Archives de catégorie : Mise à jour

Banque, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Justice, Leak, loi, Mise à jour, Patch, Piratage, Social engineering

Cyber-protection des entreprises : bientôt les vraies questions

Un sujet qui ne les concerne pas. C’est sans doute ainsi que les citoyens, s’ils étaient interrogés, qualifieraient la question des moyens utilisés par les entreprises pour lutter contre les cyber-menaces.

Normal. Après tout – et heureusement – aucun drame de type coupure généralisée de l’électricité revendiquée par des pirates n’est survenu, mettant de facto ce thème aux allures techniques à la une des médias et des préoccupations. Plus de 25 000 sites ont certes été piratés suites aux drames de janvier, mais les autorités ont rapidement calmé les esprits en rappelant qu’il s’agissait d’actes de cyber vandalisme et de communication, non de cyber guerre – aucune donnée n’a été volée, aucun système industriel n’a été détruit. Quelques attaques informatiques ont par ailleurs été médiatisées – celle de Home Dépôt en septembre dernier, puis celle de Sony Pictures, entre autres. Mais pour les citoyens, ces affaires semblent bien éloignées …

Double erreur d’interprétation. D’abord parce ces organisations, comme toutes les autres grandes entreprises, avaient bien sûr déployé la batterie traditionnelle de solutions de sécurité. Simplement, cette dernière ne suffit plus, désormais, pour détecter rapidement une attaque, la comprendre, et en limiter ainsi les impacts – ce sont d’ailleurs les pirates qui ont révélé leurs méfaits à Sony, après plusieurs semaines de vols de données. L’entreprise, elle, n’avait rien vu. Ensuite parce que les organisations françaises ne savent pas exactement dans quelle mesure elles peuvent utiliser les nouvelles techniques d’analyse et de détection faute d’avoir la réponse à une question clef : jusqu’où peuvent-elles aller dans la surveillance de leur réseau tout en respectant la vie privée de leurs employés ? Et cette question, elle, concerne directement tous les citoyens…

Car hélas les attaques les plus visibles sont souvent les moins graves – on l’a vu en janvier. Ce sont celles qui ne se voient pas qui font le plus de dégâts. Or, ce sont justement celles-là que les entreprises sont de moins en moins capables de détecter, pour une raison en simple : une part croissante des flux qui transitent sur leurs réseaux sont chiffrés, c’est-à-dire rendus illisibles par Google, Yahoo et autres géants de la high-tech – un phénomène qui s’est accentué après l’Affaire Snowden. Le problème n’en serait pas un si tous ces flux étaient d’ordre professionnel – dans ce cas, les entreprises ne se poseraient pas la question de savoir si elles peuvent les déchiffrer et les analyser. Elles le feraient, c’est tout. Mais l’infrastructure de nos entreprises est également utilisée par les employés à des fins personnelles, et cela de manière tout à fait légale. Les données échangées et stockées sur les ordinateurs peuvent tout naturellement avoir une composante personnelle, donc confidentielle. Les salariés seraient-ils alors prêts à laisser leur employeur déchiffrer ces traces personnelles – et renoncer ainsi à une partie de leur intimité – pour que leur entreprise puisse mieux se protéger et empêche les pirates d’utiliser les flux chiffrés comme des tunnels d’accès direct, sans péage, à son système d’information ? Sous quelles conditions pourraient-ils l’accepter ? Sur ces sujets la législation aujourd’hui se tait et le débat, d’ordre sociétal autant qu’économique, peine à être lancé.

Le sera-t-il à court terme ? C’est fort probable. Non à l’initiative des entreprises ou des pouvoirs publics – dans le contexte économique actuel, les premières ont en effet d’autres sujets de préoccupation. Les autorités, elles, subissent déjà des polémiques de type – « sécurité vs liberté » – depuis qu’elles travaillent sur l’échange des données des passagers aériens, pour lutter contre le terrorisme. En fait, ce sont plutôt les citoyens eux-mêmes qui pourraient bien mettre la question à l’ordre des débats publics. Aux États-Unis en effet les employés de Sony Pictures ont intenté une action en justice contre l’entreprise pour défaut de protection de leurs données personnelles – ces dernières ayant été volées par les pirates. Ont-ils vraiment conscience de ce qu’impliquerait la mise en œuvre d’une protection plus efficace ? La démarche sera-t-elle répliquée en France ? Nul ne le sait. Mais les débats, c’est certain, ne font que commencer. En échange de moyens accrus pour faire face aux cyber-menaces, indispensables, il faudra bien définir de nouvelles garanties pour les individus. La cyber-protection des entreprises, y a-t-il quelqu’un qui ne se sente pas concerné ? (Par Dominique Loiselet, Directeur France et Afrique francophone de Blue Coat)

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, Propriété Industrielle, Sauvegarde

Pour une meilleure défense contre les attaques avancées

Kill Chain 3.0 : mettre à jour la Cyber Kill Chain pour une meilleure défense contre les attaques avancées.

Tous les responsables de la sécurité des réseaux ont déjà entendu parler de la Kill chain – une méthode de défense conçue pour combattre efficacement les cyber attaques avancées ou APT. Cette méthode comporte sept étapes pour l’attaquant, et propose un mode spécifique de défense pour chacune d’elles. Les étapes de la kill chain comprennent :

·         Reconnaissance – S’informer sur la cible en utilisant de nombreuses techniques.
·         Armement – Combiner le vecteur d’attaque avec un contenu malicieux.
·         Livraison – Transmettre le contenu malicieux avec un vecteur de communications
·         Exploitation – Profiter d’une faiblesse logicielle ou humaine pour activer le contenu malicieux
·         Installation – Installer durablement le contenu malicieux sur un ordinateur hôte individuel
·         Commande & Contrôle (C2) – Le malware appelle l’attaquant, qui en prend la contrôle
·         Actions prévues – L’attaquant vole ou fait ce qu’il avait prévu de faire.

Les professionnels de la sécurité réseau ont des opinions diverses quant à l’efficacité de la kill chain en tant que méthode de défense. Certains l’adorent, décrivant comment leurs équipes de sécurité l’utilisent, tandis que d’autres indiquent qu’il lui manque certains détails cruciaux, et qu’elle n’est adaptée qu’à certains types d’attaques. Les deux interprétations ont chacun leur part de vérité, mais il existe trois étapes simples pour rendre la kill chain encore plus efficace, appelons la Kill Chain 3.0.

Tout d’abord, il convient de modifier les étapes de la kill chain telle que décrite plus haut. Si l’on utilise la kill chain en tant qu’outil de défense, alors chacune des mailles de la chaîne doit donner lieu à une ou des actions de défense. Par exemple, l’étape Armement de la kill chain n’est pas réellement exploitable par les défenseurs. Dès lors pourquoi faire apparaître une étape qui n’a pas grand-chose à voir avec la défense ? Par ailleurs, comme beaucoup l’ont déjà fait remarquer, la kill chain actuelle se concentre avant tout sur l’intrusion initiale, et pas assez sur la façon dont les auteurs des attaques avancées exploitent leur premier point d’entrée pour se répandre dans l’ensemble du réseau de leur victime. La kill chain doit inclure une étape pour les mouvements latéraux et la modification des droits d’accès en local. De ce fait, la chaîne devrait être modifiée de la façon suivante :

·         Reconnaissance
·         Armement Livraison
·         Exploitation
·         Installation Infection
·         Commande & Contrôle

Ø  Mouvement Latéral & Pivotement

·         Objectifs/Exfiltration

Après cette simple modification, à chaque étape de la kill chain correspondent des moyens de défense adaptés. Par exemple, la détection des ports et des adresses IP et la traduction d’adresses NAT seront efficaces à l’étape Reconnaissance ; le blocage des ports firewall, l’IPS et le contrôle applicatif le seront à l’étape Livraison ; .le Patching et l’IPS le seront à l’étape Exploitation ; La segmentation du réseau le sera à l’étape Mouvement Latéral, et ainsi de suite.

Ensuite, il convient de retenir qu’il est important d’avoir des défenses pour chacune des étapes de la kill chain, et que chacune des étapes à la même importance. Un des concepts à la base de la kill chain est que plus tôt dans le cycle vous prévenez une attaque, meilleur c’est. Bien que cela soit techniquement vrai, ceci explique également pourquoi beaucoup se concentrent sur des mesures de protection lors des premières étapes de la kill chain, et consacrent moins de temps et d’efforts à protéger les étapes suivantes, même si ces défenses ont le pouvoir de contenir ou de limiter significativement les conséquences d’une intrusion réussie. En vérité, les attaques les plus sophistiquées contourneront ou éluderont souvent les défenses mises en place sur les premières étapes. Si l’entreprise ne s’est pas suffisamment concentrée sur les défenses adaptées aux étapes suivantes, telles que la détection des botnets, la prévention des pertes de données et la segmentation du réseau interne, elle n’exploite pas toutes ses chances de prévenir une attaque majeure. En bref, la bataille n’est pas perdue après une infection initiale si l’on a consacré toute son attention aux défenses lors des étapes suivantes de la Kill Chain 3.0.

Enfin, il est nécessaire de disposer d’un outil d’affichage qui permette de visualiser l’ensemble des sept étapes de la kill chain. Celle-ci est parfaite pour mettre en valeur chacune des zones où peut être stoppée une attaque sur le réseau, mais s’il n’est pas possible de contrôler le parcours d’une attaque au travers de chacune des étapes, l’entreprise se prive d’elle-même de données critiques qui pourraient l’aider à se protéger. Les outils d’affichage et d’analytiques doivent être des composants clés de la Kill Chain 3.0. Si l’entreprise ne dispose pas d’un outil de reporting capable de rassembler les logs de tous ses contrôles de sécurité, et de corréler différentes alertes en un seul et même incident, elle a de fortes chances de manquer les signes d’une attaque sophistiquée.

Pour récapituler : modifiez un peu les étapes de la kill chain, accordez la même importance à chacune des étapes – y compris les dernières, et dotez-vous d’un outil de reporting et d’affichage capable de contrôler l’ensemble du processus, et vous obtenez la Kill Chain 3.0, une méthode optimisée pour se protéger au mieux contre les attaques avancées. (Par Pierre Poggi, Country Manager France de WatchGuard)

Adobe, Cybersécurité, Entreprise, Fuite de données, Logiciels, Microsoft, Mise à jour, Patch, Propriété Industrielle

Patch Tuesday de mars 2015

Tout comme le mois dernier, davantage de vulnérabilités sont encore traitées par rapport à un mois classique. À moins qu’il ne s’agisse d’un nouveau rythme concernant les correctifs des failles de Microsoft et Adobe, avec un ensemble d’autres failles de sécurité à résoudre.

Les correctifs de Microsoft sont au nombre de 14 pour mars, dont 5 critiques. La priorité absolue est le bulletin MS15-018 consacré à Internet Explorer (IE). Toutes les versions d’IE sont concernées, depuis IE6 (sur Windows Server 2003) jusqu’à IE11. La nouvelle version traite 12 vulnérabilités, dont 10 critiques et exploitables pour exécuter du code sur la machine ciblée. L’une des vulnérabilités a été publiquement révélée, mais elle n’est pas du type Exécution de code à distance, ce qui atténue un peu l’exposition. Scénario typique : un attaquant injecte du code HTML malveillant sur un site Web sous son contrôle puis il incite la machine cible à se rendre sur ce site. Il peut aussi pirater un site sur lequel la cible se rend habituellement et tout simplement attendre que cette dernière se rende sur ledit site. MS15-019 est le bulletin frère de MS15-018 et corrige le composant VBScript pour IE6 et IE7 qui est résolu dans MS15-018 pour les navigateurs plus récents. Commencez par installer ce bulletin.

MS15-022 est le second bulletin le plus important en termes de sévérité. Il corrige cinq vulnérabilités dans Microsoft Office, l’un d’elle étant critique dans l’analyseur RTF. En effet, ce dernier peut être exécuté automatiquement dans la zone d’aperçu lors de la réception d’un courriel si bien que Microsoft classe cette vulnérabilité comme critique. Cependant, comme deux des vulnérabilités restantes permettent à un attaquant d’exécuter du code à distance, nous positionnons ce bulletin en tête du classement d’aujourd’hui.

MS15-021 résout huit vulnérabilités liées aux polices sous Windows. En effet, un attaquant qui incite un utilisateur à visualiser une police altérée peut lancer une exécution de code à distance sur la machine ciblée. Les attaques peuvent être lancées via des pages Web ou des documents, au format PDF ou Office.

Stuxnet
MS15-020 est le dernier bulletin critique de la série pour le mois de mars. Il concerne un attaquant qui peut inciter un utilisateur à parcourir un répertoire d’un site Web ou à ouvrir un fichier. Le système Windows Text Services contient une vulnérabilité qui permet à l’attaquant de lancer une exécution de code à distance sur la machine cible. Ce bulletin comprend aussi un correctif pour CVE-2015-0096, une vulnérabilité associée à la vulnérabilité Stuxnet d’origine CVE-2010-2568. HP ZDI a rapporté cette vulnérabilité à Microsoft et fournit une bonne description technique sur son blog.

Test Fuzzing
Tous les bulletins restants sont moins critiques, c’est-à-dire seulement importants, dans la mesure où les vulnérabilités concernées ne permettent typiquement pas à un attaquant d’exécuter du code à distance. Ces dernières sont plutôt des fuites d’information ou n’autorisent qu’une élévation locale de privilèges. Les bulletins MS15-024 et MS15-029 traitent des bugs découverts via l’outil afl-fuzz de lcamtuf et que ce dernier améliore sans cesse et rend toujours plus intelligent. Jetez un coup d’œil sur son blog pour lire une série de posts sur afl-fuzz.

Serveurs
MS15-026 est un bulletin pour Microsoft Exchange qui résout plusieurs élévations de privilèges et problèmes de fuites d’information. Consultez ce bulletin si vous utilisez Outlook Web Access. FREAK cible aussi les serveurs, même si de manière différente. Côté serveur, si vous désactivez le chiffrement de type Configuration d’exportation, vos utilisateurs ne pourront pas être victimes de la vulnérabilité FREAK, même si leurs clients ne sont pas patchés.

Adobe
Adobe diffuse aussi une mise à jour (APSB15-05) pour Flash que Microsoft intègre à Internet Explorer, qui sera publiée ce jeudi. Explication de Microsoft dans le correctif KB2755801 : « Le 10 mars 2015, Microsoft a publié une mise à jour (3044132) pour Internet Explorer 10 sur Windows 8, Windows Server 2012, Windows RT ainsi que pour Internet Explorer 11 sur Windows 8.1, Windows Server 2012 R2, Windows RT 8.1, Windows Technical Preview et Windows Server Technical Preview. Cette mise à jour concerne les vulnérabilités décrites dans le bulletin de sécurité Adobe APSB15-05 (disponible le 12 mars 2015). Pour plus d’informations sur cette mise à jour, y compris les liens de téléchargement, voir l’article 3044132 dans la base de connaissances Microsoft. »

Appliquez les correctifs aussi vite que possible mais vérifiez aussi votre exposition à Superfish et sachez que certaines applications modifient votre magasin de certificats racine pour espionner vos communications. (Par Wolfgang Kandek, CTO, Qualys Inc.)

Adobe, Apple, Cyber-attaque, Cybersécurité, ios, iOS, Linux, Linux, Logiciels, Microsoft, Mise à jour, OS X, Patch, Piratage, Smartphone

Windows, moins dangereux qu’iOS et OS X d’Apple

Le National Vulnerability Database, qui recense les failles dans les logiciels et autres applications web indique que l’année 2014 aura été l’année des vulnérabilités pour iOS, OS X Apple et Linux. Windows se classe 4ème.

Voilà qui a fait pas mal parler chez les « trolleurs » en tout genre. Mais il faut bien l’admettre, la firme de Redmond a mis les bouchées double pour protéger son OS, Windows. Bilan, la National Vulnerability Database, qui recense les failles (19 par jour en 2014) a classé l’OS de Microsoft plus sécurisé qu’iOS, OS X Apple. Même Linux, classé 3ème, dans ce top 4, devance Microsoft du point de vu des failles découvertes l’année dernière. Les problèmes dans les systèmes d’exploitation (OS) ne représentent que 13% des failles recensées en 2014. 1.705 failles recensées. 182 failles de moins que l’année record, en 2010. Les navigateurs sont toujours montrés du doigt. Internet Explorer, en 2014, a souffert de 242 brèches dangereuses. Chrome (124) et Firefox (117) ont dépassé la centaine de failles. (gfi)

Cyber-attaque, Cybersécurité, Leak, Mise à jour, Piratage, Virus

Babar n’est peut-être pas un code malveillant Français

Un commentaire

Les experts du G DATA SecurityLabs ont analysé le code malveillant mentionné par les documents du CSEC, communiqués par Edward Snowden. Avec l’analyse de Babar, les experts du G DATA SecurityLabs confirment les informations dévoilées par les documents d’Edward Snowden sur l’existence d’un énième outil d’espionnage étatique. Mais l’origine française, avancée par le Communication Security Establishment Canada (CSEC) dans les documents dévoilés, ne peut toutefois pas être confirmée.

Environ un an après que l’opération SNOWGLOBE ait été publiquement mentionnée pour la première fois par le journal Le Monde, des experts en sécurité ont mis la main sur des échantillons de codes malveillants qui correspondent aux descriptions faites par le Communication Security Establishment Canada (CSEC).

Analyse détaillée de Babar

Le G DATA SecurityLabs publie la première analyse du code nommé Babar. Après les premières révélations sur EvilBunny, Babar est maintenant le second composant identifié en relation avec l‘opération SNOWGLOBE, provenant vraisemblablement des mêmes développeurs. Les fonctionnalités de Babar vont de l’enregistrement de frappes claviers, du presse papiers jusqu’aux conversations audio.

Des documents de Snowden comme base de travail

La révélation de l’existence d’un autre spyware étatique est faite en mars 2014, lorsque Le Monde publie des informations secrètes datant de 2011. Mais ces informations ne révèlent qu’une petite partie de l’histoire. En janvier 2015, le journal allemand Der Spiegel publie une autre série de documents qui donne plus d’informations sur ce que le Communication Security Establishment Canada (CSEC) a identifié: l‘opération Snowglobe. Découverte en 2009, cette campagne repose sur trois «implants» différents, deux nommés „Snowball“ et un plus sophistiqué, découverts mi-2010 et prénommé „Snowman“. Selon la diapositive 22, « le CSEC évalue, avec certitude modérée, Snowglobe comme un CNO [Opération Réseau Cyber] parrainé par un État, et dirigé par une agence de renseignement française.« 

Plusieurs codes malveillants en jeu

Avec l’analyse de Babar et d’EvilBunny, les experts du G DATA SecurityLabs ont trouvé des échantillons correspondants aux descriptions du CSEC. EvilBunny et Babar correspondent à deux des trois implants mentionnés. Le nombre de similitudes entre EvilBunny et Babar montre que ces deux codes sont issus des mêmes développeurs. De plus, les analyses laissent penser que les échantillons sont des versions plus récentes que celle décrite par le CSEC.

Origine non confirmée

Mais les experts ne peuvent pas confirmer l’information concernant l’origine des codes malveillants. Les informations du CSEC sont en partie confirmées dans les analyses du code, mais aucune preuve formelle n’a été trouvée. Même si un grand nombre de questions restent sans réponse, ces analyses marquent un pas important dans la validation des diapositives dévoilées.

BYOD, Chiffrement, Cloud, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Mise à jour, Patch, Piratage, Propriété Industrielle

Pourquoi de bonnes résolutions ne suffisent pas à se protéger en 2015 ?

Face aux cyber-menaces, les entreprises doivent s’ouvrir à de nouvelles approches en termes de cyber-sécurité.

Le paysage des cyber-menaces est en évolution permanente. Les attaques ciblées se multiplient tandis que les modes opératoires deviennent de plus en plus complexes et uniques, rendant ces menaces extrêmement difficiles à identifier. Pour ces raisons, la cyber-sécurité est devenue, aujourd’hui, une problématique prioritaire pour la plupart des entreprises.

Dans ce contexte, il existe quelques recommandations qui permettent de limiter les risques de cyber-attaques. Il est par exemple conseillé de vérifier les antécédents des employés, de limiter l’accès des salariés aux données par lesquelles ils sont concernés dans le cadre de leurs fonctions, de s’assurer du cryptage des données confidentielles, etc. Cependant, bien qu’ils méritent d’être pris au sérieux, ces prérequis de base ne sont pas suffisants pour faire face à la réalité des menaces actuelles les plus sophistiquées.

En effet, aujourd’hui, nous ne pouvons plus considérer, uniquement, les menaces externes. Dans un contexte où l’information est de plus en plus difficile à canaliser, notamment à cause de la pluralité des lieux et des supports d’utilisation, la menace interne est plus que jamais présente, et concerne chaque organisation.

D’un point de vue technologique, une société baptisée Darktrace a connu d’importantes mutations au court des dix dernières années. Le modèle traditionnel, que nous pourrions qualifier d’ancestral, consistait à construire un mur autour du réseau de l’entreprise afin de se protéger d’éventuelles menaces provenant de l’extérieur. Cette approche nécessitait une connaissance parfaite de son réseau ainsi que la capacité à délimiter ses frontières. Aussi, elle impliquait une confiance totale en tous les collaborateurs internes à l’entreprise, et une méfiance constante envers les acteurs externes. Cette vision un peu simpliste apparaît clairement obsolète dans la société contemporaine. Ainsi, pour aider les entreprises à anticiper les cyber-attaques, Darktrace a développé une nouvelle approche. Celle-ci prend comme point d’ancrage l’acceptation de la présence de menaces, sur tous les systèmes d’information.

En effet, étant donné que le risque zéro n’existe pas, et que la réalité des entreprises nous démontre, chaque jour, qu’il est de plus en plus difficile de délimiter les frontières du réseau, il n’est pas pertinent de faire la distinction entre l’interne et l’externe. C’est pourquoi, Darktrace a développé une nouvelle approche appelée « Système Immunitaire pour Entreprises ». Basée sur des avancées académiques fondamentales, elle a pour vocation de se prémunir contre les menaces les plus sophistiquées, qu’elles émanent de l’interne ou de l’externe.

La technologie repose sur l’analyse et l’apprentissage automatisé de l’environnement de l’organisation. Concrètement, il s’agit d’observer les comportements de chaque utilisateur, de chaque machine et de la structure dans sa globalité, afin d’identifier un modèle de comportement normal. La connaissance de ce modèle de référence permet, par déduction, d’identifier les activités « anormales », pouvant révéler d’éventuelles menaces.

Cette solution repose, d’une part sur une technologie auto-apprenante et, d’autre part, sur des mathématiques probabilistes bayésiennes développées à l’université de Cambridge. La combinaison de ces intelligences permet une évolution constante du modèle « de référence », en fonction de l’activité de chaque utilisateur, de chaque machine dans le réseau, et des mutations au sein de l’organisation.

Cette vision de l’activité réseau de l’entreprise, en temps réel, ne permet pas d’éliminer les cyber-menaces, elle a pour vocation de les identifier, afin d’être à même de prendre des mesures correctives avant qu’il ne soit trop tard. Le risque zéro n’existe pas, la menace est là, partout au sein de notre réseau, et elle est impossible à éradiquer. La vraie force est la capacité à l’identifier afin d’anticiper d’éventuelles attaques.

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, Mise à jour

Leçon de sécurité sur Internet

Un commentaire

De quoi une entreprise a-t-elle besoin pour instaurer la confiance des utilisateurs ? Réalisée fin 2014 auprès d’un panel de 1000 utilisateurs, une étude menée par GlobalSign met en évidence quelques règles à appliquer pour aider les entreprises à rassurer les internautes quant à l’utilisation d’internet

Il n’est plus possible d’ignorer qu’aujourd’hui très peu de personnes peuvent  vivre sans Internet. Accéder à ses comptes et faire du shopping en ligne, lire l’actualité ou ses e-mails, rester en contacts avec ses amis sur les réseaux sociaux, faire des recherches, etc. : la liste de ce que vous pouvez ou êtes obligés de faire sur Internet est longue. Cependant, seuls 19,4 % des Français pensent que leurs données sont suffisamment protégées sur le Web.

Les internautes vous le confirmeront, notamment quand des informations privées et hautement confidentielles sont en jeu. Ils admettent qu’ils redoutent, avant tout, l’usurpation d’identité en ligne.

D’après notre enquête, presque tous les visiteurs d’un site web vérifient son niveau de sécurité au moins une fois lorsqu’ils commandent en ligne. 85 % des personnes interrogées ont même répondu qu’elles ne poursuivraient pas leurs achats si elles n’étaient pas complètement persuadées que le site est suffisamment sécurisé.

Ces réponses montrent à quel point les précautions de sécurité sont importantes sur un site web. Cependant que recherchent vraiment les visiteurs ?

Le top 5 des signes qui instaurent la confiance CHEZ Les visiteurs d’un site web

N° 5 : avis et notes d’autres consommateurs
En cas de doute, la moitié des utilisateurs interrogés demanderaient à des connaissances, des proches, des amis ou d’autres consommateurs leur avis sur un site web, que ce soit à l’oral ou à l’écrit. Un client satisfait peut en amener beaucoup d’autres. En revanche, un client mécontent peut causer d’importants dégâts.

Conclusion : il est toujours recommandé d’obtenir des témoignages de clients satisfaits et des avis positifs sur Internet. Cependant, cela ne garantit en rien la sécurité d’un site.

N° 4 : sceaux de site et marques de confiance
Les sceaux et les marques de confiance renforcent la fiabilité d’un site web car ils prouvent que celui-ci a mérité ces symboles et a été approuvé par un partenaire externe. Cependant, les sceaux de site ont des significations différentes : ils peuvent afficher l’appartenance à un groupe selon des critères de sécurité spécifiques ou prouver le niveau de chiffrement SSL utilisé sur le site.

Conclusion : les sceaux et les marques de confiance sont de bons indicateurs qu’un site est sécurisé car ils ne sont distribués que si certains critères de sécurité sont respectés. Cependant, ces critères peuvent être très différents d’un sceau à un autre.

N° 3 : la réputation du site
Il semble que de nombreuses personnes fassent automatiquement confiance aux sites très populaires. Elles partent du principe que pour être si populaires, ces entreprises se doivent de garantir certains niveaux de sécurité. Les sites web en question sont sans aucun doute les leaders du secteur, tels qu’eBay, Amazon, Facebook, etc.

Conclusion : la plupart des sites les plus populaires intègrent des mécanismes de sécurité appropriés pour protéger leurs clients. Mais quels critères les consommateurs utilisent-ils pour estimer qu’un site est « populaire et donc fiable » ? Sans parler du fait que ceci ne garantit en rien la sécurité du site ! Il existe des solutions bien plus efficaces pour garantir aux visiteurs d’un site web que celui-ci est sécurisé.

N° 2 : HTTPS
Le protocole « HTTPS » est le meilleur indicateur qu’un site web est sécurisé. Et la bonne nouvelle, c’est qu’il a été désigné comme l’un des critères de confiance les plus importants par la majorité des personnes interrogées.

Conclusion : HTTPS est la meilleure technique à utiliser.

Mais en quoi consiste concrètement le protocole HTTPS ?
HTTPS est l’acronyme de Hypertext Transfer Protocol Secure (« protocole de transfert hypertexte sécurisé »). Il prouve que les données transmises entre un client et un serveur sont chiffrées et sécurisées. Il est nécessaire d’avoir un certificat numérique pour activer le protocole HTTPS. Il existe trois niveaux de certificats SSL : validation de domaine, validation de l’organisation et validation étendue.

N° 1 : le cadenas
Le cadenas est presque aussi important que le protocole HTTPS car il représente visuellement ce que le protocole effectue techniquement, et c’est pourquoi il constitue également un signe de confiance très important. L’utilisateur d’un site peut lire davantage d’informations sur le certificat en cliquant sur le cadenas qui se trouve dans la barre d’adresse, à côte de « HTTPS », telles que le niveau de confiance garanti, le niveau de chiffrement utilisé, le certificat racine, la période de validité et les informations de l’entreprise qui ont été vérifiées.

De plus, un certificat SSL à validation étendue (EV) active la barre d’adresse verte, ajoutant ainsi un niveau de reconnaissance visuelle supplémentaire.

Le nom de l’entreprise qui s’affiche dans la barre d’adresse indique également qu’un certificat EV SSL est utilisé et garantit que les paramètres de sécurité les plus élevés ont été appliqués. Les consommateurs font également plus confiance aux sites lorsqu’ils connaissent l’identité de leur propriétaire qui est indiqué dans le certificat.

La question cruciale est celle-ci : Internet est-il fiable tout court ?
A cette question, près de 40 % des personnes interrogées ont répondu qu’Internet était fiable si l’on sait ce que l’on cherche. Les personnes interrogées ont donc une très bonne idée de la situation actuelle. Internet est sans danger si l’on sait reconnaître les signes de sécurité.

Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Identité numérique, Mise à jour, Particuliers, Propriété Industrielle, Vie privée

Les objets connectés : maison en danger

La société HP vient de sortir une étude sur le top 10 des produits de sécurité vendus pour sécuriser sa maison. Caméra de vidéosurveillance et autres détecteurs de mouvement sans fil loin d’être des fort Knox.

L’entreprise américaine explique que tous les produits testés contiennent des vulnérabilités. Dans le lot des problèmes : authentification faible et manque de chiffrement. Gros écueil, selon HP, la non utilisation de la double authentification alors que ces matériels permettent d’être administrés et consultés à distance, via Internet par exemple.

La seconde inquiétude, la collecte des données personnelles allant du nom, adresse, date de naissance du propriétaire du matériel, ou encore, dans certains cas, numéro de téléphone et données de carte bancaire. L’Internet of Things a encore du chemin à faire pour fusionner la sécurité informatique à la course effrénée du marketing et de l’expérience de l’utilisateur. Avoir la plus belle robe et le clic facile ne devraient pas être prioritaires à ce qui permet de protéger la robe et le doigt.

Argent, Arnaque, BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, escroquerie, Fuite de données, Mise à jour, Paiement en ligne, Particuliers, Propriété Industrielle

La sécurité informatique : un enjeu méconnu et sous-estimé

Un commentaire

Avec l’actualité de ce début 2015, la sécurité informatique devient un sujet dont beaucoup de monde parle. Cependant, l’immense majorité des entreprises ne connaissent pas l’étendue des risques liés à la sécurité de leur site. (Par NBS System pour DataSecurityBreach.fr)

Elles ne savent pas, à proprement parler, ce qu’implique le terme de « piratage ». Beaucoup d’entre elles s’imaginent, à tort, être à l’abri car leur site n’est pas très connu, ou qu’il ne contient pas de données sensibles…

Mais ce qu’il faut bien comprendre, c’est que la sécurité concerne tout le monde et que les attaques n’arrivent pas qu’aux autres. Si certaines sont ciblées (par exemple celle de Sony en 2014), la majorité des pirates fonctionnent par pur opportunisme.

On peut faire l’analogie suivante : l’Internet est un gigantesque parking, où chaque site est une voiture. Les personnes mal intentionnées n’ont qu’à passer parmi elles et essayer d’ouvrir les portières pour en trouver une qui ne soit pas fermée afin de la voler. Peu d’entre eux vont utiliser des outils pour cibler une voiture en particulier ; ils n’ont pas besoin de connaissances techniques pour essayer d’ouvrir des portières. Ils voleront toutes les voitures ouvertes à leur disposition, quelle que soient leur marque ou leur prix.

Les pirates informatiques fonctionnent de la même manière. Ils vont passer en revue tous les sites web en espérant trouver une faille sur l’un d’eux pour investir le site.

  • Ils n’ont pas nécessairement besoin de compétences techniques.
  • Il existe de nombreux outils informatiques (légaux ou non) leur permettant de scanner la toile et de repérer très facilement des vulnérabilités.
  • Ils visent large pour être sûrs de toucher le plus de cibles possible.

C’est également pourquoi la taille ou la renommée du site importent peu ; s’il y a une faille sur votre site, il sera piraté un jour ou l’autre.

Il est important que les entreprises se rendent compte qu’on ne peut jamais garantir la sécurité de son site à 100% et encore moins la qualité de son code. En effet, même si le code est écrit par des professionnels très doués, ces derniers sont rarement experts en sécurité et restent, malgré tout, des humains : des êtres faillibles. Il faut donc rester humble ; il n’existe pas de code parfait et tous les développeurs sont voués à faire des erreurs. Par exemple, en 1996, la fusée Ariane a explosé en vol à cause d’une erreur de programmation, autrement dit une erreur de code. C’est la preuve que même l’ESA (Agence Spatiale Européenne), dont les membres sont très compétents et parmi les meilleurs mondiaux, n’est pas infaillible. Votre développeur peut-il se targuer d’avoir le même niveau de compétences ?

Aujourd’hui sur Internet il y a des millions, voire des milliards, de failles existantes et pas encore découvertes ; c’est une certitude ! L’une, voire plusieurs d’entre elles est peut-être sur votre site, ou bien sur l’un de ceux que vous consultez régulièrement… L’enjeu est donc de prendre conscience de cette situation, et de se protéger afin d’éviter les attaques qui, nous le rappelons, peuvent toucher tous les types de sites, et ont des répercussions importantes sur l’image de l’entreprise et ses bénéfices.

  1. Le piratage, comment ça marche ?

Il peut être très facile d’accéder aux données d’un site web via une faille. Or, accéder aux données, c’est accéder au serveur sur lequel est hébergé le site, c’est-à-dire la machine contenant toutes les informations et ressources utilisées pour le fonctionnement du site. Il existe de très nombreux moyens d’y arriver ; nous allons ici détailler l’un de ces moyens, très simple, appelé l’énumération d’identifiants.

Imaginons le site web « http://www.monsiteweb.com », site web d’une compagnie d’assurance. Pour pouvoir utiliser l’interface, le visiteur doit s’identifier et créer un compte, comprenant ses informations (telles que nom, prénom, adresse, etc…). La base de données lui administrera alors un identifiant : 12345678 par exemple.

Une fois identifié, si le visiteur souhaite modifier son adresse suite à un déménagement, il se rendra sur la page des paramètres de son compte. Dans de nombreux cas, peut-être le vôtre, le site affiche dans son URL l’identifiant du client :

Imaginons maintenant que le visiteur soit un pirate. Grâce à la présence de l’identifiant dans l’URL, il trouvera sur cette page uniquement les informations le concernant ; il comprend donc que pour les autres utilisateurs, le fonctionnement est identique. S’il modifie l’identifiant dans la barre d’adresse, en remplaçant le 8 à la fin par un 9 par exemple, et que le code source du site contient une faille et ne bloque pas sa requête, il aura accès aux informations correspondant au compte n°12345679.

Mais s’il a accès à ce compte, cela signifie qu’il a potentiellement accès à tous les autres comptes et donc à la base de données du site toute entière. Rien qu’avec la barre d’adresse, il est donc possible d’accéder à un serveur et de contourner sa sécurité. Cela peut être aussi simple que cela. Un adolescent aujourd’hui peut avoir les compétences suffisantes pour mettre en œuvre cette attaque ! De nombreux tutoriels existent même sur Youtube permettant à n’importe qui d’acquérir les connaissances de base pour mettre en place des attaques simples de ce genre.

Bien qu’il existe de nombreuses autres techniques plus complexes, celle décrite ci-dessus fait partie d’un grand nombre de méthodes triviales et à la portée de tous

Il est important de comprendre cela car une fois que le pirate a accès à la machine, il peut élever ses privilèges et obtenir autant de pouvoir que l’administrateur de celle-ci. C’est-à-dire qu’il pourra littéralement faire tout ce qu’il souhaite avec les informations et les ressources à sa disposition. Il existe plusieurs types d’attaques, chacune avec des objectifs et des impacts différents, mais aux conséquences toujours graves.

  1. Les différents types d’attaque
    • Défiguration d’un site web

C’est le type d’attaque le plus visible, même si c’est techniquement le moins dangereux. La défiguration ou défacement de site web (defacing en anglais) consiste à modifier une ou plusieurs pages d’un site, par exemple la page d’accueil, en la remplaçant par une image, du texte…

Ces attaques sont plutôt simples à réaliser et ne nécessitent pas de compétences techniques très développées. Les pirates utilisent simplement un outil scannant les sites un par un et repérant des vulnérabilités afin de les exploiter grossièrement.

En général, la page de remplacement affichée pendant l’attaque contient le nom du pirate et un message. En effet, par ces défigurations les pirates cherchent uniquement leur visibilité. Ils souhaitent faire passer un message en général politique, ou bien veulent de la reconnaissance. Plus de 20 000 sites, dans le cadre de l’opération OpFrance, se sont fait pirater de cette manière. L’opération a commencé le 18 janvier mais aujourd’hui encore, certains sites affectés sont toujours en maintenance. Si ces attaques ne sont pas dangereuses sur le long terme, elles ont un gros impact en termes d’image pour le site attaqué.
 

  • L’exploitation des ressources d’un site web

Les attaques que nous allons décrire dans ce point et les points suivants sont beaucoup plus dangereuses, notamment parce qu’elles ne sont pas facilement repérables par le site attaqué. Si vous subissez une attaque, dans 90% des cas vous en serez informé par un tiers (source : 2012 data breach investigations report, Verizon, 2012) ; ce sont soit les autorités, soit un client, partenaire ou prestataire qui aura été une victime indirecte de l’attaque subie. Cela cause en général une énorme chute de confiance en l’entreprise. C’est d’ailleurs une des raisons pour laquelle, comme montré sur la figure 1 le délai de découverte de plus de la moitié des attaques se compte en mois.

Dans le cas de l’exploitation des ressources d’un site web, tout est dans le titre. Le pirate, ayant gagné accès au serveur du site, va utiliser les ressources de la machine correspondante (processeur, mémoire, bande passante) pour son propre compte. Il pourra cependant rester dans l’anonymat et se prémunir des risques légaux, puisque c’est le site web piraté qui sera légalement responsable des actions effectuées avec ses ressources.

En l’occurrence, le pirate va souvent les revendre, pour plusieurs usages : l’envoi de SPAM, les DoS (attaque par déni de service, empêchant l’accès à un site), le déchiffrement de données et les boutiques fantôme.

  • L’envoi de SPAM

Il faut savoir que chaque machine possède une adresse IP qui lui est propre, et que l’on fait correspondre au(x) site(s) web hébergés dessus. Quand trop d’e-mails sont envoyés depuis une machine, celle-ci est « marquée » comme malveillante et les envois sont bloqués. En envoyant les courriers SPAM depuis l’adresse IP du/des sites piratés, l’envoi se fera sans blocage. Ainsi, utiliser l’IP d’une autre machine en achetant ses ressources est un moyen de contourner cela, jusqu’à ce que la/les machine(s) piratée(s) soit elle aussi considérée comme malveillante

Si cela vous arrive, vous ne pourrez plus envoyer aucun e-mail depuis votre nom de domaine ou votre adresse IP. Votre hébergeur aura également la possibilité de clôturer votre compte.

De plus, légalement, le spamming peut être puni de 5 ans d’emprisonnement et de 300 000 euros d’amende (Article 226-18-1 du Code Pénal).

  • Les DoS

Dans le cas des DoS, l’utilisation d’une machine infectée permet l’anonymat de la personne ayant commandé une attaque DoS vers une cible tierce, ou de multiplier la puissance de l’attaque en y ajoutant les ressources d’un ou plusieurs autres ordinateurs. Ici, le but est purement lucratif. Là encore, les sanctions légales sont importantes : selon l’article 323-2 du Code Pénal, « le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données est puni de 5 ans d’emprisonnement et de 75 000 euros d’amende ».

  • Le déchiffrement de données ou mots de passe

Il est également possible d’utiliser les ressources du serveur infecté comme puissance de calcul afin de deviner des mots de passe ou déchiffrer des données, via la méthode bruteforce. Il s’agit de faire tester à une machine toutes les combinaisons possibles jusqu’à tomber sur la bonne. Plus le nombre de machines utilisées augmente, plus les ressources sont importantes, et donc plus le temps de résolution sera court. Ici, le but est majoritairement la récupération de données, pour les utiliser ou les revendre (ce type d’attaque sera traité plus tard dans l’article).

Dans les trois cas cités, le but du pirate est de prendre le contrôle d’un maximum de machines pour monnayer ces ressources.

Partie II : La sécurité informatique : un enjeu méconnu et sous-estimé.

 

Argent, Arnaque, Cyber-attaque, Cybersécurité, Entreprise, escroquerie, Fuite de données, Leak, Logiciels, Microsoft, Mise à jour, Particuliers, Patch, Piratage, Social engineering

Faille de taille pour Internet Explorer 11

3 commentaires

Une faille vise le navigateur de Microsoft, Internet Explorer 11. Un XSS qui permet d’injecter des cochonneries numériques lors de votre visite d’un site piégé.

Les Cross-sites scripting, le site zataz.com vous en parle malheureusement très souvent. Cette vulnérabilité, baptisée XSS, permet de modifier une page d’un site web lors de la visite de ce dernier via un url particulièrement formulé, d’injecter un code malveillant dans l’ordinateur d’un internaute et de nombreuses autres possibilités aussi malveillantes les unes que les autres.

Aujourd’hui, c’est au tour du navigateur de Microsoft, Internet Explorer 11, de souffrir du problème. Un pirate peut contourner le « same-origin » du navigateur. Bilan, comme l’explique sur SecList l’inventeur de la faille, David Leo, un pirate peut diffuser ce qu’il veut dans le navigateur d’un visiteur ainsi piégé. Une démonstration a été faite dans les pages du journal britannique Daily Mail. Microsoft a confirmé la faille.

Pour « corriger » ce problème, il suffit aux webmasteurs de modifier leurs pages web, et de passer l’en-tête X-Frame-Options avec la valeur ‘deny’ ou ‘same-origin’. Bilan, plus aucune possibilité de CSS. A noter que la firme de Redmond a été alertée en octobre 2014 et n’a toujours pas patché son navigateur.