à la protection d’attaques DDoS: Ce sont des dispositifs matériels qui sont déployés dans un centre de données et utilisés pour détecter et stopper les attaques DDoS basiques (couche 3 et 4) et avancées (couche 7). Déployées au point d’entrée principal pour tout le trafic Web, elles peuvent à la fois bloquer les attaques volumétriques en masse et surveiller tout le trafic entrant et sortant du réseau afin de détecter les comportements suspects des menaces visant la couche 7. En utilisant un dispositif dédié, les dépenses sont prévisibles car le coût est fixé quelque soit la fréquence des attaques, que l’entreprise soit attaquée une fois en six mois ou tous les jours. Les aspects négatifs de cette option sont que ces dispositifs sont des pièces matérielles supplémentaires à gérer, que les unités à faible bande passante peuvent être submergées lors d’attaques volumétriques en masse, et que de nombreux fabricants nécessitent des mises à jour fréquentes en matière de signatures.

Les solutions matérielles dédiées de protection des attaques DDoS existent en deux versions principales – celle pour les opérateurs télécoms et celles pour les entreprises. Les premières sont des solutions complètes conçues pour les réseaux mondiaux des FAI et sont très couteuses. La plupart des organisations qui veulent protéger leurs centres de données privés optent habituellement pour les modèles entreprises qui offrent une détection et protection DDoS rentable. Les modèles d’aujourd’hui peuvent gérer des attaques volumétriques en masse et assurer une protection à 100% des couches 3, 4 et 7 ou peuvent être utilisés pour compléter une protection fournie par le FAI contre les attaques DDoS en masse et assurer une détection et protection avancées de la couche 7. Bien que ces dispositifs nécessitent un investissement initial, ce qui n’est pas le cas des solutions hébergées, ils sont généralement beaucoup moins chers à long terme si l’on prend en compte les frais excédentaires dans le budget total.

Les entreprises devraient considérer des appliances de protection d’attaques DDoS qui utilisent des méthodes d’adaptation basées sur le comportement pour identifier les menaces. Ces appliances apprennent les bases de référence de l’activité normale des applications et ensuite surveillent leurs trafics par rapport à ces bases. Cette approche d’adaptation/d’apprentissage a l’avantage de protéger les utilisateurs des attaques zero-days inconnues puisque que le dispositif n’a pas besoin d’attendre que les fichiers signatures soient mis à jour.

Les attaques DDoS sont en hausse pour presque toutes les organisations, grandes ou petites. Les menaces potentielles et volumes augmentent à mesure que de plus en plus d’appareils, y compris les téléphones mobiles, accèdent à Internet. Si votre organisation a une propriété Web, la probabilité de subir une attaque n’a jamais été aussi élevée. La nature évolutive des attaques DDoS signifie que les entreprises ne peuvent plus compter uniquement sur leur FAI pour se protéger. Les organisations doivent commencer à effectuer des changements dès à présent pour une plus grande prévoyance et bénéficier de défenses plus proactives pour les services au niveau des applications et du réseau.

Cybersécurité, Virus

Avast présente sa solution de sécurité du réseau domestique

Avast 2015 repère les routeurs domestiques vulnérables pouvant être à l’origine d’usurpations d’identité et de failles de confidentialité.

Avast Software, fabricant de solutions de sécurité parmi les plus réputées, vient d’annoncer aujourd’hui la sortie de la solution de sécurité Avast 2015 sur PC et Mac, pour le plus grand bonheur de ses 175 millions d’utilisateurs dans le monde. Disponible en plusieurs versions, gratuite et payantes, voici le seul outil de sécurité du réseau domestique spécialement conçu pour répondre aux menaces réelles qui pèsent sur les réseaux domestiques détournés. Améliorations et fonctions inédites sont au programme de cette nouvelle version. Prévention contre la redirection DNS, analyse HTTPS, réduction des messages et des fenêtres intempestives au sein des produits, allègement de l’expérience utilisateur, accélération des procédures de mises à jour logicielles… les performances du logiciel de sécurité le plus populaire au monde passent ainsi à la vitesse supérieure pour une confidentialité et une sécurité renforcées.

« Les risques liés à la sécurité ne concernent plus uniquement les ordinateurs mais bel et bien les réseaux domestiques dans leur ensemble. En effet, les temps ont changé. Aujourd’hui, un nombre incalculable d’appareils les utilisent pour accéder à Internet, ce qui entraîne une explosion des risques. On constate donc que les réseaux domestiques sont devenus le centre névralgique des opérations informatiques. » a déclaré Vince Steckler, Directeur général d’Avast, à DataSecurityBreach.fr. « D’après nos enquêtes, des mots de passe banals, facilement détournables, offrent une protection précaire contre le piratage. C’est le cas pour près de 80 % des routeurs domestiques utilisés aujourd’hui.  Avast 2015 se propose de déjouer ces failles à grand renfort de fonctions inédites. »

Sécurité du réseau domestique en exclusivité mondiale
Tous les produits Avast 2015 incluent l’édition gratuite d’Avast Sécurité du réseau domestique qui permet d’analyser en un seul clic le réseau et d’anticiper les problèmes de sécurité potentiels avant qu’ils ne se transforment en de réels dangers. Avast détecte les réseaux Wi-Fi configurés de manière incorrecte, les routeurs dont le niveau de protection du mot de passe est faible voire inexistant, les routeurs Internet accessibles et vulnérables, les connexions Internet suspectes et les protocoles IPv6 activés sans protection.

La redirection DNS compte parmi les plus grands dangers auxquels les utilisateurs de routeurs vulnérables sont confrontés. Avast DNS sécurisé chiffre le trafic Internet entre les appareils protégés par Avast et le serveur DNS d’Avast et empêche la redirection des utilisateurs vers des sites détournés. L’analyse HTTPS, quant à elle, scanne les sites qui utilisent le protocole HTTPS afin de déceler la présence éventuelle de programmes malveillants ou de menaces. Cette fonction fait partie des composants de la technologie robuste Agent Web d’Avast. Enfin, la nouvelle fonction SmartScan permet aux utilisateurs de détecter en un seul clic les menaces, mises à jour logicielles, problèmes de réseaux et de sécurité qui peuvent peser sur leurs systèmes.

Expérience utilisateur et la protection
Parmi les avancées majeures, on peut citer la refonte de l’interface utilisateur qui se traduit par un confort d’utilisation accru, une navigation beaucoup plus intuitive et une prise en main plus accessible. Les utilisateurs ont désormais la possibilité d’activer ou de désactiver les fonctions et les outils de leur choix en un seul clic.

Les mises à jour des produits et des logiciels tiers se font plus rapidement. Il est plus aisé pour les utilisateurs de conserver leur système à jour, ce qui permet de renforcer leur sécurité. En outre, le nouveau système d’assistance en ligne gagne en visibilité. En clair, les utilisateurs mettent nettement moins de temps à accéder à l’aide dont ils ont besoin.

Avast 2015 a également donné naissance à une nouvelle fonctionnalité baptisée « Avast Rewards ». Conçue pour rendre les fonctions de sécurité d’Avast plus conviviales et interactives, elle récompense les utilisateurs sous forme de points Karma et de badges, à mesure qu’ils prennent leur protection en main.

Le renforcement de la protection s’illustre aussi dans l’ajout d’un « sas » de virtualisation matérielle. Concrètement, une zone de test virtuelle est mise en place pour analyser automatiquement les éléments suspects avant leur entrée sur le réseau. La détection LPI (logiciels potentiellement indésirables) identifie les programmes que les utilisateurs ont pu installer par inadvertance. Ils sont alors invités à supprimer ces logiciels et bénéficient ainsi d’une nouvelle dimension de la performance.

Dédiée au grand public, la solution Avast 2015 pour PC se décline en quatre versions : Avast Antivirus Gratuit, Avast Pro Antivirus, Avast Internet Security et Avast Premier, localisées en 45 langues. Il faudra patienter jusqu’à l’hiver 2015 pour profiter de la gratuité d’Avast Mac Security, de sa fonction d’analyse Sécurité du réseau domestique et de l’outil DNS sécurisé. Avast ne met donc aucune entreprise ni aucun utilisateur nomade sur la touche en leur offrant un niveau de protection informatique inégalable sur le marché.

BYOD, Cloud, Cybersécurité, Entreprise, Fuite de données, Mise à jour

Les entreprises privilégient la performance, à la sécurité de leur réseau !

Les administrateurs système avouent désactiver leur firewall pour répondre à la problématique d’une performance applicative insuffisante

McAfee, filiale d’Intel Security, annonce la publication d’un nouveau rapport intitulé ‘Network Performance and Security’. Ce dernier met en évidence les défis auxquels les entreprises sont confrontées lors du déploiement de solutions de protection afin de maintenir une performance optimale de leur infrastructure réseau. Présenté lors de l’événement FOCUS 14 de McAfee, le rapport révèle que plus de la moitié des entreprises désactivent les fonctionnalités de leur firewall (54 %) afin d’éviter une dégradation significative de la performance de leur réseau.

Plus de 500 DSI ont été interrogés dans le cadre de ce rapport et 60 % d’entre eux avouent que la conception de leur réseau a été gouvernée par la sécurité. Paradoxalement, plus d’un tiers ont également admis avoir déjà suspendu certaines options de leur firewall ou refuser la mise en œuvre de certaines fonctionnalités de sécurité juste pour augmenter la performance de leur réseau.

« Il est regrettable que la désactivation d’importantes propriétés de pare-feu commence à devenir une pratique courante en raison de problèmes de performance », déclare à Data Security Breach Thierry Bedos, Managing Director France de McAfee, filiale d’Intel Security. « Chez McAfee, nous trouvons cela inadmissible et estimons que les entreprises ne devraient tout simplement pas à avoir à choisir entre sécurité et performance réseau. »

Selon le rapport, les fonctionnalités les plus couramment désactivées par les administrateurs réseau sont l’analyse en profondeur de paquets (DPI), l’anti-spam (29 %), l’anti-virus (28 %) et l’accès au VPN (28 %). Le DPI, option la plus souvent désactivée (31 %), assure la détection d’activité malveillante dans le réseau et prévient des intrusions en bloquant le trafic visé avant que des dommages se produisent. Il est une composante essentielle d’une défense efficace contre les menaces, ainsi qu’un élément clé des firewalls de prochaines générations, qui représentent aujourd’hui 70 % des achats de pare-feu1.

« Quand j’entends que les directeurs de systèmes d’information sont contraint de suspendre partiellement leur système de sécurité, qu’ils ont payé, en raison de baisse de performance réseau, cela me dérange », commente Ray Murer, Chief Technology Officer – Perket Technologies à datasecuritybreach.fr. « Pourquoi devraient-ils négliger la sécurité au nom de la performance ? »

De nombreuses entreprises choisissent d’arrêter leur DPI en raison des exigences de débit élevé qu’il impose aux ressources réseau. Selon le cabinet d’études Miercom, un DPI pourrait dégrader jusqu’à 40 % les performances de débit d’une entreprise2, en fonction de la solution en place. D’après les tests réalisés par Miercom, McAfee Next Generation Firewall est compatible avec une activation de l’ensemble des fonctionnalités de sécurité et permet ainsi de favoriser et de maintenir une performance haut débit optimale. Les autres produits du marché testés présenteraient 75 %, voire plus, de dégradation des performances des outils de sécurité (DPI, anti-virus et contrôle applicatif)2.

« Avec le nombre de violations de données identifiées, en augmentation de plus de 200 % par rapport à l’année précédente, il n’a jamais été autant capital pour les entreprises d’adopter les mesures de protection avancées proposées aujourd’hui par les firewalls de nouvelle génération3 », poursuit Thierry Bedos. « Chez McAfee, nous souhaitons faciliter le déploiement et l’usage de technologies de sécurité, à leur potentiel maximal, pour éviter aux entreprises de sacrifier leur productivité. »

[1]  Gartner finding cited in “Next Generation Firewalls and Employee Privacy in the Global Enterprise,” SANS Institute, September 21, 2014.

[2] “Throughput and Scalability Report, McAfee NGFW 5206, v5.8,” Miercom, October 9, 2014.

[3] Verizon, 2014 Data Breach Investigations Report (DBIR).

Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, Sauvegarde

Fin du support pour Windows Server 2003 : il faut agir d’urgence

3 commentaires

La fin est imminente: le support de Windows Server 2003 par Microsoft se terminera mi-2015. Par conséquent, les entreprises ne disposent plus que de 286 jours pour migrer vers un nouveau système d’exploitation de serveur et concevoir une infrastructure fiable pour l’avenir. transtec voit à cet égard principalement deux solutions envisageables : le remplacement physique des serveurs et la virtualisation.

À partir du 15 juillet 2015, Microsoft ne mettra plus à disposition de nouvelle mise à jour, ni de patchs de sécurité ou de hotfix, que ce soit pour les éditions de Windows Server 2003, Windows Server 2003 R2 ou pour Microsoft Small Business Server (SBS) 2003. Si une entreprise continue alors à miser sur ces systèmes d’exploitation, le risque de perte de données dues à des Hackers ou des virus est quasiment programmé d’avance.

 » C’est justement dans de nombreuses petites et moyennes entreprises que Windows Server 2003 continue à être utilisé. C’est là qu’il est extrêmement urgent d’agir, ne fût-ce que pour respecter les exigences légales et réglementaires, les directives de conformité et les règles internes de sécurité « , explique Michael Hohl, responsable  » Datacenter Solutions  » de la société transtec.  » Presque 300 jours pour introduire un système d’exploitation actualisé semblent certes représenter beaucoup de temps, mais  même Microsoft part du principe que la durée moyenne d’une migration est supérieure à
200 jours. « 

De manière générale, il y a une chose qu’on ne peut pas perdre de vue, c’est que dans la migration, il ne s’agit pas seulement du remplacement d’un système d’exploitation. Le paysage des applications est au moins tout aussi complexe et problématique, car celles-ci ne sont souvent pas compatibles 64 bits et fréquemment, les éditeurs de logiciels ne proposent plus aucune assistance.

Concrètement, transtec voit pour les entreprises deux solutions possibles pour introduire un système d’exploitation actualisé : l’acquisition de nouveaux matériels ou la mise en oeuvre d’une virtualisation des serveurs. transtec propose des solutions adaptées aux deux variantes: d’une part des serveurs complètement intégrés en tant que solution autonome, se composant du matériel et des logiciels sous licence OEM, et d’autre part des bundles hyper-V préconfigurés.

Selon transtec, un système d’exploitation actuel tel que Windows Server 2012 R2 offre de nombreux avantages auxquels les entreprises ne devraient plus renoncer à l’avenir. transtec cite à cet égard :

– la construction aisée d’un serveur de fichiers scale-out de haute performance et d’une grande fiabilité avec les fonctionnalités natives de Windows.
– la possibilité de réalisation d’une solution étendue Terminal Server l’hyperviseur  » hyper-V  » offrant des fonctionnalités de haut niveau est gratuitement inclus dans le prix de la licence
– l’évolution facile vers un cluster de haute disponibilité.
– la possibilité d’intégrer des machines virtuelles avec des systèmes d’exploitation Linux.
– l’automatisation des travaux de maintenance grâce aux outils intégrés
– l’intégration dans des outils d’administration comme Microsoft System Center.

Sans oublier qu’une entreprise avec un nouveau système d’exploitation est parfaitement préparée pour une mise en oeuvre future de modèles Cloud, par exemple d’un Cloud hybride, avec utilisation d’un Cloud privé dans son propre Datacenter et d’un Cloud public.

Hacking

L’antivirus VirusKeeper fait appel à l’intelligence artificielle

La société nordiste d’édition AxBx annonce la sortie de la version 2015 de son antivirus VirusKeeper.

VirusKeeper est le seul antivirus français. Il repose sur un moteur d’analyse comportementale exclusif qui lui permet de détecter les malwares connus ou non. En 2006, VirusKeeper innovait déjà puisqu’il était le premier antivirus reposant sur l’analyse comportementale. Les antivirus fonctionnant à base de scanner de signatures, technologie qui date des années 80, sont aujourd’hui obsolètes et incapables de détecter les menaces actuelles.

Le nouveau VirusKeeper 2015 marque un tournant majeur dans le monde de l’antivirus puisqu’il intègre désormais un moteur d’intelligence artificielle nommée VIKEE. VIKEE analyse le système, détecte les failles de sécurité, contrôle les paramétrages et donne des conseils pour obtenir une sécurité maximale de l’ordinateur. Bon nombre de malware et de pirates utilisent en effet les failles des logiciels à forte diffusion (Windows, navigateur web, plug in Flash / Acrobat Reader) pour pénétrer l’ordinateur. VIKEE permet notamment de corriger ses failles. On estime que les failles de sécurité sont responsables d’au moins une infection sur trois.

VirusKeeper 2015 dispose d’un nouveau moteur d’analyse capable de détecter et neutraliser toutes les formes de menaces actuelles : virus, vers, chevaux de Troie, spyware, malware, etc … Trois éditions de VK : l’édition  » Free  » version gratuite qui assure une protection de base du poste de travail. Cette version est adaptée pour un usage occasionnel de l’ordinateur et les profils peu exposés ; l’édition  » Professional « , qui fournit une protection complète  multi-niveaux contre les menaces actuelles : virus, vers, chevaux de Troie, spyware et programmes malveillants ; l’édition  » Ultimate « , qui fournit une protection de très haut niveau contre toutes les formes de menaces actuelles. La version Ultimate inclut également un parefeu intelligent (niveau TCP/IP et niveau applicatif), un scanner anti-grayware et Security Advisor un outil complémentaire de détection de failles de sécurité.

Offre de lancement promotionnelle : -60% sur le nouveau VirusKeeper 2015 Ultimate Edition Licence pour 3 PCs à 24.90 EUR au lieu de 59.90 EUR.

Cyber-attaque, Cybersécurité, Piratage, Virus

Un malware attaque les visiteurs de plusieurs gros sites Internationaux

Un commentaire

AOL, Match.com, Societe.com, ainsi que plusieurs autres importants sites Internet se sont retrouvés à diffuser, sans le savoir, des publicités aux contenus malveillants.

La semaine dernière, les chercheurs de la société Proofpoint ont détecté de nombreux sites web à fort trafic touchés par une campagne de malvertising, des publicités piégées ayant pour mission d’infiltrer les ordinateurs des visiteurs. Plusieurs dizaines d’importants espaces ont été touchés, dont le français societe.com ou encore Match.com et des domaines appartenant à AOL et Yahoo!

3 millions de visiteurs, par jour, ont pu être touchés par cette attaque. L’idée des pirates est d’utiliser les canaux de diffusion de publicités en ligne pour piéger des ordinateurs (sous Windows, NDLR), mais aussi des smartphones et tablettes (sous android, NDLR), via des logiciels espions. Exploiter des failles de régies pubs offre aux pirates une vivier de « clients » potentiellement énorme.

Les attaques malvertising sont particulièrement difficiles à détecter parce que la plupart des publicités sur les sites diffuseurs  proviennent de plusieurs réseaux publicitaires, et donc, changent selon les visiteurs. Parmi les diffuseurs realestate.aol.com, theatlantic.com, 9GAG, match.com ou encore theage.com.au, stuff.co.nz, societe.com, beaconnews.suntimes.com. [proofpoint.com]

Cybersécurité, Drupal, Entreprise, Fuite de données, Joomla, Logiciels, Mise à jour, Patch, Propriété Industrielle, Sécurité, Wordpress, Wordpress

Les attaques visant les applications Web se multiplient

Applications de vente en ligne, sites hébergeant des données de consommateurs ainsi que WordPress sont aujourd’hui les principales cibles de ce type d’attaque.

Imperva, spécialiste en solutions de sécurité informatique, a publié les résultats de sa cinquième enquête annuelle consacrée aux attaques visant les applications Web (Webannuel Report Application Attack : WAAR). Réalisé par l’Application Defense Center(ADC), la cellule de recherche d’Imperva, ce rapport analyse un échantillon de 99 applications protégées par le pare-feu applicatif Web d’Imperva(WAF) sur une période de neuf mois (du 1er Août 2013 au 30 Avril 2014). Les principaux enseignements de cette édition font état d’une augmentation significative du trafic malveillant (dont on notait déjà l’explosion dans le précédent rapport), ils révèlent que les applications de vente en ligne sont les plus sensibles pour ce type d’attaque et que WordPress est l’application la plus attaquée. Enfin, les États-Unis se distinguent comme le pays d’origine de la majorité du trafic des attaques d’applications Web dans le monde.

Ce cinquième rapport témoigne d’une augmentation de 10% des attaques par SQL injection (SQLI), ainsi que d’une hausse de 24% des attaques par inclusion de fichier à distance (RFI). L’équipe de recherche de l’ADC a de plus constaté que la durée des attaques s’est considérablement prolongée ; Leur durée s’est en effet allongée de 44% par rapport au précédent rapport WAAR.

48,1% des campagnes d’attaque visent les applications de vente en ligne, suivie par les institutions financières qui représentent 10% des attaques.     Les sites conçus sous WordPress ont subit 24,1% d’attaques en plus que les sites Web qui utilisent d’autres systèmes de gestion de contenu (CMS), on observe également que WordPress souffre davantage (60% de plus) d’incidents de Cross Site Scripting (XSS) que les autres sites. Les applications PHP subissent trois fois plus d’attaques XSS que les applications .NET. Les sites Web qui ont une fonctionnalité « log-in », et qui contiennent par conséquent des données spécifiques aux consommateurs, représentent 59% de toutes les attaques, et 63% des injections SQL.

« Après des années à analyser les attaques de données ainsi que leurs origines, le rapport de cette année indique que les hackers quelque soient leur pays d’origine hébergent leurs attaques aux Etats-Unis afin d’être géographiquement plus proche de leurs cibles. Cela explique pourquoi les États-Unis génèrent la majorité du trafic mondial des attaques d’applications web », indique Amichai Shulman, Directeur de la technologie chez Imperva à Datasecuritybreach.fr. « En regardant de plus près d’autres sources d’attaques, nous nous sommes aperçus que les infrastructures-as-a-Service (IaaS) étaient de plus en plus utilisées par les hackers. Pour exemple, 20% des tentatives d’exploitation de vulnérabilités connues proviennent d’ Amazon Web Services. Mais ce n’est pas le seul; car le phénomène se développe et les autres fournisseurs de ce type d’infrastructures (IaaS) doivent être particulièrement vigilants quant à la compromission de leurs serveurs. Les hackers ne sont pas sélectifs quand il s’agit d’atteindre un Data Center ».

Cyber-attaque, Cybersécurité, DDoS, Piratage

Lancement d’Antibot France

Un commentaire

Le CECyF – Centre Expert contre la Cybercriminalité Français et Signal-Spam ont lancé le 20 octobre 2014 Antibot France, un site d’information de prévention sur les botnets, membre du réseau européen du projet pilote Advanced Cyber Defence Centre.

Un botnet est formé par la connexion à un système de commande et de contrôle de plusieurs dizaines, centaines, voire milliers ou plus de systèmes infectés par un logiciel malveillant. Les botnets ont de nombreux usages comme: envoyer du courrier électronique non sollicité (spam), réaliser des attaques en déni de service distribué, détourner des informations confidentielles sur les machines contaminées (comme des mots de passe, l’accès à un compte bancaire), héberger des contenus illicites ou encore installer d’autres virus.

Le site www.antibot.fr informe sur ce que sont les botnets, comment ils se propagent – et donc en particulier comment un système numérique est contaminé par un virus aujourd’hui, mais aussi propose des moyens de s’en protéger et de nettoyer son ordinateur.

Le site comporte un blog qui diffusera régulièrement des articles informant sur l’actualité des botnets, propose parmi les outils de nettoyage des solutions qui ont été développés dans le cadre du projet Européen Advanced Cyber Defence Centre comme EU Cleaner ou Check and Secure un outil de diagnostic en ligne.

A noter, que les instigateurs de ce projet organisent le Botconf’14. The botnet fighting conference à Nancy, du 3 au 5 Décembre 2014.

BYOD, Cybersécurité

Un projet big data pour sécuriser les voies ferrées, fausse bonne idée ?

Renforcer la sécurité et améliorer la surveillance des installations est une problématique constante pour la SNCF et réseau ferré de France (RFF), sociétés en charges des voies ferrées françaises.

Pour répondre à cette problématique, le projet « vigirail » a été lancé suite à aux accidents ayant marqués l’année 2013, et notamment le déraillement en juillet 2013 de Brétigny-sur-Orge, ayant fait 61 blessés et 7 morts. La SNCF et RFF ont ainsi décidé d’investir 410 millions d’euros dans des technologies de pointe avec le plan vigirail, commencé cette année, et qui prendra fin en 2017. Le but est simple : mettre à profit les nouvelles technologies et industrialiser les process pour fournir des informations en temps réels sur l’état des infrastructures et ainsi éviter d’autres drames. Mais cet investissement pourrait se révéler infructueux, voire dommageable, si l’anticipation n’est pas au rendez-vous.

Ce plan se décompose en trois grandes catégories :
–         La mise en place progressive dès janvier 2015 d’engins chargés de la surveillance des installations, grâce à la présence sous le train de caméras HD. Via ces prises de vues, les anomalies sur les voies seront automatiquement détectées et répertoriées.

–         Le lancement, en juillet 2014, de la plateforme « Alerte express » permettant de signaler les anomalies techniques sur les voies ferrées, anomalies qui seront par la suite mise en forme et envoyées aux agents automatiquement

–         Les applications à destination des agents sur le terrain. A terme une dizaine d’applications seront déployées sur les 13 000 smartphones et tablettes des agents dès mars 2015 afin qu’ils puissent répertorier toutes les informations utiles.

Compte tenu de l’ampleur des installations à observer, environ 29 000 kilomètres de rails, et le nombre d’agents équipés, on imagine aisément la quantité importante de données à traiter, dans des délais parfois courts. Quantité à laquelle s’ajoutent les données déjà présentes sur le réseau permettant le bon fonctionnement de l’entreprise.

De plus, la SNCF et RFF disposant de nombreux sites physiques sur toute la France, la gestion des données sera sans aucun doute multi-sites, augmentant ainsi le traffic de données et par conséquent la possibilité de dysfonctionnements. Ce surplus de données, s’il n’est pas anticipé et géré convenablement, rendra vain le projet vigirail et pourra même impacter négativement l’ensemble de l’infrastructure informatique.

Les nouvelles technologies sont une aubaine en termes de sécurité, mais pour avoir un impact  positif il faut s’assurer que le réseau puisse gérer toutes ces informations en temps réel, et qu’elles soient disponibles pour tous et à tout moment. Pour cela, pas de mystère, en plus d’une analyse poussée des besoins, il faut impérativement anticiper et mettre en place un outil de gestion et de monitoring réseau. Un outil efficace répond à deux impératifs :

–                    Une interface unifiée : Les entreprises accumulent bien souvent au fil du temps les outils de contrôle réseau, or ces derniers ne sont pas toujours capables de communiquer entre eux. L’administrateur n’a donc pas une vision globale du réseau, les risques de bug informatiques et le temps passé à surveiller le réseau sont donc accrus.

–                    Des alertes et réparations automatiques : La disponibilité réseau doit être continue. Les éventuels problèmes de performance et leurs causes doivent donc être repérées à l’avance, ce qui permettra la mise en place d’alertes et de réparations automatiques.  L’anomalie sera alors réparée avant même que le réseau aient pu être impacté par un quelconque ralentissement.

Ces avancées technologiques pourraient considérablement faciliter l’entretien et la surveillance des voies ferrées, améliorant ainsi la sécurité. Cependant, sans un monitoring réseau efficace, toutes ses données pèseront lourd sur le système informatique et risque de saturer ce dernier, qui sera donc indisponible, entrainant autant de désagrément pour les passagers que pour les employés de la SNCF. (Par Yannick Hello, Responsable S-EMEA chez Ipswitch, Inc pour DataSecurityBreach.fr)

Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Logiciels, Propriété Industrielle

Un clavier avec lecteur de carte et code PIN

Le spécialiste des périphériques CHERRY va proposer à la fin de l’année son nouveau clavier KC 1000 SC. Grâce à son lecteur de cartes à puce intégré, le CHERRY KC 1000 SC rend inutile l’utilisation d’un appareil supplémentaire. Il convient notamment aux utilisations suivantes : signature numérique, PKI (Public Key Infrastructure),  authentification forte, Single Sign On (SSO), cryptage des données et commerce électronique. Grâce au lecteur vertical intégré, l’utilisateur ne perd de vue ni le lecteur, ni la carte.  Plus de risque d’oubli !

Le nouveau CHERRY KC 1000 SC est un clavier intelligent avec lecteur de cartes à puce intégré. CHERRY est leader dans ce domaine. Le module de cartes à puce plat du nouveau clavier CHERRY KC 1000 SC peut être manipulé d’une seule main. La saisie sécurisée du code PIN via le pavé numérique du clavier renforce la sécurité du lecteur de classe 2. L’appareil est compatible PC/SC, homologué EMV 2000 niveau 1, CCID et dispose de la fonction lecture / écriture pour cartes à puce conformes ISO 7816.

Le clavier CHERRY KC 1000 SC comprend 105 touches + 4 touches spéciales (calculatrice, e-mail, navigateur Internet, mode veille). Le lecteur est conçu pour plus de 100 000 utilisations et les touches du clavier sont gravées au laser pour un marquage durable. La version prévue pour le marché allemand sera proposée en conformité avec la norme de disposition DIN. Avec son design typique de CHERRY, ce clavier cartes à puce est conforme aux règles en matière d’ergonomie. Des certifications supplémentaires, notamment le label écologique « Blaue Engel » et FIPS-201 sont prévues.

CHERRY KC 1000 SC est équipé de pilotes pour Windows, Mac OS-X et Linux afin de pouvoir être utilisé dans tous les environnements. Les mises à jour logicielles sont effectuées directement par contrôleur Flash. Le raccordement par câble se fait par interface USB 2.0 (Full Speed), compatible avec les versions précédentes jusqu’à USB 1.1. Il sera disponible dans les coloris noir ou blanc grisé dès la fin d’année.

Cybersécurité, Entreprise

Sécurité informatique : les entreprises françaises surestiment-elles leur maturité ?

72% des entreprises françaises interrogées sont persuadées d’être dotées d’un Next Generation Firewall alors qu’en réalité, elles seraient plutôt 30%.

McAfee, filiale d’Intel Security, annonce les résultats d’une étude réalisée par Vanson Bourne. Cette dernière révèle que 48 % des entreprises françaises consacrent trop de temps à la gestion de leur sécurité réseau, plutôt que de s’occuper des menaces elles-mêmes. De plus, près d’un tiers des décideurs informatiques (31 %) pensent que leur entreprise utilise trop de solutions de sécurité pour gérer les menaces, en constante évolution. Plus de la moitié (54 %) avouent même utiliser au moins cinq solutions de sécurité différentes au sein de leur réseau.

Les entreprises ayant des solutions de sécurité multiples et par silo sont des cibles plus exposées en termes de vols de données. Selon l’étude, 41 % des décideurs informatiques français estiment que les solutions de sécurité ponctuelles, qui ne partagent pas l’information entre elles, peuvent laisser passer certaines menaces. 31 % d’entre eux ont également déclaré que ce manque d’intégration signifiait que les menaces n’étaient pas dirigées vers l’espace de quarantaine requis.

L’absence d’intégration et de compatibilité entre les solutions remet en cause la sécurité globale d’une entreprise en réseau. Pourtant, 78 % des personnes interrogées sont incapables de confirmer que cette organisation en silo a pu diminuer leur niveau de sécurité. « Aujourd’hui, les entreprises n’ont pas le temps de déployer sans cesse des solutions de sécurité en mesure de répondre à la fois aux dernières menaces de sécurité et à une exigence de conformité. La communication entre leurs différents systèmes de sécurité est devenu un prérequis pour garder une longueur d’avance sur les attaques avancées », déclare David Grout, Directeur Europe du Sud McAfee, filiale d’Intel Security.

Un mauvais pari peut exposer les entreprises aux risques
Malgré les risques que peuvent représenter l’organisation en silo, de nombreuses entreprises semblent fonder leurs espoirs de sécurité informatique uniquement sur les capacités de leur pare-feu. 61 % des responsables informatiques font confiance à leur firewall pour identifier les menaces malveillantes avancées, les référencer, les stopper et atténuer leurs actions. Presque la moitié des DSI français (54 %) pensent que leur firewall dispose de mesures de détection avancées efficaces de bout en bout, y compris dans l’analyse de ‘sandbox’, la prévention des intrusions et la protection des points d’extrémité (endpoint). L’étude McAfee révèle également que 68 % des personnes interrogées s’accordent sur le fait que leur infrastructure informatique peut arrêter les intrusions furtives et les attaques « zero day ».

Avec 72 % des répondants en France (et 98 % aux États-Unis), qui estiment être dotés d’un Next Generation Firewall au sein de leur entreprise, la confusion semble persistante sur ce qu’est un Next Generation Firewall (NGFW). Partant de ce constat, les entreprises ne paraissent pas maîtriser l’état et leur degré de sécurité actuels, s’exposant ainsi à de potentielles menaces. « Cette étude met en évidence l’ampleur de la confusion existante sur le marché quant au Next Generation Firewall, ainsi que la nécessité de renforcer son évangélisation et son intégration à tout écosystème NGFW », commente David Grout à DataSecurityBreach.fr « Pour accélérer la découverte et l’extermination des menaces, les entreprises doivent dessiner une architecture de sécurité plus large et intégrer à leur NGFW d’autres solutions tels que SIEM, Endpoint, ATD et Global Threat Intelligence. »

 

Cyber-attaque, Cybersécurité, DDoS, Entreprise, Fuite de données, Piratage, Propriété Industrielle

Evolution des attaques par Déni de Service

Symantec vient de dévoiler une analyse expliquant l’évolution des attaques par Déni de Service (DDoS) ; des attaques toujours plus rapides et plus intenses, devenant davantage contraignantes pour les entreprises et les consommateurs.

En plus de rappeler les objectifs qui motivent généralement ce type d’attaque, ainsi que les différentes méthodes pour en atténuer les conséquences, l’analyse met en avant une augmentation de 183 % des attaques par amplification DNS, entre janvier et août 2014 ; A partir de 5 dollars (La rédaction de DataSecurityBreach.fr a pu constater de son côté des prix bien plus bas, NDLR), des pirates proposent de louer leurs services et de lancer des attaques DDoS sur n’importe quelle cible ; l’Inde est le pays d’où sont originaires le plus grand nombre d’attaques DDoS (26 %), devant les États-Unis (17 %) ;

Pour la première fois, une attaque a été détectée à hauteur de 400 Gigabitss par seconde, tandis qu’en 2013, la plus lourde attaque observée n’était “que” de 300 Gigabits/seconde. Bien qu’elles ne se déroulent pas à grande échelle pour le moment, il est probable qu’une augmentation des attaques DDoS provenant des smartphones et objets connectés devienne une réalité. [Symantec]

Banque, BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données, Propriété Industrielle

Cybersécurité des PME : smartphones et tablettes au cœur de l’enjeu

« J’ai d’autres priorités ». Telle est encore la réaction de nombreux dirigeants de Petites et Moyennes entreprises (PME) lorsqu’est évoqué le sujet de la sécurité des données professionnelles qui transitent sur les smartphones et tablettes de leurs cadres. Par Florian Bienvenu, Vice-président Europe centrale et Europe du sud de Good Technology pour datasecuritybreach.fr

Cela se comprend. En cette période de difficultés économiques, les investissements sont avant tout orientés vers le cœur de métier de l’entreprise. Sans la présence et les explications d’un Directeur des Services d’Information (DSI), un poste encore largement réservé aux grandes structures, difficile par ailleurs de penser que les chiffres inquiétants qui circulent sur la cybersécurité des PME puissent se transformer un jour en une réalité concrète et coûteuse – en 2012, les entreprises de moins de 250 salariés auraient concentré 31% des attaques (3 fois plus qu’en 2011) d’après le dernier rapport annuel sur la sécurité de Symantec. Les maliciels sur mobile, eux, auraient progressé de 58%, 32% des attaques sur ce terrain visant à collecter des données telles que les adresses électroniques et les numéros de téléphone. Tous ces chiffres ont encore un air virtuel pour de nombreux dirigeants de PME – même si le Premier Ministre en personne, en ouverture de la sixième édition du Forum International de la Cybersécurité (FIC), en janvier dernier, avait détaillé le cas de deux petites structures victimes de cyberattaques, et les coûts associés (480 000 et 450 000 Euros).

L’ordre des priorités, pourtant, pourrait évoluer rapidement, et la sécurisation des données mobiles gagner quelques places dans l’échelle des urgences. Comme cela a été évoqué lors du dernier FIC, les grands groupes exigent en effet de plus en plus de rigueur numérique de la part de leurs prestataires – il s’agit d’éviter que ces derniers soient utilisés comme cheval de Troie pour accéder au système d’informations des donneurs d’ordres. Or, les supports mobiles sont une des portes d’entrée privilégiées par les pirates. Normal : il leur faut en général quelques minutes pour compromettre un mobile et accéder ainsi à l’ensemble du Système d’Information de l’entreprise – les données personnelles et professionnelles (emails, documents, …), mais aussi tous les accès et mots de passe serveurs, VPN, etc. stockés «en clair» sur le terminal deviennent accessibles.

Trois stratégies sont alors possibles pour les PME. La première consiste à se fier aux fonctionnalités «natives» du terminal (activation manuelle du mot de passe, éventuellement du chiffrement du terminal si la fonction est disponible) et à sensibiliser les cadres sur les règles basiques d’hygiène informatique. Une stratégie simple et gratuite – donc très répandue. Le souci est qu’elle a peu de chances de séduire les donneurs d’ordres : au-delà du fait que le mot de passe peut être déchiffré en moins d’une minute, les terminaux sont à la merci de malwares, virus et logiciels espions, les jailbreaks n’étant pas détectés. Deuxième stratégie : adopter une des nombreuses solutions de gestion centralisée des supports mobiles (MDM) – une option a priori un peu plus évoluée puisque qu’elle permet notamment d’activer les fonctionnalités basiques de sécurité du terminal (mot de passe et effacement à distance). Problème : il faut toujours quelques minutes pour déchiffrer ce mot de passe ! Au-delà, ces solutions posent la question de la confidentialité des données personnelles, dans la mesure où elles permettent à l’entreprise d’accéder à « toutes » les données du terminal mobile.

Reste alors la troisième stratégie, encore peu considérée par les dirigeants de PME, mais qui devrait rapidement les séduire : celle qui consiste à sécuriser à la fois les données professionnelles – dans un « conteneur » étanche (chiffré) du reste du terminal – et les accès aux serveurs de l’entreprise. Côté professionnel, les applications sont ainsi distribuées via un « Appstore » d’entreprise, les fonctions « Email », « Calendrier », « Documents », « Contacts », « Navigation Intranet/Internet » sont sécurisées, et la gestion de la flotte est centralisée. Côté personnel, chacun peut choisir le terminal qui lui plaît et y utiliser sans danger des applications non-professionnelles (Facebook, Twitter etc.). Les données privées sont par ailleurs protégées (confidentialité) et préservées en cas d’effacement à distance.

Une stratégie trop compliquée pour des petites et moyennes structures ? Erreur : un simple abonnement suffit, et aucun investissement en infrastructure n’est nécessaire. Le prix est quant à lui proportionnel à la taille des effectifs. « J’ai d’autres priorités » ? Voilà une réponse qui, dans les PME, ne devrait bientôt plus oser s’appliquer à la question de la sécurité des données mobiles.

BYOD, Chiffrement, Cloud, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage

L’approche de la sécurité doit évoluer vers un modèle de défense rétrospectif

Dans les juridictions pénales, le principe de la double incrimination interdit à quiconque d’être jugé deux fois pour le même crime. Innocent ou coupable, le verdict ne change plus. Les procureurs sont obligés de recueillir autant de preuves que possible pour déterminer si la personne est coupable ou non. Ils ne peuvent revenir sur leur décision. (par Cyrille Badeau, Directeur Europe du Sud Cyber Security Group de Cisco pour DataSecurityBreach.fr).

Récemment encore, la sécurité fonctionnait également ainsi. En se basant sur la décision des outils de filtrage et de prévention, et des contrôles des politiques de sécurité, une seule fois et à un instant T, les professionnels de la sécurité disposaient d’une seule chance pour porter un jugement sur les fichiers qu’ils voyaient arriver, et soit les identifier comme étant sûrs et leur permettre d’entrer dans le réseau ou de les juger malicieux et de les bloquer. Avant, lorsque les menaces étaient moins sophistiquées et moins furtives, ces défenses étaient pour la plupart adéquates. Mais les attaques ont évolué et en se basant exclusivement sur les outils de défense à un instant T, cela n’est plus suffisant.

Les pirates d’aujourd’hui ont affiné leurs stratégies, souvent en utilisant des outils qui ont été spécifiquement développés pour contourner l’infrastructure de sécurité de l’entreprise ciblée. En effet, ils font de grands efforts pour passer inaperçu, en utilisant des technologies et des méthodes qui conduisent à des indicateurs de compromission quasi imperceptibles. Une fois que des logiciels malveillants, des attaques zero-day et des menaces persistantes avancées (APT) pénètrent un réseau, la plupart des RSSI n’ont aucun moyen pour continuer à surveiller ces fichiers et prendre des mesures lorsque ces fichiers présentent plus tard, des comportements malveillants.

Pour être efficace, l’approche de la sécurité doit évoluer afin que les RSSI puissent continuer à recueillir des informations pendant l’attaque et puissent analyser de nouveau un fichier, après un premier verdict. Cela nécessite un modèle de sécurité qui associe une architecture Big Data avec une approche continue pour fournir une protection et une visibilité dans le continuum d’attaque – du point d’entrée, pendant la propagation, et pendant la phase de remise en état après l’attaque. L’un des principes de ce modèle repose sur un examen rétrospectif – celui-ci consiste à surveiller en permanence les fichiers, le réseau et l’activité dans une parfaite connaissance du contexte en temps réel et de disposer d’algorithmes avancés sur le long terme, pas uniquement à un instant T.

Cela offre également des avantages significatifs sur la collecte des données des événements de sécurité ou des rapports planifiés sur les nouvelles données, car ce modèle permet de capter les attaques dès qu’elles se produisent. Ainsi, les fichiers inconnus, suspicieux et précédemment jugés « sûrs » peuvent de nouveau être analysés. Voici comment cela fonctionne :

  • Après une première analyse, l’examen rétrospectif continu de surveiller les fichiers sur une longue période en utilisant les dernières fonctionnalités de détection disponibles et une connaissance de la menace complète, autorisant un recours éventuel suite au jugement initial et une analyse approfondie, bien au-delà du point d’entrée où le fichier a été vu pour la première fois.
  • L’examen rétrospectif du réseau capte de façon continue la communication vers et depuis un poste de travail et les applications associées et les processus qui ont initié ou reçu la communication pour les données contextuelles ajoutées.
  • Similaire à l’examen rétrospectif lié aux fichiers, la rétrospection liée aux processus capte et analyse en continu les systèmes des entrées-sorties sur une longue période.

Les fichiers, le réseau et les processus sont liés pour créer un suivi de l’activité afin de mieux comprendre une attaque lorsqu’elle survient. Grâce à cela, les RSSI peuvent rapidement basculer de la détection vers une pleine compréhension de l’ampleur de la menace pour prendre les mesures qui s’imposent et faire face à des attaques à grande échelle. Les défenses sont automatiquement mises à jour afin que les professionnels de la sécurité puissent prendre la bonne décision, avant, pour prévenir de futures attaques similaires.

Si le principe de la double incrimination a tout lieu d’être dans les juridictions pénales, elle n’a pas sa place dans le monde de la sécurité. Les technologies ont évoluées au point où les RSSI ont plus de moyens que jamais pour détecter et arrêter les attaques. L’examen rétrospectif est l’une des techniques de sécurité les plus récentes que les RSSI peuvent utiliser pour délivrer le bon verdict et la sentence qui convient, au bon moment, et quelque soit le moment.

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, escroquerie, Espionnae, Fuite de données, Identité numérique, Vie privée

Configurer efficacement la double identification de son Dropbox

Un commentaire

Le 13 octobre 2014, un pirate informatique annonçait avoir mis la main sur plusieurs millions de comptes utilisateurs Dropbox.Voici comment protéger, au mieux, votre espace privé de sauvegarde.

Plusieurs listes ont été diffusées sur la toile, certaines étaient fausses. Pour éviter que vos données soient interceptées, via votre mot de passe intercepté par un pirate via de multiples possibilités (phishing, logiciel espion, fuite interne à l’entreprise, …) il est conseillé d’installer la double authentification. L’idée, recevoir un code de sécurité en supplément de votre mot de passe. Sans ce dernier, point de possibilité, même pour vous, d’accéder à vos informations. Voici la méthode pour installer efficacement la double authentification de votre dropbox. Nous vous proposons le même pas-à-pas pour Google, Youtube, gMail, ainsi que pour Facebook.

1 – Le site DropBox
D’abord se rentre sur la page dédiée double authentification de Dropbox. Comme le rappel Dropbox, la validation en deux étapes est une fonctionnalité facultative mais vivement recommandée. Elle ajoute un niveau supplémentaire de protection à votre compte Dropbox. Lorsqu’elle est activée, Dropbox exige un code de sécurité à six chiffres en plus de votre mot de passe dès que vous vous connectez à Dropbox ou que vous associez un nouvel ordinateur, téléphone ou tablette.

2 – Activation
Connectez-vous d’abord au site Web Dropbox. Attention, une seule et unique adresse (https://www.dropbox.com/login). Cliquez sur votre nom dans la partie supérieure droite de n’importe quelle page pour ouvrir le menu Compte. Dans ce menu, vous cliquez sur « Paramètres » et vous sélectionnez l’onglet « Sécurité« . Direction le lien « Validation en deux étapes » et vous l’activez. Il vous faudra votre mot de passe de connexion à DropBox pour valider la modification. Il vous suffit ensuite de suivre le pas-à-pas pour installer sur votre tablette/smarpthone l’outil de création de code de sécurité. Après avoir activé cette fonctionnalité, pensez à ajouter un numéro de téléphone secondaire doté d’une fonction de réception des SMS. Si vous perdez votre téléphone principal, DropBox vous communique un code de sécurité sur ce numéro de téléphone de secours.

3 – Sécurité dropbox
Une fois le système installé, il vous suffira de choisir le mode de réception de ce code de sécurité. Soit par SMS, soit une application tiers. Vous pouvez utiliser, par facilité et regroupement de vos autres doubles authentification, le logiciel gratuit proposé par Google, le Google Authenticator.

Identité numérique, Particuliers, Vie privée

Infidélité virtuelle : attention à vos emails

Infidèle par emails ? Oui, c’est possible. Une décision de la Cour de cassation a attiré l’attention en mai 2014. La Cour a en effet estimé que la fréquentation, par l’épouse, d’un site de rencontre, avec échanges d’emails et de photos intimes, était une « violation grave et renouvelée des obligations du mariage ». Et ce n’est pas la première fois que les tribunaux choisissent cette voie…

Inscriptions sur des sites de rencontres, échanges de mails tendancieux, conversations osées sur un tchat, envois de photos intimes… Les écarts de conduite sur Internet sont sanctionnés par les juges. Ce type de comportements, même si chacun reste derrière son écran, est considéré comme une faute entrainant un divorce aux torts exclusifs de l’époux internaute.

La dernière décision, datant du 9 mai 2014, semble avoir particulièrement marqué les esprits. Sans doute parce que les notions d’infidélité et de tromperie sont forcément rattachées à un rapport sexuel. Mais aussi parce qu’Internet, perçu comme un espace de liberté sans limite, voire déconnecté de la vie réelle, a été atteint par la logique jurisprudentielle.

Pourtant cette décision n’est pas la première et ne crée pas de révolution d’un point de vue juridique. Les tribunaux ont de nombreuses fois considéré comme une faute le batifolage sur Internet. Une inscription isolée sur un site de rencontre ne suffit pas à qualifier une faute. Mais la recherche manifeste de partenaires pour des échanges de fantasmes ou autre relation virtuelle constitue une faute. Certaines juridictions vont même plus loin : la Cour d’appel de Limoges a considéré, le 22 mars 2012, que la recherche d’un « réconfort intellectuel » sur des sites web est un comportement « injurieux » de l’époux.

Mais alors jusqu’où va l’infidélité ?
La notion est large et la jurisprudence exigeante envers les époux. Le devoir de fidélité est non seulement charnel, mais aussi moral et affectif. Prouver qu’il y a eu des relations sexuelles n’est pas toujours nécessaire dans un divorce pour faute. Un comportement équivoque, provoquant ou immoral peut suffire à constituer une infidélité. Plus encore, une relation platonique mais trop intime ou trop forte peut être une infidélité intellectuelle, et donc une faute. Et si l’infidélité n’est pas prouvée, ces comportements seront toujours qualifiés d’injurieux, violant le devoir de respect à son époux. Il ne faut pas seulement surveiller les mains baladeuses mais également les sentiments.

Internet facilite l’accès à la preuve
L’infidélité dématérialisée n’est donc une nouveauté que par l’aspect récent d’Internet. Ses ancêtres ont tout autant été limités : les recherches de partenaires dans des petites annonces, sur le minitel rose ou dans des clubs de rencontre ont aussi été sanctionnées. Internet ne sera donc pas le lieu de liberté des conjoints adultérins, malgré le business qui se développe pour cibler les époux en quête de relations extra-conjugales. Reste alors la question de la preuve : dans la procédure de divorce, comme dans toutes les procédures civiles, la preuve est libre. En d’autres termes, les tribunaux acceptent tout ce que l’époux lésé pourrait fournir : emails, contenus issus des réseaux sociaux, tchats ou SMS… Et ces échanges sur Internet créent une multitude de preuves écrites ! Pour se protéger de fouilles frénétiques sur son ordinateur, mieux vaut donc penser à effacer ses historiques de navigation. (Maître Romain Omer, Avocat du Barreau de Paris, pour DataSecurityBreach.fr)

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, Identité numérique, Leak, Propriété Industrielle, Vie privée

Comportements en matière de protection des données en Europe

77% des personnes interrogées doutent que leur entreprise respecte les lois relatives à la protection des données.

Sophos, l’éditeur spécialiste de la cybersécurité, a publié les résultats de sa toute dernière étude révélant les comportements des utilisateurs en matière de sécurité et de protection des données en Europe. Selon cette étude réalisée par Vanson Bourne, 84% des sondés pensent que l’Europe doit renforcer les lois relatives à la protection des données. Cependant, 77% doutent que leur entreprise soit conforme aux lois actuellement en vigueur. Il suffit d’ailleurs de lire les nombreuses révélations liées aux fuites de données, ici ou encore là, pour se dire que la victoire n’est pas pour demain.

Sur les 1500 professionnels interrogés en France, en Allemagne et au Royaume-Uni, une majorité a confirmé être inquiète pour ses données personnelles (79%) ainsi que pour les données de son entreprise (65%). Cependant, alors que 91% déclarent avoir installé un logiciel de protection de leurs données personnelles, seuls 59% sont équipés d’un antivirus. Par ailleurs, presque la moitié (49%) d’entre eux ont déclaré que leur entreprise n’avait pas mis en place de politique de protection des données, ou alors qu’on ne leur avait pas expliquée en détails.

Cette étude, dont le but premier était d’évaluer la compréhension et la connaissance des utilisateurs en matière de protection des données, dans le cadre du projet de nouveau règlement européen à venir, a permis de montrer que sur seuls 23% des personnes interrogées étaient convaincus que leur entreprise observait les règles actuellement en vigueur.

50% d’entre eux ont avoué ne pas savoir ce qu’est le chiffrement  (27%), ignorer si leur entreprise a mis en place des politiques de chiffrement (23%), ou que leur entreprise n’a rien mis en place dans ce domaine (20%). Seuls 23% ont confirmé que leur entreprise procédait au chiffrement des données des employés et des clients.

Sécurité des appareils mobiles
L’étude se penche également sur les comportements des utilisateurs en termes de sécurité des appareils mobiles. 98% des sondés, soit presque la totalité d’entre eux, sont d’accord sur le fait que les données stockées sont presque plus importantes que l’appareil mobile en tant que tel. Et pourtant, malgré cela, un quart de ces personnes ont avoué stocker des données d’entreprise sur leur ordinateur ou leur téléphone personnel ; quasiment 1 personne sur 5 (soit 19%) expliquant qu’elle avait déjà perdu un appareil mobile ou personnel par le passé.

Toujours en ce qui concerne la sécurité des appareils mobiles, alors que la majorité des entreprises des sondés (64%) avait mis en place des mots de passe pour protéger les mobiles, seules 31% des personnes équipées de téléphones d’entreprise savaient si ceux-ci étaient également chiffrés. Mis en comparaison avec les 51% possédant un portable d’entreprise et capables d’affirmer que celui-ci est bel et bien chiffré, ceci démontre bien que les mobiles sont désormais perçus comme vecteur de risque.

Le partage de données
La plupart des sondés pense que l’information est ce qu’il y a de plus important : 95% d’entre eux explique que, pour travailler correctement, ils ont besoin de partager, d’envoyer et d’accéder aux données de leur entreprise à partir de n’importe quel endroit ou système. Cette étude démontre également que 66% des sondés ne vérifient pas toujours s’il est prudent de partager ces données ou non. Par ailleurs, pour partager ces données plus facilement, 2/3 d’entre eux (soit 64%) sont prêts à passer par des services informatiques ou en Cloud « non autorisés » pour contourner les limites et les politiques de sécurité mises en place par leur entreprise.

On remarque également des attitudes différentes quant au stockage dans le Cloud, d’un pays à l’autre. Tous pays confondus, 31% des sondés déclarent que l’usage de solutions de stockage dans le Cloud, type Dropbox, est autorisé par l’entreprise. Cependant, ce pourcentage atteint 44% au Royaume-Uni, mais seulement 27% en France et 23% en Allemagne. En revanche, 11% déclarent ne pas être autorisés à utiliser des solutions de stockage dans le Cloud, mais le font quand même. De la même façon, ce sont bien les Britanniques qui partagent le plus de données dans le Cloud : ils sont 52% à le faire, alors que la France en compte 40% et l’Allemagne 34%.

Perception des lois relatives à la protection des données en Europe
61% des sondés déclarent qu’il est important de renforcer les lois autour de la protection des données et ce dans tous les pays européens. Ce pourcentage est ainsi réparti par pays : 68% pour les Français, 62% pour les Allemands et 54% pour les Britanniques. On note également des divergences d’opinion d’un pays à l’autre en ce qui concerne la sécurité des données personnelles : avec 86%, la France apparaît plus inquiète que le Royaume-Uni (78%) ou même l’Allemagne (74%). L’Allemagne apparaît particulièrement peu préoccupée par d’éventuels cybercriminels mettant la main sur des données (29%). En France, ils sont 49% à s’inquiéter de ce phénomène et 45% au Royaume-Uni. De la même façon, la France s’inquiète davantage de la protection des données d’entreprise (76%) contre 62% au Royaume-Uni et 59% en Allemagne.

Il est intéressant de noter que 60% des employés du Royaume-Uni déclarent que leur entreprise a mis en place des politiques de protection des données et que celles-ci leur ont clairement été expliquées, contre 43% en France et 50% en Allemagne. On note également que plus l’entreprise est importante en taille, mieux les employés sont renseignés sur les politiques de protection des données.

Gerhard Eschelbeck, directeur technique de Sophos explique à DataSecuritybreach.fr que « la cybercriminalité étant désormais partout, les grandes entreprises doivent s’assurer de la bonne mise en place de politiques de sécurisation des données, et ce pour mettre à l’abri les données d’entreprise, mais également celles de leurs employés. Cette étude montre clairement que même si la majorité des utilisateurs comprennent que l’information est stratégique et qu’il l’est tout autant de la protéger, ceux-ci sont malgré tout prêts à ignorer ces risques pour se faciliter la vie. Si les entreprises souhaitent lutter contre la cybercriminalité, elles doivent s’assurer de la pertinence et de la bonne mise en place des politiques de sécurité. Il ne s’agit pas uniquement de protéger les informations essentielles à l’entreprise, mais également de répondre aux besoins de ses employés. »

BYOD, Cloud, Entreprise

Sortir du brouillard : l’IAM depuis le Cloud (partie 2)

Un commentaire

Dans son article précédent, Kevin Cunningham de chez SailPOint a présenté la façon dont l’IAM peut aider à gérer les applications SaaS et les applications sur site (partie 1). Il est également important de comprendre comment les solutions IAM elles-mêmes peuvent être mises en œuvre « as-a-service ». L’adoption croissante des applications Cloud a ouvert la voie à l’IAM-as-a-service (IDaaS), une nouvelle approche capable d’accroitre l’agilité de l’entreprise, de générer plus rapidement de la valeur, tout en réduisant les coûts d’exploitation. Lire la partie 1/2

Le fait est que l’IAM a pris du retard par rapport à d’autres développements logiciels en mode SaaS en raison des problématiques liées à la sécurité et à la complexité de la gestion des applications sur site depuis le Cloud. Les entreprises ont ainsi besoin de peser les avantages et les inconvénients des deux modèles : « sur site » et « IDaaS », mais avec la disponibilité des solutions IDaaS qui répondent aux problématiques de sécurité, de disponibilité, d’évolutivité et de performance des entreprises qui souhaitent franchement aller dans le Cloud, ces dernières ont désormais une solution viable.

Est-ce que l’IDaaS est fait pour votre entreprise ?
Où est-ce que votre entreprise se place dans le spectre de l’IDaaS ? Pour vous aider à savoir si votre entreprise est prête pour l’IDaaS, voici 3 points clés pour évaluer vos besoins :

1) Est-ce que l’utilisation des technologies SaaS/Cloud est généralisée dans l’entreprise ?
Il s’agit de savoir si votre entreprise utilise le SaaS/Cloud et ce qu’elle en fait et si tel est le cas, de savoir si cela est une alternative efficace comparée aux applications sur site. Si la réponse est oui, alors l’IDaaS pourrait être une bonne option. Il y a toutefois des entreprises où cela n’est pas le cas, en particulier dans les secteurs fortement réglementés. Par contre, si l’entreprise observe une position prudente envers le SaaS ou les environnements système stratégiques, alors l’IDaaS n’est probablement pas le bon choix. Sachant que l’IAM est un élément clé de l’infrastructure critique, ce n’est probablement pas le bon moment d’opter pour le SaaS.

2) Est-ce que réduire les coûts de déploiement et de maintenance est plus important que la capacité à adopter une solution pour répondre à vos processus métier ?
De nombreuses entreprises disposent d’infrastructures et d’applications métier complexes, et leur préférence va pour une solution IAM adaptée et déployée sur site car elles peuvent configurer la solution qui correspond au mieux à leur processus de management des identités existants. Et tandis que l’IDaaS fournit des options de configuration, il ne dispose pas du niveau de complexité et de personnalisation, propre aux projets IAM. Il s’agit alors d’examiner si le compromis est la bonne solution – la simplicité de déploiement et un coût total de possession réduit dans la durée – ou une solution adaptée à vos besoins métier spécifiques. Si vous êtes prêts à faire l’impasse sur les processus d’identité existants pour vous conformer à une approche plus standardisée, alors l’IDaaS est peut être fait pour votre entreprise.

3) Est-ce que le mode SaaS devient un standard dans votre entreprise ?
Il a été prouvé que les applications SaaS offrent de nombreux avantages pour les cadres dirigeants, y compris le fait de générer plus rapidement de la valeur, une facilité d’utilisation, et une réduction des coûts d’exploitation et de maintenance. Grâce à ces nombreux avantages, nous commençons à voir des équipes IT chargées d’étudier la version SaaS chaque fois qu’elles évaluent et acquièrent un nouveau logiciel. Si c’est le cas avec l’IAM, assurez-vous d’évaluer de véritables offres SaaS qui fournissent la solution de bout-en-bout dont votre entreprise a besoin ; car bon nombre des solutions disponibles sont tout simplement une version hébergée d’une solution IAM sur site, qui ne fournit pas les avantages promis par le SaaS.

L’IAM joue un rôle essentiel dans les problématiques de sécurité et de conformité dans le Cloud en fournissant une approche centralisée et globale de la gestion des accès à toutes les applications de l’entreprise. Peu importe que vous déployiez une solution sur site ou as-a-service, l’IAM peut vous aider à vous assurer que votre entreprise dispose des bons contrôles en place, pour, en définitive, protéger les actifs et gérer les risques de l’entreprise.