Archives de catégorie : double authentification

Chiffrement, Communiqué de presse, Contrefaçon, cryptage, Cybersécurité, double authentification, Entreprise, Fuite de données, Sauvegarde, Securite informatique

Comment protéger son réseau et ses imprimantes professionnelles en 5 étapes ?

Les entreprises de toutes tailles doivent relever un certain nombre de défis pour assurer la sécurité de leurs réseaux. Pourtant, les vulnérabilités liées aux MFP et imprimantes connectées d’aujourd’hui sont souvent sous-estimées. Voici comment protéger votre réseau en 5 points.

Désormais, les pirates se servent des systèmes multifonction (MFP) et imprimantes des organisations pour dérober des informations confidentielles stockées sur des disques durs et d’autres périphériques connectés aux réseaux professionnels. Ces cybercriminels provoquent d’importants dégâts et perturbent les activités des entreprises. Selon un rapport d’IDC, 25 % des failles de cybersécurité à corriger impliqueraient des imprimantes. L’impact sur la productivité et la rentabilité des entreprises est donc énorme, alors même que risque lié aux MFP et imprimantes non sécurisés est souvent méconnu et ignoré.

1 : l’identification des utilisateurs et la gestion des autorisations

L’une des solutions les plus importantes pour sécuriser les réseaux consiste à n’autoriser que les utilisateurs connus à accéder aux périphériques tels que les imprimantes. Cet objectif peut être atteint grâce à une administration et à une gestion des autorisations cohérentes.

Identification des utilisateurs : il s’agit du processus grâce auquel les administrateurs ne donnent de droits d’accès aux MFP et imprimantes qu’aux utilisateurs enregistrés. Ces derniers peuvent être identifiés en interne en s’appuyant sur la liste d’utilisateurs locaux, ou via le réseau grâce à un serveur d’authentification. Les administrateurs doivent également décider qui appartient à quel groupe en créant un nom d’utilisateur et un mot de passe, et en mettant en place une stratégie de gestion de mots de passe sur mesure/unique.

Autorisation des utilisateurs : ce processus a pour but d’autoriser l’accès aux ressources des réseaux des organisations, et d’en contrôler l’utilisation. En fonction des identifiants de chaque utilisateur, il est possible de limiter l’accès à certains individus, le restreindre à certaines fonctions, ou le bloquer entièrement. L’administrateur peut également configurer l’accès aux périphériques à l’aide de cartes d’accès contenant des informations d’identification uniques pour chaque individu.

2 : sécuriser le réseau

L’ensemble des périphériques connectés au réseau sont aussi sécurisés que le point le plus vulnérable de ce réseau. Il est donc très important de contrôler l’utilisation des ports et protocoles. Grâce à une configuration intelligente, les administrateurs peuvent bloquer les activités indésirables et les attaques potentielles sur l’infrastructure. Parmi les techniques permettant de sécuriser les communications entre les périphériques du réseau :

Utiliser des fonctions de filtrage pour limiter l’accès à des adresses IP et MAC (Media Access Control) spécifiques. Le réseau et les canaux de communication sont ainsi protégés en limitant l’accès aux adresses ou plages d’adresses spécifiées.

Désactiver les ports non utilisés (afin que seuls ceux qui sont nécessaires fonctionnent) pour bénéficier d’une couche de sécurité supplémentaire et de davantage de contrôle sur le réseau en bloquant les accès non autorisés vers l’ensemble des actifs connectés.

S’assurer que les protocoles IPSec (le protocole Internet pour un échange de données sécurisé et chiffré de données), TLS (le protocole de sécurité de la couche de transport, qui chiffre la transmission de données) et HTTPS (le protocole de transfert hypertexte sécurisé, qui sécurisé les communications sur le réseau) sont configurés pour offrir le niveau de protection le plus élevé.

3 : protéger les données

Il y a deux façons de s’assurer que les données stockées sur les disques durs des MFP et imprimantes soient en permanence sécurisées :

Le chiffrement des données est la procédure ou fonctionnalité cryptant les documents à l’aide d’un algorithme complexe à 256 bits.

L’écrasement des données, qui permet d’effacer le disque dur d’un appareil. Cette stratégie garantit l’effacement définitif de l’ensemble des données déjà stockées sur le disque et des documents numérisés après avoir qu’elles aient été écrasées jusqu’à 10 fois.

4 : imprimer des informations confidentielles de façon sécurisée

Les documents confidentiels doivent être imprimés en suivant une procédure sécurisée évitant les accès et copies non autorisées. Ainsi, lorsqu’une tâche d’impression est soumise, elle est conservée sur le disque dur de l’appareil jusqu’à ce que l’utilisateur saisisse un code PIN, ou présente un jeton ou une carte d’authentification configurés au préalable. Une fois le document imprimé, l’ensemble des données sont automatiquement effacées du disque dur.

5 : assurer une supervision et un contrôle à distance

Mis en place correctement, les outils de sécurité des réseaux offrent aux administrateurs informatiques un contrôle total sur l’ensemble des appareils connectés au réseau, et ce directement depuis leurs postes de travail. Ils peuvent ainsi contrôler un parc entier de MFP et d’imprimantes, et découvrir et gérer à distance la plupart des menaces de sécurité potentielles. Le clonage des appareils permet également de rationaliser le travail des administrateurs, et offre encore plus de sérénité, tout changement au niveau des paramètres d’un équipement pouvant ainsi être reproduit sur l’ensemble du parc. (Par Tomasz Stefanski – Solutions and Applications Specialist chez Sharp Europe).

Base de données, Communiqué de presse, Cybersécurité, double authentification, Entreprise, Fuite de données, Mise à jour, Securite informatique

Fraude au nom de domaine : des millions de nouveaux domaines frauduleux. Plus de 90% restent actifs

La société Proofpoint, spécialiste de la mise en conformité et cybersécurité, a publié son rapport 2019 sur la fraude au nom de domaine. L’étude dévoile les dernières tendances, les stratégies et les activités des cybercriminels. Une analyse approfondie des données collectées sur une période de douze mois dans la base de données de domaines actifs de l’entreprise. Elle contient plus de 350 millions de domaines et représente pratiquement tous les domaines sur le Web.

Chasse aux domaines frauduleux ! À l’instar de nombreuses autres méthodes d’attaque très populaires aujourd’hui, la fraude au nom de domaine cible des individus plutôt que des infrastructures en faisant appel à l’ingénierie sociale, terme connu aussi sous Social Engineering, pour amener les utilisateurs à croire que les domaines auxquels ils accèdent sont légitimes. Du fait du peu d’obstacles à l’enregistrement des noms de domaine et de la facilité d’exécution, il est essentiel que les sociétés restent vigilantes face aux domaines suspects et illégaux susceptibles de présenter un risque pour leur marque et leurs clients.

Hausse de 11%

Entre le 1er trimestre et le 4ème trimestre 2018, le nombre d’enregistrements de noms de domaines frauduleux a connu une hausse de 11%. Presque tous les domaines frauduleux détectés restent actifs et prêts à l’attaque, plus de 90% d’entre eux étant associés à un serveur actif.

Parmi ces domaines frauduleux, plus de 15% ont des enregistrements Mail Exchanger (MX), ce qui signifie qu’ils envoient et/ou reçoivent des e-mails. Un sur quatre dispose également de certificats de sécurité, c’est bien plus que ce que l’on peut observer dans le paysage global des domaines. Or, de nombreux internautes les assimilent de ce fait à tort comme des domaines légitimes et sûrs.

Les domaines frauduleux utilisent souvent les mêmes domaines de premier niveau (TLD), offices d’enregistrement et serveurs Web que les domaines légitimes afin d’imiter les marques et abuser les utilisateurs. Ces facteurs, ainsi que la forte proportion de serveurs Web actifs, qui sont nombreux à posséder des certificats SSL valides, renforcent la perception de légitimité des domaines frauduleux, augmentant ainsi le potentiel de nombreuses attaques, notamment les fraudes par virement électronique, le phishing, les ventes de produits de contrefaçon et autres escroqueries.

Quand le HTTPS sert aux pirates

Plus de 85% des grandes marques de vente au détail ont identifié des domaines vendant des versions contrefaites de leurs produits. Les marques de vente au détail en décomptent en moyenne plus de 200. D’ailleurs, les domaines vendant des produits de contrefaçon possèdent plus de certificats de sécurité que d’autres types de domaines frauduleux, ce qui les rend légitimes aux yeux des clients.

96% des sociétés ont trouvé des correspondances exactes de leur domaine avec un TLD différent (par exemple, « .net » au lieu de « .com ») et 76% ont identifié des domaines « similaires » se faisant passer pour leur marque. La plupart des secteurs et des zones géographiques sont touchés.

Une enquête du blog ZATAZ, le plus vieux blog dédié à la cybersécurité en langue française du monde, démontrait comment des entreprises, et leurs clients, se font piéger par des domaines .com transformés en .co.

Les domaines frauduleux utilisent l’e-mail pour mieux cibler les attaques. Pour 94% des sociétés observées, Proofpoint a identifié au moins un domaine frauduleux se faisant passer pour leur marque et envoyant des e-mails. De nombreux domaines frauduleux ont envoyé de faibles volumes d’e-mails, un comportement typiquement associé à des attaques hautement ciblées et basées sur l’ingénierie sociale. Les cybercriminels se faisant passer pour des marques de vente au détail facilement reconnaissables (en particulier celles ayant des chaînes d’approvisionnement complexes) ont envoyé des volumes d’e-mail beaucoup plus importants, ce qui laisse suggérer des attaques plus généralisées contre les clients et les partenaires.

Des facteurs comme l’introduction de nouveaux TLD créent des opportunités pour les cybercriminels. En 2018, l’introduction de nouveaux TLD, tels que .app et .icu,, a créé de nouvelles opportunités pour l’enregistrement de domaines frauduleux. Proofpoint a constaté que les cybercriminels exploitaient ces nouveaux TLD pour enregistrer des noms ressemblant à des domaines « .com » qui appartiennent déjà à de grandes marques.

Banque, Chiffrement, Communiqué de presse, cryptage, Cybersécurité, double authentification, Entreprise, Fuite de données, Paiement en ligne, Securite informatique

Etat de la sécurité des applications des plus grandes banques du monde

Des chercheurs ont mené une enquêtes sur l’état de la sécurité des applications des plus grandes banques du monde. Un des outils posséde une faille connue depuis 2011.

Les nouvelles recherches de la société ImmuniWeb va faire grincer des dents dans le petit monde bancaire. Ils ont étudié la sécurité, la confidentialité et la conformité des applications des plus grandes institutions financières mondiales figurant dans la liste S&P Global 2019. Le résultat a de quoi étonner. En ce qui concerne la conformité, 85 applications Web de banque en ligne ont échoué au test de conformité GDPR ; 49 banque en ligne ont échoué au test de conformité PCI DSS ; 25 app ne sont pas protégées par un WAF.

Vulnérabilités de sécurité

Dans cette étude, on découvre que sept applications Web de banque en ligne contiennent des vulnérabilités connues et exploitables.

La plus ancienne vulnérabilité est connue depuis 2011. 92% des applications bancaires mobiles contiennent au moins une vulnérabilité à risque moyen.

100% des banques ont des problèmes de sécurité ou des problèmes liés aux sous-domaines oubliés.

Pour finir, concernant la sécurité du site web, seuls 3 portails sur 100 affichaient la note la plus élevée «A+» pour le « chiffrement SSL et la sécurité des sites Web ». Dans ce top 3, on trouve un Suisse (credit-suisse.com), un Danois (danskebank.com) et un Suédois (handelsbanken.se).

Pendant ce temps, dans le commerce 2.0

De son côté, le laboratoire Pradeo a étudié 38 applications mobiles d’e-commerce les plus téléchargées au monde. Le rapport montre qu’elles envoient les données personnelles des utilisateurs via de nombreuses connexions non sécurisées (pourcentages précis dans l’article) et présentent en moyenne 13 vulnérabilités de code, dont certaines ayant un haut niveau de sévérité.

Cybersécurité, double authentification, IOT, Securite informatique

L’authentification multifacteur peut vous aider à sécuriser vos connexions Active Directory

Le mot de passe est probablement la mesure de sécurité la plus courante et la plus utilisée, mais c’est également la plus vulnérable. En effet, l’’utilisation d’identifiants internes compromis par un attaquant externe représente, selon Verizon et son Data Breach Investigations Report 2018, la menace la plus courante dans les violations de données. C’est pourquoi de plus en plus d’entreprises mettent en place l’authentification multifacteur (MFA) en complément des mots de passe pour le contrôle des accès.

L’authentification multifacteur, connu sous le 3 lettres MFA, est un système de sécurité qui fait appel à plusieurs méthodes d’authentification pour vérifier l’identité de l’utilisateur qui souhaite se connecter. Il a pour objectif de mettre en place plusieurs couches de protection, afin de rendre plus difficile l’accès d’une personne non autorisée à un réseau. Ainsi, même si le pirate parvient à déchiffrer l’un des facteurs, il lui reste encore au moins un obstacle à franchir avant de pouvoir atteindre sa cible.

Comme l’explique Helpnet Security (IS Decision), dans les colonnes de ZATAZ, l’authentification multifacteur présente de nombreux avantages. D’abord la sécurité renforcée de votre réseau. Un Pirate doit disposer de l’ensemble des facteurs requis par le système lors de la connexion, sans quoi il ne pourra pas accéder au compte.

Mise en conformité

Ensuite, la mise en conformité: Un grand nombre de normes contraignent certaines entreprises à implémenter l’authentification multifacteur pour la protection d’informations sensibles (données financières ou à caractère personnel). Même si parfois la norme ne mentionne pas clairement la méthode MFA, elle insiste parfois sur le besoin d’un processus d’authentification renforcée. En d’autres termes, l’authentification multifacteur.

Enfin, les connexions simplifiées: Au premier abord, l’authentification multifacteur semble compliquer les connexions. Mais, en réalité, la protection renforcée qu’offre cette méthode permet aux entreprises d’utiliser des options de connexion plus avancées comme l’authentification unique (SSO).

Pour en savoir plus.

Communiqué de presse, Cybersécurité, double authentification, Mise à jour, Securite informatique

6 professionnels sur 10 voleraient des données en cas de départ de leur entreprise  

Une étude en dit beaucoup sur la gestion des accès et des identités au sein des entreprises : les confessions de professionnels mais aussi les difficultés rencontrées pour mettre en place des solutions IAM (Identity and Access Management) et PAM (Privileged Access Management) adaptées.

One Identity, une société spécialisée dans la gestion des identités et des accès (IAM), publie les résultats d’une étude menée de manière anonyme auprès de 200 participants à la célèbre conférence « sécurité » – la RSA conférence – sur leurs plus grands défis et préoccupations en matière de sécurité, ainsi que sur leurs comportements professionnels liés à l’accès au réseau et au système.

Et il semblerait que beaucoup de professionnels ne s’embarrassent pas toujours des protocoles et mesures de sécurité :

  • L’étude mené par One Identity révèle ainsi que près de 7 répondants sur 10 admettent qu’ils consulteraient des fichiers sensibles s’ils avaient un accès illimité aux données et aux systèmes.
  • Plus de 60% pensent qu’ils emmèneraient avec eux des données ou des informations sur l’entreprise s’ils partaient, sachant que personne ne le saurait.
  • De plus, ils sont également 60% à admettre avoir commis des actes répréhensibles dans leur milieu de travail. Ils sont par exemple près de 40% à avoir déjà partagé un mot de passe et près de 20% ont sacrifié des conseils en matière de sécurité afin d’obtenir rapidement des résultats.

Difficiles à mettre en œuvre, les solutions IAM/PAM ne sont toujours pas une priorité 

Les résultats de l’étude révèlent une hétérogénéité dans l’utilisation des solutions d’IAM et de PAM  au sein des entreprises : certaines estiment qu’il s’agit d’une priorité, d’autres les négligent, exposant potentiellement leur organisation à des atteintes à la protection des données et à d’autres cyber-risques.

Parmi les résultats les plus significatifs de l’enquête :

  • 1/3 des répondants affirment que la gestion des accès à privilèges (PAM) est la tâche opérationnelle la plus difficile en matière de sécurité.
  • Seulement 16 % des répondants citent la mise en œuvre de pratiques adéquates d’IAM comme l’une des trois principales préoccupations lorsqu’il s’agit de protéger le Cloud.
  • Par ailleurs, seulement 14 % des répondants affirment qu’un meilleur contrôle de l’accès des employés aurait un impact significatif sur la cybersécurité de leur entreprise.

Ces résultats démontrent que les entreprises ont du mal à mettre en œuvre des processus, des pratiques et des technologies adéquats en matière d’IAM et de PAM, et qu’elles négligent peut-être complètement l’impact de ces disciplines sur leurs dispositifs de sécurité.

 Pour les professionnels, 3 tâches particulièrement complexes remontent en matière de gestion des accès et identités : 1 répondant sur 4 explique ainsi  que le plus compliqué est de gérer les mots de passe des utilisateurs ; pour 1 sur 5 la tâche la plus complexe est la gestion du cycle de vie des utilisateurs (c.-à-d. le provisionnement et le dé provisionnement des utilisateurs), alors que ce sont deux des exigences fondamentales en matière de gestion des identités.

De plus, 1 répondant sur 4 affirme que l’Active Directory (AD) est le système le plus difficile à sécuriser pour l’entreprise. Cela est particulièrement préoccupant étant donné la prévalence de l’AD dans la plupart des organisations.

L’IAM dans le Cloud est complètement négligé

Lorsqu’il leur a été demandé de partager leurs trois principales préoccupations en matière de sécurisation du Cloud, près de 3 répondants sur 4 ont cité la perte de données. 44 % ont cité la menace externe, et 44% également ont cité la menace interne !  En revanche, seulement 16 % ont déclaré que la mise en œuvre de pratiques adéquates d’IAM était une préoccupation majeure. Ces résultats sont paradoxaux étant donné que les pratiques d’IAM – telles que le contrôle d’accès des utilisateurs basé sur des politiques et l’authentification multifactorielle – peuvent aider à atténuer à la fois les risques internes et externes liés à la cyber information.

David Earhart, Président et Directeur Général de One Identity déclare : « Rien de tel qu’un sondage anonyme pour découvrir quelques pratiques inavouées… et apprendre à mieux se protéger. Les résultats de notre étude montrent les pratiques en matière de gestion des accès – à privilèges notamment – et des identités sous un autre jour. Si l’on considère l’ensemble de la situation, les entreprises sont inutilement confrontées à des défis majeurs en ce qui concerne les tâches liées à l’IAM et au PAM, étant donné la technologie et les outils disponibles aujourd’hui. Notre espoir est que cette étude allume une étincelle pour que les organisations fassent un effort concerté pour relever ces défis et améliorer leurs stratégies et pratiques d’IAM et de PAM afin d’éviter les pièges cyber ».

Une étude réalisée lors d’un important rendez-vous cybersécurité américain. 200 personnes interrogées.

Cybersécurité, double authentification, Entreprise, Fuite de données, Mise à jour, Patch, RGPD, Sécurité, Securite informatique

Microsoft obtient la certification FIDO2 pour Windows Hello

Un commentaire

FIDO2 : Une authentification sécurisée sans mot de passe pour plus de 800 millions de dispositifs Windows 10 actifs

L’Alliance FIDO annonce que Microsoft a obtenu la certification FIDO2 pour Windows Hello. Tout appareil compatible fonctionnant sous Windows 10 est ainsi désormais certifié FIDO2 dès sa sortie, une fois la mise à jour de Windows 10 de mai 2019 effectuée. Les utilisateurs de Windows 10 peuvent désormais se passer des mots de passe stockés de manière centralisée et utiliser la biométrie ou les codes PIN Windows Hello pour accéder à leurs appareils, applications, services en ligne et réseaux avec la sécurité certifiée FIDO.

FIDO21 est un ensemble de normes qui permettent de se connecter facilement et en toute sécurité à des sites Web et à des applications via la biométrie, des appareils mobiles et/ou des clés de sécurité FIDO. La simplicité de l’expérience utilisateur de FIDO2 s’appuie sur une sécurité cryptographique forte qui est largement supérieure aux mots de passe, protégeant les utilisateurs contre le phishing, toutes les formes de vols de mots de passe et les attaques par rejeu (replay attack). Pour en savoir plus sur FIDO2, rendez-vous sur : https://fidoalliance.org.

FIDO2

« Notre travail avec l’Alliance FIDO, le W3C et nos contributions aux normes FIDO2 ont été un élément déterminant dans l’engagement de Microsoft pour un monde sans mot de passe, confie Yogesh Mehta, Principal Group Program Manager, chez Microsoft Corporation. Windows Hello a été conçu pour s’aligner sur les normes FIDO2 et fonctionner avec les services Microsoft cloud ainsi que dans des environnements hétérogènes. L’annonce d’aujourd’hui boucle la boucle, permettant aux organisations et aux sites Web d’étendre l’authentification FIDO à plus de 800 millions de dispositifs actifs sous Windows 10 ».

Microsoft, l’un des leaders dans le domaine de l’authentification sans mot de passe, a fait de l’authentification FIDO un élément fondamental dans ses efforts visant à offrir aux utilisateurs une expérience de connexion transparente et sans mot de passe. En tant que membre du conseil d’administration de l’Alliance FIDO et l’un des principaux contributeurs au développement des spécifications FIDO2, Microsoft a proposé l’un des premiers déploiements FIDO2 du marché avec Windows Hello. L’entreprise prend en charge FIDO2 sur son navigateur Microsoft Edge et permet également la connexion au compte Windows avec les clés de sécurité FIDO.

Windows 10 prend en compte FIDO

La mise à jour Windows 10 de mai 2019 prend en charge l’authentification FIDO sans mot de passe via Windows Hello ou la clé de sécurité FIDO, sur Microsoft Edge ou les versions les plus récentes de Mozilla Firefox. Plus d’informations sont disponibles sur le blog de Microsoft.

« En tant que membre du conseil d’administration et contributeur clé au développement de FIDO2, Microsoft a été un ardent défenseur de la mission de l’Alliance FIDO qui est de faire évoluer le monde au-delà des mots de passe. Cette certification s’appuie sur la prise en charge de longue date par Microsoft des technologies FIDO2 sous Windows 10 et, par l’intermédiaire de l’écosystème Windows, donne la possibilité à ses clients et partenaires de bénéficier de l’approche de FIDO en matière d’authentification des utilisateurs, indique Andrew Shikiar, Directeur Marketing de l’Alliance FIDO. FIDO2 est désormais pris en charge par les systèmes d’exploitation et les navigateurs Web les plus utilisés au monde, ce qui permet aux entreprises, aux fournisseurs de services et aux développeurs d’applications d’offrir rapidement une expérience d’authentification plus simple et plus forte à des milliards d’utilisateurs dans le monde.»

FIDO2 et les navigateurs

En plus de Microsoft Edge, FIDO2 est également supporté par les principaux navigateurs Web Google Chrome et Mozilla Firefox (avec, en avant-première, la prise en charge par Apple Safari). Android a également été certifié FIDO2, ce qui permet aux applications mobiles et aux sites Web de tirer parti des normes FIDO sur plus d’un milliard d’appareils compatibles Android 7.0+. En outre, plusieurs produits certifiés FIDO2 ont été annoncés en vue d’appuyer la mise en œuvre.

Les fabricants d’appareils qui souhaitent bénéficier d’une certification prête à l’emploi et afficher le logo FIDO Certified sur leurs appareils Windows 10 doivent consulter le nouvel accord relatif à l’utilisation de la marque et des services de l’Alliance FIDO.

Base de données, Chiffrement, cryptage, Cybersécurité, double authentification, Entreprise, Fuite de données, ID, Identité numérique, Mise à jour, Particuliers, Patch, RGPD, Securite informatique, Vie privée

Problèmes dans un ancien logiciel G Suite

Google révèle, mardi 21 mai 2019, deux failles de sécurité dans un ancien outil de sa solution G Suite Pro. Le stockage des mots de passe des clients pas des plus sécurisé. Un problème depuis 14 ans.

Problème de stockage pour les mots de passe ! Voilà ce qu’indique le géant Google dans un communiqué de presse diffusé ce mardi 21 mai. Depuis 2005, un outil de la solution G Suite pour professionnel, situé dans la console d’administration, stockait les mots de passe « de manière simplifiée« . Seuls concernés, les clients d’entreprise G Suite. Pas les comptes Gmail classiques.

Deux bogues concernant les mots de passe

Cette faille de sécurité date d’un ancien outil des années 2000. « L’outil permettait aux administrateurs de charger ou de définir manuellement les mots de passe des utilisateurs de leur entreprise, indique la firme américaine. L’intention était d’aider à intégrer de nouveaux utilisateurs; par exemple, un nouvel employé pouvait recevoir les informations de son compte et le récupérer. » Google confirme avoir commis une erreur en mettant en œuvre la fonctionnalité de définition de mot de passe de cet outil en 2005. Les mots de passe créés via cet outil étaient stockés sur disque sans passer par l’algorithme de hachage de mot de passe standard de Google. « Les employés ou des intrus ne pouvaient ni voir ni lire les mots de passe en clair. » explique Google.

Problème minime ?

La société parle d’une découverte effectuée en 2019. Elle déconseille d’utiliser l’outil et corrige le problème. « Nous n’avons vu aucune preuve d’accès incorrect ou d’utilisation abusive des mots de passe concernés« , écrit Google.

L’entreprise a également révélé un deuxième incident au cours duquel la plate-forme G Suite avait stocké des mots de passe sans les transmettre via son algorithme habituel de hachage des mots de passe. Ce second incident a été mis au jour alors que le personnel « résolvait les nouveaux flux d’inscription des clients G Suite« .

Google affiche qu’à partir de janvier 2019, G Suite avait stocké les mots de passe définis lors de la procédure d’inscription sous une forme simplifiée. Comme lors du premier incident, les mots de passe ont finalement été chiffrés lors de leur enregistrement sur le disque. Ce deuxième lot de mots de passe non hachés stocké pendant 14 jours. La société a annoncé avoir déjà averti les administrateurs de G Suite et leur avait demandé de réinitialiser les mots de passe des utilisateurs définis à l’aide de l’ancien outil G Suite. « Par précaution, nous allons réinitialiser les comptes des administrateurs qui ne l’ont pas fait eux-mêmes« .

Risque minime donc pour la sécurité des clients impactés. Un malveillant aurait dû, pour intercepter les données, s’inviter dans l’infrastructure de Google et retrouver sa cible !

Une fuite bien loin de celle ayant impacté Facebook et Instagram, en mars 2019 et les millions de mots de passe stockés en clair. (Zdnet)

Chiffrement, Communiqué de presse, Cybersécurité, double authentification, Securite informatique, Social engineering

1er février : Le jour des nouveaux mots de passe

Un commentaire

Le 1er février est la journée internationale du changement de mots de passe. C’est le moment de prendre du recul sur nous, sur nos appareils et de nous interroger : ai-je les bonnes pratiques, en matière de mots de passe, pour préserver la sécurité de ma vie numérique ? Il est probable que la réponse soit non. Et les conséquences pourraient être graves pour votre compte en banque et votre vie privée.

Quand il s’agit de mots de passe, la taille ne fait pas tout. Dans le classement 2018 des pires mots de passe proposé par SplashData, la progression la plus importante parmi les 5 premiers est 123456789 qui gagne trois places pour arriver en troisième position alors que 123456 et « password » conservent respectivement la première et la deuxième place.

123456789 est la preuve que la taille seule ne fait pas la sécurité d’un mot de passe. Parmi les autres facteurs, on trouve la complexité du mot de passe avec son mélange de lettres et de caractères spéciaux, le nombre de fois que le mot de passe est utilisé pour différents comptes, et le fait que ces « password » aient pu filtrer ailleurs.
A noter que le site zataz.com propose une action pour ce 1er février. Vous indiquer si vos données se trouvent dans des blackmarket.

Voici un guide en 6 points pour améliorer la gestion des mots de passe personnels, que vous utilisiez un gestionnaire de mots de passe ou que vous les gardiez par écrit à la maison.

  1. Pour commencer, soyez créatif

Créer un mot de passe sécurisé et facile à mémoriser qui contienne 12 lettres majuscules et minuscules, des nombres et des caractères spéciaux, ce n’est pas vraiment facile. C’est pourquoi il faut faire preuve de créativité. Choisissez une phrase facile à mémoriser, un événement ou un jeu de mots que vous utiliserez comme base de votre mot de passe. Prenons par exemple le film aux cinq Oscars, Vol au-dessus d’un nid de coucous. Cela peut devenir vAu-desD1niCC : il répond aux critères de taille, de mélange complexe de caractères et, mieux encore, vous pourriez même réussir à le retenir.

  1. Recyclez tout ce que vous pouvez

Tout le monde connaît la chanson du recyclage : séparer les déchets dans différents conteneurs pour le papier, le verre, le compost, les déchets alimentaires et les déchets non recyclables. Il y a une grande logique là-dedans : les bouteilles vides peuvent être remplies et les déchets alimentaires finalement transformés à nouveau en nourriture. Il n’y a cependant absolument aucune poubelle pour le recyclage des mots de passe.
Pourtant, en pratique, le recyclage des mots de passe est très répandu. Un sondage Avira en ligne[i] a montré l’année dernière que 26 % des participants admettaient recycler leurs mots de passe entre différents sites. Même si les gens ont conscience que donner aux pirates un « sésame qui ouvre tout » n’est pas une bonne attitude, cela reste la manière la plus simple pour le choix d’un mot de passe.

  1. Ne laissez pas de piste

Nous avons grandi avec les films à suspens et le mystère, nous connaissons bien le scénario : le criminel répète son mode opératoire, utilise la même arme et abat la nouvelle victime de la même façon. La police rassemble les indices, y ajoute un peu de logique et de déduction et le tour est joué, ils tiennent un suspect.
Les gens agissent souvent de même avec les mots de passe. Ils utilisent un mot de passe de base qu’ils modifient légèrement pour leurs différents comptes ou les modifications obligatoires de mot de passe. Cela peut être aussi simpliste que 1password, 2password, 3password ou plus complexe comme vAu-desD2niCC. Un sondage parmi les utilisateurs d’Avira a montré que 26 % admettent utiliser le même mot de passe de base en le modifiant légèrement selon les besoins. Le problème c’est que les pirates aussi connaissent ce mode opératoire, et ils le combattent par des attaques très puissantes.

  1. Changez de mot de passe comme de chaussettes

Les mots de passe sont comme les chaussettes : il faut les changer régulièrement. Même les mots de passe « secrure ». Vous n’y pouvez rien, la vérité c’est qu’il est impossible de savoir comment les gens utilisent et sauvegardent vos données. Et si vous avez saisi vos coordonnées sur un site d’hameçonnage, ou si votre fournisseur a été piraté, vous devez modifier les informations de votre compte dès que possible.

  1. Choisissez la démarche qui répond le mieux à vos besoins

Il est important de choisir l’approche qui réponde le mieux à vos besoins pour créer et mémoriser les mots de passe. Si vous n’avez qu’un ou deux mots de passe et que vous effectuez l’intégralité de vos achats en ligne exclusivement depuis votre ordinateur de bureau, vous pouvez créer des mots de passe sécurisés et les noter sur des post-it jaunes pour vous en souvenir. Si vous êtes toujours en déplacement, que vous utilisez différents appareils et différents comptes pour vos activités en ligne, il est temps de songer à utiliser un gestionnaire de mots de passe qui peut créer, analyser et synchroniser les mots de passe entre les appareils.

  1. Améliorez votre statut

La majorité d’entre nous a déjà accumulé en ligne un grand nombre de mots de passe et de comptes non sécurisés pendant bien plus de temps qu’il aurait fallu avant d’avoir simplement l’idée d’utiliser un gestionnaire de mots de passe. Personne n’est parfait, c’est pourquoi un gestionnaire de mots de passe peut vous permettre d’améliorer l’état général de votre sécurité, en découvrant les mots de passe répétés, en recherchant les comptes piratés et en vous aidant à créer des mots de passe. (Pegassus Technologies / Gizmodo)

[1] (1) Enquête en ligne d’Avira menée en août 2018 en Allemagne sur 718 personnes âgées de 20 à 65 ans.

cryptomonnaie, Cybersécurité, double authentification, Entreprise, Fuite de données, Securite informatique, Social engineering

Une fausse mise à jour s’affiche sur Electrum Bitcoin, des centaines de milliers d’euros volés ?

Une faille a permis à des pirates informatiques d’afficher une fausse mise à jour pour les utilisateurs d’Electrum Bitcoin.

Une faille sur le site d’Electrum, un espace dédié à la cryptomonnaie Bictoin, a permis l’affichage de fausses mises à jour dans les écrans des utilisateurs. Les pirates ont eu pour mission d’inciter les « clients » à se connecter à l’un des 33 faux serveurs Electrum ouverts pour l’occasion.

Bilan de cette attaque, la possibilité de voler plusieurs centaines de milliers d’euros.

Une page Github revient sur cette infiltration sournoise. « Une attaque contre des utilisateurs dans laquelle les serveurs soulèvent des exceptions lorsqu’un client diffuse une transaction ; dans ce cas, une fenêtre s’affiche« .

 

Le pirate a créé de nombreux serveurs afin d’augmenter ses chances de connexion. Les messages d’erreur tentent d’amener l’utilisateur à télécharger et à installer des logiciels malveillants. Déguisés en versions de mises à jour d’Electum. Une fois le logiciel malveillant installé, les utilisateurs étaient invités à entrer les codes d’authentification 2FA. Les pirates ont pu transférer des fonds dans leurs propres portefeuilles.

L’Electrum, un alliage naturel d’or et d’argent, utilise des serveurs distants qui se chargent des transactions Bitcoin. Electrum permet, par exemple, de récupérer son portefeuille BTC via une phrase secrète.

Chiffrement, cryptage, Cybersécurité, double authentification, Entreprise, Fuite de données, Sauvegarde, Securite informatique

Fuite de données pour Nokia

Le constructeur Nokia a mis en péril sa sécurité interne et diffusant, sans le savoir, des données extrêmement sensibles sur Internet !

Imaginez, vous avez une entreprise de taille internationale et vous laissez fuiter vos informations les plus sensibles. Dans le lot des données perdues des mots de passe d’utilisateurs et d’administrateurs, un mot de passe Weave, une clé de chiffrement k8s, une clé privée d’utilisateur Gluster, des clés privées SSH et RSA, une clé de cluster et des clés secrètes AWS S3 … Bref, autant dire qu’il n’est pas utile de faire parti du bureau 39 de la Corée du Nord ou de la NSA pour se servir.

Les informations ont été découvertes par le directeur de l’équipe de recherche d’une société de cyber sécurité, hacken Ecosystem. Avec Shodan, le moteur de recherche dédié à la cybersécurité, la fuite est apparue. Plusieurs bases de données internes, des mots de passe et des clés d’accès secrètes aux systèmes internes de Nokia.

Découverte le 13 décembre 2018, personne ne sait depuis quand elles fuitaient. Nokia n’a jamais répondu au mail d’alerte. Il aura fallu attendre plusieurs jours et un message twitter pour la mise hors ligne.

L’équipe de sécurité de Nokia a reconnu la fuite. Elle a déclaré qu’il ne s’agissait que d’un « environnement de test« . Le chercheur indique avoir un doute sur cet environnement de test. « Ce serveur AWS créé il y a quelque temps par l’un de nos développeurs à des fins de test. Nous pouvons confirmer que le serveur ne contient aucune information sensible. Cela dit, nous utiliserons cet épisode pour notre propre formation de sensibilisation des employés de Nokia R&D ».