Archives de catégorie : Chiffrement

Chiffrement, cryptage, Cybersécurité

Et si le Cloud aidait à sécuriser Internet

Les fournisseurs de services de cloud computing sont aujourd’hui sur la sellette : ils vont devoir améliorer la sécurité d’Internet ! Les clients du cloud manifestent de plus en plus leur intérêt pour des services d’accès à Internet sécurisés, exempts de menaces malveillantes comme Heartbleed ou l’amplification DDoS, pour ne prendre que ces deux exemples. A chaque attaque, en effet, les pertes commerciales sont de plus en plus importantes. Les attaques qui impactent les clients non protégés compromettent leur sécurité et dégradent l’image de l’entreprise ou de ses marques. Les fournisseurs d’accès ont aidé à filtrer les activités malveillantes provenant des réseaux clients depuis des années dans le but de permettre aux équipes internes des entreprises et des administrations de se concentrer sur les attaques les plus avancées, mais est-ce désormais suffisant ?

Pour une plus grande sécurité des réseaux
Dès 2005, plusieurs experts de la sécurité Internet se posaient la question de savoir si le Cloud pouvait aider à sécuriser Internet. Quelques articles publiés à cette époque en témoignent, réclamant que les fournisseurs de services Internet, d’hébergement, de services cloud et de bande passante s’impliquent, dans leur propre intérêt, pour aider à sécuriser Internet. Certains affirmaient que le temps était venu d’agir, demandant pourquoi les FAI n’étaient pas tenus de livrer des données sûres et sans danger. Dans la récente Loi de Programmation Militaire qui a fait l’objet d’un large débat autour de la sécurité informatique, les fournisseurs de services Internet semblent désignés comme ceux qui peuvent contribuer à l’amélioration rapide de la cybersécurité, grâce à leur possibilité d’agir en temps réel. De même que l’abonné au réseau d’eau potable exige que l’eau qui arrive chez lui soit saine, le trafic qui passe par les tuyaux des ISP doit être sûr et exempt de menaces, positivant la technologie déployée dans le Cloud et protégeant l’utilisateur final contre les attaques par DDoS et les cybermenaces de tous ordres. Quel intérêt en effet de disposer d’un énorme réservoir (le Cloud) et de l’alimenter en eau contaminée (malwares et autres menaces) ?

Quelques exemples de dangers…
Comme les récents événements l’ont encore confirmé, aucune entreprise ni aucune administration n’est à l’abri des risques de sécurité sur Internet. La découverte de Heartbleed a ébranlé les entreprises bien au-delà du monde de la sécurité. Cette vulnérabilité laissant lire la mémoire d’un serveur par un attaquant, concerne de nombreux services Internet. A l’évidence, la sécurité et la confidentialité de nombreux serveurs Web étaient un leurre. Il ne fait aucun doute que Heartbleed a permis la fuite d’innombrables secrets et données sensibles au profit de pirates, et les conséquences sont à terme encore incalculables. Cette attaque restera sans conteste le hacking le plus répandu de l’histoire du Web parce que le nombre de communications « sécurisées » SSL, concernées directement, est sans précédent. Malheureusement, les problèmes de cybersécurité ne disparaissent pas lorsqu’ils qu’ils sont découverts. La mise à disposition de correctifs n’empêche pas que les vulnérabilités continuent à exister dans d’innombrables systèmes accessibles via Internet. L’amplification de Heartbleed risque d’être plus rapide que la mise en place des mises à jour. Autre tendance actuelle : le détournement de l’utilisation de services Internet standard tels que DNS (Domain Name System) et NTP (Network Time Protocol) par des robots lors d’attaques par déni de service distribué. Heartbleed et les attaques DDoS par amplification sont deux exemples des problèmes de cybersécurité posés par un Internet non sécurisé. Le trafic malveillant portant ces menaces circule librement sur la plupart des réseaux de fournisseurs de services. Les hébergeurs accueillent des clients dont le système d’information mal sécurisé fait du Cloud public une plate-forme de services vulnérables. Comble de l’ironie, la plupart des clients dépensent de l’argent et paient  leur fournisseur pour une bande passante véhiculant un contenu Internet potentiellement dangereux.

Les technologies existent
Les fournisseurs de cloud doivent se doter de technologies qui permettent de répondre à quatre exigences de management des attaques et du réseau. Tout abord se défendre contre les menaces du réseau. La majorité des attaques DDoS se produit au niveau des couches L3 et L4. En conséquence, il convient de -serveur. Ensuite se défendre contre les menaces applicatives ; de nombreuses applications, y compris celles qui sont basées sur des communications chiffrées à l’aide de Secure Sockets Layer (SSL), sont vulnérables face aux attaques par DDoS de la couche applicative qui utilisent L7 comme vecteur analyse analyser les incidents de sécurité sur le réseau. Enfin, il faut assurer le Bypass du réseau ; Il est en effet essentiel de maintenir la disponibilité permanente du une technologie intelligente de dérivation du réseau de faible alimentation pour éliminer les interruptions de service en cas de panne de courant ou d’équipement ou lors de la maintenance de routine et lors des  mises à jour de la configuration.

Tous les marchés reposent sur l’offre et la demande. Les entreprises (et on parle là des dirigeants, pas seulement des responsables de la sécurité) ont pris conscience qu’elles pouvaient tomber, ou au moins leurs activités connectées, victimes d’une cyber-attaque. De nombreux DSI et RSSI sont aujourd’hui disposés à acheter de la bande passante Internet ‘propre’. Et la tendance va aller majoritairement dans ce sens. Alors ils commencent à chercher activement des solutions. Si les fournisseurs de services empêchent les DDoS et autres cybermenaces de traverser leurs réseaux, leurs clients sont d’ores et déjà prêts à acheter de la bande passante plus sûre, avec de meilleures garanties pour leurs données sur le cloud et sur leurs réseaux. Pourquoi, dans ces conditions, les fournisseurs de services du cloud ne développent-ils pas une offre adaptée ? Leurs parts de marché sont en risque de se réduire, au bénéfice d’autres acteurs, s’ils ne répondent pas à cette exigence. (Par Adrian Bisaz, Vice President Sales EMEA de Corero Network Security)

Argent, Arnaque, Chiffrement, Contrefaçon, escroquerie, Logiciels

5 étapes pour sécuriser la confidentialité de votre navigateur

Un commentaire

Peu importe la source, toutes les statistiques que vous trouverez prouvent que les navigateurs les plus utilisés sont Chrome, Firefox et Internet Explorer. De nombreuses études et tests ont été effectués pour découvrir quel était le plus sûr de tous. Cependant, les tests ne font que démontrer la capacité de chaque navigateur à répondre à un ensemble de tests prédéfinis, habituellement appelé « sécurité de base ». Néanmoins, cette base change radicalement tous les mois.

Résultat, aucun navigateur n’est sûr à 100% même si certains navigateurs réparent les failles de sécurité plus rapidement que d’autres. Alors comment est-il possible d’améliorer son expérience de navigation sur Internet ? C’est dans ce but, que Sorin Mustaca, expert en sécurité IT d’Avira, propose 5 étapes pour une navigation plus sûre, plus confidentielle et peut-être même indirectement, plus rapide:

1.     Maintenez votre navigateur à jour
C’est la première étape de renforcement du navigateur car un navigateur vulnérable peut être exploité par une simple visite de sites Internet sans que vous n’en sachiez rien. Nous vous conseillons de toujours autoriser les mises à jour automatiques et de les installer aussitôt qu’elles sont disponibles. En cas de doute, installez un outil gratuit qui contrôle les failles potentielles de votre logiciel.

2.     Augmenter la sécurité intégrée dans votre navigateur
C’est la deuxième étape de renforcement du navigateur, elle peut être gérer de différentes façons :
– Configurez votre navigateur pour qu’il rejette les cookies tiers
– Désactivez les plugins dont vous n’avez pas besoin comme : ActiveX, Java, Flash etc.
– Permettez la protection anti-phishing et anti-malware déjà intégrée
– Configurez le navigateur pour envoyer la requête « ne pas traquer » à votre historique de navigation
– Chaque fois que cela est possible, désactivez le script actif. Soyez conscient que certains sites web ne pourront tout simplement pas fonctionner sans script (JavaScript en particulier).

Dans Internet Explorer, nombre de ces configurations peuvent être mises en place en changeant les paramètres dans « Sécurité » et « Confidentialité ».
– Activez le bloqueur intégré de pop-up
– Désactivez les anciennes barres d’outils qui ne vous sont plus utiles. (Avez-vous vraiment besoin de voir la météo ou avoir un traducteur à portée de main tout le temps?)

3.     Choisissez avec précaution quel plugin vous allez installer
Les plugins et add-ons permettent d’étendre facilement les fonctionnalités du navigateur. Cependant, il existe de nombreux plugins, même disponibles sur les stores officiels, qui sont, soit, malveillants, soit, qui présentent des problèmes importants en matière de sécurité et de confidentialité. Le plus inquiétant est que pour un utilisateur lambda, ces problèmes ne sont pas visibles jusqu’à ce qu’il soit trop tard. Ayez toujours en tête qu’un plugin a accès à tout ce que vous cliquez et voyez sur le navigateur, y compris toutes vos navigations en connexions cryptées. Le plugin réside dans le navigateur et a accès à tout ce que l’utilisateur voit. Le contenu est donc déjà décrypté et il n’y a absolument rien qui puisse empêcher un plugin malveillant d’envoyer toutes vos informations (bancaires, personnelles, etc.) à une quelconque adresse internet. Jetez toujours un coup d’œil sur le classement donné par d’autres utilisateurs avant d’installer un add-on. De plus, gardez un œil sur les autorisations demandées par l’add-on. Par exemple, si un message instantané d’add-on requiert l’accès à toutes vos URL, cela devrait vous mettre la puce à l’oreille.

4.     Installez les plugins de sécurité et de confidentialité
Il existe des extensions qui améliorent votre sécurité en faisant un filtrage sur les URL que vous visitez ou même de manière dynamique en analysant le contenu des pages internet. C’est le cas d’Avira Browser Safety. Si vous préférez choisir vous-mêmes vos extensions, il en existe de nombreuses qui empêchent le « tracking » et la publicité. Vous pouvez également utiliser Web of Trust (WOT), basé sur le crowdsourcing, il donne un point de vue indépendant sur le statut des URL.

5.     Forcez l’utilisation du protocole SSL quand cela est possible
Des extensions telles que HTTPS Anywhere essaient de choisir une connexion HTTPS au lieu de HTTP quand celle-ci est disponible pour sécuriser votre navigation.

Chiffrement, Cybersécurité

Authentification multi-facteurs

Selon l’étude annuelle réalisée par SafeNet, de plus en plus d’entreprises à travers le monde prévoient d’adopter des solutions d’authentification mobiles ou basées sur le Cloud pour sécuriser des effectifs nomades en constante augmentation.

L’augmentation des risques de sécurité et la volonté d’accéder à des applications et services de manière transparente et sécurisée, à tout moment et à partir de n’importe quel appareil, ont contribué à l’adoption croissante des solutions d’authentification. Telle est la principale conclusion d’une nouvelle étude publiée sous le titre 2014 Global Annual Authentication Survey par SafeNet, Inc., un leader mondial de la protection des données. Cette enquête révèle que plus d’un tiers des entreprises ont à présent recours à la technologie d’authentification multi-facteurs pour assurer à leurs utilisateurs un accès transparent et sécurisé à partir d’un large éventail d’appareils et de lieux, ce qui représente une hausse par rapport à 2013.

Cette étude montre qu’un nombre croissant d’entreprises adoptent l’authentification multi-facteurs au bénéfice d’un nombre également croissant d’utilisateurs. Ses conclusions confirment les résultats d’une enquête récemment publiée par le cabinet 451 Research, selon laquelle le contrôle d’accès et l’authentification représentent actuellement les principaux soucis et priorités des DSI. Alors que 57 % de l’ensemble des vulnérabilités de données enregistrées en 2013 sont le fait d’initiés malveillants, l’authentification multi-facteurs réduit le risque que des utilisateurs non autorisés puissent consulter des informations sensibles, tout en permettant aux employés de l’entreprise d’accéder à leur guise aux ressources de leur société.

Principaux enseignements de l’enquête
·       Augmentation sensible de l’adoption des solutions d’authentification multi-facteurs :
o   37 % des entreprises utilisent à présent l’authentification multi-facteurs pour une majorité de leurs employés, au lieu de 30 % l’année dernière ;
o   56 % des entreprises prévoient que d’ici à 2016, la majorité des utilisateurs utiliseront une solution d’authentification multi-facteurs.

·       L’authentification dans le Cloud commence à s’imposer :
o   33 % des entreprises déclarent préférer l’authentification basée sur le Cloud, contre 21 % l’année dernière – soit une progression de 50 % ;
o   33 % des entreprises sont à présent ouvertes au Cloud pour déployer des solutions d’authentification.

·       Authentification multi-facteurs et appareils mobiles :
o   Plus de 53 % des personnes interrogées ont déclaré que les utilisateurs d’appareils mobiles disposent d’un accès restreint aux ressources de l’entreprise ;
o   Le nombre d’entreprises ayant adopté l’authentification multi-facteurs pour les utilisateurs mobiles devrait atteindre 33 % en 2016 au lieu de 22 % actuellement, soit une augmentation de 30 %.

« Il apparaît clairement que certains services informatiques ont du mal à suivre la rapide évolution qu’induit l’apparition de nouvelles technologies. Le danger est que les entreprises ne puissent permettre à leurs collaborateurs d’accéder entièrement au système dont ils ont besoin pour effectuer leur travail car elles n’ont pas déployé une solution d’authentification sécurisée adaptée. Par ailleurs, il ne s’écoule pas une semaine sans qu’une entreprise soit victime d’un piratage avec vol de données à la clé. Les entreprises doivent par conséquent mener une lutte permanente pour suivre le rythme soutenu de l’évolution technologique, tout en essayant de se protéger et de minimiser les risques de sécurité », a déclaré Jason Hart, vice-président, Cloud Solutions, SafeNet.

Coût et priorités budgétaires
Le rapport publié par le cabinet 451 Research montre que l’authentification et la gestion des accès et des identités pointent en première ligne des projets liés à la sécurité[3]. Pourtant, il convient de signaler que selon l’enquête de SafeNet, près de 40 % des entreprises ne savent pas combien coûte leur solution d’authentification par utilisateur et par an, ce qui montre qu’elles ne se préoccupent guère de ce qui peut être le plus rentable pour leur fonctionnement. L’impression que les entreprises réalisent des économies en n’investissant pas dans des solutions d’authentification multi-facteurs pourrait être trompeuse pour les responsables des budgets informatiques. En fait, l’objectif des solutions d’authentification multi-facteurs est de réduire les coûts d’authentification et d’améliorer la facilité d’utilisation.

Authentification sur site ou dans le Cloud ?
Les entreprises ont répondu aux demandes croissantes des employés qui souhaitent se connecter au réseau avec leur propre appareil en augmentant les capacités d’authentification basée sur le Cloud. Cette année, 33 % des entreprises interrogées ont indiqué qu’elles privilégient l’authentification sur le Cloud, contre 20 % en 2013.

« Au bout du compte, les entreprises doivent accepter le fait que leurs employés trouveront toujours le moyen d’utiliser leurs appareils mobiles pour accéder aux données de l’entreprise – avec ou sans autorisation. Au lieu de leur interdire cet accès, les DSI doivent déployer une solution d’authentification multi-facteurs, ce qui permet de protéger les ressources de l’entreprise, tout en autorisant l’accès du personnel et en maintenant les plus hauts niveaux de productivité et de performances », a ajouté Jason Hart.

Authentification des appareils mobiles
En ce qui concerne l’utilisation de l’authentification forte pour les appareils mobiles avec accès aux ressources de l’entreprise, la majorité des réponses sont regroupées aux deux extrémités de l’échelle, faisant état de pratiques polarisées. Près de 40 % des entreprises ont déclaré que moins de 10 % des employés doivent utiliser l’authentification forte, tandis que plus de 20 % indiquent que 90 à 100 % des utilisateurs en ont actuellement besoin. Il est intéressant de souligner que ces chiffres devraient évoluer de façon sensible : 33 % des personnes interrogées prévoient en effet que 90 à 100 % des utilisateurs nécessiteront une authentification forte au cours des deux prochaines années, tandis que seulement 15 % suggèrent que cette proportion sera inférieure à 10 %, ce qui souligne l’importance croissante de l’authentification mobile.

L’évolution vers l’authentification mobile nourrit également la « dématérialisation » des tokens d’authentification. L’étude révèle en effet que l’utilisation de solutions d’authentification logicielles est passée de 27 % en 2013 à 40 % en 2014, un pourcentage qui devrait atteindre 50 % en 2016. A contrario, l’utilisation de solutions d’authentification matérielles a chuté de 60 % en 2013 à 41 % en 2014.

« Les entreprises du secteur informatique réagissent indubitablement à l’essor de la mobilité en jouant la carte de l’authentification à base logicielle. Il semble toutefois qu’il existe un écart entre la volonté de favoriser la mobilité et la difficulté à suivre son évolution tout en protégeant les ressources et les données contre les menaces extérieures. En outre, alors que l’adoption du Cloud computing se poursuit, une sécurité accrue devient indispensable. En effet, les environnements de Cloud présentent de nombreux avantages pour l’authentification et les applications, mais sans le niveau de sécurité requis, ils représentent une menace accrue », a conclu Jason Hart.

Cette étude a été réalisée par SafeNet auprès de plus de 350 décideurs informatiques du monde entier à savoir environ 29 % de la région Asie-Pacifique, 42 % de la région EMEA (Europe, Moyen-Orient et Afrique) et 29 % d’Amérique du Nord. Les informations qu’elle contient ont été comparées aux données figurant dans l’étude publiée en 2013.

Argent, Banque, Chiffrement, cryptage, Cybersécurité

Faiblesses dans les cartes à puces

Alors que les Etats-Unis d’Amérique réfléchissent à implanter la carte à puce dans le pays, lire notre actualité de mars 2014, des chercheurs de la prestigieuse université de Cambridge viennent de démontrer deux faiblesses dans la procédure ‘chip & pin’, une puce, un code secret. Il est évident que la puce, couplée à un mot de passe reste la meilleure des sécurité face à une carte bancaire n’utilisant que la bande magnétique, cependant, les chercheurs de Cambridge ont observé qu’il était possible de jouer avec la puce EMV.

Cette protection, utilisée dans un terminal de paiement que l’on retrouve dans quasiment tous les commerces, engendre un code d’authentification unique, un numéro aléatoire. Ce code pourrait être contourné de deux façons. Les chercheurs expliquent d’ailleurs que cela a déjà été constaté. Dans le premier cas, le code unique peut être prévu. Dans le second problème apparait quand le terminal de paiement a été piraté. Si des pirates peuvent prévoir les codes, voir l’adapter, il devient possible, via une carte bancaire préalablement clonée, de retirer de l’argent ou de faire un paiement.

Bref, l’étape du skimming 3.0 est en marche. Les banques auront bien du mal à définir un paiement légitime, d’un paiement cloné. Les clients piégés ne pourront plus se faire rembourser, à moins de prouver qu’ils n’étaient pas sur le lieu de la transaction. Et même dans ce cas, nous avons un doute sur la potentialité de remboursement. Il existerait dans le monde 1,62 milliard de cartes exploitant le protocole EMV. ZATAZ.COM révélait (voir les archives) des cas de piratages, via des DAB modifiés/piratés, l’année derniére.

 

Chiffrement, cryptage, Entreprise, Logiciels, Paiement en ligne

API IDentité Numérique Développeurs de La Poste

Un commentaire

Avec l’API IDentité Numérique Développeurs, La Poste offre à tous les acteurs du web des échanges numériques sécurisés et renforce son rôle d’acteur majeur de l’internet de confiance. Dans le cadre du OUISHARE FEST 2014, le festival international de l’économie collaborative réunissant plus de 1 000 pionniers et start up innovantes, qui s’est tienu les 5, 6 et 7 mai derniers au Cabaret Sauvage (Porte de la Villette), La Poste a présenté son service IDentité Numérique dédié aux développeurs. En intégrant cette API, les acteurs du web et les ecommerçants développent la confiance entre des internautes et offrent la possibilité d’utiliser leur profil qualifié par La Poste pour se connecter sur leur site.

Qu’est-ce que l’IDentité Numérique ?
L’IDentité Numérique permet à un internaute  d’attester que son identité a été vérifiée physiquement par La Poste. Avec des profils qualifiés, les échanges entre particuliers se font en toute confiance. Grâce à La Poste, les particuliers peuvent se doter gratuitement d’une IDentité Numérique sur le site www.laposte.fr/identitenumerique. L’utilisation de l’IDentité Numérique de La Poste permet ainsi de bénéficier d’une confiance accrue pour échanger plus facilement, des biens ou des services comme la location entre particuliers par exemple.

L’API, comment ça marche ?
Simple et facile à intégrer, les développeurs intègrent l’API IDentité Numérique sur  leur site en se rendant au lien suivant : https://developpeurs.idn.laposte.fr. – la demande d’accès à ce service s’effectue via un formulaire de contact.

Quels bénéfices de l’API pour les sites ?
A chaque fois qu’un internaute utilise son identité numérique pour se connecter ou s’inscrire sur un site, le site en question reçoit les données de l’internaute que La Poste a vérifiées (Civilité, Nom, Prénom, date de naissance, adresse e-mail, adresse postale, N° de mobile). Les profils clients sont fiabilisés : un badge de confiance s’affiche sur le profil de l’internaute, attestant que son identité a été vérifiée par La Poste. Le badge sur son profil étant visible par les autres utilisateurs du site, cela lui permet de rassurer la communauté tout en gardant son anonymat. Grâce à la confiance que les autres ont en son profil, l’internaute va booster son profil et ses échanges. Par exemple, sur les sites partenaires comme prêtachanger.fr, les internautes ayant un badge La Poste troquent 5 fois plus que les autres. Les sites dotés de cette API renvoient également une image positive auprès des internautes et bénéficient d’un outil de communication, vecteur de notoriété pour acquérir de nouveaux clients.

 

Chiffrement, cryptage, Fuite de données, Logiciels

Cloud privés pour appareils mobiles via des VPN SSL de Barracuda

Grâce à la nouvelle version des VPN SSL, les tablettes et téléphones mobiles accèdent plus facilement aux fichiers et applications web internes. Barracuda Networks,  fournisseur de solutions de stockage et de sécurité Cloud, a annoncé la sortie de ses VPN SSL version 2.5. Ces solutions permettent aux employés d’avoir un meilleur accès à distance aux fichiers et applications web internes à partir de n’importe quel environnement virtuel, y compris via iPad, iPhone, Windows Phone et appareils Android, sans avoir besoin de déployer ou d’être compatible avec les clients VPN.

Selon Stephen Pao, directeur général du département sécurité chez Barracuda, « Avec l’utilisation de différentes plateformes telles qu’iOS, Android ou Windows au sein des environnements BYOD habituels, trouver une solution VPN SSL et un accès à distance compatibles peut devenir problématique. La toute dernière version des VPN SSL de Barracuda a été conçue de sorte à offrir une expérience utilisateur nomade optimale puisqu’elle permet aux administrateurs informatiques de fournir aux utilisateurs un accès à distance sécurisé et moderne, de type Cloud, aux applications web et aux fichiers internes tout en évitant les frais des plateformes de téléchargement d’applications ou de gestion d’appareils mobiles pour entreprise. »

Les caractéristiques principales des nouvelles solutions VPN SSL 2.5 de Barracuda incluent :
– Un accès omniprésent : le tout nouveau portail mobile permet aux employés d’accéder, à distance et à partir de n’importe quel appareil mobile, aux applications internes d’entreprise telles que Sharepoint, Internal Order Systems ainsi qu’aux Intranets et à bien d’autres applications.

– Un contrôle d’accès sécurisé : les administrateurs contrôlent l’accès de tous les utilisateurs grâce à une option permettant de sécuriser les ressources avec des mots de passe uniques sur les téléphones mobiles, des questions de sécurité, ou une intégration à des systèmes avancés d’authentification tels que des jetons d’authentification, des protocoles RADIUS, et autres fonctions de sécurité.

– Une tarification simple : l’accès à distance pour les appareils mobiles a été conçu de sorte à être facile, économique et sans frais d’utilisateur.

– Une configuration facile : une configuration simple des appareils Windows et iOS (iPhone, iPad et Mac) pour les protocoles Exchange, LDAP, IPsec, PPTP, Webclips et Certificats Clients.

La version 2.5 des VPN SSL Barracuda offre également aux entreprises un plan de continuité grâce à un accès à distance aux ressources de l’entreprise pendant les catastrophes naturelles ou autres situations critiques. Comme en témoigne Chris Robinson, directeur informatique de la Queensland Art Gallery, « pendant les inondations, nous avons pu déployer les solutions VPN SSL de Barracuda et cela a permis à notre équipe de continuer à travailler à distance. »

Prix et disponibilité
Les solutions VPN SSL version 2.5 de Barracuda sont dès à présent disponibles, dans le monde entier, gratuitement pour les utilisateurs de la plateforme matérielle actuelle ayant un abonnement Energize Updates actif. Elles sont également disponibles sous plusieurs formes d’appareils virtuels, permettant ainsi un déploiement local ou sur le Cloud selon les besoins des entreprises. Les solutions VPN SSL de Barracuda sont disponibles à partir de 749€ pour l’appareil et à partir de 249 € pour l’abonnement Energize Updates. Un service optionnel de remplacement immédiat avec remplacement prioritaire du matériel en panne et mise à disposition gratuite d’un matériel de moins de 4 ans est disponible à partir de €149 par an. Les prix internationaux varient en fonction des régions du monde. Pour plus d’informations, veuillez contacter France@barracuda.com

Ressources
Page internet du VPN SSL Barracuda – http://cuda.co/ssl25
Page internet du VPN SSL Vx Barracuda – http://cuda.co/ssl25vx

Chiffrement, cryptage, Cybersécurité, Fuite de données, Identité numérique, Social engineering, Vie privée

Une nouvelle faille vise le web

2 commentaires

Après OpenSSL, voici une nouvelle vulnérabilité mondiale qui vient toucher la sécurité informatique. Après Heartbleed, qui touchait les serveurs ayant implémenté le protocole TLS (OpenSSL), voici venir les modules de connexion basés sur les protocoles OAuth et OpenID. C’est un chercheur de Singapour qui a mis à jour la chose. Wang Jing, un étudiant local, a découvert que ces « outils » utilisés par Facebook, Google, Yahoo, Spotify, LinkedIn, Microsoft, PayPal, GitHub, QQ, Taobao, Weibo, VK, Mail.Ru, Sina, Sohu… pouvaient être malmenés.

A la base, OAuth et OpenID permettent à des sites Internet de partager nos informations (avec notre accord, ndr). Jing a découvert qu’en créant un site frauduleux, mais qui affiche une pop-up contenant l’accès légitime au site visé, un pirate pourrait intercepter le certificat de sécurité renvoyé par le site légitime. Google et Facebook indique être au courant et préparent un correctif qui ne sera pas lancé rapidement. Il faut tout réécrire !

Il n’est plus suffisant de protéger son propre site sans prêter attention à celui de ses voisins

« Comme l’Internet devient de plus en plus connecté, il n’est plus suffisant de protéger son propre site sans prêter attention à celui de ses voisins » explique Jing. « Le patch de cette vulnérabilité est plus facile à dire qu’à faire. Si toutes les applications tierces respectaient strictement les régles, alors il n’y aurait pas de place pour les attaques. Cependant, dans le monde réel, un grand nombre d’applications tierces ne le font pas pour diverses raisons. Cela rend les systèmes basés sur OAuth 2.0 ou OpenID très vulnérables. » Bref, nous ne cessons pas de le dire, lier des sites entre-eux, pour un « confort » dans l’authentification de votre compte est dangereux. En voici une nouvelle preuve criante !

Chiffrement, cryptage, Cybersécurité, Identité numérique, Justice

DGSI, les oreilles du coq Gaulois

Depuis vendredi 2 mai, l’Etat Français dispose d’une nouvelle arme de dissuation électronique baptisée DGSI. Le journal officiel présente la Direction Générale de la Sécurité Intérieure (DGSI) comme ayant pour mission « la surveillance des communications électroniques et radioélectriques« . Une nouvelle direction qui avait été annoncée par le Ministre de l’Intérieur Emmanuel Valls, en juin 2013.

« Les menaces auxquelles est exposé le pays nécessitent une action déterminée de l’Etat qui doit se doter de moyens performants de prévention et de répression de toute forme d’ingérence étrangère, d’actes de terrorisme, d’atteintes à la sûreté de l’Etat, à l’intégrité du territoire, à la permanence des institutions de la République et aux intérêts fondamentaux de la France. » explique le site Gouvernement.fr. C’est dans cette perspective qu’est créée la direction générale de la sécurité intérieure.

Dans son decret n° 2014-445 (du 30 avril 2014) on apprend que la DGSI est rattachée au Ministére de l’Intérieur. La DGSI remplace la DCRI, fusion de la DST et des RG. Dorénavant, la Dame est chargée « sur l’ensemble du territoire de la République, de rechercher, de centraliser et d’exploiter le renseignement intéressant la sécurité nationale ou les intérêts fondamentaux de la Nation« . Bref, nos services de renseignements intérieurs passent en mode 2.0 pour la sécurité des Français et des entreprises hexagonales. La DGSI va pouvoir, officiellement, mettre sur écoute téléphone, Internet, et les réseaux qui devront être surveillés. Bien entendu, la justice donnera son feu vert (ou non). La DGSI devra faire ses demandes auprès de la Commission nationale de contrôle des interceptions de sécurité (CNCIS).

Dans son article 2, le décret explique qu' »Au titre de ses missions, la direction générale de la sécurité intérieure pour assurer la prévention et concourt à la répression de toute forme d’ingérence étrangère ;

Concourir à la prévention et à la répression des actes de terrorisme ou portant atteinte à la sûreté de l’Etat, à l’intégrité du territoire ou à la permanence des institutions de la République ;

Participer à la surveillance des individus et groupes d’inspiration radicale susceptibles de recourir à la violence et de porter atteinte à la sécurité nationale ;

Concourir à la prévention et à la répression des actes portant atteinte au secret de la défense nationale ou à ceux portant atteinte au potentiel économique, industriel ou scientifique du pays ;

Concourir à la prévention et à la répression des activités liées à l’acquisition ou à la fabrication d’armes de destruction massive ;

Concourir à la surveillance des activités menées par des organisations criminelles internationales et susceptibles d’affecter la sécurité nationale ;

Concourir à la prévention et à la répression de la criminalité liée aux technologies de l’information et de la communication ».

432 agents devraient constituer, d’ici 2018, cette nouvelle Direction. A ce rythme là, la DGSI et la DGSE devrait fusionner d’ici quelques mois, histoire de partager les coûts, les moyens et les techniciens.

Chiffrement, cryptage, Espionnae, ios, Sauvegarde, Smartphone, Vie privée

Les pièces jointes envoyées d’un iPhone ne sont pas sécurisées

Le chercheur en sécurité Andreas Kurtz vient de lâcher un grain de sable dans la communication d’Apple. La grosse pomme affirmait que les documents communiquées par courriel d’un iPhone ou d’un Ipad étaient sécurisés quand elles étaient sauvegardés dans ces « précieux ». Les pièces jointes ne pouvaient être lues, car chiffrées « à partir des capacités de chiffrement matériel de l’iPhone et de l’iPad, la sécurité des e-mails et pièces jointes stockés sur l’appareil peut être renforcée par l’utilisation des fonctionnalités de protection des données intégrées à iOS« . Bref, un charabia qui indique que l’on peut dormir tranquille, c’est « secure ».

Sauf que Kurtz vient de démontrer le contraire. Via son iPhone 4, sous iOS 7, et une fois l’option de protection des données activée, le chercheur s’est rendu compte que ses courriels étaient bien inaccessibles. Les pièces jointes, elles, étaient lisibles et non sécurisées. Inquiétant, Apple semble au courant de la faille et ne l’a toujours pas corrigé. La nouvelle version d’iOS (V. 7.1.1) n’a pas pris en compte cette potentialité malveillante, et ne la corrige pas. C’est étonnant, car Andreas Kurtz a prouvé qu’il était possible à un malveillant de mettre la main sur les données envoyées d’un appareil Apple.

 

Biométrie, Chiffrement, cryptage, Fuite de données, Identité numérique, Logiciels, Vie privée

Le vote électronique : le bide français

Un commentaire

Fin avril les Sénateurs Alain Anziani et Antoine Lefèvre sont revenus sur le vote électronique en France. Une innovation qui n’a pas prospéré. DataSecurityBreach.fr a reçu le rapport des deux sénateurs. Découverte ! Le vote par machine figure dans notre droit électoral depuis 45 ans comme une alternative au bulletin papier (vote à l’urne). Leur utilisation relève du libre choix des communes. Les nombreuses critiques qu’elles ont suscitées à l’occasion de l’élection présidentielle de 2007, « bien qu’aucun fait majeur n’ait perturbé la régularité des scrutins organisés dans les bureaux dotés de machines à voter », indique les sénateurs Alain Anziani et Antoine Lefèvre ont conduit le Gouvernement à geler, en 2008, le périmètre des communes utilisatrices. Cette décision est toujours en vigueur.

Plus de six ans après, Alain Anziani et Antoine Lefèvre ont proposé que ce dossier soit réouvert en tenant compte des données récentes. Critiqué dès sa création, ce dispositif n’est jamais parvenu à écarter toutes les craintes résultant de ce bouleversement de notre rituel républicain. Son implantation reste modeste. Quant au débat sur sa conformité aux exigences entourant l’exercice du droit de vote, il n’est pas clos, malgré l’évolution des technologies.

Lutter contre la fraude électorale
Inspiré des États-Unis, le recours à des machines comme mode alternatif du vote à l’urne pour les élections politiques a été prévu par la loi n° 69-419 du 10 mai 1969 modifiant certaines dispositions du code électoral. Ce texte avait pour objectif de lutter contre la fraude constatée dans plusieurs circonscriptions. Il prévoyait d’introduire des machines à voter dans les communes de plus de 30 000 habitants. Pour le secrétaire d’État à l’intérieur, André Bord, « l’utilisation de ces machines est de nature à éliminer les fraudes qui peuvent être commises pendant le déroulement des opérations de vote et pendant le dépouillement du scrutin ». Le Gouvernement soulignait aussi que cette technique moderniserait les opérations de vote « en évitant l’emploi de scrutateurs et en supprimant tout risque d’erreur, dans les circonscriptions qui comptent un nombre élevé d’électeurs ».

Machine de la ville d’Annoeullin (59).

La première expérience intervint lors des élections législatives des 4 et 11 mars 1973. Elle donna lieu à de nombreux incidents : « un des modèles agréés ne présentait pas de garanties suffisantes de fiabilité ». Après son retrait, les deux autres modèles furent à nouveau utilisés pour les scrutins suivants (élections cantonales de 1973 et 1976, municipales de 1977, législatives de 1978 et diverses élections partielles) sans que leur mise en service soit très concluante : « les défaillances, les pannes subies par ces matériels de même que le coût très élevé de leur maintenance, ont conduit à les retirer peu à peu du service ».

420 machines étaient en service en 1977. Elles furent supprimées dans la région parisienne à compter de 1984 après les conclusions d’un nouveau bilan. En 1988, elles ne subsistaient que dans les communes de Bastia et d’Ajaccio. Lors de l’élection présidentielle de 2007, quatre-vingt-trois communes étaient autorisées à utiliser des machines à voter. Elles comptaient 1,5 million d’électeurs, soit 3 % du corps électoral. Plusieurs difficultés survenues au cours du premier tour ont à nouveau conduit à de nombreuses critiques répertoriées par le groupe de travail mis en place par le ministre de l’intérieur en septembre 2007.

114 critères techniques
Sur la base des 114 critères techniques fixés par le règlement technique, trois types de machines à voter sont aujourd’hui agréés : les machines ESF1 fabriquées par la société néerlandaise NEDAP et commercialisées par France Élections. Leur agrément a été délivré par un arrêté du 12 avril 2007 ; les machines iVotronic de la société américaine Election Systems & Software (ES&S), distribuées par Berger Levrault et agréées par un arrêté du 15 février 2008 ; les machines Point & Vote plus de la société espagnole Indra Sistemas SA. Le maintien de l’agrément est soumis à un contrôle de la machine tous les deux ans. Le ministère de l’intérieur a indiqué aux sénateurs Alain Anziani et Antoine Lefèvre que le bureau Veritas a inspecté les machines ESF1 et iVotronic en 2012. En revanche, il ne détient aujourd’hui aucune information sur le matériel Point & Vote plus. Il est précisé, à cet égard, que les constructeurs et organismes certificateurs ne sont pas soumis à une obligation de transmission au ministère des rapports de contrôle.  France élections estime entre 5 000 et 6 000 euros hors taxe (HT) le coût moyen d’équipement d’un bureau de vote. Les frais de maintenance et prestations annexes s’élèvent de 65 à 150 euros HT par bureau –donc par machine- et par élection. Pour Berger Levrault, le coût estimatif de la location d’une machine est de 2 300 euros HT pour une élection à deux tours et de 1 400 euros HT pour une élection à un tour lorsque celle-ci est postérieure à l’élection à deux tours. Ces montants incluent les matériels associés (BIP, Flash card, scellés, pack de communication) et l’ensemble des prestations induites (programmation, paramétrage, formation des présidents de bureau de vote, mise sous scellés, mise en place d’un serveur de centralisation le cas échéant, mise à disposition de techniciens le jour du scrutin, gestion de projet). Le prix de vente de la machine Point & Vote plus d’Indra est estimé
à 3 800 euros environ.

Trois types d’incidents
M. François Pellegrini a recensé trois types d’incidents susceptibles d’altérer la sincérité des résultats du scrutin : un dysfonctionnement de la machine comme celui de Schaerbeek, des rayonnements cosmiques, la malveillance. Celle-ci peut s’exercer par l’introduction d’un logiciel de détournement du vote qui, ensuite, s’autodétruit ou la modification du code du logiciel pour falsifier les résultats. Ces fragilités techniques justifient la procédure rigoureuse et sécurisée de stockage des machines destinée à préserver l’intégrité des équipements. Ce défaut de fiabilité du vote électronique a conduit l’Irlande, en 2009, à renoncer à l’utilisation des machines à voter. Même l’Estonie, à la pointe des nouvelles technologies, préfère le papier au numérique. Ces exigences ont conduit, en 2006, les Pays-Bas à interdire un modèle de machines à voter à la suite d’un grave incident. Leur ambassade indiquait alors à Alain Anziani et Antoine Lefèvre qu’« un certain type d’irradiation des écrans, due à la présence de caractères accentués dans le texte, s’est avérée non sécurisée et pourrait être lue à distance ». Dans le même temps, des chercheurs prouvaient la simplicité à modifier les équipements. Dès lors que la confiance dans le vote était rompue, les machines ont été supprimées. Une étude du Chaos computer club a prouvé que « les appareils utilisés étaient facilement manipulables, sans que lesdites manipulations puissent être perçues par le votant ou par le président de la commission électorale ». Et ce en dépit du fait que les appareils utilisés avaient été agréés par le ministère fédéral de l’intérieur, comme l’exigeait la procédure, après la délivrance d’un avis favorable de l’office fédéral de physique et de technique. Le groupe de travail du ministère de l’intérieur Français (2007) a, notamment, déploré qu’il « se révèle largement insuffisant sur certains points en ce qui concerne la sécurité informatique des machines, ce qui explique également que les trois modèles agréés présentent des niveaux de sécurité relativement différents ».

Exemples de faille
En 2011, une faille découverte dans l´un de ces isoloirs hitech. Une vulnérabilité informatique découverte dans le système de vote électronique Diebold AccuVote. La faille pouvait être utilisée pour altérer les résultats du vote. Bien évidement, ce « bug » ne laisse aucune trace d’effraction. Un dispositif peu couteux, aucune reprogrammation et encore moins devenir dans les jours qui viennent un génie de l’informatique. La vidéo ci-dessous montre comment il était simple de prendre le contrôle quasi complet sur ?la machine. Le plus délirant est que cela pourra se faire, à distance.

Démonter un bureau de vote en 59 secondes… pour le piéger

C’est pourquoi, au terme de leur réflexion, Alain Anziani et Antoine Lefèvre n’étaient pas, en l’état, favorables à la levée du moratoire décidé en 2007. « En définitive, le seul avantage décelé réside dans le gain de temps permis par le dépouillement électronique, indiquent les Sénateurs. Mérite-t-il de prendre, en contrepartie, tous les risques attachés à l’utilisation de l’électronique ? » Alain Anziani et Antoine Lefèvre ne le pensent pas.