Archives de catégorie : Chiffrement

BYOD, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Identité numérique, Vie privée

Le Wi-Fi peut-il garantir la sécurité de l’Internet des Objets ?

En matière d’Internet des Objets, on se satisfait souvent du fait que le système fonctionne, pourtant, la connexion physique et la sécurité inhérente sont des aspects non négligeables.  Le Wi-Fi est et restera le mécanisme de connexion prépondérant pour L’Internet des Objets, car l’infrastructure permettant de l’exploiter de façon sécurisée existe déjà. Les autres modes de connectivité, tels que le Bluetooth Low Energy, sont moins répandus, et donc plus difficiles à pirater. Chacun a son propre niveau de sécurité, mais nécessite la mise en place d’une infrastructure sous-jacente. Pour permettre le déploiement étendu de L’Internet des Objets grâce au Wi-Fi, il faut s’attaquer à d’importantes problématiques, parmi lesquelles la sécurité des réseaux.

Que ce soit à la maison ou en entreprise, tout le monde utilise un seul et même réseau sans fil et utilise la même clé pré-partagée afin de s’y connecter. Dans ce contexte, la problématique se situe dans le partage répété de cette clé, et donc dans la nécessité de définir le niveau de sécurité adéquat pour les nouveaux périphériques se connectant au réseau afin de ne pas devenir une proie facile pour les pirates.  L’important n’est pas la sécurité du réseau, mais celle des périphériques s’y connectant. Ces périphériques sont en général des appareils low cost, bien plus que les clients Wi-Fi traditionnels, et disposent de bien moins de fonctionnalités pour assurer leur protection et celle du réseau Wi-Fi auquel ils se connectent. Ces appareils doivent être facilement paramétrables, ce qui rend leur piratage plus simple, les identifiants utilisés pour accéder au réseau étant plus vulnérables.

Une équipe de chercheurs du cabinet de conseil Context Information Security a récemment pu confirmer ce risque en cherchant à démontrer la vulnérabilité des systèmes d’éclairage intelligent. En obtenant l’accès à l’ampoule principale, ils ont pu contrôler l’ensemble des ampoules connectées, et ainsi découvrir les configurations réseau des utilisateurs.

Généralement, ces ampoules et autres périphériques se connectent au réseau à l’aide d’une clé pré-partagée. Le problème au sein des réseaux sans fil traditionnels vient justement du fait qu’il n’y a qu’une seule clé : les organisations sont ainsi contraintes à créer un réseau Wi-Fi distinct pour chaque appareil à connecter à l’Internet des Objets. En outre, et comme l’ont démontré les chercheurs du cabinet Context, il est facile de découvrir une clé pré-partagée. Les identifiants étant potentiellement menacés, il apparaît donc logique qu’ils disposent de droits limités sur le réseau. Pourquoi ? La principale problématique avec l’Internet des Objets est la capacité des appareils à enregistrer des identifiants, surtout lorsque l’on considère tout ce que ces informations permettent de faire à l’arrivée, de la gestion de l’éclairage au contrôle autonome de la température par les réfrigérateurs, en passant par les équipements sportifs envoyant des informations personnelles à d’autres terminaux.

Si l’on utilise une clé pré-partagée pour se connecter au réseau, il faut alors que le réseau en question soit verrouillé et que les fonctionnalités de l’appareil soient limitées. En utilisant des clés pré-partagées privées, une organisation peut utiliser différentes clés pour ses différents appareils, et avec des droits spécifiques sur le réseau. Un groupe de clés pourrait ainsi être utilisé pour les accès en mode invité ou le BYOD, tandis qu’un autre pourrait permettre la gestion des bâtiments en s’appuyant sur une stratégie de pare-feu très contrôlée autorisant uniquement les changements effectués par les systèmes automatisés, et refusant ceux provenant de toute autre personne connectée au réseau. Les systèmes d’éclairage pourraient être contrôlés par un autre groupe de clés, avec éventuellement une stratégie de pare-feu propre permettant aux employés d’ajuster l’éclairage en salles de réunion, mais pas dans les couloirs.

Cette approche permettrait aux utilisateurs de disposer de milliers de clés pré-partagées différentes pour un seul réseau et avec différents profils de connexion, y compris via des pare-feu et des réseaux locaux virtuels. Dans ce scénario, si l’intégrité d’une ampoule venait à être compromise, la menace ne pourrait s’étendre aux autres, car la clé pré-partagée utilisée pour l’une n’aurait pas les privilèges nécessaires pour cela. La menace liée à cette compromission serait par conséquent limitée.

Il est également absolument essentiel que les informations d’identification utilisées n’aient qu’une faible utilité pour tout individu piratant le réseau. Il est donc nécessaire de disposer d’une méthode d’authentification et d’identification des appareils simple et sécurisée. En autorisant les périphériques sur le réseau et en leur fournissant un accès approprié à leur catégorie, les organisations doivent pouvoir gérer la menace une fois l’intégrité des identifiants compromise, afin de s’assurer qu’ils ne présentent qu’une valeur limitée pour toute personne s’en servant pour  découvrir et pirater le réseau.

La méthode la plus évidente pour cela serait de placer les certificats sur les appareils afin de bien les authentifier, mais il s’agit là d’une approche coûteuse et complexe. Pour éviter ces inconvénients, les entreprises devraient alors préférer l’utilisation de différents réseaux pour leurs différents types d’appareils, ce qui représenterait un gaspillage de temps et de ressources, davantage de complexité pour l’utilisateur, ainsi qu’un ralentissement des performances globales. Il faut donc pouvoir surmonter cet obstacle plus simplement afin de s’assurer que tous les périphériques soient gérés de façon sécurisée depuis un point d’accès. En matière de Wi-Fi, l’Internet des Objets est le BYOD d’aujourd’hui, et les organisations rencontrent exactement les mêmes problèmes sur le plan de  la sécurité.

À mesure que ce système s’affirmera comme la nouvelle vague en matière de réseaux, l’industrie trouvera un certain nombre de solutions afin de résoudre ces problèmes. Mais il faut cependant garder en tête que l’Internet des Objets va changer et se développer, et que dans ce contexte, il  sera difficile de s’assurer que l’infrastructure puisse faire face à différents scénarios en même temps. Bien que l’on s’intéresse aujourd’hui aux failles de sécurité de l’Internet des Objets en matière de gestion des bâtiments et d’interfaces personnelles d’accès au réseau, il reste cependant un large éventail de scénarios relevant également de l’Internet des Objets dans d’autres secteurs, tels que l’automobile et les infrastructures. Une fois que nous aurons pris en compte ces types de scénarios, les problématiques en matière de sécurité se feront plus nombreuses, et les solutions permettant d’y faire face revêtiront un caractère de plus en plus urgent. (Par Benoit Mangin, Directeur Commercial Europe du Sud, Aerohive pour datasecuritybreach.fr)

Chiffrement, cryptage, Cybersécurité, Facebook, Fuite de données, Patch

Facebook : voler nom, mail et jeton de connexion

Deux chercheurs en sécurité informatique, evil_xorb et Michał Bentkowski, ont découvert une faille qui permettait de mettre la main sur le nom, le mail et le jeton de connexion d’un utilsateur de Facebook. Le bug partait du plugin FriendFeed. Après avoir cliqué sur le bouton « Enregistrer », une requête POST à ​​redirect_uri était délivrée. Cette requête contenait les données de l’utilisateur. Rien n’était chiffré. Nom, mail et le jeton d’accès accessibles. Une vulnérabilité sensible au Clickjacking. Le bug a été signalé à Facebook et a été corrigé assez rapidement. (Bentkowski)

Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données

Google va mettre en avant les pages web chiffrées

Un commentaire

Google l’a confirmé : son algorithme de ranking attribue désormais des “points bonus” de référencement aux pages web chiffrées.

Cette initiative vise à encourager les développeurs de sites web à adopter des technologies de chiffrement (via l’utilisation du protocole HTTPS), qui empêchent les hackers de pirater leurs sites web et voler des informations clients. C’est très bien de voir une initiative de la part de Google pour augmenter l’utilisation du chiffrement. C’est une démarche intelligente et susceptible d’avoir un impact significatif sur la façon dont les organisations sécurisent leurs sites web. Toutes les entreprises veulent un bon Google PageRank, il est donc dans leur meilleur intérêt de s’assurer que leurs pages web sont chiffrées.

A la suite d’HeartBleed nous préconisons aussi de conserver les clés racines en dur dans des modules cryptographiques. Il faut dire aussi que les données texte en clair sont faciles à lire. Donc tout site web qui stocke ou transmet des logins, mots de passe ou toutes autres données de clients en clair met ces données clients et la réputation de son entreprise en danger.

Par le passé les entreprises ont pu ignorer le chiffrement pour des contraintes de coûts ou la peur de ralentir le temps de réponse de leur site web. « Mais des technologies de chiffrement à haute vitesse sont désormais disponibles qui éliminent ces problèmes de coût et de vitesse. Ceux qui transmettent ou stockent des données texte en clair n’ont donc vraiment plus d’excuse. » confirme à Data Security Breach Julien Champagne, Directeur Commercial France et Maghreb de SafeNet.

Banque, BYOD, Chiffrement, Cloud, cryptage, Entreprise, Fuite de données, Paiement en ligne, Propriété Industrielle

Un livre blanc sur les risques associés aux certificats numériques

À chaque fois que des transactions ou accès au réseau sécurisés sont requis, la personne demandant l’accès doit d’abord prouver son identité. L’une des méthodes d’identification de l’utilisateur est l’emploi de certificats numériques qui sont semblables à des cartes d’identité numériques. Cette procédure fait l’objet d’un examen dans un nouveau livre blanc publié par les spécialistes de la sécurité informatique de SecurEnvoy, intitulé « Les Risques de l’authentification à l’aide des certificats numériques ». Vous pouvez le télécharger gratuitement sur le site Web de la société [Lien ci-dessous, ndlr DataSecurityBreach.fr].

Un certificat numérique est en réalité une clé privée stockée sur une carte à puce ou un dispositif mobile, que l’utilisateur porte toujours sur lui. Toutefois, dans ce cas le problème des identités distribuées représente un désavantage important. Étant donné que pour chaque dispositif (final) qu’un utilisateur veut utiliser pour son travail, qu’il s’agisse d’un PC, d’un smartphone ou d’une tablette, un certificat séparé est requis. Ceci entraîne un travail d’installation pénible, ainsi qu’une véritable « jungle de certificats » en fonction du nombre de périphériques impliqués.

En outre, les certificats demeurent sur les appareils finaux et peuvent tomber aux mains de criminels s’ils sont perdus ou vendus, ce qui pose un problème pour les données sensibles. Une alternative plus simple, mais doublement sécurisée est l’authentification forte sans jeton, qui est également décrite dans le livre blanc [En Anglais].

Banque, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Paiement en ligne

Traitement des paiements conformes à PCI

Les sociétés de service en particulier détiennent de grandes quantités de données clients qui nécessitent un niveau élevé de protection. Lors du tri des informations pour le traitement des paiements, les sociétés doivent également satisfaire aux exigences de conformité PCI DSS (normes de sécurité des données des cartes de paiement).

Ces exigences stipulent, entre autre, que la connexion au système interne d’une société ne peut pas être simplement protégée par un mot de passe. Dans cette situation, l’authentification forte sans jeton de SecurEnvoy offre la solution idéale. Les employés reçoivent un code numérique par SMS sur leur téléphone mobile, qu’ils peuvent saisir en plus de leur mot de passe.

Lors du traitement des paiements, les sociétés sont soumises à plusieurs règlements de conformité. Par exemple, les règlements PCI DSS stipulent la nécessité d’un accès hautement sécurisé aux réseaux contenant des informations sensibles à propos des paiements par carte de crédit. Les employés accédant à distance à ces réseaux sont particulièrement affectés par ces exigences spécifiques : conformément à PCI DSS, se connecter en utilisant uniquement un mot de passe n’est pas autorisée.

Sécurité supplémentaire au moment de la connexion
Les sociétés doivent répondre à cette exigence et établir une sécurité supplémentaire pour la connexion au réseau. L’authentification forte est idéale pour cette situation. De nombreuses sociétés ne sont pas satisfaites de devoir acquérir des cartes à puce coûteuses ou d’autres jetons pour l’authentification du personnel. Mais il existe une alternative moins onéreuse et sécurisée : l’authentification forte sans jeton telle que SecurAccess.Avec cette solution, les téléphones mobiles sont utilisés à la place des jetons physiques traditionnels. Lorsqu’un utilisateur souhaite se connecter au réseau, un code numérique à six chiffres est envoyé par SMS ou e-mail. Des applications à jeton virtuel sont également proposées pour toutes les plateformes mobiles principales sans frais supplémentaires. Le mot de passe est saisi avec les identifiants de connexion personnels de l’utilisateur, afin d’assurer une identification sans ambigüité. Le numéro d’identification n’est valide qu’une fois et expire immédiatement après avoir été saisi. Pour la connexion au réseau suivante, SecurAccess envoie une nouvelle combinaison de chiffres à l’utilisateur.

« SecurAccess utilise les téléphones mobiles en tant que jetons pour plusieurs bonnes raisons, » explique Steve Watts, directeur des ventes et du marketing à SecurEnvoy. « Tout d’abord, presque tout le monde possède un téléphone mobile ou un smartphone et deuxièmement, tout le monde porte son téléphone sur soi. Les jetons physiques sont souvent perdus ou les employés les oublient accidentellement chez eux. Ceci entraîne non seulement des coûts de remplacement, mais cela ralentit le travail car pendant une certaine période de temps, les employés ne peuvent pas s’authentifier et ne peuvent donc pas accéder au réseau. Par conséquent, pour les sociétés de service, la transmission d’un numéro d’identification par SMS est le moyen le plus efficace et le moins coûteux d’assurer la conformité PCI DSS ».

Bitcoin, BYOD, Chiffrement, Cloud, cryptage, Entreprise, Sauvegarde

Attaque à l’encontre de NAS de la marque Synology

2 commentaires

Depuis quelques semaines, des utilisateurs de NAS de la marque Synology, des boitiers de stockages, ont été visés par un logiciel malveillant qui chiffre le contenu des disques durs du produit de la société américaine.

Baptisé Synolocker, le code malveillant est injecté de différente manière, dont une technique toute simple, retrouver l’ip du boitier et de s’y connecter pour bloquer la lecture des contenus.

Une technique qui vise de vieux NAS, du moins dont les mises à jour n’ont pas été effectuées.  Le pirate réclame entre 250 et 300 euros, en bitcoin (0.6 bitcoin). L’entreprise a mis à jour son firmware pour contrer plusieurs failles qui ont pu être exploitées par le malveillant. Une technique, pour bloquer l’attaque, du moins la freiner, fermer le NAS. Cela provoquera un arrêt du chiffrement en cours.

Preuve, aussi, qu’une sauvegarde parallèle et hors connexion est loin d’être négligeable.

Message d’alerte du NAS

Dear user,
The IP address [211.228.238.239] experienced 5 failed attempts when attempting to log into DSM running on SYN1 within 5 minutes, and was blocked at Thu Jul 31 22:41:50 2014.

Sincerely,
Synology DiskStation

Argent, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Identité numérique, Leak, Vie privée

L’impact des failles de données sur la fidélité des clients

65 % des consommateurs adultes se déclarent peu enclins à poursuivre leurs relations commerciales avec des entreprises ayant subi une faille touchant aux données financières.

Selon une nouvelle étude de SafeNet, Inc., un des leaders mondiaux de la protection des données, les failles de données ont un impact significatif sur les relations commerciales qu’une marque peut entretenir avec ses clients. Il ressort en effet de cette étude réalisée auprès de plus de 4 500 consommateurs adultes dans cinq des plus grandes économies du monde (États-Unis, Royaume-Uni, Allemagne, Japon et Australie) que près des deux tiers (65 %) des personnes interrogées envisagent de ne plus jamais – ou très peu – entretenir de relations commerciales avec une enseigne ayant subi une faille de données doublée d’un vol de données financières (numéros de cartes bancaires, numéros de comptes bancaires et autres informations de connexion).

En parallèle, SafeNet annonce également aujourd’hui les résultats de l’étude Breach Level Index (BLI) du deuxième trimestre qui précise que 237 failles ont été recensées d’avril à juin 2014, impactant plus de 175 millions d’enregistrements à travers le monde. Les résultats de cette étude soulignent donc l’impact que les failles de données peuvent avoir sur la fidélité des clients et le business des entreprises. Les failles de données impliquant des informations personnelles identifiables sont considérées comme légèrement moins nocives pour les entreprises que les failles impliquant des données financières : seulement un peu plus de la moitié des personnes interrogées (57 %) indiquant ne plus jamais – ou très peu – entretenir de relations commerciales avec une entreprise ayant subi une faille de données de cette nature.

« Les failles de données ne sont pas seulement des failles de sécurité. Ce sont également des violations de la confiance entre les entreprises et leurs clients, qui peuvent écorner l’image de marque, entraîner un manque à gagner, des poursuites juridiques et des amendes potentiellement menaçantes pour la viabilité des entreprises. Pour les sociétés qui ne sont pas capables de gérer leur vulnérabilité en matière de sécurité, le problème ne fera qu’empirer : en effet, à mesure que les réglementations concernant la déclaration des failles de données deviendront plus strictes à travers le monde, les failles gagneront en visibilité auprès du grand public. C’est pourquoi les entreprises doivent tout faire pour protéger les données de leurs clients », a déclaré Tsion Gonen, directeur de la stratégie de SafeNet.

Dans les cinq pays concernés par l’enquête de fidélisation client, la répartition des personnes qui envisagent de ne plus jamais – ou très peu – entretenir des relations commerciales avec une enseigne ayant subi une faille de données, est la suivante :

États-Unis : 54 %
Royaume-Uni : 68 %
Allemagne : 53 %
Japon : 82 %
Australie : 72 %

Seulement la moitié des consommateurs estiment que les entreprises prennent la sécurité des données au sérieux. Selon les résultats de cette enquête, seulement la moitié des adultes interrogés estiment que les entreprises prennent la protection et la sécurité des données suffisamment au sérieux. Ce sentiment est susceptible d’avoir été influencé par le volume élevé de failles de données enregistré en 2014. Au cours du seul deuxième trimestre, les failles de données ont frappé de nombreuses entreprises renommées dont AOL, Dominos, eBay, Office et Spotify. Plus de 175 millions de dossiers clients renfermant des informations personnelles et financières ont été impactés à travers le monde.

« Face à l’augmentation de la fréquence et de l’ampleur des failles de données, il ne fait aucun doute que toutes les entreprises sont exposées à plus ou moins longue échéance. Les cybercriminels visent les cibles les plus faciles, et dans de nombreux cas, les données personnelles ne sont pas chiffrées. Les conséquences sont limpides : il est temps que les entreprises pensent à protéger davantage leurs données au moyen d’une solution de chiffrement forte et d’authentification multi-facteurs. Seules les entreprises ayant adopté une approche basée sur les « failles sécurisées » et ayant chiffré la totalité des données seront en mesure de conserver leurs clients en cas de faille de données », a conclu Tsion Gonen.

Chiffrement, cryptage, Cybersécurité, Espionnae, Facebook, Identité numérique, Vie privée

Piratage facile des données utilisateurs Instagram

2 commentaires

Une nouvelle vulnérabité, considérée comme critique, touche le jouet de Facebook, Instagram.

La faille permet à un internaute malveillant de mettre la main sur les informations des utilisateurs, dont le cookies de connexion. L’attaque peut se faire via les applications (sauf mobile, ndlr) du portail communautaire. Des logiciels qui n’utilisent pas les connexions chiffrées. Bref, via un hotspot wifi, une connexion d’entreprise (coucou admin, ndlr), les données transitent en clair. Un « homme du milieu », n’a plus qu’à se servir.

Mazin Ahmed, qui a découvert le probléme a contacté facebook qui lui a confirmé connaitre le probléme depuis 2012. Facebook travaille à réfléchir quand la version HTTPS sera mise en place pour Instagram. A noter qu’en France Facebook et Instagram sont donc dans l’illégalité la plus totale et pourrait être poursuivit. La loi Française impose aux entreprises de sécuriser au mieux les données que les utilisateurs peuvent lui laisser.

Data Security Breach rappelle à Facebook et Instagram que la communication d’informations à des personnes non-autorisées est punie de 5 ans d’emprisonnement et de 300 000 € d’amende. Que la divulgation d’informations commise par imprudence ou négligence est punie de 3 ans d’emprisonnement et de 100 000 € d’amende. Article 226-22 du code pénal. A cela, DataSecurityBreach.fr rajoute que le non-respect de l’obligation de sécurité est sanctionné de 5 ans d’emprisonnement et de 300 000 € d’amende. Article 226-17 du code pénal. Seule la version mobile d’Instagram chiffre les informations.

Chiffrement, cryptage, Entreprise, Fuite de données, Paiement en ligne, Propriété Industrielle

Galileo communique en mode chiffré

Le Satelitte commercial Galileo vient de conclure ses premiers tests de diffusion en mode chiffré.

La démonstration a permis de diffuser des signaux à la fois chiffrés et non chiffrés. Au cours d’une période d’essai de 10 jours, les récepteurs situés à Tres Cantos (Espagne) et Poing (Allemagne) ont pu emettre et recvoir des informations protégées. Les essais ont confirmé le chiffrement, contenant l’authentification et l’assurance de données non altérées. Les signaux chiffrés ont été diffusés sur les « signaux » E6-B et E6-C des satelittes Galileo. Une démonstration pour ce concurrent du service américain (GPS, …). Une fois opérationnel, deux autres signaux cryptés sur la bande E6 seront proposés. Il reste encore pas mal de travail avant une mise en action définitive des services de Galileo qui devraient débuter en 2016.

Banque, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage

Piratage à la Banque Centrale Européenne

Quelques semaines après la chaîne de livraison de pizza Domino’s Pizza, ou encore de plusieurs journaux, c’est aujourd’hui la Banque Centrale Européenne d’annoncer avoir été victime d’un vol de données personnelles de certains de ses clients.

Un piratage qui s’est suivi, comme en Belgique, d’un chantage exercé par les cybercriminels responsables de l’intrusion et du vol des données. « De plus en plus de cybercriminels volent des données non cryptées dans le but de les revendre sur le marché noir ou de les utiliser dans des actions de cyber-chantage, explique Jason Hart, vice-président Solutions Cloud de SafeNet.Toutes les données stockées sous forme de texte brut peuvent être lues sans la moindre difficulté, et sont par conséquent à la merci des cybercriminels. Face à de telles menaces, il est indispensable que les entreprises pensent à chiffrer toutes les données de leurs clients – et ce, qu’elles soient stockées ou en transit dans leur réseau. » Dans le cas de la Banque Centrale, l’atatque peut être considérée comme « modérée ».

Dans ce cas précis, la gravité a été minimisée par le fait que les mots de passe et les informations financières étaient chiffrées. Néanmoins, le fait que des pirates aient pu mettre la main sur des adresses électroniques et des numéros de téléphone peut à court terme avoir des répercussions significatives sur le niveau de confiance des clients.