Archives de catégorie : Cybersécurité

Actualités liées à la CyberSecurité.

Base de données, Chiffrement, Cybersécurité, Entreprise, Fuite de données, Mise à jour

Classification des données : la première étape pour sécuriser votre propriété intellectuelle

Le piratage médiatisé du site Ashley Madison devrait inciter toute entreprise hébergeant des données (à vrai dire, toutes les entreprises de la planète) à se pencher sérieusement sur la sécurité de leurs données. Dès lors que vous saisissez des informations d’une personne dans la base de données de votre entreprise, vous devez vous assurez que ces dernières restent privées et confidentielles. Cette exigence fait partie des bonnes pratiques, et, dans certains pays, elle est même réglementaire.  En cas de piratage et de divulgation de ces données, vous pourriez bien encourir des poursuites judiciaires et des pénalités… sans compter la mauvaise presse qui ternira l’image de votre entreprise.

Les entreprises soumises aux réglementations les plus strictes, dans les métiers de la finance et des soins de santé par exemple, connaissent plutôt bien les informations dont elles disposent, ainsi que leur niveau de confidentialité. Mais de nombreuses autres entreprises ne sont pas forcément au fait de leurs obligations en matière de sécurité de leurs bases de données. A titre d’exemple, un point de vente est susceptible de détenir des informations personnelles liées à un programme de fidélité, tandis qu’un acteur de la vente par correspondance gère des centaines ou des milliers de numéros de carte de paiement. Autant de données qui exigent d’être parfaitement sécurisées.

Et il ne s’agit pas que des informations personnelles : toute ressource ou donnée confidentielle ou propriétaire (propositions commerciales, rapport de gestion de la relation clients, plans stratégiques, et autres), bien que ne relevant pas forcément de la réglementation en matière de confidentialité des données, doit néanmoins rester à l’abri des regards indiscrets.  Et pour compliquer les choses, dès que vous stockez les données dans le Cloud ou dans des centres de données tiers, vous perdez quelque peu le contrôle sur la gestion de ces données. Pas simple et clair de connaître précisément vos obligations et responsabilités.

Les métadonnées, essentielles à la protection des données
L’une des étapes clé lorsque vous sécurisez vos bases de données est de classifier ces données. Toutes les données ne représentent pas la même valeur pour votre entreprise. Certaines, d’ordre financière, ou portant sur des informations clients ou personnelles, exigent une protection optimale. D’autres éléments, à l’image de documents internes généralistes ou de brochures marketing ne sont pas aussi sensibles. Il est donc pertinent de ne pas traiter toutes vos données de la même façon. La hiérarchisation des données peut également impacter le stockage. Certaines données peuvent être stockées en mémoire pour un accès rapide, tandis que d’autres trouveront leur place sur des bandes magnétiques.

Le concept essentiel qui sous-tend cette approche est celui de la métadonnée. C’est une information à propos d’une information. Une métadonnée descriptive, lorsque formulée de manière appropriée, présente un réel atout pour votre stratégie de sécurité de données. Les métadonnées peuvent contenir des champs dédiés au niveau de la confidentialité (public ou privé, secret, très sensible, etc.), la date de recueil des données, le détail des traitements réalisés sur les données, les niveaux d’accès (rôles et profils pouvant accéder à cette donnée) et, très important, le délai à partir duquel ces données peuvent être supprimées.

Arbitrer le coût de la sécurité/du stockage des données et leur valeur
Les audits de données gagnent en importance et témoignent de la lutte menée par les organisations pour sécuriser et stocker des bases de données toujours plus volumineuses. Avec la business intelligence, les référentiels de données et le Big Data, les organisations se contentent de recueillir les données une fois, pour ensuite les propager sur l’ensemble de leur parc systèmes. Le stockage et la sécurité des données sont onéreux et les meilleures pratiques incitent à évaluer vos investissements de sécurité et de stockage compte tenu de la valeur de chaque profil de données pour votre organisation. Les métadonnées forment ainsi un levier qui permet d’effectuer des audits de données efficaces et exhaustifs.

Antivirus, Cybersécurité, Logiciels, Mise à jour, Patch, Téléphonie

La Suite complète Avast Mobile Security accessible gratuitement

La nouvelle version pour Android propose une nouvelle interface et des fonctionnalités additionnelles pour encore plus de sécurité.

Avast Software, l’éditeur des solutions de sécurité pour PC et mobiles les plus populaires au monde, annonce aujourd’hui la disponibilité de la toute dernière version gratuite de sa solution Avast Mobile Security pour Android, incluant de nouvelles fonctionnalités pour surfer sur le web en toute sécurité ! En plus d’une protection anti-virus accrue grâce à la base de données utilisateur d’Avast, la nouvelle version garantie la sécurité des connexions – y compris sur les réseaux Wi-Fi publics, ainsi qu’un meilleur contrôle des applications en ce qui concerne la gestion des données personnelles.

Parmi les principales fonctionnalités, la nouvelle version Avast Mobile Security inclut :
·         Privacy Advisor – Les mobinautes ne mesurent pas toujours le niveau d’intrusion des applications qui se trouvent sur leurs appareils, ni la nature des données qui sont collectées. Grâce à la fonctionnalité « Privacy Advisor, » l’utilisateur s’informe en un clin d’œil sur les données recueillies par chaque application et peut ainsi contrôler le type d’information communiqué. En outre, l’application alerte l’utilisateur si la manière dont les données collectées par une application présente d’éventuels risques de sécurité.

·         Sécurité Wi-Fi – Grâce à cette fonctionnalité, l’utilisateur identifie rapidement le niveau de sécurité des bornes Wi-Fi. De cette façon, le mobinaute peut évaluer les risques et adapter sa navigation en fonction de ses besoins ou décider de se déconnecter pour ne prendre aucun risque !

·         Verrouillage illimité des applications — Les utilisateurs téléchargent de plus en plus d’applications dont certaines contiennent des données personnelles – comme les applis de messageries ou associées aux réseaux sociaux par exemple. Avec Avast Mobile Security, les utilisateurs peuvent protéger toutes les applications qu’ils souhaitent à l’aide d’un mot de passe, et profitent ainsi d’une protection supplémentaire contre des regards indiscrets, ou en cas de perte ou de vol de leur terminal mobile.

L’application Avast Mobile Security est disponible au téléchargement dès aujourd’hui sur tous les appareils Android via Google Play Store.

Dernier point, n’oubliez jamais que si le produit est gratuit, il y a de forte chance que ce soit vois le produit !

Base de données, Cybersécurité, Entreprise, Mise à jour, santé

Logiciel pour identifier des victimes de la guerre du Vietnam

Un projet d’identification des victimes de la guerre du Vietnam va utiliser le logiciel de comparaison des profils ADN Bonaparte.

SMART Research BV a signé un contrat pour la fourniture du système logiciel de comparaison des profils ADN Bonaparte et de services de soutien connexes avec le gouvernement du Vietnam. Cette fourniture s’inscrit dans le cadre d’un projet d’une durée de 10 ans qui vise à identifier au moins 80 000 des 650 000 victimes non identifiées de la guerre du Vietnam.

Initié par le Premier ministre vietnamien Nguyen Tan Dung, « Project 150 » sera le plus important projet d’identification d’ADN jamais mené. Trois laboratoires seront modernisés avec des technologies de police scientifique de pointe provenant de fournisseurs tels que Qiagen et Eppendorf, tandis que des services de conseil et de formation seront fournis par BioGlobe et la Commission internationale des personnes disparues (ICMP) en Bosnie. Avec la signature de ce contrat, SMART Research BV est fière de rejoindre désormais l’équipe du projet.

Les algorithmes de comparaison indirecte à la pointe de la technologie du système Bonaparte fourniront aux laboratoires du gouvernement vietnamien les puissantes capacités de recherche familiale et axée sur le lien de parenté nécessaires à cet ambitieux projet. Le système Bonaparte permet d’identifier des dépouilles inconnues en se basant sur l’ADN de référence des membres de la famille à l’aide d’arbres généalogiques arbitraires.

Il a été déployé à de nombreuses occasions dans des travaux d’identification dans le monde réel, et a joué un rôle important dans l’identification des victimes de la catastrophe aérienne de 2010 à Tripoli et de celles du vol MH17 de Malaysia Airlines en Ukraine en 2014.

Le système Bonaparte a été commandé en 2007 par l’Institut de police scientifique des Pays-Bas (NFI), avant d’être davantage développé et amélioré par SNN et sa filiale SMART Research BV, en étroite collaboration avec le NFI.

SMART Research BV est l’entreprise commerciale dérivée de SNN, la Fondation néerlandaise pour les réseaux neuronaux de l’université Radboud de Nimègue, aux Pays-Bas. SMART Research prend en charge le développement, le maintien et l’assistance pour Bonaparte. SMART Research se spécialise dans l’application de technologies avancées d’apprentissage statistique et d’intelligence artificielle pour résoudre des problèmes dans le monde réel. Ces technologies constituent également la base du système Bonaparte.

Base de données, Chiffrement, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch

Un bug sur Instagram trahit la vie privée des utilisateurs

La nouvelle mise à jour de l’outil de socialisation Instagram emporte avec lui un bug particulièrement gênant capable de révéler la vie privée des utilisateurs exploitant l’option multi comptes.

Partager son compte Instagram n’est pas une bonne idée, surtout si vous sélectionner l’option « Multicompte« . Une nouveauté qui permet de partager son espace avec un ami, collègue, … sauf que dans ce cas, l’ami en question recevra vos informations personnelles, et vous recevrez les siennes. Les utilisateurs partageurs recevront les notifications de compte personnel et du compte mis en commun par cette nouvelle possibilité. Selon Android Central, Instagram travaille sur la correction de cette petite fuite, qui pourrait devenir gênante, si vous partagez des informations avec l’Instagram de votre entreprise par exemple.

Cybersécurité, Emploi, Entreprise, Mise à jour, Patch

Quel enseignement pour la cyber-sécurité ?

Enseignement complexe et désormais stratégique, la sécurité informatique n’est pas une simple spécialisation des études d’ingénieur, mais une vaste culture qui requiert une pédagogie adaptée. Quels choix sont faits par les écoles qui forment les professionnels de demain ? (Par Richard Rey, Enseignant, Directeur-Adjoint et RSSI du Laboratoire Confiance Numérique et Sécurité – ESIEA).

Selon une étude Gartner, la moitié des entreprises mondiales serait dans l’obligation, à horizon 2018 de recourir aux services d’un professionnel pour gérer le risque informatique. La principale raison : l’avènement du Cloud et des objets connectés, dont il est, de l’avis des experts, trop facile d’exploiter les vulnérabilités. Dans ce contexte, les entreprises s’intéressent de très près aux étudiants des écoles possédant une expertise en Cyber-sécurité. La discipline est en effet sensible en raison de son double aspect ; car qui parle de sécurisation doit aussi évoquer son autre versant : l’attaque. Former des professionnels de la sécurité est une responsabilité pour les écoles d’ingénieurs et toutes ne s’y emploient pas de la même façon.

Comment enseigne-t-on aujourd’hui ?
Le véritable enseignement en sécurité informatique, c’est-à-dire doté d’intitulés spécifiques, n’existe généralement qu’en troisième année d’études d’ingénieur. À cela une raison simple : c’est à ce moment que de nombreux étudiants rejoignent les écoles après des formations bac+2, pour y poursuivre leurs études supérieures. Or, il est important de comprendre que la sécurité informatique n’est pas un enseignement comme les autres. Les écoles qui ont à cœur de former les experts de demain ne peuvent pas se contenter d’une spécialisation de fin de cursus et doivent au contraire, sensibiliser au plus tôt à ce domaine et participer à la diffusion des connaissances en matière de sécurité. Cela implique de former, non seulement des spécialistes, mais aussi des professionnels capables d’évoquer ce sujet en restant intelligibles à tous les publics.

Un enseignement indissociable d’autres enseignements informatiques
Certaines écoles choisissent, pour cela, d’aborder le sujet plus tôt, dès la première année post Bac via des exercices cryptographiques au sein de modules de mathématiques et avec des travaux pratiques orientés sécurité. En deuxième et troisième années, l’enseignement des systèmes et du réseau est là aussi, l’occasion d’évoquer des questions liées au risque : que ferait une personne malintentionnée, quels accès lui seraient possibles, etc. Pourquoi un tel choix ?
Ces exercices précoces qui incitent à adopter le point de vue d’un attaquant ou d’un adversaire, comme on le ferait dans un jeu d’échec, sont essentiels : ils font prendre conscience que la sécurité est une discipline qui concerne l’ensemble des autres enseignements. Il est en vérité difficile d’imaginer une formation pointue en sécurité informatique avant quatre années d’études supérieures. La culture qui la sous-tend est extrêmement large : maîtriser plusieurs langages de programmation, s’y connaître en architecture web, en technologies des réseaux, en systèmes (Linux, Windows, Android, MacOS), en virtualisation, en Big data, Cloud, etc. Ce qui s’avère impossible en un cycle court. Une étape essentielle consiste à démontrer aux étudiants que, parvenus à un certain niveau, 90% de ce qu’ils trouvent sur internet est souvent obsolète, incomplet, voire faux.

La sécurité informatique, une culture autant qu’une spécialisation
En troisième et quatrième année, les cours dédiés à la sécurité permettent aux étudiants, sans être encore des spécialistes, de disposer de solides connaissances, quelle que soit leur spécialisation ultérieure. Lorsqu’en cinquième année, les cours de spécialisation arrivent, on est ainsi assuré que tous les futurs ingénieurs (et pas seulement les futurs spécialistes) disposent de connaissances indispensables en matière de sécurité. À savoir que tous peuvent évoluer dans l’entreprise avec une conscience aigüe de ce qu’impliquent et signifient les risques ; lors de choix techniques, ils sauront avoir une vision d’ensemble propre à éviter les mauvaises décisions. Former à la sécurité tout au long des cinq années d’un cursus d’ingénieur, participe ainsi à une meilleure connaissance des enjeux de sécurité au sein de toutes les entreprises, et pas seulement des grands groupes.

Un enseignement soumis à confidentialité
Le cursus « sécurité » en cinquième année d’études d’ingénieur peu têtre très dense, (jusqu’à  60% d’un Mastère Spécialisé (Bac+6)) avec un tiers de cours et deux tiers de projets opérationnels, de cas concrets. Dans le cas des écoles bénéficiant de la proximité d’un laboratoire de recherche, il va de soi que les questions de confidentialité se posent très tôt. Les cas soumis par ses membres, des enseignants qui sont aussi des opérationnels, souvent mandatés par des entreprises, par l’État ou des organismes dits d’importance vitale (énergie, transports, etc.), sont confidentiels. Il arrive que l’on confie aux laboratoires et à leurs étudiants un PC, un téléphone portable, avec pour objectif de récupérer ses données, et de découvrir tout ce qui est exploitable. La sécurité réclame des profils de hackers responsables (aussi dénommés « white hats »). On comprendra que son enseignement ne peut se faire sans y adjoindre une solide formation humaine et éthique. Or il est difficile de parler d’éthique à de très jeunes gens dans de vastes promotions. Ce n’est possible qu’en petits effectifs. Plus tard dans leur cursus, des cours dédiés à ces questions les informeront du cadre juridique existant en France et en Europe, des aspects relatifs à l’organisation de la sécurité de l’État, aux agréments, réglementations, à leur histoire, etc. Comment aussi, ils peuvent être soumis, même pendant leurs études, à des enquêtes de moralité et ce que cela implique. Mais au-delà de ces informations, ce sont des valeurs et de l’intelligence qui doivent être transmises très tôt. Cela rend indispensable une formation humaine présente tout au long des études (tout l’inverse de la geek-attitude). C’est aussi une formation qui en leur « apprenant à apprendre » les prépare à l’exercice de leur métier et à une certaine humilité : tout ce que peut dire un expert en sécurité peut être remis en question du jour au lendemain. Ses connaissances demandent une constante mise à jour, (un poste d’expert en sécurité devra obligatoirement comporter 30% de temps consacré à la veille technologique). Les responsables hiérarchiques en ont bien conscience.

L’avenir de la sécurité au féminin ?
C’est aussi une des raisons pour lesquelles les écoles essaient autant d’attirer des jeunes femmes. On leur prête une plus grande maturité, et surtout, plus tôt. On remarque notamment que les entreprises, lorsqu’elles proposent des postes d’expert sécurité légèrement atypiques, qui impliquent entre autres une vision de l’orientation de la politique de sécurité, des rapports avec les fournisseurs, veulent en priorité des femmes dont elles considèrent qu’elles sont les seules à avoir la hauteur de vue nécessaire. Un autre sexisme, mais qui cette fois opère en faveur des jeunes femmes ! Est-ce dire qu’avec plus de jeunes filles, l’enseignement de la sécurité pourrait changer ? Oui.

On constate par exemple que face à une problématique technique, elles privilégient les premiers instants consacrés à la réflexion et à la construction intellectuelle. Ainsi, les solutions proposées sont plus abouties mieux « ficelées » (on parle d’élégance technologique). Il faut le reconnaître, aujourd’hui les filles sont « chouchoutées » dans les formations liées au numérique et plus spécifiquement à la cyber-sécurité ; tout est fait pour entretenir leur motivation et les convaincre que la discipline est passionnante. Seul hic : trop d’entre elles ignorent encore aujourd’hui qu’elles y sont attendues.

Adobe, Cybersécurité, Logiciels, Microsoft, Mise à jour, Patch

Analyse Patch Tuesday Fevrier 2016

Retour à des valeurs normales pour ce Patch Tuesday. Après un démarrage en douceur avec 9 bulletins en janvier, 12 (dont 5 critiques) sont publiés en février, cela correspond à la moyenne de 12,25 bulletins par mois observée l’an dernier.

En fait, il y en aurait même 13, mais le dernier, MS16-022, s’apparente davantage à un changement de packaging. Il concerne un package logiciel pour Adobe Flash dont la mise à niveau est assurée par Microsoft depuis 3 ans et demi sous les versions 10 et 11 d’Internet Explorer. Cette mise à jour était auparavant prise en charge par le seul avis de sécurité KB2755801. Maintenant, elle bénéficie d’un véritable bulletin. Ce nouveau format garantit pour le moins un traitement et un suivi supérieurs. Aucune des vulnérabilités décrites n’est utilisée en aveugle, mais beaucoup sont classées comme facilement exploitables par Microsoft et Adobe si bien que vous devriez les résoudre sans délai. C’est donc le bulletin MS16-022 qui est en tête des priorités de Qualys ce mois-ci.

La mise à jour d’Adobe Flash (APSB16-04) contient des correctifs pour 22 vulnérabilités, toutes classées comme étant « critiques », c’est-à-dire pouvant fournir un contrôle complet de la machine cible à l’attaquant. Les scénarios d’attaque peuvent aussi bien mettre en scène des sites Web compromis mais innocents (certains problèmes récents avec WordPress par exemple) qui redirigent vers des domaines contrôlés par un attaquant malveillant, que du Flash embarqué dans d’autres fichiers (des documents Office notamment) qui cherche un accès via la messagerie électronique. En outre, les attaquants ayant démontré l’an dernier leur intérêt pour les attaques basées sur Flash, ce bulletin fait donc partie des priorités absolues.

Le bulletin MS16-015 arrive en deuxième position sur notre liste. Il résout 7 vulnérabilités Microsoft Office dans Word, Excel et Sharepoint. Les vulnérabilités CVE-2016-0022, CVE-2016-0052 et CVE-2016-0053 dans Word sont toutes au format RTF et peuvent être déclenchées sans interaction de l’utilisateur via le volet de visualisation dans Outlook. Elles sont classées « critiques ». Je suis pour ma part étonné que Microsoft ne propose pas de facteurs de mitigation pour ces dernières et j’en conclus que les changements de configuration spécifiés dans le bulletin MS14-017 continuent de s’appliquer : Lire les courriers électroniques en texte brut dans Outlook et désactiver les fichiers RTF dans Microsoft Word via la politique de blocage de fichiers.

Les autres vulnérabilités de notre liste sont résolues dans le bulletin MS16-009 pour Internet Explorer et dans MS16-011 en ce qui concerne Microsoft Edge. Ces deux publications résolvent respectivement 13 et 6 vulnérabilités dont 7 et 4 de niveau critique. L’exploitation de ces vulnérabilités s’appuierait sur la navigation Web avec redirection vers des sites Web malveillants soit directement, soit par empoisonnement du moteur de recherche qui attire vos utilisateurs vers un site Web piégé, soit via la compromission d’un site a priori légitime, ou encore par inclusion dans un réseau publicitaire. Ce vecteur d’attaque est l’un des plus sensibles pour l’entreprise et nous recommandons de corriger ces vulnérabilités dès que possible.

En janvier Microsoft a mis un terme au support des navigateurs Internet Explorer propriétaires sur chacun de ses systèmes d’exploitation en réservant désormais les mises à jour aux toutes dernières versions des navigateurs sur chaque plate-forme. Les règles exactes sont exposées dans le document sur le cycle de vie de Microsoft, mais pour la plupart des points d’extrémité (Windows 7, 8.1 et 10) cela revient à Internet Explorer 11. Rien d’autre n’est plus supporté et les utilisateurs sont exposés à un vecteur d’attaque qu’il sera difficile d’endiguer à moyen terme.

Le prochain bulletin critique de notre liste, MS16-013, s’intéresse au Journal Windows. Un fichier malveillant avec l’extension .JNL doit être ouvert par l’utilisateur pour déclencher la vulnérabilité. Sous Windows 7, l’extension du fichier peut être dissociée de l’application pour neutraliser l’attaque. Cela se défend en raison du flux constant de patches dans les bulletins MS15-114, MS15-098, MS15-045, etc. qui pourraient être déclassés en empêchant les utilisateurs d’ouvrir ces fichiers.

Le dernier bulletin critique concerne la visionneuse de fichiers Microsoft PDF Reader. Ce lecteur est uniquement disponible sous Windows 8.1, 10 et Server 2012 et le bulletin MS16-012 ne s’applique donc qu’aux versions les plus récentes. Il s’agit d’un premier patch pour ce logiciel et il sera intéressant de voir combien d’autres vulnérabilités les chercheurs en sécurité pourront découvrir. Vous vous souvenez lorsqu’en 2012 Google utilisait sa technologie aléatoire pour s’intéresser à Adobe Reader ? Utilisez-vous la visionneuse de fichiers PDF fournie par Windows ou avez-vous adopté Adobe Reader y compris sur ces plates-formes ?

Ce Patch Tuesday comprend d’autres patches importants. Le système d’exploitation Windows lui-même est corrigé à l’aide des bulletins MS16-014 et MS16-018 tandis que MS16-016 résout la faille liée à l’élévation de privilèges via le service WebDAV, si vous exposez le protocole RDP sur Internet. MS16-017 nécessite cependant d’authentifier l’attaquant au préalable, MS16- 020 comble une faille DoS dans Active Directory et MS16-021 comble une faille du même acabit dans Radius, parmi les autres bulletins intéressants.

Comme toujours, un annuaire précis des logiciels installés permettra de décider où il est utile d’intervenir en priorité. Des mises à jour automatiques, dans la mesure du possible et par exemple sur les machines génériques des utilisateurs qui peuvent également soulager la tâche de l’équipe chargée du déploiement des correctifs. (Qualys)

Cybersécurité, Justice, loi

Le législateur mécontente Google dans son renforcement des droits des internautes

Le projet de loi pour une République Numérique parviendra-t-il enfin à faire plier Google ? Les pratiques controversées de ce géant américain ne finiront pas de faire couler de l’encre. Le projet de loi, porté par Axelle Lemaire, pourrait bien contribuer à y remédier au regard des inquiétudes formulées par le directeur général de Google France.

Ce dernier considère en effet que le projet de loi présente un risque « d’inflation règlementaire » lié aux différences entre ce dernier et la jurisprudence européenne. Il est vrai que ce texte instaure une législation plus contraignante à l’égard de Google que ce qui est actuellement prévu au niveau européen. De cette manière, il garantit aux internautes une protection accrue.

Il créé à charge des plateformes une obligation de loyauté à l’égard des internautes, laquelle consiste notamment à donner davantage de lisibilité à leurs conditions générales. Ces dernières seront tenues de faire apparaitre clairement l’existence d’une relation contractuelle ou de liens capitalistiques avec les personnes référencées, ainsi que l’impact de cette relation sur le classement des contenus. Ce faisant, le gouvernement souhaite encourager la transparence des pratiques sur la toile et notamment celles très contestées de Google au regard du droit au respect de la vie privée des utilisateurs.

De plus, ce projet de loi met en place un droit à la portabilité c’est-à-dire le droit pour toute personne de récupérer ses données auprès des prestataires de services numériques en vue de les transférer à d’autres prestataires. Il consacre également le principe de la « mort numérique » selon lequel toute personne a le droit de décider par avance du sort de ses données en cas de décès. Il prévoit par ailleurs la mise en place d’une procédure accélérée pour le droit à l’oubli des mineurs. Ainsi, il redonne à l’internaute la possibilité de gérer ses données à sa guise et de ne plus en être dépossédé par le moteur de recherche.

L’ensemble de ces mesures s’inscrit dans le prolongement de l’arrêt du 13 mai 2014 de la CJUE reconnaissant le droit à l’oubli (CJUE, C-131/12 Google Spain SL, Google Inc./ Agencia Espanola de Proteccion de Datos, Mario Costeja Gonzalez, 13 mai 2014). Depuis lors, Google est tenu de retirer tout contenu portant atteinte à la vie privée de l’internaute qui en fait la demande. Toutefois, Google a réussi à nouveau à passer à travers les mailles du filet à partir du moment où il est seul juge de l’illicéité du contenu.

Plus généralement, le projet de loi porte atteinte au monopole de Google en contribuant à inverser la répartition du marché du numérique au profit des « petites entreprises ». Une question reste en suspens… quel moyen trouvera Google pour contourner ce dispositif ? (Par Maitre Antoine Chéron, avocat spécialisé en propriété intellectuelle et NTIC)

Base de données, BYOD, Chiffrement, Cloud, Cybersécurité, Entreprise, IOT, Mise à jour, ransomware

Tendances 2016 de la sécurité des réseaux

Aux prémices de 2016, Shehzad Merchant, Chief Technology Officer chez Gigamon, spécialiste de la visibilité réseau, a fait le bilan de l’année 2015 et identifié les cinq tendances principales en matière d’infrastructures réseaux et de sécurité pour l’année 2016.

Démocratisation croissante des Malwares-as-a-Service (MaaS) – Ces deux dernières années, de nombreuses failles de sécurité sophistiquées ont été révélées et avec elles, c’est tout un « écosystème » de MaaS qui a vu le jour avec la mise à disposition d’une large gamme d’offres packagées de virus prêtes à l’emploi et accessibles à tous, augmentant de fait la quantité d’acteurs en mesure de perpétrer des cyberattaques. Toutefois, la démocratisation des malwares tend à réduire leur niveau de sophistication, et bien que certaines menaces persistantes avancées restent de haut niveau, une majorité des attaques perpétrées par ce moyen seront plus faciles à détecter et à stopper, car les pirates qui auront choisi de se connecter aux systèmes existants ne pourront y intégrer qu’une quantité limitée de zones d’ombre.

Généralisation de la sécurité prédictive – 2016 verra une croissance des cybermenaces de type « polymorphes », c’est-à-dire que chaque instance du malware se manifestera sous une apparence et un fonctionnement différents tout en gardant une base commune. Par conséquent, de nombreuses variantes sont susceptibles de passer outre les systèmes de détection traditionnels tels que les pare-feu ou les solutions anti-virus. Afin de mieux détecter ces menaces polymorphes, les entreprises auront besoin de solutions d’analyse prédictive visant à contrôler l’ensemble des données de l’entreprise dans le but d’identifier toute anomalie ou activité inhabituelle sur le réseau. Elles fourniront ainsi des indicateurs clés de menaces potentielles au sein de l’organisation pour détecter plus rapidement l’empreinte et l’activité du malware, et permettre un confinement plus rapide.

Perte de vitesse du Software-Defined Networking (SDN) – Malgré l’engouement du marché pour les technologies SDN, les tests ont démontré qu’elles n’étaient pas suffisamment matures pour une utilisation optimale par les entreprises. Cette année verra l’émergence de technologies « marginales » mais solides, qui, fortes des bonnes pratiques du SDN, ont su trouver leur place sur le marché. Bien qu’elles ne répondent pas aux standards technologiques, elles se concentrent sur la résolution du problème et font preuve de plus de maturité sur un marché fortement concurrentiel. Ainsi, face à ces pure players émergents, certaines technologies SDN risquent de se retrouver hors-jeu car encore trop immatures par rapport aux attentes du marché.

Ralentissement du Network Function Virtualisation (NFV) – Cette année, le NFV sera confronté, dans sa phase de déploiement, à de nouveaux défis qui toucheront particulièrement la vitesse et la performance. Le passage du format matériel dédié des fonctions réseau à une offre virtualisée risque en effet de causer des ralentissements. La normalisation du NFV peut pallier ce problème notamment avec l’ajout de davantage de serveurs de type x86 afin de multiplier les nœuds et permettre ainsi de répartir la charge. Ces serveurs sont en effet valorisés pour leur interopérabilité et leur prix abordable, et leur facilité à être intégrés et supprimés. Toutefois, un tel procédé comporte son lot de défis, en particulier en ce qui concerne le maintien de l’état, de la gestion de la distribution et de l’équilibre de charge du trafic, à travers des fonctions ne nécessitant pas de très haut débit, de performance ou de redimensionnements. Cependant, l’augmentation constante des besoins de bande passante, fera émerger les systèmes logiciels en mesure de gérer avec précision la capacité d’équilibrage de charge et l’état du réseau, ou bien ceux capables d’extraire chaque parcelle de performance dans des environnements NFV. Néanmoins, si les entreprises qui déploient des solutions basées sur ces environnements ne forment pas des équipes internes capables de gérer ces logiciels de A à Z, elles seront confrontées tôt ou tard à des obstacles les obligeant à ralentir.

Rationaliser la transition vers le cloud – Ces dernières années, de nombreuses organisations ont suivi le mouvement de l’adoption du cloud. Les DSI étaient encouragés à adopter et à investir dans le cloud sous toutes ses formes : Software, Platform ou Infrastrustrure as-a-service. L’IaaS a particulièrement séduit les entreprises par sa souplesse, sa capacité de dépassement et sa simplicité de provisioning. Celles-ci l’ont toutefois adopté sans analyser les coûts dans le détail ou sans tenir compte des questions de sécurité. La gestion d’applications connectées en permanence, pendant plusieurs années, génèrent des quantités massives de données dans le cloud, ce qui peut s’avérer très onéreux sur le long terme ; or, le basculement du cloud vers une solution sur-site peut l’être encore plus en raison du coût de réversibilité. En 2016, le DSI sera mieux informé et aura toutes les cartes en main pour comparer les modèles disponibles et trouver ainsi le bon équilibre entre l’offre cloud, le modèle purement hybride offrant à la fois des applications clés et données hébergées sur site ou une capacité de dépassement favorisée par une offre de cloud. Et ce, en disposant d’un meilleur contrôle sur les coûts.

Cybersécurité, Facebook, Justice, loi

La CNIL lance un ultimatum à Facebook

Un commentaire

Le leader mondial des réseaux sociaux tant décrié pour ses pratiques en matière de données à caractère personnel, va-t-il enfin plier face à la CNIL ? Le G29 est à l’assaut de Facebook depuis mars 2015. La France est la première à se prononcer sur le cas du site internet. (Par Maitre Antoine Chéron, avocat spécialisé en propriété intellectuelle et NTIC)

Dans une décision du 26 janvier 2016, la CNIL a mis en demeure Facebook de se conformer à la loi Informatique et Libertés du 6 janvier 1978. Eu égard à « la gravité des manquements constatés et de l’atteinte consécutive aux intérêts et libertés fondamentaux des personnes concernées », la CNIL a choisi d’en faire la publicité.

Elle reproche tout d’abord à Facebook, de suivre la navigation des internautes non-titulaires d’un compte, sur des sites tiers. Pour ce faire, le réseau social dépose un cookie sur le terminal de chaque personne ayant visité une page Facebook publique. L’article 32-II de la loi Informatique et Libertés dispose que la mise en place de cookies sur le terminal d’un utilisateur implique le consentement préalable de ce dernier, ce qui n’est pas le cas en l’espèce.

Il est également fait grief au réseau social de ne pas recueillir le consentement exprès des internautes au moment de la collecte et du traitement des données relatives à leurs opinions politiques ou religieuses, et à leur orientation sexuelle. S’agissant de données sensibles, Facebook aurait dû solliciter de la CNIL une autorisation antérieurement à la réalisation dudit traitement ou de la personne concernée son consentement.

De plus, elle relève que le site internet ne met pas à disposition des utilisateurs un mécanisme qui permettrait à ces derniers de s’opposer à la combinaison des données à caractère personnel à des fins publicitaires. Or, un tel traitement de données est soumis à l’article 7 de la loi Informatique et Libertés qui prévoit qu’à défaut d’obtenir le consentement de la personne concernée, le traitement n’est autorisé que s’il entre dans l’une des situations ci-après énoncées : s’il est effectué dans le respect d’une obligation légale incombant au responsable du traitement ; pour sauvegarder la vie de la personne concernée ; dans le cadre de l’exécution d’une mission de service public ; en vue de l’exécution d’un contrat ou de mesures précontractuelles ; si le responsable du traitement poursuit un intérêt légitime. La Politique d’utilisation des données de Facebook précise que l’utilisation des données à leur disposition permet de présenter des publicités pertinentes. Le traitement qu’elle réalise est donc contraire à l’article précité.

Enfin la CNIL constate que Facebook continue à transférer les données provenant de l’Union européenne vers les Etats-Unis sur la base du Safe Harbor, lequel a été invalidé le 6 octobre 2015 par la Cour de justice de l’Union européenne. Depuis lors, il n’est plus possible aux entreprises de procéder à des transferts de données à caractère personnel sur le fondement dudit accord. Cependant, le 3 février dernier le G29 a déclaré que les entreprises pourraient dans l’attente de l’entrée en vigueur  l’« EU-US Privacy Shield » (ou « bouclier de l’Union européenne et des Etats-Unis pour la protection de la vie privée »), continuer à exporter les données des citoyens européens vers les Etats-Unis sans être inquiétées. Il semblerait donc que Facebook ne sera pas sanctionné sur ce point.

Le réseau social a trois mois pour adopter les mesures propres à pallier ce défaut de conformité à la loi Informatique et Libertés. Passé ce délai, la présidente de la CNIL pourra désigner un rapporteur. Ce dernier peut être amené le cas échéant à proposer à la formation restreinte de la CNIL, le prononcé d’une sanction à l’encontre de Facebook.

Parallèlement, les autres CNIL du G29 (Belgique, Allemagne, Espagne et Pays-Bas) continuent leurs investigations. D’autres mises en demeure et sanctions pourraient bientôt tombées. [En Belgique, par exemple, les cookies FB ne peuvent plus suivre les Belges, ND DataSecurityBreach.fr]

Argent, Arnaque, backdoor, Base de données, Chiffrement, Cyber-attaque, Cybersécurité, Entreprise, Fraude au président, Fuite de données, Leak, Particuliers, Piratage, pourriel, Social engineering, spam

Poseidon : un groupe de pirates informatiques opérant sur terre, dans les airs et en mer

Poseidon, une campagne de piratage ciblant des établissements financiers ainsi que des opérateurs de télécommunications, des fabricants, des compagnies d’énergie et des groupes médias. La France visée par l’attaque.

L’équipe GREaT (Global Research & Analysis Team) de Kaspersky Lab annonce la découverte du groupe Poseidon, une menace avancée active dans des opérations internationales de cyber espionnage depuis au moins 2005. L’originalité de Poseidon est qu’il s’agit d’une entité commerciale, dont les attaques font appel à des malwares personnalisés, signés numériquement avec des certificats pirates et déployés dans le but de dérober des données sensibles aux victimes et de les racketter. En outre, le malware est conçu pour fonctionner spécifiquement sur les machines Windows en anglais et en portugais brésilien, une première pour une attaque ciblée.

Au moins 35 entreprises victimes ont été identifiées, les principales cibles étant des établissements financiers et des administrations, des opérateurs de télécommunications, des fabricants, des compagnies d’énergie et d’autres réseaux de services collectifs, ainsi que des groupes médias et des agences de relations publiques. Les experts ont également détecté des attaques contre des sociétés proposant leurs services à des cadres supérieurs. Les victimes du groupe Poseidon se trouvent dans les pays suivants :

  • Etats-Unis
  • France
  • Kazakhstan
  • Emirats Arabes Unis
  • Inde
  • Russie

Cependant, la répartition des victimes penche très nettement vers le Brésil, où bon nombre d’entre elles réalisent des opérations via des joint-ventures ou des partenaires.

L’une des caractéristiques du groupe Poseidon réside dans l’exploration active des réseaux d’entreprise sur la base des noms de domaine. Selon le rapport d’analyse consulté par DataSecurityBreach.fr, Poseidon recourt à des e-mails de spear-phishing accompagnés de documents RTF/DOC, comportant généralement un appât sur le thème des ressources humaines, qui installent un fichier binaire malveillant dans le système cible lorsque le destinataire clique dessus. Un autre trait marquant est la présence de chaînes de caractères en portugais du Brésil. La prédilection du groupe pour les systèmes lusophones, comme le révèlent les échantillons, est une pratique inédite.

Une fois un ordinateur infecté, le malware rend compte à des serveurs de commande et de contrôle, avant d’entamer une phase complexe de déplacements latéraux à l’intérieur du réseau de l’entreprise. Cette phase fait souvent intervenir un outil spécialisé qui collecte automatiquement et systématiquement un grand nombre d’informations (identifiants, règles de sécurité, voire journaux système) afin de mieux cibler les attaques suivantes et d’assurer la bonne exécution du malware. De la sorte, les auteurs des attaques savent quelles applications et commandes utiliser sans alerter l’administrateur du réseau pendant leur exploration et leur exfiltration.

Les informations rassemblées sont ensuite exploitées par une organisation de façade pour racketter les entreprises victimes en les contraignant à engager Poseidon comme consultant en sécurité, sous peine de voir utiliser les informations dérobées dans une série de transactions louches au profit du groupe.

« Le groupe Poseidon est une équipe de vétérans intervenant sur tous les théâtres d’opérations : terre, air et mer. Certains de ses centres de commande sont implantés chez des fournisseurs d’accès Internet desservant des navires en mer, des connections sans fil ou encore des opérateurs classiques », commente Dmitry Bestuzhev, Directeur de l’équipe GREaT de Kaspersky Lab en Amérique latine. « En outre, plusieurs de ses implants présentent une durée de vie très courte, ce qui a permis à ce groupe de sévir aussi longuement sans se faire repérer. »

Le groupe Poseidon étant en activité depuis au moins 10 ans, les techniques de conception de ses implants ont évolué, ce qui complique pour de nombreux chercheurs la mise en corrélation des indicateurs et l’assemblage des pièces du puzzle. Cependant, en réunissant soigneusement tous les indices, en étudiant la signature de la menace et en reconstituant la chronologie des attaques, les experts ont pu établir vers la mi-2015 que des traces détectées précédemment mais non identifiées appartenaient bien à la même menace, c’est-à-dire le groupe Poseidon.