Tous les articles par Damien Bancal

Damien Bancal, expert reconnu en cybersécurité Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles. Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe. Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.
Communiqué de presse, Cybersécurité, double authentification, Mise à jour, Securite informatique

6 professionnels sur 10 voleraient des données en cas de départ de leur entreprise  

Une étude en dit beaucoup sur la gestion des accès et des identités au sein des entreprises : les confessions de professionnels mais aussi les difficultés rencontrées pour mettre en place des solutions IAM (Identity and Access Management) et PAM (Privileged Access Management) adaptées.

One Identity, une société spécialisée dans la gestion des identités et des accès (IAM), publie les résultats d’une étude menée de manière anonyme auprès de 200 participants à la célèbre conférence « sécurité » – la RSA conférence – sur leurs plus grands défis et préoccupations en matière de sécurité, ainsi que sur leurs comportements professionnels liés à l’accès au réseau et au système.

Et il semblerait que beaucoup de professionnels ne s’embarrassent pas toujours des protocoles et mesures de sécurité :

  • L’étude mené par One Identity révèle ainsi que près de 7 répondants sur 10 admettent qu’ils consulteraient des fichiers sensibles s’ils avaient un accès illimité aux données et aux systèmes.
  • Plus de 60% pensent qu’ils emmèneraient avec eux des données ou des informations sur l’entreprise s’ils partaient, sachant que personne ne le saurait.
  • De plus, ils sont également 60% à admettre avoir commis des actes répréhensibles dans leur milieu de travail. Ils sont par exemple près de 40% à avoir déjà partagé un mot de passe et près de 20% ont sacrifié des conseils en matière de sécurité afin d’obtenir rapidement des résultats.

Difficiles à mettre en œuvre, les solutions IAM/PAM ne sont toujours pas une priorité 

Les résultats de l’étude révèlent une hétérogénéité dans l’utilisation des solutions d’IAM et de PAM  au sein des entreprises : certaines estiment qu’il s’agit d’une priorité, d’autres les négligent, exposant potentiellement leur organisation à des atteintes à la protection des données et à d’autres cyber-risques.

Parmi les résultats les plus significatifs de l’enquête :

  • 1/3 des répondants affirment que la gestion des accès à privilèges (PAM) est la tâche opérationnelle la plus difficile en matière de sécurité.
  • Seulement 16 % des répondants citent la mise en œuvre de pratiques adéquates d’IAM comme l’une des trois principales préoccupations lorsqu’il s’agit de protéger le Cloud.
  • Par ailleurs, seulement 14 % des répondants affirment qu’un meilleur contrôle de l’accès des employés aurait un impact significatif sur la cybersécurité de leur entreprise.

Ces résultats démontrent que les entreprises ont du mal à mettre en œuvre des processus, des pratiques et des technologies adéquats en matière d’IAM et de PAM, et qu’elles négligent peut-être complètement l’impact de ces disciplines sur leurs dispositifs de sécurité.

 Pour les professionnels, 3 tâches particulièrement complexes remontent en matière de gestion des accès et identités : 1 répondant sur 4 explique ainsi  que le plus compliqué est de gérer les mots de passe des utilisateurs ; pour 1 sur 5 la tâche la plus complexe est la gestion du cycle de vie des utilisateurs (c.-à-d. le provisionnement et le dé provisionnement des utilisateurs), alors que ce sont deux des exigences fondamentales en matière de gestion des identités.

De plus, 1 répondant sur 4 affirme que l’Active Directory (AD) est le système le plus difficile à sécuriser pour l’entreprise. Cela est particulièrement préoccupant étant donné la prévalence de l’AD dans la plupart des organisations.

L’IAM dans le Cloud est complètement négligé

Lorsqu’il leur a été demandé de partager leurs trois principales préoccupations en matière de sécurisation du Cloud, près de 3 répondants sur 4 ont cité la perte de données. 44 % ont cité la menace externe, et 44% également ont cité la menace interne !  En revanche, seulement 16 % ont déclaré que la mise en œuvre de pratiques adéquates d’IAM était une préoccupation majeure. Ces résultats sont paradoxaux étant donné que les pratiques d’IAM – telles que le contrôle d’accès des utilisateurs basé sur des politiques et l’authentification multifactorielle – peuvent aider à atténuer à la fois les risques internes et externes liés à la cyber information.

David Earhart, Président et Directeur Général de One Identity déclare : « Rien de tel qu’un sondage anonyme pour découvrir quelques pratiques inavouées… et apprendre à mieux se protéger. Les résultats de notre étude montrent les pratiques en matière de gestion des accès – à privilèges notamment – et des identités sous un autre jour. Si l’on considère l’ensemble de la situation, les entreprises sont inutilement confrontées à des défis majeurs en ce qui concerne les tâches liées à l’IAM et au PAM, étant donné la technologie et les outils disponibles aujourd’hui. Notre espoir est que cette étude allume une étincelle pour que les organisations fassent un effort concerté pour relever ces défis et améliorer leurs stratégies et pratiques d’IAM et de PAM afin d’éviter les pièges cyber ».

Une étude réalisée lors d’un important rendez-vous cybersécurité américain. 200 personnes interrogées.

Communiqué de presse, Cybersécurité, Securite informatique

Le coût moyen des attaques DNS a augmenté de 49% en 2018 et s’élève à près d’un million d’Euros

Une étude d’EfficientIP, en partenariat avec IDC, pointe que le nombre d’attaques – au niveau mondial – a augmenté de 34 % en 2018. En France, elles augmentent également pour un montant estimé à 937 000 euros par attaque.

EfficientIP, pépite française leader dans l’automatisation et la sécurité réseau qui assurent la continuité du service, la protection des utilisateurs et la confidentialité des données, annonce les résultats de son étude annuelle « Global DNS Threat Report 2019 » menée en partenariat avec IDC. Cette étude examine les causes et l’évolution des menaces DNS, ainsi que leurs effets potentiels sur les entreprises du monde entier.

L’année dernière, le nombre d’attaques DNS a augmenté en moyenne de 34 %, passant à 9,45 attaques au niveau mondial ; cette augmentation a coûté près d’un million d’euros par attaque à 20 % des entreprises concernées et provoqué l’indisponibilité d’applications pour 63 % d’entre elles. Ce constat confirme le rôle critique du DNS dans la sécurité globale des réseaux.

Cette 5ème édition de l’étude met l’accent sur le coût des attaques DNS qui a augmenté de moitié (49%), ainsi que sur l’évolution de la liste des attaques les plus courantes et leur grande diversité, allant des attaques volumétriques aux attaques qui génèrent des signaux faibles. Il s’agit notamment d’attaques de phishing (47%), d’attaques de logiciels malveillants (39%) et d’attaques DDoS classiques (30%). L’étude souligne également que les entreprises qui ne protègent pas le DNS contre toutes les attaques potentielles risquent plus que jamais de compromettre leur réputation et de perdre des clients.

FRANCE : Par rapport à l’an passé, la France affiche un coût par attaque en augmentation de 8%. Ce pourcentage est relativement faible si on le compare au Royaume Uni (+ 105%), Au Canada (+ 80%) ou encore aux EU (+72%).

Le DNS est un élément central du réseau qui, sans qu’on le sache, permet aux utilisateurs d’accéder à toutes les applications dont ils ont besoin au quotidien. La majorité du trafic réseau passe d’abord par un processus de résolution DNS, qu’il s’agisse d’une activité réseau légitime ou malveillante. Tout impact sur les performances du DNS a donc d’importantes répercussions sur l’entreprise.

Romain Fouchereau, responsable de la recherche sur la sécurité européenne chez IDC, déclare: «Avec un coût moyen de près d’un million d’Euros par attaque et une fréquence de plus en plus importante, les entreprises ne peuvent tout simplement pas se permettre d’ignorer la sécurité DNS et doivent la mettre en œuvre en tant que partie intégrante du dispositif stratégique pour protéger leurs données et leurs services. « 

Les principaux impacts des attaques DNS : réputation ternie et perte de chiffre d’affaires

Les cyberattaques très médiatisées telles que WannaCry et NotPetya ont porté atteinte à la réputation d’entreprises du monde entier et entraîné des pertes financières. L’impact des attaques ciblant le DNS est tout aussi important en raison de son rôle essentiel. Plus des trois quarts (82%) des entreprises sondées ont fait l’objet d’une attaque DNS. À l’échelle mondiale, le coût moyen par attaque DNS a augmenté de 49 % en un an, pour atteindre près d’un million d’Euros. Ce coût est le plus élevé en Europe : 1 061 900 euros.

Cependant, le coût par attaque et son augmentation varient d’un pays à l’autre

C’est le Royaume-Uni qui a enregistré la plus forte augmentation annuelle (105%) et le coût le plus élevé (1 460 000 €). En revanche, la France n’a augmenté que de 8% avec un coût estimé à 940 000 €. En Amérique du Nord, les entreprises ont le coût le plus élevé (1 005 000 €), mais les entreprises canadiennes enregistrent l’augmentation la plus forte (80%). En Asie-Pacifique, Singapour a le coût le plus élevé (825 000 euros par attaque) et l’augmentation la plus forte (30 %).

Les cinq attaques DNS les plus fréquentes en 2019

Les attaques DNS les plus courantes ont changé par rapport à l’année dernière. Le phishing (47%) est désormais préféré aux programmes malveillants (39%), suivis des attaques DDoS (30%), du déclenchement de fausses alertes (26%) et des attaques de domaine par blocage (26%).

Aucun secteur n’est à l’abri des attaques DNS cette année

Le secteur des services publics est celui dont le coût par attaque est le plus élevé, soit 25 % supérieur à 980 000 euros. Le secteur des services financiers a été le plus ciblé de tous les secteurs ; 88 % des entreprises sondées ont déclaré avoir été ciblées l’année dernière. À titre de comparaison, le secteur de la distribution a enregistré la perte de chiffre d’affaires la plus importante (35 %), particulièrement inquiétante dans le contexte commercial actuel. Les sites Web de la moitié des entreprises du secteur de la santé (50 %) ont été compromis par une attaque, ce qui a réduit l’accès des patients aux ressources en ligne. Encore plus inquiétant, les administrations ont enregistré le plus grand nombre d’informations sensibles volées (19 %) et ont mis plus de temps à corriger les vulnérabilités, 74 % ayant mis au moins deux jours.

David Williamson, Directeur Général d’EfficientIP commente : « L’importance du DNS est enfin largement reconnue par les entreprises. Toutefois, ces chiffres sont les pires que nous ayons vus depuis cinq ans. Les entreprises commencent seulement à utiliser le DNS comme un élément clé de leur stratégie de sécurité pour anticiper les menaces, contrôler les règles et automatiser les processus. Heureusement, en mettant l’accent sur les menaces DNS, comme le fait cette étude, les entreprises peuvent renforcer la sécurité d’Internet pour tous».

Confidentialité des données et conformité, un an après le RGPD

Depuis l’entrée en vigueur du RGPD en mai 2018, des entreprises de tous les pays ont réalisé d’importants investissements, notamment dans le renforcement de la sécurité des réseaux.

Un an après, les entreprises investissent dans l’analyse afin de renforcer la sécurité. Les entreprises sondées estiment que la sécurisation des extrémités du réseau (32 %) et l’amélioration de la surveillance du trafic DNS (29 %) sont les meilleurs moyens d’assurer la protection des données, outre l’ajout de pare-feux (22 %).

Chiffrement, Communiqué de presse, Cybersécurité, IOT, Securite informatique

IoT et cybersécurité : 40 % des ménages dans le monde possèdent au moins un objet connecté

40 % des ménages dans le monde possèdent au moins un objet connecté, selon une étude de l’éditeur Avast et l’Université de Stanford.

L’éditeur de solution de sécurité informatique, en collaboration avec l’Université de Stanford, a découvert qu’environ 40 % des ménages dans le monde possèdent au moins un appareil connecté. Aux Etats-Unis, ils sont près de 66 %, ce qui entraine une augmentation des risques liés à la cybersécurité.

Le rapport de l’étude a été présenté à l’occasion de la conférence Usenix Security Symposium 2019, dans un document intitulé « All Things Considered: An Analysis of IoT Devices on Home Networks » (Tout bien considéré : une analyse des dispositifs IoT sur les réseaux domestiques). Il s’agit de la plus vaste étude mondiale menée jusqu’à présent sur l’IoT. Avast a analysé 83 millions d’objets connectés au sein de 16 millions de foyers à travers le monde afin de comprendre la répartition et le profil de sécurité de ces appareils, par type et par fabricant. Les résultats ont ensuite été validés par les équipes en charge de la recherche chez Avast et par l’Université de Stanford.

« Les professionnels de la sécurité ont longtemps échangé sur les problèmes associés à l’émergence de l’IoT, confie Zakir Durumeric, professeur adjoint en informatique à l’Université de Stanford. Malheureusement, ces objets sont restés cachés derrière les routeurs domestiques et nous avons eu peu de données à grande échelle sur les types d’appareils réellement déployés dans les foyers. Les informations que nous avons obtenues nous aident à mieux comprendre cette adoption croissante de l’IoT, ainsi que les différentes problématiques auxquelles les utilisateurs sont confrontés en matière de sécurité. »

Répartition des fournisseurs d’IoT dans le monde

Les recherches révèlent une image complexe de l’écosystème IoT et des risques de cybersécurité qui en découlent chez les particuliers dans le monde entier. Les résultats clés sont les suivants :

L’Amérique du Nord présente la plus forte densité d’objets connectés, toutes régions du monde confondues, avec 66 % des foyers qui possèdent au moins un objet connecté, contre une moyenne mondiale de 40 % ;
Il existe plus de 14 000 fabricants d’appareils connectés à travers le monde, mais 94 % d’entre eux sont fabriqués par seulement 100 fournisseurs ;
Les protocoles obsolètes tels que FTP et Telnet sont encore utilisés par des millions d’appareils ; plus de 7 % de l’ensemble des objets connectés exploitent toujours ces protocoles, ce qui les rend particulièrement vulnérables ;

En France

En France, l’IoT représente 21,7 % de l’ensemble des appareils présents dans le foyer, contre 24 % pour les appareils mobiles, et 29,3 % pour les PC.

Les données de cette étude ont été collectées grâce aux utilisateurs de la solution Wi-Fi Inspector d’Avast qui analyse le réseau domestique afin d’identifier les éventuelles vulnérabilités et les problèmes de sécurité susceptibles de représenter une menace. Cette fonctionnalité vérifie l’état du réseau, les appareils connectés à celui-ci et les paramètres du routeur. Wi-Fi Inspector aide les utilisateurs à protéger leur réseau afin d’empêcher les pirates informatiques d’y accéder et d’exploiter leurs données à des fins malveillantes.

L’étude s’est intéressée à la répartition des fournisseurs d’appareils connectés au niveau mondial. Alors qu’ils sont plus de 14 000, seule une poignée domine le marché.

« L’une des conclusions principales de cette recherche est que 94 % des objets connectés ont été fabriqués par moins de 100 fournisseurs différents, et la moitié par seulement 10 d’entre eux, indique Rajarshi Gupta, Head of Artificial Intelligence, chez Avast. Cela met les fabricants dans une position unique pour garantir l’accès des consommateurs à des appareils dotés d’une protection de la vie privée et d’un niveau de sécurité élevés dès la conception. »

En durcissant les objets contre les accès non désirés, les fabricants peuvent contribuer à empêcher les hackers de compromettre ces appareils à des fins d’espionnage ou d’attaques par Déni de Service (DDoS).

D’importants cyber-risques non pris en compte

Dans le cadre de l’étude, Avast a identifié un nombre significatif d’appareils exploitant des protocoles obsolètes, parmi lesquels Telnet et FTP, à savoir 7 % de la totalité des objets connectés.

C’est également le cas pour 15 % des routeurs domestiques, véritables passerelles vers le réseau ; raison pour laquelle il s’agit d’un problème grave, car lorsque les routeurs ont des identifiants faibles, ils peuvent permettre d’accéder à d’autres périphériques et potentiellement à l’ensemble du foyer pour mener une cyberattaque.

En 2019, il y a peu de raisons pour que les objets connectés supportent le protocole Telnet. Cependant, l’étude montre que les appareils de surveillance et les routeurs prennent toujours en charge ce protocole, et qu’ils ont le profil Telnet le plus faible. Cela concorde avec certains piratages survenus par le passé, notamment le rôle de ce protocole dans les attaques sur les botnets Mirai, qui laissent penser que ces types de dispositifs sont à la fois nombreux et faciles à compromettre.

Le rapport complet en anglais de l’étude “All Things Considered: An Analysis of IoT Devices on Home Networks” est disponible ici.

Base de données, Chiffrement, Cybersécurité, Entreprise, Justice, loi, Securite informatique

Amende CNIL pour vidéosurveillance excessive

Mardi 18 juin 2019, la CNIL annonce une amende à l’encontre d’une entreprise. Motif : vidéosurveillance excessive des salariés.

La formation restreinte de la CNIL a prononcé en ce mois de juin 2019 une sanction de 20 000 euros à l’encontre de la société UNIONTRAD COMPANY. Motif ? L’entreprise a mis en place un dispositif de vidéosurveillance qui plaçait ses salariés sous surveillance constante.

La Commission Nationale Informatique et des Libertés a également prononcé une injonction afin que la société prenne des mesures pour assurer la traçabilité des accès à la messagerie professionnelle partagée.

Contrôle mené dans les locaux de la société en février 2018

Un contrôle effectué par les agents assermentés de la CNIL a permis de constater que la caméra présente dans le bureau des six traducteurs les filmait à leur poste de travail sans interruption ; aucune information satisfaisante n’avait été délivrée aux salariés ; les postes informatiques n’étaient pas sécurisés par un mot de passe et les traducteurs accédaient à une messagerie professionnelle partagée avec un mot de passe unique (sic!).

En juillet 2018, la Présidente de la CNIL mettait en demeure la société de se mettre en conformité à la loi Informatique et Libertés, en lui demandant de : déplacer la caméra pour ne plus filmer les salariés de manière constante ; procéder à l’information des salariés sur la présence des caméras ; mettre en œuvre des mesures de sécurité pour l’accès aux postes informatiques et pour la traçabilité des accès à la messagerie professionnelle.

20 000€

En l’absence de mesures satisfaisantes à l’issue du délai fixé dans la mise en demeure, la CNIL a effectué un second contrôle en octobre 2018 qui a confirmé la persistance des manquements malgré les affirmations contraires de la société. Une procédure de sanction a donc été engagée par la Présidente de la CNIL.

Bilan, amende de 20 000€ !

Cybersécurité, Mise à jour, Patch, Securite informatique

Patch Tuesday juin : 88 vulnérabilités, 21 critiques

Le Patch Tuesday de Microsoft traite 88 vulnérabilités dont 21 classées comme critiques. Parmi ces dernières, 17 affectent les moteurs de scripts et les navigateurs tandis que 3 sont des attaques Escape potentielles contre l’hyperviseur Hyper-V.

Patch Tuesday – La dernière vulnérabilité est une exécution de code à distance (RCE) au sein de l’API de reconnaissance vocale Microsoft Speech. Microsoft a également publié des recommandations pour les clés FIDO Bluetooth basse consommation ainsi que pour HoloLens et Microsoft Exchange. Concernant Adobe, l’éditeur vient de publier des correctifs pour Flash, ColdFusion et Campaign.

Correctifs pour postes de travail

Le déploiement de patches pour les moteurs de script et les navigateurs est une priorité pour les équipements de type poste de travail, c’est-à-dire tous les systèmes permettant d’accéder à la messagerie ou à Internet depuis un navigateur. Sont également concernés les serveurs multiutilisateurs qui font office de postes de travail distants.

Attaque Escape contre l’hyperviseur Hyper-V

Trois vulnérabilités avec exécution de code à distance (CVE-2019-0620, CVE-2019-0709 et CVE-2019-0722) sont corrigées dans Hyper-V. Elles permettaient à un utilisateur authentifié sur un système invité d’exécuter du code arbitraire sur l’hôte. Microsoft signale que l’exploitation de ces vulnérabilités est moins probable. Les patches restent tout de même une priorité pour les systèmes Hyper-V.

Exécution de code RCE dans l’API de reconnaissance vocale Microsoft Speech

L’API Microsoft Speech abrite une vulnérabilité par exécution de code à distance (CVE-2019-0985). Affectant Windows 7 et Server 2008 R2, elle a besoin qu’un utilisateur ouvre un document malveillant.

Avis de sécurité

Microsoft a également publié plusieurs avis de sécurité  :

  • ADV190016 qui désactive la possibilité d’utiliser certaines clés de sécurité FIDO basse consommation Bluetooth en raison d’une vulnérabilité divulguée en mai 2019. Google et Feitian ont également publié des avis de sécurité pour les clients qui utilisent ces clés.

  • ADV190017 qui corrige plusieurs vulnérabilités dans HoloLens permettant à un attaquant non identifié de lancer des attaques DoS ou de compromettre des équipements HoloLens se trouvant à proximité.

  • ADV190018 qui fournit une mise à jour de la défense en profondeur de Microsoft Exchange Server même si, à l’heure actuelle, aucun détail n’a été communiqué sur cette mise à jour.

Patch Tuesday version Adobe

Adobe a publié des mises à jour pour Flash, ColdFusion et Campaign. La mise à jour pour Flash permet de résoudre une vulnérabilité et exposition courante (CVE) et doit être déployée en priorité sur les postes de travail sur lesquels Flash est installé. Les mises à jour pour ColdFusion corrigent trois vulnérabilités de types différents, toutes étant classées comme critiques. Quiconque utilise un serveur ColdFusion devrait le tester et déployer le correctif dès que possible. Quant au patch pour Adobe Campaign, il corrige sept vulnérabilités différentes dont une considérée comme critique. (Par Jimmy Graham dans The Laws of Vulnerabilities)

Base de données, Communiqué de presse, Cybersécurité, Entreprise, Fuite de données, Justice, loi, RGPD, Securite informatique

SERGIC : sanction de 400 000€ pour atteinte à la sécurité des données et non-respect des durées de conservation

La formation restreinte de la CNIL a prononcé une sanction de 400 000 euros à l’encontre de la société SERGIC pour avoir insuffisamment protégé les données des utilisateurs de son site web et mis en œuvre des modalités de conservation des données inappropriées.

La société SERGIC est spécialisée dans la promotion immobilière, l’achat, la vente, la location et la gestion immobilière. Pour les besoins de son activité, elle édite le site web www.sergic.com. Ce dernier permet notamment aux candidats à la location de télécharger les pièces justificatives nécessaires à la constitution de leur dossier.

En août 2018, la CNIL a reçu une plainte d’un utilisateur du site indiquant avoir pu accéder, depuis son espace personnel sur le site, à des documents enregistrés par d’autres utilisateurs en modifiant légèrement l’URL affichée dans le navigateur. Un contrôle en ligne réalisé le 7 septembre 2018 a permis de constater que des documents transmis par les candidats à la location étaient librement accessibles, sans authentification préalable. Parmi ces documents figuraient des copies de cartes d’identité, de cartes Vitale, d’avis d’imposition, d’attestations délivrées par la caisse d’allocations familiales, de jugements de divorce, de relevés de compte ou encore d’identité bancaire.

Le jour même de son contrôle, la CNIL a alerté la société de l’existence de ce défaut de sécurité et de la violation de données personnelles consécutive. Quelques jours plus tard, un contrôle sur place a été réalisé dans les locaux de la société. A cette occasion, il est apparu que la société avait connaissance de la vulnérabilité depuis le mois de mars 2018 et que, si elle avait entamé des développements informatiques pour les corriger, ce n’est que le 17 septembre 2018 que la correction totale est devenue effective.

Sur la base des investigations menées, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a constaté deux manquements au règlement général sur la protection des données (RGPD).

400 000 euros !

Tout d’abord, la formation restreinte de la CNIL a considéré que la société SERGIC a manqué à son obligation de préserver la sécurité des données personnelles des utilisateurs de son site, prévue par l’article 32 du RGPD. La société n’avait pas mis en place de procédure d’authentification des utilisateurs du site permettant de s’assurer que les personnes accédant aux documents étaient bien celles à l’origine de leur téléchargement, alors qu’il s’agissait d’une mesure élémentaire à prévoir. Ce manquement était aggravé d’une part, par la nature des données rendues accessibles, et d’autre part, par le manque particulier de diligence de la société dans sa correction : la vulnérabilité n’a été définitivement corrigée qu’au bout de 6 mois et aucune mesure d’urgence visant à limiter l’impact de la vulnérabilité n’a été prise dans l’attente.

Ensuite, la formation restreinte a constaté que la société conservait sans limitation de durée en base active l’ensemble des documents transmis par les candidats n’ayant pas accédé à location au-delà de la durée nécessaire à l’attribution de logements.

Conservation des données

Or, la formation restreinte a rappelé que, par principe, la durée de conservation des données personnelles doit être déterminée en fonction de la finalité du traitement. Lorsque cette finalité (par exemple, la gestion des candidatures) est atteinte, et qu’aucune autre finalité ne justifie la conservation des données en base active, les données doivent soit être supprimées, soit faire l’objet d’un archivage intermédiaire si leur conservation est nécessaire pour le respect d’obligations légales ou à des fins pré-contentieuses ou contentieuses. Dans ce cas, les données doivent être placées en archivage intermédiaire, par exemple dans une base de données distincte. Là encore, la durée de cet archivage doit être limitée au strict nécessaire.

La formation restreinte a prononcé une amende de 400 000 euros, et décidé de rendre publique sa sanction. La formation restreinte a notamment tenu compte de la gravité du manquement, du manque de diligence de la société dans la correction de la vulnérabilité et du fait que les documents accessibles révélaient des aspects très intimes de la vie des personnes. Elle a toutefois pris en compte, également, la taille de la société et sa surface financière. (Legifrance)

Cyber-attaque, Leak

Les cyberattaques subies par l’Europe émanent majoritairement de l’intérieur de l’Europe

Les données de Threat intelligence indiquent que les attaques subies par l’Europe émanent davantage de l’intérieur de ses frontières que de toute autre partie du monde. Les Pays-Bas ont lancé 1,5 fois plus d’attaques contre des systèmes en Europe que les États-Unis et la Chine réunis

D’après une nouvelle analyse de F5 Labs, les cyberattaques qui frappent l’Europe émanent davantage de l’intérieur de ses frontières géographiques que de toute autre région du monde. Ce constat s’appuie sur une étude du trafic d’attaque à destination des adresses IP européennes entre le 1er décembre 2018 et le 1er mars 2019, de même que sur une comparaison avec les tendances observées aux États-Unis, au Canada et en Australie.

Principaux pays à l’origine des attaques

Les systèmes déployés en Europe sont ciblés par des adresses IP du monde entier. En examinant une carte mondiale, le F5 Labs a découvert que les pays originaires des attaques en Europe étaient analogues à ceux visant l’Australie et le Canada, mais différents de ceux s’attaquant aux États-Unis (qui subissent beaucoup moins d’attaques en provenance d’adresses IP européennes que l’Europe). Les Pays-Bas se classent en tête des 10 premiers pays à l’origine des attaques, devant les États-Unis, la Chine, la Russie, la France, l’Iran, le Vietnam, le Canada, l’Inde et l’Indonésie. Les Pays-Bas ont lancé 1,5 fois plus d’attaques contre des systèmes européens que les États-Unis et la Chine réunis, et six fois plus que l’Indonésie.

Principaux réseaux (ASN) et FAI à l’origine des attaques

Le réseau néerlandais de HostPalace Web Solution (ASN 133229) est celui qui a lancé le plus grand nombre d’attaques, suivi par le Français Online SAS (ASN 12876). Vient ensuite NForce Entertainment (ASN 43350), lui aussi néerlandais. Ces trois entreprises sont des hébergeurs Web dont les réseaux apparaissent régulièrement dans les listes F5 Labs des principaux réseaux d’acteurs malveillants5.

72 % des ASN1 d’attaque répertoriés appartiennent à des fournisseurs d’accès Internet. 28 % à des hébergeurs Web. Dans le cadre de son analyse, F5 Labs a également identifié les 50 premières adresses IP qui s’attaquent à l’Europe2. Aussi les entreprises sont-elles désormais exhortées à vérifier leurs logs réseau afin de détecter les connexions émanant de ces adresses IP. De la même manière, les propriétaires de réseaux doivent enquêter sur les éventuelles violations imputables à ces adresses IP.

Principaux ports ciblés

L’examen des principaux ports ciblés a permis à F5 Labs d’établir le type de systèmes dans la ligne de mire des attaquants. En Europe, le port 5060 est celui qui a subi le plus d’attaques. Il est utilisé par le service SIP (Session Initiation Protocol) pour la connectivité VoIP (Voice over IP) aux téléphones et aux systèmes de vidéoconférence. L’analyse du trafic d’attaque visant une destination spécifique lors d’événements mondiaux majeurs, tels que les récents sommets entre Donald Trump et Kim Jung Un ou encore Vladimir Poutine, montre que ce port est systématiquement pris pour cible. Le port 445, dédié à Microsoft Server Message Block (SMB), est le deuxième le plus attaqué, devant le port 2222, couramment utilisé en tant que port Secure Shell (SSH) non standard.

Bien se protéger

Au vu des recherches il est recommandé aux entreprises de procéder à des analyses de vulnérabilité externes constantes afin d’identifier les systèmes exposés publiquement et de déterminer sur quels ports.

Il convient de bloquer les ports les plus sujets aux attaques sur tous les systèmes exposés publiquement (par exemple le port Microsoft Samba 445, ou les ports SQL 3306 et 1433) ou de mettre en place des mesures de gestion des vulnérabilités. Les applications Web qui reçoivent du trafic sur le port 80 doivent en outre être protégées au moyen d’un pare-feu pour applications Web (WAF), être continuellement analysées pour détecter les éventuelles vulnérabilités et se voir appliquer en priorité des mesures de gestion des vulnérabilités, notamment, sans s’y limiter, la correction des bugs et l’installation de correctifs.

Un grand nombre d’attaques par force brute sur les ports prenant en charge des services d’accès tels que SSH. C’est pourquoi toutes les pages de connexion publiques doivent disposer de mécanismes de protection adéquats contre ce type d’attaques.

Les logs !

Les administrateurs réseau et les ingénieurs en sécurité doivent passer en revue les logs réseau afin d’identifier toutes les connexions vers les principales adresses IP à l’origine d’attaques. Dès lors qu’une entreprise subit des attaques émanant d’une de ces adresses IP, elle doit porter plainte pour violation auprès des FAI et des propriétaires des ASN de manière à ce qu’ils procèdent à la mise hors service de ces systèmes d’attaque.

Sara Boddy, directrice de la division Threat Research chez F5 Labs explique : « Concernant le blocage des adresses IP, l’établissement de longues listes de blocage peut se révéler difficile, tout comme le blocage d’adresses IP de FAI offrant des services Internet à des abonnés susceptibles de figurer parmi ses clients. Dans ces cas de figure, un appareil IoT infecté à l’insu de son propriétaire sera probablement utilisé comme système d’attaque et ne sera sans doute jamais désinfecté. Bloquer l’intégralité du trafic d’ASN ou de FAI peut poser problème pour la même raison. Le blocage de tout leur réseau empêcherait des clients d’engager des relations commerciales avec son entreprise. Sauf s’il s’agit d’un FAI desservant un pays dans lequel son entreprise n’exerce pas d’activités. Dans ce cas, le blocage géolocalisé au niveau d’un pays peut être un moyen efficace de filtrer un grand volume de trafic d’attaque et d’épargner à son système un traitement inutile. Il est par conséquent préférable de bloquer le trafic en fonction du schéma d’attaque sur ses pare-feu réseau et WAF.« 

Base de données, BYOD, Chiffrement, Communiqué de presse, cryptage, Cybersécurité, Entreprise, Fuite de données, Propriété Industrielle, RGPD, Sauvegarde, Securite informatique

Télétravail : risques de sécurité pour les entreprises

Télétravail  : Les résultats de l’enquête révèlent que seulement 11 % des PME se préoccupent des facteurs sécurité et informatique lorsqu’il s’agit du travail à distance de leurs employés.

Une étude vient de dévoiler les résultats d’une enquête sur le télétravail . Selon cette recherche, à partir de 586 répondants, les nouvelles pratiques de travail flexibles pourraient poser un risque pour la sécurité des petites entreprises. En effet, un employé sur cinq (9 %) estime être le plus productif lorsqu’il travaille dans des lieux publics comme un café ou une bibliothèque, mais seulement 11 % des employeurs sont préoccupés par les répercussions que cela pourrait avoir sur la sécurité de leur entreprise. Les PME doivent donc relever le défi de maintenir leur sécurité, tout en répondant aux besoins et aux attentes de leurs collaborateurs.

Une nouvelle norme

L’étude met en évidence les tendances et les attentes concernant le télétravail, plus d’un tiers (38 %) des personnes interrogées préférant accepter une réduction de salaire plutôt que de se limiter à travailler dans un bureau. Une autre tranche de 35 % choisirait la flexibilité du travail à domicile plutôt qu’une augmentation de salaire, même si on leur proposait une augmentation de 25 %. Alors que les entreprises se disputent les meilleurs talents, il sera vital de pouvoir attirer des personnes aptes à mettre en place des méthodes de travail modernes. Cependant, 38 % des répondants ont indiqué qu’ils ne reçoivent pas le soutien technologique ou l’expertise dont ils ont besoin lorsqu’ils travaillent à domicile ou dans un lieu public, faisant de la sécurité un problème croissant pour les petites entreprises qui ont recours au travail flexible.

« Le lieu de travail fonctionnant selon un horaire 9h – 17h appartient au passé, et les employés qui rejoignent le marché du travail aujourd’hui exigent une plus grande flexibilité en termes d’horaires, d’emplacement et d’avantages sociaux personnalisés, déclare Kevin Chapman, SVP et General Manager, chez Avast Business. Bien qu’il soit prouvé dans certains cas que ces pratiques augmentent la satisfaction et même la productivité des employés, il y a des problèmes de sécurité bien réels qu’il est nécessaire de résoudre. Les entreprises doivent être en mesure de fournir les outils qui leur permettent non seulement de faire preuve de flexibilité, mais aussi de le faire en toute sécurité. Il est également important de ne pas négliger les employés qui préféreraient conserver un environnement de bureau traditionnel. Il convient de trouver un équilibre pour permettre à tous de travailler de la manière qui leur est la plus bénéfique. »

Avantages du télétravail

Non seulement les PME seront en mesure d’attirer le meilleur personnel qui soit, mais le travail mobile semble présenter d’autres bénéfices. Interrogés sur les avantages que présente le télétravail pour les employés des petites entreprises, près d’un tiers d’entre eux (30 %) ont confié que cela les rendait plus heureux, et 31 % ont répondu que cela leur permettait d’apprécier leur travail. Cette étude a également révélé que la satisfaction des employés n’est pas la seule à augmenter : la flexibilité du travail pourrait avoir un impact positif sur sa qualité et sur la productivité ; 34 % des employés affirment être les plus productifs lorsqu’ils travaillent à domicile, contre 45 % au bureau.

Les petites entreprises qui souhaitent adopter de nouvelles pratiques de travail doivent relever de nombreux défis sécuritaires. Si le personnel accède à des données sensibles ou se connecte à des comptes professionnels via un réseau Wi-Fi non sécurisé, l’entreprise risque de subir une attaque. Il existe également un risque de violation de données si un employé enregistre des renseignements sensibles sur un ordinateur de bureau. Machine qui va disparaître. Les propriétaires de petites entreprises doivent prévoir des mesures de sécurité pour les travailleurs mobiles, telles que des solutions de réseau privé virtuel (VPN) à utiliser sur les connexions Wi-Fi ouvertes, et des logiciels anti-malware déployés aux points finaux sur tous les appareils personnels (BYOD – Bring Your Own Device) des employés. De plus, il convient de veiller à ce que les employés soient sensibilisés au rôle très important qu’ils ont à jouer dans la sécurité de l’entreprise.

Cybersécurité, double authentification, Entreprise, Fuite de données, Mise à jour, Patch, RGPD, Sécurité, Securite informatique

Microsoft obtient la certification FIDO2 pour Windows Hello

Un commentaire

FIDO2 : Une authentification sécurisée sans mot de passe pour plus de 800 millions de dispositifs Windows 10 actifs

L’Alliance FIDO annonce que Microsoft a obtenu la certification FIDO2 pour Windows Hello. Tout appareil compatible fonctionnant sous Windows 10 est ainsi désormais certifié FIDO2 dès sa sortie, une fois la mise à jour de Windows 10 de mai 2019 effectuée. Les utilisateurs de Windows 10 peuvent désormais se passer des mots de passe stockés de manière centralisée et utiliser la biométrie ou les codes PIN Windows Hello pour accéder à leurs appareils, applications, services en ligne et réseaux avec la sécurité certifiée FIDO.

FIDO21 est un ensemble de normes qui permettent de se connecter facilement et en toute sécurité à des sites Web et à des applications via la biométrie, des appareils mobiles et/ou des clés de sécurité FIDO. La simplicité de l’expérience utilisateur de FIDO2 s’appuie sur une sécurité cryptographique forte qui est largement supérieure aux mots de passe, protégeant les utilisateurs contre le phishing, toutes les formes de vols de mots de passe et les attaques par rejeu (replay attack). Pour en savoir plus sur FIDO2, rendez-vous sur : https://fidoalliance.org.

FIDO2

« Notre travail avec l’Alliance FIDO, le W3C et nos contributions aux normes FIDO2 ont été un élément déterminant dans l’engagement de Microsoft pour un monde sans mot de passe, confie Yogesh Mehta, Principal Group Program Manager, chez Microsoft Corporation. Windows Hello a été conçu pour s’aligner sur les normes FIDO2 et fonctionner avec les services Microsoft cloud ainsi que dans des environnements hétérogènes. L’annonce d’aujourd’hui boucle la boucle, permettant aux organisations et aux sites Web d’étendre l’authentification FIDO à plus de 800 millions de dispositifs actifs sous Windows 10 ».

Microsoft, l’un des leaders dans le domaine de l’authentification sans mot de passe, a fait de l’authentification FIDO un élément fondamental dans ses efforts visant à offrir aux utilisateurs une expérience de connexion transparente et sans mot de passe. En tant que membre du conseil d’administration de l’Alliance FIDO et l’un des principaux contributeurs au développement des spécifications FIDO2, Microsoft a proposé l’un des premiers déploiements FIDO2 du marché avec Windows Hello. L’entreprise prend en charge FIDO2 sur son navigateur Microsoft Edge et permet également la connexion au compte Windows avec les clés de sécurité FIDO.

Windows 10 prend en compte FIDO

La mise à jour Windows 10 de mai 2019 prend en charge l’authentification FIDO sans mot de passe via Windows Hello ou la clé de sécurité FIDO, sur Microsoft Edge ou les versions les plus récentes de Mozilla Firefox. Plus d’informations sont disponibles sur le blog de Microsoft.

« En tant que membre du conseil d’administration et contributeur clé au développement de FIDO2, Microsoft a été un ardent défenseur de la mission de l’Alliance FIDO qui est de faire évoluer le monde au-delà des mots de passe. Cette certification s’appuie sur la prise en charge de longue date par Microsoft des technologies FIDO2 sous Windows 10 et, par l’intermédiaire de l’écosystème Windows, donne la possibilité à ses clients et partenaires de bénéficier de l’approche de FIDO en matière d’authentification des utilisateurs, indique Andrew Shikiar, Directeur Marketing de l’Alliance FIDO. FIDO2 est désormais pris en charge par les systèmes d’exploitation et les navigateurs Web les plus utilisés au monde, ce qui permet aux entreprises, aux fournisseurs de services et aux développeurs d’applications d’offrir rapidement une expérience d’authentification plus simple et plus forte à des milliards d’utilisateurs dans le monde.»

FIDO2 et les navigateurs

En plus de Microsoft Edge, FIDO2 est également supporté par les principaux navigateurs Web Google Chrome et Mozilla Firefox (avec, en avant-première, la prise en charge par Apple Safari). Android a également été certifié FIDO2, ce qui permet aux applications mobiles et aux sites Web de tirer parti des normes FIDO sur plus d’un milliard d’appareils compatibles Android 7.0+. En outre, plusieurs produits certifiés FIDO2 ont été annoncés en vue d’appuyer la mise en œuvre.

Les fabricants d’appareils qui souhaitent bénéficier d’une certification prête à l’emploi et afficher le logo FIDO Certified sur leurs appareils Windows 10 doivent consulter le nouvel accord relatif à l’utilisation de la marque et des services de l’Alliance FIDO.

Adobe, Cybersécurité, Logiciels, Microsoft, Mise à jour, Patch, Social engineering

Patch Tuesday : 79 vulnérabilités dont 22 critiques

Ce Patch Tuesday de mai 2019 traite 79 vulnérabilités dont 22 classées critiques. Parmi ces dernières, 18 affectent les moteurs de scripts et les navigateurs.

Les quatre restantes concernent des exécutions de code à distance (RCE) sur le protocole Remote Desktop (RDP), le serveur DHCP, GDI+ et Word. Microsoft a également publié des recommandations sur les techniques MDS (Microarchitectural Data Sampling) récemment divulguées dont les failles ZombieLoad, Fallout et RIDL. Concernant Adobe, le Patch Tuesday comprend des correctifs pour des vulnérabilités dans Flash, Acrobat/Reader (83 vulnérabilités !) et Media Encoder.

Correctifs pour postes de travail

Le déploiement de patches pour les moteurs de script, les navigateurs, GDI+ et Word est une priorité pour les équipements de type poste de travail, c’est-à-dire tous les systèmes utilisés pour accéder à la messagerie ou à Internet depuis un navigateur. Sont également concernés les serveurs multi utilisateurs utilisés comme postes de travail distants par des utilisateurs.

Exécution de code RCE sur les services Remote Desktop (RDS)

Le protocole RDP (Remote Desktop Protocol) est affecté par la vulnérabilité par exécution de code à distance CVE-2019-0708. L’exploitation de cette vulnérabilité permet à un attaquant non authentifié d’exécuter du code de manière arbitraire sur un système affecté. Ce type de vulnérabilité peut faciliter la propagation de vers informatiques en raison du manque d’authentification et de l’omniprésence du service RDP. Même si un exploit Preuve de concept n’a pas encore été dévoilé, cette vulnérabilité doit être résolue en priorité absolue sur Windows 7, Server 2008 et Server 2008 R2.

Critiques : Exécution de code RCE sur le serveur DHCP

Le serveur DHCP de Windows est affecté par la vulnérabilité CVE-2019-0725 classée comme critique pouvant faciliter l’exécution de code à distance. Un quelconque attaquant non identifié peut envoyer des paquets à un serveur DHCP pour exploiter cette vulnérabilité, ce correctif est donc une priorité pour tous les déploiements DHCP Windows. Une vulnérabilité semblable au sein du serveur DHCP a été corrigée en février tandis qu’une autre vulnérabilité a été corrigée en mars sur le client DHCP.

Conseils pour les attaques MDS (Microarchitectural Data Sampling)

Microsoft a publié une documentation d’assistance concernant l’atténuation des attaques MDS (Microarchitectural Data Sampling). Les attaques de ce type s’appellent notamment ZombieLoad, Fallout et RIDL. Les CVE correspondant à ces vulnérabilités sont CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 et CVE-2019-11091. Intel diffuse aussi une présentation ainsi qu’un document détaillé sur les techniques employées et les atténuations à déployer.

Des mises à jour du microcode pour les processeurs concernés devront être réalisées pour atténuer ces attaques tandis que des correctifs devront être déployés pour les systèmes d’exploitation. Microsoft précise que la désactivation de l’hyper-threading (alias Simultaneous Multi Threading ou SMT) pourra s’avérer nécessaire pour une atténuation complète, même si Intel déconseille cette procédure. Microsoft distribuera des mises à jour du microcode uniquement pour Windows 10. Pour les autres systèmes d’exploitation, c’est le fabricant OEM qui devra fournir ces mises à jour souvent sous la forme d’une mise à jour du BIOS.

Attaques actives sur des vulnérabilités facilitant une élévation de privilèges pour le traitement des erreurs Windows
Microsoft a également publié un correctif pour une vulnérabilité facilitant une élévation de privilèges pour le traitement des erreurs Windows (CVE-2019-0863) et qui a été exploitée à l’aveugle. L’application de ce correctif est donc prioritaire pour toutes les versions Windows prises en charge.

Adobe Patch Tuesday

Adobe a publié des correctifs pour Flash, Acrobat/Reader et Media Encoder. Même si les correctifs pour Flash ne concernent qu’une seule exécution CVE et que les patches pour Media Encoder en traitent deux, les patches pour Acrobat/Reader concernent pas moins de 83 vulnérabilités. Il est recommandé de traiter en priorité tous les systèmes hôtes impactés et plus particulièrement les équipements de type poste de travail. (Publié par Jimmy Graham dans The Laws of Vulnerabilities)