Archives de catégorie : Chiffrement

Chiffrement, Cybersécurité, Securite informatique

Failles et bugs corrigés dans Symfony 3.4.20

Le framework Symfony a sorti une nouvelle version. Elle corrige 14 failles de sécurité et autres bugs.

Le framework Symfony est un environnement informatique qui a fait ses preuves. Un bel outil robuste, proposant des fonctionnalités de cybersécurité. Authentification, gestion des sessions, … Symfony permet d’assurer la sécurité à la condition d’être prise au sérieuse. C’est d’ailleurs pour cela qu’une mise à jour, la 3.4.20, a été diffusée, début décembre 2018. 12 bugs et 2 problèmes sérieux de sécurité ont été corrigés.

La première faille de sécurité concerne [CVE-2018-19790] une vulnérabilité de redirection lors de l’utilisation des formulaires de connexion. Il était possible de rediriger l’utilisateur vers n’importe quel domaine après la connexion. La seconde faille corrigée [CVE-2018-19789] permettait de connaitre le chemin complet des fichiers téléchargés. En manipulant certaines commandes, cela pouvait lancer une exécution de code à distance.

Se protéger… avant le drame

Une protection, nous le savons, ne sera jamais infaillible. Il y aura toujours ce petit « truc » qui perturbera. Ce bug oublié, cette faille laissée de côté pour « plus tard ». Il existe pourtant quelques bases simples. Pour symfony, comme pour l’ensemble de vos productions web, assurez que vos mots de passe soient chiffrés. Dans ce cas, nous parlons de hashage. Des mots de passe hashés dans la base de données. Pour cela, utilisez bcrypt, par exemple. Mais, par pitié, par du MD5. Aujourd’hui, trop facilement maltraité par les centaines de bases de données regroupant des hashs de mot de passe. Pensez aussi au https. Cela évitera de jouer, entre autres, avec les cookies. le « secure flag » n’est pas à prendre à la légère. un firewall digne de ce nom doit renforce votre politique de sécurité. un WAF (Web Application Firewall). Dans tous les cas, un budget sécurité n’est plus une option.

Chiffrement, cryptage, Cybersécurité, double authentification, Entreprise, Fuite de données, Sauvegarde, Securite informatique

Fuite de données pour Nokia

Le constructeur Nokia a mis en péril sa sécurité interne et diffusant, sans le savoir, des données extrêmement sensibles sur Internet !

Imaginez, vous avez une entreprise de taille internationale et vous laissez fuiter vos informations les plus sensibles. Dans le lot des données perdues des mots de passe d’utilisateurs et d’administrateurs, un mot de passe Weave, une clé de chiffrement k8s, une clé privée d’utilisateur Gluster, des clés privées SSH et RSA, une clé de cluster et des clés secrètes AWS S3 … Bref, autant dire qu’il n’est pas utile de faire parti du bureau 39 de la Corée du Nord ou de la NSA pour se servir.

Les informations ont été découvertes par le directeur de l’équipe de recherche d’une société de cyber sécurité, hacken Ecosystem. Avec Shodan, le moteur de recherche dédié à la cybersécurité, la fuite est apparue. Plusieurs bases de données internes, des mots de passe et des clés d’accès secrètes aux systèmes internes de Nokia.

Découverte le 13 décembre 2018, personne ne sait depuis quand elles fuitaient. Nokia n’a jamais répondu au mail d’alerte. Il aura fallu attendre plusieurs jours et un message twitter pour la mise hors ligne.

L’équipe de sécurité de Nokia a reconnu la fuite. Elle a déclaré qu’il ne s’agissait que d’un « environnement de test« . Le chercheur indique avoir un doute sur cet environnement de test. « Ce serveur AWS créé il y a quelque temps par l’un de nos développeurs à des fins de test. Nous pouvons confirmer que le serveur ne contient aucune information sensible. Cela dit, nous utiliserons cet épisode pour notre propre formation de sensibilisation des employés de Nokia R&D ».

Chiffrement, Communiqué de presse, cryptage, Cybersécurité, double authentification, Entreprise, Fuite de données, Securite informatique

1 consommateur 3 aurait vu ses données confidentielles compromises

Selon un communiqué de presse envoyé à toutes les rédactions françaises, 1 consommateur sur 3 aurait ses données confidentielles compromises. Les fêtes de fin d’année, avec les cadeaux de Noël, le Nouvel An, puis les soldes de janvier sont une période de consommation importante, notamment en ligne. Mais pour les cybercriminels qui ciblent les informations bancaires des clients ou leurs comptes en ligne, ces périodes de fêtes peuvent aussi être très fructueuses. Le rapport de Kaspersky Lab intitulé « From festive fun to password panic: Managing money online this Christmas » fait le point sur les risques.

Selon les chiffres de Kaspersky, ils sont à prendre avec des pincettes car ils ne concernent que leurs clients et une petite partie de possibles fuites d’informations, Noël 2018 aurait été particulièrement intéressant pour les pirates comme le montre le graphisme qu’ils ont diffusé dans leur communiqué de presse [voir ci-dessous].

Le large éventail de méthodes de paiement numériques donne aux clients la liberté de choisir leur mode d’achat préféré pour les biens ou services. Les méthodes les plus populaires sont toujours les cartes de débit et de crédit, les virements directs à partir de comptes bancaires et les portefeuilles électroniques, par ex. PayPal. Cependant, d’autres méthodes de paiement gagnent en popularité. Les achats fréquents permettent aux utilisateurs de collecter des points via des programmes de fidélité et de les utiliser lors de la visite à un détaillant pour en acheter davantage. Et grâce aux smartphones et aux smartwatches, les consommateurs n’ont même plus besoin de transporter leur portefeuille, leur argent ou même de cartes en plastique. Cela a contribué à accroître la popularité des paiements sans contact sur les appareils, tels que PayPass et ApplePay, avec un tiers des acheteurs (31%) les utilisant régulièrement. (Le rapport)

 

Chiffrement, Communiqué de presse, cryptage, Cybersécurité, Securite informatique

Etude de cas CD&B : Sécuriser les fichiers grâce à un audit

Les serveurs de fichiers sont connus pour être la principale cible pour les attaques (Verizon, Data Breach Investigations Report 2017). Afin de pouvoir garder leurs fichiers sécurisés, et ne permettre que l’accès à ceux qui en ont besoin, les organisations ont besoin d’une visibilité sur qui a accès, qui utilise l’accès et quelles actions sont effectuées sur les fichiers.

Cet audit de fichiers permet aux entreprises de sécuriser leurs données sensibles. Lorsqu’un bon audit de fichier est en place, il peut aider à identifier une violation de données ainsi qu’à en arrêter une. Fonctionnalités d’un audit de fichiers. La société IS Decisions propose d’examiner les fonctionnalités qui devraient faire partie de l’audit des fichiers. Des fonctionnalités qui peuvent s’appliquer à la fois aux outils Windows natifs et aux solutions tierces. Nous y retrouvons, l’Enregistrement qui correspond à tous les accès et modifications aux fichiers et dossiers, y compris les données et les autorisations, doivent être enregistrés. La Visibilité : toutes les données du journal d’audit doivent être facilement accessibles pour être consultées, filtrées, recherchées, etc. Les Alertes : les notifications doivent être envoyées en fonction des critères correspondants aux actions jugées suspectes. Et les Rapports. Une option un peu compliqué, mais même les outils natifs ont la possibilité d’exporter les données du journal. Donc, même si ce n’est pas joli, la capacité de générer des «rapports» partageables devrait faire partie de l’audit des fichiers. Pour en savoir plus sur la sécurisation des fichiers via un audit approprié, c’est à lire ici.

Chiffrement, cryptage, cryptomonnaie, Cybersécurité, Entreprise, Fuite de données, ransomware, Securite informatique, Social engineering

Un tiers des directeurs informatiques français seraient prêts à payer un ransomware pour éviter les amendes liées au RGPD

Un directeur informatique sur trois préfère payer un ransomware en raison du coup de réinstallation.

Une étude commandée par Sophos a révélé qu’un tiers (33%) des directeurs informatiques français seraient «vraiment» prêts à payer les rançons demandées par des cybercriminels, qui auraient volé leurs données professionnelles, plutôt que de signaler la violation aux autorités et de devoir payer une amende plus lourde, dans le cadre du Règlement Général sur la Protection des Données (RGPD) de l’UE.

De plus, 43% des responsables informatiques en France, ont déclaré qu’ils envisageraient «éventuellement» de payer la rançon demandée par les hackers si elle était inférieure à l’amende prévue en cas d’infraction suite à une violation. Seulement 20% des personnes interrogées ont complètement exclu de payer leurs agresseurs.

Les directeurs informatiques français sont plus enclins à payer que leurs homologues belges

Un quart (24%) des directeurs informatiques belges ont déclaré qu’ils seraient «vraiment» prêts à payer une rançon pour éviter d’être exposés à une amende plus lourde, imposée par les autorités. Parmi les pays d’Europe Occidentale, mentionnés dans l’étude, les directeurs informatiques britanniques et néerlandais étaient les plus susceptibles de payer une rançon. Près de la moitié (47%) des personnes interrogées au Royaume-Uni et plus d’un tiers (38%) aux Pays-Bas étaient «vraiment» disposées à payer. Avec seulement 19%, les responsables informatiques irlandais étaient les moins susceptibles de se considérer «vraiment» prêts à payer leurs agresseurs.

La taille de l’entreprise impacte le paiement des ransomwares

Dans toute l’Europe Occidentale, les petites entreprises étaient les moins susceptibles d’envisager le paiement d’une rançon. Plus de la moitié (51%) des directeurs informatiques des entreprises de moins de 250 employés ont complètement exclu de payer leurs agresseurs. Ce chiffre à comparer aux 20% des directeurs informatiques des entreprises de 250 à 499 employés. 13% pour 500 à 750 employés.

Michel Lanaspèze chez Sophos a déclaré: « Les entreprises qui paient une rançon peuvent peut-être bien récupérer l’accès à leurs données, mais c’est loin d’être une garantie à 100% et c’est surtout une fausse économie si elles le font pour éviter une sanction. Elles doivent signaler la violation aux autorités. « .

Il est surprenant de voir que les grandes entreprises semblent être les plus susceptibles de payer une rançon. Faire confiance aux pirates ou attendre qu’ils restituent sagement les données est une grave erreur. Notre conseil ? Ne payez pas la rançon. Informez rapidement la police/Gendarmerie (Soyons honnête, la chance d’arrêter les auteurs est proche de 0, NDR). Prenez les mesures nécessaires pour réduire les risques d’une nouvelle attaque réussie.

« Le meilleur moyen de ne pas avoir à payer une rançon est de toujours garder une longueur d’avance sur les cybercriminels. Les pirates ont tendance à utiliser des emails de phishing, des logiciels non patchés et des portails d’accès à distance pour pénétrer dans vos systèmes. Assurez-vous donc que vos systèmes et vos utilisateurs soient à même de détecter les signaux annonciateurs d’une attaque. Installez les correctifs le plus tôt et le plus souvent possible, sécurisez les points d’accès distants avec des mots de passe appropriés et enfin mettez en œuvre une authentification multi-facteurs ».

Seuls quatre directeurs informatiques français sur dix pensent être en conformité avec le RGPD

L’étude de Sophos a également montré que seulement 37% des directeurs informatiques français étaient confiants dans une conformité totale de leur entreprise avec les règles du RGPD. Ce chiffre est supérieur à celui des directeurs informatiques en Belgique (30%) et en République d’Irlande (35%), mais inférieur à celui observé au Royaume-Uni (46%) et aux Pays-Bas (44%). Seulement un quart (24%) des directeurs informatiques français ont déclaré avoir mis en place des outils permettant de prouver leur conformité en cas de violation. Seules les entreprises néerlandaises (27%) semblent « ok » vis à vis de ce point particulier. Plus de la moitié des entreprises françaises ont migré leurs données vers le cloud suite à l’entrée en vigueur du RGPD : 59% des personnes interrogées ont déclaré avoir davantage utilisé le cloud computing comme conséquence directe de l’entrée en vigueur du RGPD.

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, Mise à jour, Particuliers, RGPD, Sauvegarde, Sécurité, Securite informatique, Smartphone, Téléphonie

Des millions de SMS retrouvés dans un cloud de la société Voxox

Un chercheur en sécurité révèle que la société Voxox a exposé des dizaines de millions de SMS en le stockant sur un serveur cloud non protégé.

Voxox est une société de communication VoIP. Une sorte de Skype allemand. Voxox a oublié les bases de la sécurité du cloud. Bilan, ce fournisseur de services vocaux et SMS a exposé des données sensibles telles que les codes 2FA, les mots de passe en texte clair, les numéros de téléphone, les codes de réinitialisation de mot de passe, les notifications d’expédition et les codes de vérification à un accès public. C’est un chercheur en sécurité basé à Berlin, Sébastien Kaul, qui a découvert la faille via le moteur de recherche spécialisé dans la sécurité informatique, Shodan. La base de données de messages SMS identifiée par Kaul est facilement accessible. Elle offre une vue presque en temps réel des informations transitant par la passerelle SMS de Voxox. Comment est-ce possible ? La société américaine n’a pas protégé son serveur … avec un mot de passe. No comment !

Avant sa fermeture, plus de 26 millions de messages texte stockés dans la base de données. Cependant, il semble tout à fait probable que le chiffre soit plus important. Le volume de messages étant énorme, chaque minute. Il est à noter que chaque enregistrement a été étiqueté et détaillé avec précision. Il incluait le numéro de contact du destinataire, le client Voxox qui avait envoyé le message et le contenu du message. (TechCrunch)

Chiffrement, Communiqué de presse, cryptage, Cybersécurité, Entreprise, Fuite de données, ransomware, Securite informatique

Observation de l’évolution des tactiques de diffusion des ransomwares

Il y a quatre ans de cela, les criminels envoyaient des mails à des millions d’adresses, diffusant des variantes de logiciels rançonneurs, via des liens infectés ou des documents Word, sans logique ou ciblage apparent. Aujourd’hui, les ransomware se professionnalisent !

Lorsque les logiciels rançonneurs ont commencé à chiffrer les ressources disponibles sur les réseaux, les entreprises ont commencé à y prêter un peu plus attention. Cette étape de l’évolution des logiciels rançonneurs a vu la méthode de diffusion éparpillée précédemment mentionnée se combiner au chiffrement de fichiers disponibles aussi bien sur le serveur local que sur les serveurs d’entreprise. Le chiffrement du serveur de fichiers d’une infrastructure ou de son système de stockage en réseau entraîne plus de dommages pour l’entreprise que le chiffrement d’un poste de travail individuel. Dans ce contexte, la hotline de notre équipe d’intervention a commencé à recevoir plus d’appels, au cours desquels les administrateurs informatiques des systèmes touchés par des logiciels rançonneurs ont commencé à se poser des questions très sérieuses sur les conséquences associées au paiement des rançons.

Cette tendance des ransomwares à chiffrer les partages réseau, et l’attention accrue qui en résulte, est probablement à l’origine des phases suivantes de leurs techniques de déploiement.

Frappes de précision : l’essor du protocole RDP (Remote Desktop Protocol)

En 2016, nous avons commencé à constater des infections massives de logiciels rançonneurs au cours desquelles plusieurs actifs essentiels de l’environnement des victimes étaient simultanément infectés, et avons donc constaté davantage d’interactions entre les agresseurs et leurs victimes (en raison de l’impact de leurs logiciels rançonneurs sur l’environnement des victimes). La communauté de sécurité s’est livrée à des enquêtes plus poussées qui ont confirmé ces soupçons : des cybercriminels utilisaient le protocole RDP, un protocole propriétaire conçu par Microsoft, pour fournir aux utilisateurs l’interface graphique d’un système distant, afin de s’introduire dans l’environnement des victimes.

Une fois en place, les agresseurs déployaient généralement des outils permettant de rechercher et d’exploiter des relations utilisateur/groupe/administrateur mal configurées ou non intentionnelles. Les paramètres Active Directory mal configurés ou non intentionnels sont les meilleurs alliés des cybercriminels, en leur permettant d’accéder aux privilèges de l’administrateur du domaine. Dès que le compte de ce dernier est compromis, les hackers ont la possibilité d’effectuer une reconnaissance du réseau pour identifier les actifs les plus critiques et les infecter.

Après avoir identifié les serveurs critiques et les systèmes de sauvegarde dans l’environnement, les hackers peuvent désormais utiliser les outils d’administration système intégrés à Windows pour déployer largement leurs logiciels rançonneurs.

A ce stade, les agresseurs n’essayaient donc plus d’envoyer un email à chaque personne présente sur le web. Avec le protocole RDP, ils savaient exactement qui et quoi cibler, en infectant simultanément des ressources critiques grâce à leur nouvel accès à l’environnement des victimes.

La prochaine étape des logiciels rançonneurs : les botnets

La tactique consistant à utiliser le RDP comme base initiale pour ces déploiements de logiciels rançonneurs en volume, interactifs, programmés ou manuels, était devenue si courante qu’elle faisait l’objet de nos premières questions lors de la prise en charge de nouveaux incidents. Cependant, pour les cas récents tels que le logiciel rançonneur Ryuk [1], nous assistons à une autre évolution des tactiques de diffusion. Lorsque nous enquêtons sur les victimes pour déterminer si elles sont exposées au niveau du RDP, nous pouvons constater que ce protocole n’est pas activé, ou que l’accès se fait via VPN. Dans cette mesure, il n’expose pas directement les victimes sur Internet.

Ces cas nécessitent des enquêtes plus approfondies. Dans plusieurs cas récents, nous découvrons des infections de bots corrélées à la chronologie des infections de logiciels rançonneurs.

Au cours du mois dernier, nous avons observé des infections de TrickBot, d’Emotet et d’AdvisorsBot qui correspondent parfaitement au moment du déploiement des logiciels rançonneurs. Ces infections par bots sont généralisées dans l’environnement des victimes, et tirent également parti des relations d’approbation mal configurées dans Active Directory pour se répandre latéralement. Cette tendance à l’utilisation des bots pour s’implanter ne fait qu’augmenter.

Dans ces cas, nous constatons que des e-mails de phishing contenant des documents Word malveillants sont le vecteur de diffusion des bots. Ces documents Word malveillants contiennent un contenu exécutable appelé macros. Lors de nos analyses des infections par TrickBot et AdvisorsBot relatives aux logiciels rançonneurs, nous constatons que les victimes ont ouvert le mail. Ouvert les documents joints. Permis aux macros de s’éxecuter.

À ce stade, le contenu exécutable dans les macros installe un bot ou contacte le serveur de commande et de contrôle du botnet pour obtenir du code malveillant supplémentaire, qui est finalement le véritable logiciel malveillant.

C’est une évolution des tactiques de déploiement des logiciels rançonneurs. La tendance observable de diffusion des ransomwares, allant de l’email de phishing opportuniste jusqu’à l’implantation et la reconnaissance via une configuration RDP compromise, se poursuit aujourd’hui par une implantation avancée au cœur du réseau grâce à des infections par bots qui se propagent latéralement.

En conclusion, la tendance d’implantation des bots pour propager des logiciels rançonneurs continuera à se développer. A l’avenir, différents bots seront utilisés simultanément. Mais le fait qu’ils offrent une persistance et facilitent le déploiement de logiciels malveillants supplémentaires en font un choix évident en matière d’implantation malveillante.

Conseil de l’équipe d’intervention Check Point

Au cours des différentes enquêtes, il a été découvert que la plupart des victimes avaient involontairement autorisé l’accès RDP au réseau depuis Internet en raison de la configuration des règles de sécurité sur le pare-feu, autorisant trop de ports ou configurant incorrectement l’IP/le masque réseau. La fonctionnalité « Packet Mode » de R80.10 [1] nous permet de vérifier rapidement si les ports RDP sont exposés sur Internet. Les règles de la blade Compliance (conformité) peuvent également être configurées pour émettre une alerte en cas d’exposition accidentelle de RDP. (Par l’équipe d’intervention de Check Point).

APT, backdoor, Chiffrement, Communiqué de presse, cryptage, Cybersécurité, Mise à jour, Securite informatique

Sofacy, un groupe de pirates omniprésent sur la toile

L’Unité42, unité de recherches de Palo Alto Networks, dévoile aujourd’hui une nouvelle étude sur le groupe Sofacy et le nouveau malware utilisé par le groupe pour mener des attaques de cyber-espionnage contre différentes agences gouvernementales partout dans le monde.

Sofacy continue ses attaques mondiales et sort un nouveau cheval de Troie « Cannon ». Découverte d’un nouveau malware « Canon », un cheval de Troie pour donner un accès distant (RAT pour Remote Access Trojan) : ce nouveau malware a été utilisé par Sofacy pour mener des attaques de cyber-espionnage. Ce groupe continue aussi à utiliser Zebrocy (un RAT déjà connu) dans leurs attaques. Utilisation de diverses techniques pour éviter d’être détecté et analysé : 1) au lieu d’inclure le code malicieux en pièce jointe, Sofacy le télécharge à distance à l’ouverture du document, 2) le groupe utilise des courriels pour envoyer et recevoir des instructions et 3) le groupe utilise également des macros spécifiques pour détourner les tentatives d’analyse du code malicieux. Ingénierie sociale : Sofacy a utilisé le récent crash aérien affectant Lion Air comme leurre dans l’une de leurs attaques — ce qui est un exemple de leur volonté permanente d’utiliser l’ingénierie sociale pour déployer leur malware.

Sofacy, l’ogre à données piratées

Depuis la fin du mois d’octobre 2018, Unit 42 a intercepté une série de documents vérolés en utilisant une technique qui fait appel à des modèles de mise en page distants contenant des macros dangereuses. Ce genre de document infecté n’est pas rare.

Les systèmes d’analyses automatisés ont plus de mal à les identifier comme dangereux en raison de leur nature modulaire. La particularité de cette technique est la suivante : si le serveur C2 (ou C&C pour Command and Control, le serveur utilisé par les cybercriminels pour finaliser l’infection et contrôler les machines infectées) n’est pas disponible au moment de l’exécution, le code malicieux ne peut être récupéré, et les documents délivrés sont alors sans danger.

Documents infectés

Ensuite, ces documents infectés ciblaient différentes agences gouvernementales à travers le monde, y compris en Amérique du Nord, en Europe, ou dans un des États de l’ancienne URSS. Heureusement, les serveurs C2 de plusieurs de ces documents étaient encore opérationnels, ce qui a permis de retrouver les macros dangereuses et les téléchargements qui y sont liés. L’analyse a révélé que le premier téléchargement lié était le cheval de Troie bien connu Zbrocy. D’autres données collectées ont dévoilé un deuxième téléchargement que l’Unit42 a surnommé « Canon ». Enfin, canon n’avait jusqu’ici pas encore agi via le groupe Sofacy, il contient une nouvelle voie de communication avec les serveurs C2 en passant par la messagerie électronique.

crash list(Lion Air Boeing 737).docx

Pour conclure, l’activité concerne plus précisément deux documents infectés bien spécifiques qui partage des données communes comme une adresse IP commun pour le serveur C2, un nom d’auteur commun, et des tactiques communes. Des données complémentaires ont révélé une campagne d’attaque importante associée avec le cheval de Troie Canon sur lequel l’Unit42 reviendra dans un prochain billet de blog. Un des aspects les plus intéressants des documents les plus récents utilisés par l’adversaire pour son infiltration était le nom du fichier : crash list(Lion Air Boeing 737).docx. Ce n’est pas la première fois qu’un groupe ennemi utilise les événements récents comme un leurre. Il est intéressant de voir que ce groupe essaie de miser sur des événements catastrophiques pour lancer leurs attaques. (U42)

Biométrie, Chiffrement, cryptage, Cybersécurité, Entreprise, IOT, Mise à jour, Securite informatique, Téléphonie

DeepMasterPrints : Des chercheurs réussissent à hacker des systémes biométriques

DeepMasterPrints : Des chercheurs de la New York University et de l’Université du Michigan ont trouvé le moyen de piéger des systèmes biométriques à partir de 6 000 empreintes digitales existantes.

DeepMasterPrints, le doigt dans l’œil de la biométrie. Des chercheurs (New York University et Université du Michigan) trouvent le moyen de piéger des systèmes biométriques. Comment ? à partir de 6 000 empreintes digitales existantes. Les étudiants ont créé à partir de ces 6 000 vraies empreintes, des empreintes digitales artificielles. Elles ont pu tromper les systèmes de sécurité proposés dans les ordiphones (smartphones). Une attaque baptisée « DeepMasterPrints ».

L’étude explique que les empreintes digitales inventées pour l’occasion font illusion une fois sur cinq. Leur « passe-partout » est capable d’usurper plusieurs personnes à la fois, alors que la biométrie est sensée être unique pour chaque individu. La société Counterpoint Research explique que 50% des smartphones vendus 2017 étaient équipés d’un systéme biométrique. 7 téléphones sur 10 seront « biométrie » d’ici la fin d’année 2018. Soit plus d’un milliard de téléphones portables intelligents.

La société expliquait l’année dernière que la fiabilité du capteur d’empreintes digitales était un problème majeur. « la plupart des capteurs d’empreintes digitales capacitifs sont faillibles.« . Cependant, avec les derniers capteurs d’empreintes digitales, avec une détection directe des doigts ou utilisant la technologie de détection par empreinte digitale à ultrasons pour créer une image 3D des empreintes digitales sont potentiellement plus efficace.

DeepMasterPrints

Pour fonctionner, les DeepMasterPrints tirent parti de deux propriétés des systèmes d’authentification par empreintes digitales. La première est que, pour des raisons ergonomiques, la plupart des lecteurs d’empreintes digitales ne lisent pas l’ensemble du doigt en même temps, mais plutôt la numérisation de la partie du doigt qui touche le scanner.

La seconde est que certaines caractéristiques des empreintes digitales sont plus courantes que d’autres. Cela signifie qu’une fausse empreinte contenant de nombreuses caractéristiques très communes est plus susceptible de correspondre à d’autres empreintes digitales que le pur hasard ne le laisserait penser.

Base de données, Chiffrement, Communiqué de presse, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Securite informatique

Six étapes pour empêcher la perte ou le vol de données

Avec le déclin du périmètre réseau traditionnel, il est désormais essentiel d’adopter une stratégie de sécurité axée sur les données afin de protéger les informations de l’entreprise contre la fuite ou le vol.

Nous assistons depuis plusieurs années à la dissolution du périmètre réseau identifiable. Le personnel mobile et les télétravailleurs, qui ont besoin d’un accès universel aux informations et aux ressources pour organiser leur collaboration, ont rendu entièrement obsolète le concept de périmètre réseau traditionnel — celui qui était auparavant défini par les limites géographiques et technologiques des serveurs et appareils de l’entreprise. L’écosystème mondial de l’information se bâtit désormais sur un modèle de collaboration ouverte, de confiance et de flux constants d’informations — précisément les caractéristiques qui sont actuellement exploitées par les cybercriminels.

Dans un monde numérique sans frontières, il est impératif de redéfinir l’approche de la sécurité. Il est important de s’éloigner d’une simple protection du périmètre réseau pour se concentrer sur la sécurisation des données, où qu’elles passent et où elles se trouvent. Voici six étapes permettant de mener cette opération à bien avec efficacité.

1. Identifier et classer les données sensibles

La première étape de toute stratégie de sécurité des données efficace consiste à déterminer la sensibilité de vos données et à repérer où elles résident, que ce soit dans le cloud, sur des disques partagés, des bases de données ou les trois à la fois. Il vous faut ensuite décider si ces données nécessitent une protection ou pas, et dans quelle mesure. La classification des données sert tout d’abord à identifier les données, où qu’elles se trouvent. Elle trie ensuite les données dans des catégories appropriées, en fonction de leur sensibilité et d’autres critères, et crée des politiques pour déterminer qui sont les employés autorisés à accéder à ces données, et les façons dont ils peuvent les utiliser. La classification des données peut constituer une aide précieuse pour les entreprises en matière de gouvernance, de conformité et de mandats de réglementation tels le PCI DSS et le RGPD, ainsi que dans le cadre de la protection de la propriété intellectuelle.

2. Attention à la menace interne accidentelle

Les employés font peser un grand risque sur les données internes, en dépit de la classification des données et des contrôles d’accès en vigueur. Les équipes informatiques doivent mener un audit et mettre en place une approche visant à définir un niveau de risque associé à chaque employé en fonction de ses possibilités d’accès aux données de l’entreprise. En effet, certains employés présentent un risque supérieur aux autres. Par exemple, les employés possédant des identifiants d’administrateur réseau posent un risque bien plus élevé que ceux qui n’ont qu’un accès utilisateur local. Les employés des services financiers, d’un autre côté, peuvent constituer une cible tentante pour les cybercriminels en raison des données lucratives qu’ils traitent. Comprendre quels employés posent les plus grands risques pour vos données et adapter vos défenses en fonction peut permettre à vos équipes informatiques de réduire considérablement la menace interne.

3. Ne pas se fier qu’à des technologies ponctuelles

La plupart des outils de sécurité actuels sont axés sur la visibilité et cherchent à faire barrage au point d’entrée pour protéger les systèmes. Ils balaient les fichiers à un moment précis pour déterminer s’ils sont malveillants. Mais des attaques avancées peuvent survenir à tout moment du jour ou de la nuit et en quelques secondes, exposant les actifs les plus sensibles des entreprises. Des technologies de détection en temps réel fournissent une vigilance constante et démontrent le sérieux de la stratégie mise en œuvre en matière de protection des données.

4. Comprendre les subtilités de la DLP

Bien que les cybercriminels représentent effectivement une menace pour les entreprises, le risque de perte de données accidentelle n’est pas à sous-estimer. Prenez par exemple un employé qui envoie un email confidentiel au mauvais destinataire, ou oublie une clé USB dans un train. Sans la DLP, ces actions pourraient entraîner une fuite de données et une violation des normes de conformité. Les technologies de DLP sécurisent les données en fonction des politiques prédéfinies et de la sensibilité des données. Si les données sont extrêmement sensibles et qu’un employé ne possède pas les autorisations d’accès nécessaires, il ou elle ne pourra pas copier ces données. Si la copie est autorisée, les données seront chiffrées pour garantir leur sécurité, où qu’elles soient transportées.

La DLP vient compléter la stratégie de sécurité d’une entreprise. L’approche réseau suffisait jusqu’ici. Maintenant que les informations voyagent sur de grandes distances, il est beaucoup plus facile de pénétrer à l’intérieur du périmètre étendu d’une entreprise. Sans la DLP, l’attaquant aurait accès à une manne de données sensibles. Avec la DLP en place, même en cas de faille dans le périmètre, l’attaque a bien moins de possibilités de nuire et de voler des données sensibles, ou quoi que ce soit d’ailleurs. En associant la sécurité réseau, la DLP et des mesures de sécurité comme la protection avancée contre les menaces, une entreprise peut rendre le vol de ses données presque impossible.

5. Au-delà de la conformité

Bien que de nombreuses industries et régions soient soumises à des exigences de conformité, notamment HIPAA, PCI et RGPD, ces normes ne sont qu’une première étape dans la protection des données sensibles. Elles forment une base solide, mais il faut poursuivre la démarche pour assurer la sécurité des données sensibles critiques, au-delà des numéros de cartes bancaires et de sécurité sociale. Pour véritablement vous assurer que la sécurité de vos données est parfaitement étanche, vous devez penser la conformité et la sécurité au-delà de simples cases à cocher.

6. Comprendre la diversité des menaces ciblant les données

Les outils que vous choisissez pour la sécurité doivent être réactifs et tenir compte des menaces externes comme les programmes malveillants et les attaques par force brute. Beaucoup de solutions de DLP se concentrent sur les fuites de données accidentelles — la menace interne — mais n’ont pas la possibilité de prendre en compte les menaces externes qui font également peser un risque sur les données. Les solutions de DLP intelligentes tiennent compte de la possibilité de vol d’identifiants par des attaques externes pour pénétrer le réseau sous l’identité d’un employé. Il devient capital de bénéficier d’un service de renseignement sur les menaces. Supposons qu’un pirate corrompe le compte d’un administrateur. Une solution intelligente et complète empêchera l’administrateur de déplacer des données ou du moins les chiffrera, en raison du caractère inhabituel de ce comportement ou de l’emplacement d’où a lieu la connexion.

Beaucoup de produits de sécurité prétendent protéger les données alors qu’ils ne sont pas dynamiques et ne tiennent pas compte du contexte.

Pour empêcher la perte ou le vol des données, il convient de prendre en compte l’évolution du périmètre réseau traditionnel et adopter une combinaison de solutions de sécurité régies par politiques et de sensibilisation des employés. En identifiant les emplacements où résident les données sensibles, en définissant des politiques pour les gérer et en mettant en œuvre des contrôles d’accès appropriés, les entreprises se placent en position de force pour se défendre contre les menaces internes et externes. Avec le déclin du périmètre réseau traditionnel, il est essentiel d’adopter une solution de sécurité avec un axe sur les données pour protéger les informations de l’entreprise contre la fuite ou le vol. (Par Jan van Vliet, Responsable EMEA, Digital Guardian)