Archives de catégorie : Patch

Cybersécurité, Emploi, Entreprise, Mise à jour, Patch

Quel enseignement pour la cyber-sécurité ?

Enseignement complexe et désormais stratégique, la sécurité informatique n’est pas une simple spécialisation des études d’ingénieur, mais une vaste culture qui requiert une pédagogie adaptée. Quels choix sont faits par les écoles qui forment les professionnels de demain ? (Par Richard Rey, Enseignant, Directeur-Adjoint et RSSI du Laboratoire Confiance Numérique et Sécurité – ESIEA).

Selon une étude Gartner, la moitié des entreprises mondiales serait dans l’obligation, à horizon 2018 de recourir aux services d’un professionnel pour gérer le risque informatique. La principale raison : l’avènement du Cloud et des objets connectés, dont il est, de l’avis des experts, trop facile d’exploiter les vulnérabilités. Dans ce contexte, les entreprises s’intéressent de très près aux étudiants des écoles possédant une expertise en Cyber-sécurité. La discipline est en effet sensible en raison de son double aspect ; car qui parle de sécurisation doit aussi évoquer son autre versant : l’attaque. Former des professionnels de la sécurité est une responsabilité pour les écoles d’ingénieurs et toutes ne s’y emploient pas de la même façon.

Comment enseigne-t-on aujourd’hui ?
Le véritable enseignement en sécurité informatique, c’est-à-dire doté d’intitulés spécifiques, n’existe généralement qu’en troisième année d’études d’ingénieur. À cela une raison simple : c’est à ce moment que de nombreux étudiants rejoignent les écoles après des formations bac+2, pour y poursuivre leurs études supérieures. Or, il est important de comprendre que la sécurité informatique n’est pas un enseignement comme les autres. Les écoles qui ont à cœur de former les experts de demain ne peuvent pas se contenter d’une spécialisation de fin de cursus et doivent au contraire, sensibiliser au plus tôt à ce domaine et participer à la diffusion des connaissances en matière de sécurité. Cela implique de former, non seulement des spécialistes, mais aussi des professionnels capables d’évoquer ce sujet en restant intelligibles à tous les publics.

Un enseignement indissociable d’autres enseignements informatiques
Certaines écoles choisissent, pour cela, d’aborder le sujet plus tôt, dès la première année post Bac via des exercices cryptographiques au sein de modules de mathématiques et avec des travaux pratiques orientés sécurité. En deuxième et troisième années, l’enseignement des systèmes et du réseau est là aussi, l’occasion d’évoquer des questions liées au risque : que ferait une personne malintentionnée, quels accès lui seraient possibles, etc. Pourquoi un tel choix ?
Ces exercices précoces qui incitent à adopter le point de vue d’un attaquant ou d’un adversaire, comme on le ferait dans un jeu d’échec, sont essentiels : ils font prendre conscience que la sécurité est une discipline qui concerne l’ensemble des autres enseignements. Il est en vérité difficile d’imaginer une formation pointue en sécurité informatique avant quatre années d’études supérieures. La culture qui la sous-tend est extrêmement large : maîtriser plusieurs langages de programmation, s’y connaître en architecture web, en technologies des réseaux, en systèmes (Linux, Windows, Android, MacOS), en virtualisation, en Big data, Cloud, etc. Ce qui s’avère impossible en un cycle court. Une étape essentielle consiste à démontrer aux étudiants que, parvenus à un certain niveau, 90% de ce qu’ils trouvent sur internet est souvent obsolète, incomplet, voire faux.

La sécurité informatique, une culture autant qu’une spécialisation
En troisième et quatrième année, les cours dédiés à la sécurité permettent aux étudiants, sans être encore des spécialistes, de disposer de solides connaissances, quelle que soit leur spécialisation ultérieure. Lorsqu’en cinquième année, les cours de spécialisation arrivent, on est ainsi assuré que tous les futurs ingénieurs (et pas seulement les futurs spécialistes) disposent de connaissances indispensables en matière de sécurité. À savoir que tous peuvent évoluer dans l’entreprise avec une conscience aigüe de ce qu’impliquent et signifient les risques ; lors de choix techniques, ils sauront avoir une vision d’ensemble propre à éviter les mauvaises décisions. Former à la sécurité tout au long des cinq années d’un cursus d’ingénieur, participe ainsi à une meilleure connaissance des enjeux de sécurité au sein de toutes les entreprises, et pas seulement des grands groupes.

Un enseignement soumis à confidentialité
Le cursus « sécurité » en cinquième année d’études d’ingénieur peu têtre très dense, (jusqu’à  60% d’un Mastère Spécialisé (Bac+6)) avec un tiers de cours et deux tiers de projets opérationnels, de cas concrets. Dans le cas des écoles bénéficiant de la proximité d’un laboratoire de recherche, il va de soi que les questions de confidentialité se posent très tôt. Les cas soumis par ses membres, des enseignants qui sont aussi des opérationnels, souvent mandatés par des entreprises, par l’État ou des organismes dits d’importance vitale (énergie, transports, etc.), sont confidentiels. Il arrive que l’on confie aux laboratoires et à leurs étudiants un PC, un téléphone portable, avec pour objectif de récupérer ses données, et de découvrir tout ce qui est exploitable. La sécurité réclame des profils de hackers responsables (aussi dénommés « white hats »). On comprendra que son enseignement ne peut se faire sans y adjoindre une solide formation humaine et éthique. Or il est difficile de parler d’éthique à de très jeunes gens dans de vastes promotions. Ce n’est possible qu’en petits effectifs. Plus tard dans leur cursus, des cours dédiés à ces questions les informeront du cadre juridique existant en France et en Europe, des aspects relatifs à l’organisation de la sécurité de l’État, aux agréments, réglementations, à leur histoire, etc. Comment aussi, ils peuvent être soumis, même pendant leurs études, à des enquêtes de moralité et ce que cela implique. Mais au-delà de ces informations, ce sont des valeurs et de l’intelligence qui doivent être transmises très tôt. Cela rend indispensable une formation humaine présente tout au long des études (tout l’inverse de la geek-attitude). C’est aussi une formation qui en leur « apprenant à apprendre » les prépare à l’exercice de leur métier et à une certaine humilité : tout ce que peut dire un expert en sécurité peut être remis en question du jour au lendemain. Ses connaissances demandent une constante mise à jour, (un poste d’expert en sécurité devra obligatoirement comporter 30% de temps consacré à la veille technologique). Les responsables hiérarchiques en ont bien conscience.

L’avenir de la sécurité au féminin ?
C’est aussi une des raisons pour lesquelles les écoles essaient autant d’attirer des jeunes femmes. On leur prête une plus grande maturité, et surtout, plus tôt. On remarque notamment que les entreprises, lorsqu’elles proposent des postes d’expert sécurité légèrement atypiques, qui impliquent entre autres une vision de l’orientation de la politique de sécurité, des rapports avec les fournisseurs, veulent en priorité des femmes dont elles considèrent qu’elles sont les seules à avoir la hauteur de vue nécessaire. Un autre sexisme, mais qui cette fois opère en faveur des jeunes femmes ! Est-ce dire qu’avec plus de jeunes filles, l’enseignement de la sécurité pourrait changer ? Oui.

On constate par exemple que face à une problématique technique, elles privilégient les premiers instants consacrés à la réflexion et à la construction intellectuelle. Ainsi, les solutions proposées sont plus abouties mieux « ficelées » (on parle d’élégance technologique). Il faut le reconnaître, aujourd’hui les filles sont « chouchoutées » dans les formations liées au numérique et plus spécifiquement à la cyber-sécurité ; tout est fait pour entretenir leur motivation et les convaincre que la discipline est passionnante. Seul hic : trop d’entre elles ignorent encore aujourd’hui qu’elles y sont attendues.

Adobe, Cybersécurité, Logiciels, Microsoft, Mise à jour, Patch

Analyse Patch Tuesday Fevrier 2016

Retour à des valeurs normales pour ce Patch Tuesday. Après un démarrage en douceur avec 9 bulletins en janvier, 12 (dont 5 critiques) sont publiés en février, cela correspond à la moyenne de 12,25 bulletins par mois observée l’an dernier.

En fait, il y en aurait même 13, mais le dernier, MS16-022, s’apparente davantage à un changement de packaging. Il concerne un package logiciel pour Adobe Flash dont la mise à niveau est assurée par Microsoft depuis 3 ans et demi sous les versions 10 et 11 d’Internet Explorer. Cette mise à jour était auparavant prise en charge par le seul avis de sécurité KB2755801. Maintenant, elle bénéficie d’un véritable bulletin. Ce nouveau format garantit pour le moins un traitement et un suivi supérieurs. Aucune des vulnérabilités décrites n’est utilisée en aveugle, mais beaucoup sont classées comme facilement exploitables par Microsoft et Adobe si bien que vous devriez les résoudre sans délai. C’est donc le bulletin MS16-022 qui est en tête des priorités de Qualys ce mois-ci.

La mise à jour d’Adobe Flash (APSB16-04) contient des correctifs pour 22 vulnérabilités, toutes classées comme étant « critiques », c’est-à-dire pouvant fournir un contrôle complet de la machine cible à l’attaquant. Les scénarios d’attaque peuvent aussi bien mettre en scène des sites Web compromis mais innocents (certains problèmes récents avec WordPress par exemple) qui redirigent vers des domaines contrôlés par un attaquant malveillant, que du Flash embarqué dans d’autres fichiers (des documents Office notamment) qui cherche un accès via la messagerie électronique. En outre, les attaquants ayant démontré l’an dernier leur intérêt pour les attaques basées sur Flash, ce bulletin fait donc partie des priorités absolues.

Le bulletin MS16-015 arrive en deuxième position sur notre liste. Il résout 7 vulnérabilités Microsoft Office dans Word, Excel et Sharepoint. Les vulnérabilités CVE-2016-0022, CVE-2016-0052 et CVE-2016-0053 dans Word sont toutes au format RTF et peuvent être déclenchées sans interaction de l’utilisateur via le volet de visualisation dans Outlook. Elles sont classées « critiques ». Je suis pour ma part étonné que Microsoft ne propose pas de facteurs de mitigation pour ces dernières et j’en conclus que les changements de configuration spécifiés dans le bulletin MS14-017 continuent de s’appliquer : Lire les courriers électroniques en texte brut dans Outlook et désactiver les fichiers RTF dans Microsoft Word via la politique de blocage de fichiers.

Les autres vulnérabilités de notre liste sont résolues dans le bulletin MS16-009 pour Internet Explorer et dans MS16-011 en ce qui concerne Microsoft Edge. Ces deux publications résolvent respectivement 13 et 6 vulnérabilités dont 7 et 4 de niveau critique. L’exploitation de ces vulnérabilités s’appuierait sur la navigation Web avec redirection vers des sites Web malveillants soit directement, soit par empoisonnement du moteur de recherche qui attire vos utilisateurs vers un site Web piégé, soit via la compromission d’un site a priori légitime, ou encore par inclusion dans un réseau publicitaire. Ce vecteur d’attaque est l’un des plus sensibles pour l’entreprise et nous recommandons de corriger ces vulnérabilités dès que possible.

En janvier Microsoft a mis un terme au support des navigateurs Internet Explorer propriétaires sur chacun de ses systèmes d’exploitation en réservant désormais les mises à jour aux toutes dernières versions des navigateurs sur chaque plate-forme. Les règles exactes sont exposées dans le document sur le cycle de vie de Microsoft, mais pour la plupart des points d’extrémité (Windows 7, 8.1 et 10) cela revient à Internet Explorer 11. Rien d’autre n’est plus supporté et les utilisateurs sont exposés à un vecteur d’attaque qu’il sera difficile d’endiguer à moyen terme.

Le prochain bulletin critique de notre liste, MS16-013, s’intéresse au Journal Windows. Un fichier malveillant avec l’extension .JNL doit être ouvert par l’utilisateur pour déclencher la vulnérabilité. Sous Windows 7, l’extension du fichier peut être dissociée de l’application pour neutraliser l’attaque. Cela se défend en raison du flux constant de patches dans les bulletins MS15-114, MS15-098, MS15-045, etc. qui pourraient être déclassés en empêchant les utilisateurs d’ouvrir ces fichiers.

Le dernier bulletin critique concerne la visionneuse de fichiers Microsoft PDF Reader. Ce lecteur est uniquement disponible sous Windows 8.1, 10 et Server 2012 et le bulletin MS16-012 ne s’applique donc qu’aux versions les plus récentes. Il s’agit d’un premier patch pour ce logiciel et il sera intéressant de voir combien d’autres vulnérabilités les chercheurs en sécurité pourront découvrir. Vous vous souvenez lorsqu’en 2012 Google utilisait sa technologie aléatoire pour s’intéresser à Adobe Reader ? Utilisez-vous la visionneuse de fichiers PDF fournie par Windows ou avez-vous adopté Adobe Reader y compris sur ces plates-formes ?

Ce Patch Tuesday comprend d’autres patches importants. Le système d’exploitation Windows lui-même est corrigé à l’aide des bulletins MS16-014 et MS16-018 tandis que MS16-016 résout la faille liée à l’élévation de privilèges via le service WebDAV, si vous exposez le protocole RDP sur Internet. MS16-017 nécessite cependant d’authentifier l’attaquant au préalable, MS16- 020 comble une faille DoS dans Active Directory et MS16-021 comble une faille du même acabit dans Radius, parmi les autres bulletins intéressants.

Comme toujours, un annuaire précis des logiciels installés permettra de décider où il est utile d’intervenir en priorité. Des mises à jour automatiques, dans la mesure du possible et par exemple sur les machines génériques des utilisateurs qui peuvent également soulager la tâche de l’équipe chargée du déploiement des correctifs. (Qualys)

Argent, Cybersécurité, ID, Identité numérique, Mise à jour, Particuliers, Patch, Phishing, Social engineering

eBay : une inquiétante faille révélée

EBay alerté au sujet d’une vulnérabilité de sa plateforme de vente en ligne qui permet à des cybercriminels de diffuser des campagnes de phishing et des logiciels malveillants.

eBay, le géant de la vente aux enchères et du commerce électronique en ligne, possède des bureaux dans plus de 30 pays et plus de 150 millions d’utilisateurs actifs dans le monde. L’entreprise ayant une clientèle importante, il n’est donc pas surprenant qu’elle soit la cible de nombreuses cyberattaques.

Check Point, éditeur de solution de sécurité informatique, a découvert une grave vulnérabilité dans la plateforme de vente en ligne d’eBay. Cette vulnérabilité permet à un agresseur de contourner la validation de code d’eBay et de contrôler le code vulnérable à distance pour exécuter du code JavaScript malveillant auprès d’utilisateurs ciblés. Sans correction de cette faille, les clients d’eBay continueront d’être potentiellement exposés à des attaques de phishing et de vol de données.

Un agresseur pourrait cibler les utilisateurs d’eBay en leur envoyant une page légitime contenant du code malveillant. Lors de l’ouverture de la page, le code serait alors exécuté par le navigateur de l’utilisateur ou une application mobile, conduisant à plusieurs scénarios inquiétants allant du phishing jusqu’au téléchargement binaire.

Après avoir découvert la vulnérabilité, Check Point en a communiqué les détails à eBay le 15 décembre 2015. Cependant, le 16 janvier 2016, eBay a déclaré n’avoir prévu aucune correction de la vulnérabilité. La démonstration de la méthode d’exploitation est encore disponible en ligne.

Découverte de la vulnérabilité

Roman Zaikin, chercheur de Check Point, a récemment découvert une vulnérabilité qui permet à des pirates d’exécuter du code malveillant sur les appareils des utilisateurs d’eBay, à l’aide d’une technique non standard appelée « JSF**k ». Cette vulnérabilité permettrait à des cybercriminels d’utiliser eBay comme plateforme de phishing et de diffusion de logiciels malveillants.

Pour exploiter cette vulnérabilité, un agresseur a simplement besoin de créer une boutique eBay en ligne, et publier une description malveillante d’un article dans les détails de sa boutique. eBay empêche les utilisateurs d’inclure des scripts ou des iFrames en filtrant les balises HTML. Cependant, grâce à JSF**k, l’agresseur peut créer un code qui va charger du code JS supplémentaire depuis son serveur. Cela lui permet d’insérer du JavaScript qu’il peut contrôler et ajuster à distance, par exemple, pour adapter son attaque à un navigateur différent.

eBay n’effectue qu’une simple vérification, et ne supprime que les caractères alphanumériques des balises de script. La technique JSF**k permet aux agresseurs de contourner cette protection en utilisant un nombre très limité de caractères.

Comme on peut le voir, le message qui apparaît sur l’application eBay (plus précisément dans la boutique de l’agresseur sur le site eBay) incite l’utilisateur non averti à télécharger une nouvelle application mobile eBay en proposant une remise.

L’utilisateur qui appuie sur le bouton « Télécharger », téléchargera à son insu une application malveillante sur son appareil mobile.

« La méthode d’attaque fournit aux cybercriminels un moyen très facile de cibler les utilisateurs en leur envoyant un lien vers un produit très attrayant pour exécuter l’attaque. La principale menace est la diffusion de logiciels malveillants et le vol de données privées. Un agresseur pourrait également proposer une méthode de connexion alternative via Gmail ou Facebook pour détourner des comptes utilisateurs, » précise Oded Vanunu, responsable d’un groupe de recherche chez Check Point. « Check Point reste à l’affût des vulnérabilités dans les applications et les plateformes Internet courantes. En communiquant les menaces au fur et à mesure de leur découverte, nous protégeons l’avenir. »

BYOD, Chiffrement, Cybersécurité, Entreprise, Mise à jour, Patch

Le disque dur de votre imprimante HP peut cacher un logiciel malveillant

Un problème de sécurité informatique visant certaines imprimante HP permet à un pirate de cacher dans la machine des logiciels malveillants.

Chris Vickery, chercheur en sécurité informatique, a découvert un problème dans le fonctionnement de certaines imprimantes HP. La faille concerne les imprimantes HP LaserJet. Il a été révélé que les imprimantes HP LaserJet peuvent être facilement abusés par des pirates informatiques.

Vickery a indiqué que les disques durs de l’imprimante HP LaserJet peuvent être utilisés par des pirates informatiques comme une unité de stockage de données. En cause, le réglage par défaut de l’imprimante qui peut mettre en place un serveur FTP via le Port 9100. Bilan, via l’adresse http://l’ip de l’imprimante/hp/device/nom du fichier les actes malveillants peuvent débuter sans que personne ne puisse s’en rendre compte.

Autant dire qu’il est fortement conseillé de regarder du côté des paramétrages de la machine et du firewall qui protège votre infrastructure. Fermer le port 9100 ne fera pas de mal. Selon Shodan, 20 000 imprimantes sont ainsi exposées de part le monde.

Antivirus, Chiffrement, Cybersécurité, Logiciels, Mise à jour, Patch, Virus

L’outil de sécurité Malwarebytes corrige plusieurs failles de sécurité

Plusieurs failles de sécurité visant le logiciel anti malwares Malwarebytes en cours de correction. Un pirate aurait pu s’inviter entre un client et l’éditeur pour modifier les informations transmissent pour l’éditeur.

Tavis Ormandy est un chercheur en sécurité informatique, membre du Project Zero de Google. Mission, trouver des failles et les faire corriger. L’homme est spécialisé dans les antivirus et logiciels en charge de sécuriser les internautes. Après Avast, AVG, Eset, FireEye, Kaspersky et Trend Micro, Tavis Ormandy vient de secourir les utilisateurs de l’outil Malwarebytes.

Plusieurs failles avaient été découvertes et remontées à l’éditeur en novembre 2015. Malwarebytes vient de corriger une partie des problèmes. L’une des vulnérabilités était le fait que les mises à jour de l’anti codes malveillants se faisaient via un HTTP non chiffré.

A noter que l’entreprise a lancé son bug bounty permettant de payer les failles qui lui seront remontées. Prix maximum, 1.000 dollars. Autant dire qu’ils ne vont pas avoir beaucoup de participants. Un 0day pour un antivirus se commercialise plusieurs milliers de dollars dans le blackmarket !

Apache, Cybersécurité, Logiciels, Mise à jour, Patch, Tor

Quand un serveur Apache permet de surveiller un site TOR

Cacher un site Internet via TOR est simple. Au lieu d’un 92829.com, vous vous retrouvez avec un 92829.onion. Impossible, normalement, de trouver la moindre information sur l’hébergement, le propriétaire. Sauf si ce dernier les donne ou utilise un serveur Apache mal configuré.

Shaun, chercheur en sécurité informatique, vient d’expliquer sur son blog, comment il devient simple de remonter à un serveur caché sous TOR à partir d’un problème de configuration d’Apache. L’inventeur de la « faille » indique qu’il faut désactiver « mod_status » avec l’instruction: $ a2dismod status. Dans la plupart des distributions Apache proposées, « mod_status » est activé d’origine. Bilan, les informations sur le serveur s’affichent. Un outil accessible uniquement depuis localhost. Ca c’est pour la sécurité. Sauf que si le daemon Tor tourne en localhost, les sites, forums, blogs tournant en .onion affichent leurs statistiques, les liens exploités, … Il suffit de taper, dans le navigateur TOR http://your.onion/server-status pour savoir si votre site, blog, forum est en danger.

Argent, Cyber-attaque, Cybersécurité, ID, Identité numérique, Leak, Mise à jour, Particuliers, Patch, Piratage, Social engineering

Des clients de Neiman Marcus piratés

Le détaillant de produits de luxe Neiman Marcus Group a informé certains de ses clients du piratage informatique de leur compte. Les pirates ont utilisé la méthode du dictionnaire de mots de passe.

Selon la compagnie Neiman Marcus Group, des cybercriminels ont utilisé une attaque automatisée pour tester diverses combinaisons de logins et mots de passe sur les sites de l’entreprise : Neiman Marcus, Last Call, Bergdorf Goodman, Horchow… Un brute force qui aurait débuté vers le 26 Décembre.

La société a déclaré que les pirates avaient réussi à accéder à environ 5 200 comptes. Neiman Marcus Group précise que ce vol n’est pas dû au piratage de son serveur. Il aurait pu rajouter que cela avait été possible en raison de la faiblesse de son outil de gestion des mots de passe [refuser les informations placées dans le formulaire d’inscription ; refuser mot de passe de moins de 10 signes ; refuser un mot de passe sans chiffres, majuscules et autres signes de ponctuation…).

Les internautes ciblés sont aussi fautifs. Il y a de forte chance que les informations utilisées par les pirates provenaient de bases de données déjà piratées. Les contenus (mails, logins, mots de passe) réutilisaient sur d’autres espaces web.

Ce n’est pas la première fois que les clients de Neiman Marcus sont ciblés par des cybercriminels. En Janvier 2014, la société révélait le vol d’au moins 1,1 million de cartes de paiement de ses clients à l’aide de lecteurs de cartes bancaires (POS) piégés par des logiciels malveillants. 350 000 cartes auront effectivement été exploitées par les malveillants.

Cybersécurité, Espionnae, ID, Identité numérique, Mise à jour, Particuliers, Patch

Qwant, en déploiement expérimental dans l’administration Française

Le moteur de recherche français et européen Qwant est actuellement en déploiement expérimental au sein de l’administration française.

Dans le cadre des discussions parlementaires relatives au projet de loi pour une République numérique qui se sont tenues le 21 janvier 2016, Madame Axelle Lemaire, Secrétaire d’État chargée du numérique, a déclaré, interpelée par Patrice Martin-Lalande, Député (LR) au sujet de l’accès de l’ensemble des agents de la fonction publique au libre choix de leur moteur de recherche : « […] Nous l’avons [mis] en œuvre à Bercy, à ma demande […] Nous avons procédé au déploiement expérimental du moteur de recherche Qwant, qui met en avant la protection des données personnelles et le respect de la vie privée de ses utilisateurs. Nous avons demandé aux agents, sans naturellement les y obliger, d’utiliser par défaut ce moteur de recherche et l’analyse de leurs retours d’expérience est très intéressante. Comme vous le voyez, c’est dans une démarche d’encouragement que nous nous inscrivons plutôt que dans une démarche d’obligation. »

Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Mise à jour, Patch, Sauvegarde

Cinq impératifs de sécurité à l’intention des nouveaux utilisateurs du Cloud

Apple, Amazon et Microsoft sont trois géants de la technologie et de véritables références en matière de fourniture de services cloud. Mais ils ont aussi comme point commun d’avoir été la cible de hackers plutôt virulents…

Le piratage Apple (le “celebgate”) a abouti à la divulgation de photos très personnelles de certaines célébrités qui utilisaient iCloud, une mésaventure qui a fait la une de nombreux médias l’année dernière. Au Royaume-Uni, le fournisseur technologique Code Spaces a tout simplement baissé le rideau en 2014, après avoir été la cible de maîtres chanteurs qui ont, au final, supprimé des données essentielles sur l’environnement de stockage cloud de l’entreprise basé sur Amazon Web Services. En 2013, un certificat SSL expiré au sein du cloud Azure de Microsoft permettait à des hackers de mettre à l’arrêt plusieurs services cloud, dont Xbox Live.

Les risques en matière de sécurité du Cloud sont à la hausse, tandis que les attaques ont progressé à un rythme effréné : +45% en glissement annuel selon le spécialiste de la sécurité Alert Logic. Au cours des 5 prochaines années, les entreprises devraient investir 2 milliards de dollars pour renforcer leurs défenses Cloud, selon Forrester Research.

Ce sont les primo-utilisateurs du cloud qui connaissent le plus grand risque, car peu familiers à ce nouvel environnement et confrontés à des méthodes différentes pour gérer les utilisateurs, les données et la sécurité. À leur intention, voici cinq règles d’or qui encadrent (et sécurisent) toute migration vers le Cloud.

1. Apprenez à mieux connaître les environnements Cloud
Tout projet cloud est tripartite, avec pour parties prenantes le fournisseur de la plateforme cloud, le fournisseur du service réseau et l’entreprise cliente. Le Cloud doit être pensé en tant qu’extension du centre de données de l’entreprise, d’où certaines questions : peut-on déployer des règles et services de sécurité communs aux trois domaines ? Quels sont les risques en matière de sécurité ?

Avant de sélectionner votre fournisseur cloud, interrogez-le sur les services de sécurité proposés et les éditeurs/constructeurs avec lequel il collabore. Le cloud est un environnement dynamique qui implique des mises à jour régulières de l’architecture de sécurité pour pouvoir neutraliser les menaces les plus récentes. Quels sont les outils, fonctions et méthodes de sécurité en vigueur pour s’immuniser contre les nouveaux types de menaces et les vulnérabilités zero-day ?

Pensez également à vous familiariser avec les modèles de sécurité partagée. Identifiez précisément les responsabilités de votre fournisseur cloud, ainsi que les vôtres. Pour certains types de cloud, les IaaS notamment, l’entreprise cliente est responsable de la sécurité de ses applications et données dans le cloud. Il est également essentiel d’identifier les appliances de sécurité et technologies proposées par le fournisseur de services cloud ou autorisées à être déployées pour assurer une sécurité optimale.

2. Nouvelles applications, nouvel arsenal de sécurité
Prêt à migrer une application dans le cloud ? Mais avant, interrogez-vous sur l’intérêt de déployer des couches de sécurité dédiées aux processus d’authentification et de connexion à vos applications cloud.

Pour sécuriser l’accès à votre application cloud, vous devez déployer un schéma d’accès granulaire aux données, qui, par exemple, associe des privilèges d’accès à des rôles, des postes ou des projets. Vous disposez ainsi d’une couche supplémentaire de protection lorsque les assaillants détournent les identifiants de connexion de vos collaborateurs.

Le détournement d’un compte est une exaction plutôt simple mais il constitue encore à ce jour, selon la Cloud Security Alliance, une menace virulente qui pèse sur les utilisateurs du cloud. Pour renforcer votre processus d’authentification, pourquoi ne pas adopter l’authentification à deux facteurs ou l’utilisation des mots de passe OTP (à usage unique) ? Autre bonne idée : obliger les utilisateurs à modifier leurs identifiants de connexion dès leurs premières authentifications à une application.

3. Optez pour le chiffrement
Le chiffrement des données est l’un de vos meilleurs alliés dans le cloud et doit d’ailleurs être obligatoire pour les transferts de fichiers et les emails. Bien sûr, le chiffrement ne préviendra pas les tentatives de piratage, mais il immunisera votre entreprise face au lourd impact financier lié aux amendes réglementaires infligées en cas de piratage avéré et de divulgation de données.

Interrogez ainsi votre fournisseur cloud sur les options de chiffrement disponibles. Identifiez comment les données sont chiffrées lorsqu’elles sont stockées, utilisées et transférées. Pour identifier le périmètre des données à chiffrer, il est essentiel de les localiser, qu’elles soient hébergées sur les serveurs de votre fournisseur cloud ou d’un tiers, les ordinateurs portables des collaborateurs, les PC fixes ou encore des dispositifs amovibles de stockage.

4. Maîtrisez le virtuel
En migrant vers le Cloud, les entreprises capitalisent sur les avantages de la virtualisation, mais un environnement virtualisé présente des défis spécifiques en matière de protection des données. La principale problématique ? La gestion de la sécurité et des échanges de données au sein de ces espaces virtualisés et mutualisés.

Les appliances physiques de sécurité ne sont pas conçues pour gérer les données dans le cloud. D’où l’intérêt de se pencher sur les appliances virtuelles pour sécuriser le trafic entre machines virtuelles. Ces appliances sont conçues pour simplifier la gestion de multiples instances d’applications et d’environnements mutualisés.

Elles permettent ainsi aux entreprises de contrôler plus précisément la sécurité de leurs données dans le Cloud. Demandez à votre fournisseur cloud comment il s’y prend pour sécuriser ses environnements virtualisés et découvrez quelles sont les appliances de sécurité virtuelles déployées. Si vous mettez en place votre propre cloud privé ou hybride, il est préférable de choisir des produits de sécurité virtualisés qui permettent un contrôle le plus fin de la sécurité.

5. Ne restez pas dans l’ombre du Shadow IT
Les anecdotes et exemples sont nombreux pour illustrer les cas d’utilisation non autorisés d’applications et de services cloud, ce qu’on appelle le Shadow IT, plus présent en entreprise qu’on ne le croirait. Cette activité regroupe les projets, outils ou services de communication existants au sein d’une organisation, mais sans approbation de la DSI. Le Shadow IT est donc, par définition, non contrôlé, ce qui constitue une certaine menace dont les impacts sont lourds en matière de gouvernance.

Votre application qui a récemment migré vers le Cloud connaît ainsi des risques. Considérez ce scénario dans lequel un collaborateur ouvre un fichier sur son smartphone. Il est probable qu’une copie du fichier soit réalisée et envoyée pour stockage vers un espace en ligne non approuvé et qui accueille les sauvegardes automatiques du téléphone. Et voilà des données de l’entreprise, jusqu’à présent sécurisées, qui se retrouvent dans un cadre non sécurisé.

Interdire le Shadow IT et les accès aux données et applications induits ne freinera sans doute pas cette pratique au sein d’une organisation. Il est plus intelligent de sensibiliser les utilisateurs et de miser sur la technologie pour régler cette problématique. Justement, le chiffrement des données, le monitoring réseau et les outils de gestion de la sécurité protègent vos applications cloud des risques liés au Shadow IT. (Christophe Auberger, Directeur Technique France chez Fortinet)

Android, Cybersécurité, Entreprise, Fuite de données, ios, Mise à jour, Patch, Sécurité, Smartphone, Téléphonie, Windows phone

Que faire face à la déferlante des applications mobiles ?

Dans les entreprises, l’engouement pour les applications mobiles, couplé au phénomène BYOD (Bring Your Own Device), impose de sécuriser les systèmes et données en instaurant une gestion des certificats numériques.

Les acteurs opérant dans le secteur informatique depuis au moins 20 ans auront observé une quantité astronomique de changements. Si chacun d’eux est nécessaire, certains se révèlent plus intéressants que d’autres. L’essor des applications mobiles, en l’occurrence, représente incontestablement l’une des déferlantes frappant de plein fouet le monde de l’entreprise.

S’agissant des applications mobiles grand public, comme celles axées sur les jeux vidéo et les réseaux sociaux, les failles de sécurité sont aisément repérables dès lors que vous possédez un bagage dans le domaine. Étant donné que les développeurs d’applications mobiles sont, au contraire, très peu versés dans la sécurité, il est à craindre qu’ils exposent leurs applications à des risques dont ils n’ont pas même conscience. Personnellement, je m’intéresse à la composante Infrastructure à clé publique depuis le début de ma carrière, à l’époque où je participais au développement de logiciels pour l’Administration américaine. De ce fait, la sécurité a toujours été ma priorité. Et l’une des premières questions que je me suis efforcé d’élucider, au moment de l’éclosion des applications mobiles, a été la suivante : qui est chargé de diffuser et de gérer les certificats de sécurité des mobiles ?

La sensibilisation à la problématique de sécurité des applications mobiles s’est généralisée, consécutivement aux récents incidents liés aux certificats qui ont attiré l’attention des consommateurs. Des tas de buveurs de café ont ainsi supprimé leurs applications mobiles Starbucks à la suite de piratages qui ont exploité les failles de sécurité de l’entreprise pour accéder directement aux comptes bancaires des clients. Dans le même registre, des contrôles de certificats défaillants sur l’application Télé-Accès OnStar ont permis à des pirates de localiser, déverrouiller et même démarrer à distance des véhicules GM, d’où une certaine réticence de la part des propriétaires de véhicules de cette marque à utiliser l’application mobile du constructeur. General Motors a résolu le problème, contrairement à nombre de ses concurrents qui semblent l’ignorer ; récemment, un pirate a exploité exactement la même faiblesse de certificat dans les applications iOS pour BMW, Mercedes et Chrysler.

Des problèmes de ce genre montrent à quel point les clés et certificats numériques sont essentiels ; de fait, ils constituent le fondement même de la sécurité pour tous les équipements connectés. Néanmoins, sachant que même les entreprises les plus prudentes développent aujourd’hui des applications pour mobiles, assurer leur suivi est devenu une véritable gageure. Au moment où j’écris ces lignes, ces acteurs continuent à divulguer des informations qu’ils réservaient auparavant à leurs propres réseaux. Et, pour compliquer encore davantage la donne de la sécurité mobile, avec la révolution BYOD, les salariés accèdent aux informations de l’entreprise au moyen d’équipements qui échappent à leur contrôle. Autant d’aspects qui ont véritablement rendu plus délicate la vérification des certificats numériques. Tant que cette situation n’évoluera pas, les cybercriminels détourneront les certificats numériques pour mettre à profit les données résidant sur terminaux mobiles, qu’elles appartiennent à l’entreprise ou à ses collaborateurs, tout simplement parce que cette opération est un jeu d’enfant.

Pour empêcher ce scénario, les développeurs d’applications mobiles doivent être en mesure de sécuriser et de protéger leurs clés cryptographiques et certificats numériques. Les entreprises doivent avoir recours à des outils de cybersécurité permettant aux développeurs de découvrir et contrôler des certificats sur des appareils mobiles. À l’instar du système immunitaire qui assure la défense de l’organisme en repérant les agents pathogènes et les anomalies, ces outils surveillent les appareils mobiles en réseau pour détecter les certificats porteurs d’anomalies et de risques et les révoquer aussitôt. Ils s’intègrent également avec la plupart des solutions de gestion de flotte mobile (MDM) pour aider les entreprises à mettre en œuvre des règles qui leur permettront de se maintenir à flot sur un océan de réglementations et d’impératifs sécuritaires. (Par Hari Nair, Director, Product Management chez Venafi)