Archives de catégorie : Securite informatique

Cybersécurité, Securite informatique

Happy Birthay virus ILOVEYOU

Le virus ILOVEYOU vient de fêter ses 20 ans. Le microbe numérique avait infecté 10 % des ordinateurs connectés à travers le monde à une époque ou les gens pensaient que les cyber malveillances n’arrivaient qu’aux autres. I Love You se faisait passer pour une lettre d’amour.

Aujourd’hui, les logiciels malveillants peuvent se propager vite, beaucoup plus rapidement que le virus ILOVEYOU il y a 20 ans, mais la situation n’est plus la même : à l’époque, personne n’avait vu un fichier .vbs (script de visuel basique) utilisé à des fins malveillantes, ce qui a poussé de nombreuses personnes à cliquer dessus. En outre, du point de vue de l’infrastructure, les réseaux affectés à l’époque – dont ceux de gouvernements et d’entreprises – n’avaient rien de comparable à ceux d’aujourd’hui. Il avait donc suffi qu’un seul réseau soit compromis pour que tout s’effondre. Enfin, l’emails était le seul outil de communication numérique utilisé par les entreprises ; il n’y avait pas d’applications de chat destinées aux professionnels, comme Slack. Les entreprises victimes s’étaient donc retrouvées complètement isolées. Les fournisseurs d’antivirus avaient dû envoyer des instructions par fax à leurs clients désespérés, car ces derniers ne pouvaient plus recevoir d’emails et le trafic généré par le virus pour se répandre les obligeait à se déconnecter totalement. Aujourd’hui, il n’est plus étonnant de voir cliquer sur un PDF, un Word, un Excel sans même vérifier la source de diffusion.

Suite à ILOVEYOU, nous avions vu des vers se propager beaucoup plus rapidement sans interaction avec les utilisateurs, affectant des millions de personnes à travers le monde. Cependant, les réseaux sont restés solides lors de ces attaques, notamment contre Blaster.

Aujourd’hui, le risque est ailleurs. Il y a des milliards d’appareils connectés à Internet. Pour qu’un ″ver malveillant″ se propage largement et rapidement, les malwares exploitent désormais une vulnérabilité qui leur permet d’infecter et de se propager sans interaction avec l’utilisateur, de la même manière que Wannacry. Un ver tirant parti de multiples vulnérabilités de l’Internet des Objets (IoT), par exemple, pourrait provoquer une attaque mondiale, ciblant à la fois les particuliers et les entreprises.

Iloveyou… to

La clé pour empêcher toute attaque est la sécurité. Windows était très vulnérable dans le passé, mais est désormais beaucoup plus sûr. Néanmoins, des personnes malveillantes continueront de découvrir des vulnérabilités et des risques dans le système d’exploitation Windows et tenteront donc d’en tirer profit. En ce qui concerne les appareils IoT, la plupart sont au stade de Windows 95 en termes de sécurité. Cette dernière est rarement prise en compte lorsqu’ils sont conçus. Par conséquent, le logiciel des objets connectés, la transmission des données et la sécurité des ports sont tous vulnérables.

De plus, une attaque peut être déclenchée par un utilisateur qui ouvre simplement un email, ou clique sur un lien, par phishing. Nous avons vu des cas où l’ouverture d’un lien malveillant par un utilisateur a compromis le routeur du réseau. Cela pourrait ouvrir plus de portes dérobées au système de l’utilisateur ou rediriger les sessions de navigation vers des sites Web malveillants ; qui peuvent alors élargir les menaces, allant du ransomware aux voleurs de mots de passe, et rechercher plus de victimes potentielles sur Internet.

La motivation des attaques a considérablement changé au cours des deux dernières décennies. Le premier virus que j’ai rencontré était Michel-Ange en 1991, qui a écrasé les cent premiers secteurs d’un disque dur, rendant la machine incapable de démarrer. Alors qu’à l’époque les virus ressemblaient davantage à des concepts et à une source de fierté pour leurs auteurs, le paysage des menaces est aujourd’hui une machine à sous bien huilée, visant les entreprises avec des ransomwares et des services bancaires pour voler de l’argent, ainsi que des fake news pour soutenir la propagande, ou encore des cyberguerres parrainées par des États.

Les appareils connectés ont élargi significativement la surface d’attaque, prête à être utilisée à mauvais escient. Nous sommes maintenant connectés 24 heures sur 24, 7 jours sur 7, ce qui laisse ces appareils disponibles pour une attaque à tout moment. Ceci, combiné au nombre important d’appareils vulnérables dotés d’une faible sécurité, rend inévitable une attaque à grande échelle. Le chaos mondial commence toujours par une faille largement présente. Nous avons vu ces dernières années une explosion massive d’attaques menées au niveau du microprogramme (firmware) des objets connectés ou des ordinateurs, et sans interaction avec l’utilisateur ; comme VPNFilter ou encore LoJack, des attaques visant le firmware du moteur de gestion d’Intel. En effet, ces attaques restent généralement indétectables, car difficiles à identifier par les utilisateurs non avertis.

J’ajouterais également que la sensibilisation des utilisateurs aux menaces courantes, à quoi elles ressemblent et comment les gérer est essentielle pour empêcher les attaques ; de même que se tenir au courant des problèmes de sécurité et d’utiliser des solutions adéquates. L’industrie de la sécurité, bien sûr, est responsable de la protection des personnes en améliorant les mécanismes de détection des produits de sécurité, en fournissant diverses solutions et en sensibilisant les utilisateurs.

Cependant, il revient aussi à ces derniers de se renseigner sur la cybersécurité et d’appliquer les bonnes pratiques pour se protéger. Il est également particulièrement important qu’ils soient en mesure de prendre du recul et la bonne décision lorsqu’ils sont confrontés à une tentative d’arnaque par ingénierie sociale, susceptible de conduire à l’installation de malwares ou au vol d’informations sensibles.

Cybersécurité, Securite informatique

Sécuriser ses données chiffrées en entreprise

Soucieuse de ses dossiers privés, chaque entreprise doit mettre en place un dispositif de sécurisation des données chiffrées. Cette mesure essentielle réduit les éventuels risques de perte, de vol et de cyberattaque informatique. Diverses solutions à la pointe de la technologie sont proposées au profit des entreprises, permettant ainsi une sécurisation optimale des dossiers importants. Zoom sur le sujet !

Adopter une stratégie de protection des données informatiques

Les données importantes d’une entreprise peuvent être exposées à divers dangers. Cela inclut les mauvaises manipulations, les virus, les cyberattaques et les sinistres (incendie, vol…). Dans tous les cas, les dossiers importants doivent être protégés afin d’éviter une utilisation malveillante des données.

Créer un mot de passe complexe

Supposons que votre entreprise traite des données chiffrées importantes sur un projet de grande envergure. Par exemple, imaginons que votre travail consiste à effectuer des devis et des factures au nom d’un ou de plusieurs clients importants. Pour mener à bien cette tâche, vous pouvez par exemple utiliser un logiciel de devis gratuit récupérable sur les plateformes en ligne spécialisées et qui traitera les données chiffrées confidentielles sur votre ordinateur professionnel.

Cependant, imaginez que votre ordinateur ne soit pas protégé par un mot de passe assez compliqué et que les données tombent entre les mains de personnes malveillantes ou d’une société rivale. Ce schéma n’est pas un cas isolé. La preuve, même les grandes sociétés peuvent être confrontées à ce genre de problème informatique. C’est pourquoi il est essentiel, voire impératif, de protéger chaque ordinateur de l’entreprise en créant des mots de passe complexes pour éviter le risque de piratage.

Installer des logiciels de protection efficaces

Les logiciels de protection doivent être une priorité pour les pôles maintenance et informatique de votre entreprise. L’idée est de choisir un outil de qualité et performant qui sera installé sur chaque ordinateur. Antivirus, antispyware, antimalware… Plusieurs alternatives s’offrent à vous.

Une chose est sûre : ces logiciels préserveront vos données (dont les factures et devis) des dangers externes que l’on peut rencontrer via internet ou les périphériques utilisés.

Contrôler l’utilisation du réseau

Vous avez le droit de contrôler l’usage du réseau internet de vos employés. En effet, il n’est pas rare que des entreprises limitent l’accès aux sites web à risque. Certaines interdisent même toute forme de téléchargement qui ne relève pas du domaine de travail de l’employé.

Ce contrôle du réseau s’avère particulièrement nécessaire si vous conservez des informations strictement confidentielles qui ne doivent en aucun cas être dévoilées.

Toutefois, les employés concernés par cette restriction doivent être informés de cette politique de contrôle du réseau, et ce, pour éviter les malentendus. N’hésitez pas non plus à sensibiliser votre personnel sur l’importance de la protection des données.

Mettre en place un système de contrôle physique des accès

Toutes les entrées et les sorties dans le local de la société doivent être contrôlées et enregistrées à l’aide d’un système de surveillance performant. Là encore, de multiples possibilités s’offrent à vous.

Investir dans la vidéosurveillance

Les systèmes de vidéosurveillance permettent d’enregistrer tous les mouvements ainsi que les va-et-vient au sein de la société. On peut aussi s’en servir pour identifier de manière efficace les tentatives de piratage et/ou de vol.

L’astuce est d’installer une caméra dans toutes les pièces importantes, surtout celles qui renferment les data. Ainsi, aucune personne ne sera à l’abri de la vidéosurveillance, de jour comme de nuit.

Noter les entrées et les sorties dans vos locaux

Votre entreprise emploie plus d’une cinquantaine de personnes ? Pour sécuriser au mieux vos données chiffrées, mieux vaut noter l’arrivée et la sortie de chacun de vos collaborateurs. Pour ce faire, utilisez une pointeuse. Notons que ce dispositif relève avant tout de l’organisation du personnel.

Aussi appelée badgeuse, la pointeuse se révèle très utile pour renforcer la sécurité des dossiers importants et des données chiffrées au sein de l’entreprise. En effet, à l’aide de ces badges biométriques, vous aurez un aperçu global et détaillé des mouvements de tous vos salariés.

Recourir aux services d’une agence de gardiennage

Toute société n’est jamais à l’abri des vols ainsi que des différentes tentatives d’effraction. Le seul moyen de ne pas être entièrement exposé est de prévenir cette situation à l’aide de différentes stratégies. Les services de gardiennage peuvent être nécessaires pour protéger les lieux et surtout le matériel. Ce service est particulièrement indispensable la nuit, voire juste après les heures de travail.

Créer un système de sauvegarde

Si l’on veut que l’entreprise prospère sur tous les plans, il est impératif de prévoir les meilleurs comme les pires scénarios. Afin d’avoir un contrôle complet sur les données émises par la société, il faut penser à un système de sauvegarde. Voici quelques exemples.

Le stockage des données sur un disque dur externe

Tous les fichiers lourds doivent être copiés et stockés sur un disque dur externe. Celui-ci ne doit être fourni à aucun tiers et sera conservé dans un lieu sûr, loin des regards des employés ou des partenaires/associés. Autrement dit, l’employeur sera le seul détenteur des matériels informatiques de sauvegarde. Vous aurez donc la lourde responsabilité de sécuriser les données importantes concernant votre entreprise et ses clients.

L’utilisation de clés USB

Les clés USB arborent le même principe de fonctionnement que les disques durs externes. La seule différence est qu’elles disposent de moins d’espace de stockage. En effet, si vous avez besoin de placer un dossier ou un fichier dans un lieu sûr, vous pouvez l’enregistrer sur votre clé USB.

Par contre, pour les données essentielles, qui sont assez volumineuses, il est conseillé d’utiliser un disque dur avec une capacité de stockage plus élevée.

Acheter un ordinateur dédié uniquement à la sauvegarde

Ce système est adopté par plusieurs entreprises travaillant sur des données chiffrées importantes et de grande taille. En effet, en investissant dans un ordinateur uniquement dédié à la sauvegarde, vous permettez un stockage plus étendu des informations.

Cette stratégie est de loin la plus efficace en termes de stockage de données. Toutefois, elle est soumise à certains prérequis. Par exemple, vous devez installer des dispositifs de protection très performants sur cet ordinateur. Il faudra aussi penser à un maximum de protection contre les crashs et les pannes.

Cybersécurité, Securite informatique

COMMENT EVITER ET DÉTECTER LA FALSIFICATION DE FICHIERS ?

Dans le secteur de la justice, les entreprises travaillent sur des affaires particulièrement délicates et importantes. Le risque que certains fichiers soient falsifiés est important car cela les rendrait inutilisables aux yeux de la loi. Les entreprises de l’industrie juridique doivent donc surveiller de près les dossiers sensibles ainsi que contrôler et limiter les accès.

C’est le cas de cette division d’un organisme gouvernemental d’application de la loi qui a décidé d’utiliser FileAudit afin de protéger ses fichiers et dossiers sensibles.

Découverte de cet outil qui permet de sécuriser certains éléments de votre informatique professionnel.

Securite informatique

CDN et DDoS : Ne pas mettre tous les œufs dans le même panier

Les réseaux de diffusion de contenu, les Content Delivery Network (CDN) ont été conçus pour optimiser les performances en matière de distribution de contenus sur Internet et pour optimiser les coûts de bande passante pour celui qui produit ce contenu, afin de faire face à des demandes de plus en plus nombreuses, et à une volumétrie de données à fournir, en forte croissance. Nous entendons souvent l’argument que la protection contre les attaques DDoS fournie par un CDN est LA solution permettant de se protéger : Voyons sur quoi se base cet argument.

En simplifiant, un CDN est constitué d’un ensemble de serveurs interconnectés, largement distribués du point de vue géographique et mais aussi logique au sein du maillage de l’Internet. Le CDN utilise ces serveurs distribués pour cacher le contenu de leurs clients et le diffuser à leurs utilisateurs. Une utilisation astucieuse du routage permet de s’appuyer sur les « caches » les plus proches de chaque client, permettant une livraison plus rapide du contenu, et d’éviter ainsi de consommer des ressources – y compris la bande passante – du serveur d’origine hébergeant le contenu original.

Quand un client demande une première fois une ressource – une image ou une page web, le CDN doit chercher ce contenu auprès du serveur d’origine pour servir le client. Par contre, à partir de ce moment, la ressource reste « en cache », distribuée au sein du CDN, afin de servir toute nouvelle demande, par n’importe quel client, à partir de ces caches.

Les CDN cachent typiquement le contenu statique, qui ne change pas, comme justement les images d’un site web. Cependant, les CDN ne peuvent pas ou sont plus limités en leur capacité de cacher du contenu dynamique, comme les informations concernant les stocks et les commandes d’un site de vente.

Le contenu dynamique typiquement hébergé par le site d’origine. Le site d’origine sollicité, non pas par ses utilisateurs, mais par le CDN, d’une part pour du contenu statique pas encore caché et d’autre part pour le contenu dynamique, qui ne peut pas être caché.

CDN ET PROTECTION CONTRE LES ATTAQUES DDOS

De par sa nature, le CDN dispose des mécanismes qui peuvent être utiles en face d’attaques par déni de service distribuée. Par exemple, un CDN dispose souvent de ressources importantes en termes de capacité réseau et de serveurs, lui permettant souvent tout simplement d’absorber une quantité plus importante de requêtes que le serveur d’origine.

De plus, par les mêmes mécanismes de distribution et de routage qui lui permettent de distribuer la charge des utilisateurs, les attaques distribuées amenées à viser non plus une cible unique, mais une cible distribuée en fonction de la localisation de chaque source d’attaque.

« THE DEVIL IS IN THE DETAILS »

Par contre, malgré ces couches de protection utiles, le fonctionnement même d’un CDN peut ouvrir de nouveaux vecteurs d’attaque ou rendre la défense du serveur d’origine plus

difficile. Par exemple, si une attaque, faisant usage d’un botnet, sollicite un site web pour des ressources non-existantes, et donc non-cachées, cela peut amener le CDN à solliciter à son tour le serveur d’origine à répétition pour ces ressources et provoquer une condition de déni de service pour le serveur d’origine.

En plus, l’attaque vue par le serveur d’origine semble provenir du CDN lui même ! Dans cette situation, il peut être difficile au serveur d’origine de se protéger car le CDN est en même temps l’origine de l’attaque et des requêtes légitimes: Des approches simples s’appuyant sur le blacklisting des sources au niveau du serveur d’origine ne peuvent plus être utilisées dans ce cas.

D’autre part, il ne faut pas oublier que les protections fournies par le CDN ne couvrent que le contenu caché. Le serveur d’origine, ainsi que plus généralement, l’entreprise à qui le site appartient, aura probablement besoin d’une connectivité fonctionnelle. Au-delà du serveur d’origine qui doit pouvoir fournir le contenu non-caché et dynamique pour le CDN, le service aura peut-être besoin d’interagir avec d’autres sites, l’entreprise de pouvoir envoyer et réceptionner des emails, ses équipes d’accéder aux services de Voix sur IP ou de se connecter à Internet d’une manière générale pour accéder à des services cloud comme Google GSuite ou Microsoft Office 365.

Tout cela nécessite que des services on-site ou à minima l’accès Internet de l’entreprise, qui ne peuvent pas être protégés par un CDN, continuent à fonctionner.

Protections de type volumétriques

De plus, en fonction du CDN, les protections fournies limitées aux protections de type volumétriques, alors que des attaques applicatives plus sophistiquées risquent de traverser le CDN et d’atteindre le site d’origine. En somme, la situation est souvent bien plus complexe qu’imaginée au premier abord.

Premièrement, il est important de bien comprendre le fonctionnement, pas seulement de son site Internet, mais de son entreprise dans sa globalité et d’effectuer une analyse de risque pour identifier les différentes menaces. Ensuite, selon les risques impliquant la disponibilité et/ou la qualité de service des communications, des services réseau et/ou des applications, il peut être utile de s’appuyer sur des fonctionnalités de protection fournies par son CDN – potentiellement plus capables pour des grosses attaques volumétriques – ou utiliser des protections plutôt de type « On-Premise », potentiellement plus précises et capables pour des attaques applicatives.

Souvent une protection optimale implique une protection hybride, combinant la précision et rapidité d’une solution « On-Premise », avec des capacités volumétriques suffisamment élevés proposées par un fournisseur de service de mitigation.

Dans certains cas le CDN peut-être un composant adapté, dans d’autres vous aurez besoin d’une capacité de protection volumétrique importante capable aussi à protéger votre site local. (Par Jouni Viinikka, Directeur R&D chez 6cure ; Frédéric Coiffier, Ingénieur Développement Logiciel chez 6cure)

Securite informatique

Hausse de la cybercriminalité, pourquoi protéger sa PME ?

Depuis quelques années maintenant, le constat est sans appel : la cybercriminalité est en constante hausse. Si l’on entend souvent parler des attaques à l’encontre de grands groupes internationaux, les PME sont également exposées. Ces dernières sont même aujourd’hui des cibles de choix pour les cybercriminels. Il est donc devenu une véritable nécessité pour les PME de se protéger contre ces criminels informatiques. Mais quels sont donc les risques qui menacent les PME et quels sont les moyens disponibles pour s’en prémunir efficacement ? Découvrez des éléments de réponse dans cet article.

Le phishing et le spear-phishing

Également connu sous le nom de « hameçonnage », le phishing est une méthode utilisée par les cybercriminels pour extorquer des données confidentielles et sensibles, souvent des coordonnées bancaires. Le but étant dans la plupart des cas de récupérer une grosse somme d’argent. Pour ce faire, les pirates informatiques envoient des mails d’apparence officielle et fiable. Cependant, il arrive qu’ils fassent également apparaître des fenêtres pop-up.

Quant au spear-phishing, il s’agit d’un hameçonnage très ciblé. Les cybercriminels prennent le temps de créer des messages personnels et pertinents. Pour duper leurs cibles, ils usurpent une adresse électronique et falsifient la section « de » de l’e-mail. Ils peuvent également cloner des sites web.

Pour lutter contre ce type d’attaques, la prudence reste la meilleure solution. Demandez à l’ensemble de votre personnel de bien analyser tous les mails qu’ils reçoivent avant de les ouvrir pour détecter tout mail frauduleux. Si les mails contiennent des liens, déplacez le curseur sur les liens avant de cliquer dessus. Vous pourrez ainsi voir vers quelles pages ils mènent. Toutefois, vous pouvez également recourir aux services d’Oppens, le coach cybersécurité des entreprises, pour sensibiliser et tester vos salariés.

Le pharming

Dans le cadre d’un phishing et d’un spear-phishing, les mails sont utilisés comme appât. Cependant, il arrive que les cybercriminels n’utilisent pas d’appât. On parle dans ce cas de pharming, autrement dit d’hameçonnage sans appât. Ce sont alors des malwares — programmes malveillants (virus, vers informatiques, chevaux de Troie) — qui sont utilisés à la place des mails. Lorsque ces malwares sont installés sur un ordinateur de votre PME, ils vous redirigent vers un site cloné où les cybercriminels vous extorqueront vos données personnelles.

Pour lutter contre le pharming, il est vivement recommandé d’installer un antivirus efficace et de vérifier régulièrement le certificat de sécurité des pages. Vérifiez également que le site sur lequel vous être redirigé est sécurisé et pour limiter les risques, choisissez toujours un fournisseur d’accès internet de confiance et reconnu. Si vous suspectez la présence d’un malware, détectez-le et détruisez-le avec votre antivirus. N’effectuez aucune transaction bancaire en ligne. Si vous avez des doutes, contactez par téléphone votre banque et demandez à votre conseiller de procéder à la modification de vos codes et autres mots de passe.

L’ingénierie sociale

Dans le cadre d’une telle attaque, le cybercriminel use de ruses pour gagner la confiance d’une personne de votre entreprise afin de lui soutirer par la suite des données et des informations sensibles telles qu’un mot de passe ou l’identité d’une personne clé au sein de l’entreprise. Cette manœuvre peut aussi avoir pour objectif d’inciter la personne dupée à télécharger inconsciemment un malware ou à cliquer sur des liens infectés.

Il existe plusieurs formes de techniques d’ingénierie sociale mais les plus courantes sont :

  • Le spoofing c’est-à-dire l’usurpation d’identité d’un collaborateur. Le cybercriminel peut usurper l’identité d’un collaborateur ou d’un administrateur système pour récupérer des mots de passe et des identifiants. Il peut également se faire passer pour un dirigeant ou un cadre afin d’ordonner un virement frauduleux. On parle alors de fraude au président.
  • Le phishing, le spear-phishing et le pharming.

Pour limiter les risques de se faire piéger, il est important de sensibiliser tous vos collaborateurs à ces manœuvres et à toutes les pratiques dangereuses sur internet. Il faut également penser à mettre en place une politique de sécurité efficace pour bien sécuriser tous vos terminaux informatiques, surtout ceux qui sont mobiles car ils sont les plus vulnérables.

Le ransomware

Le ransomware est connu sous de nombreux noms en français : le rançongiciel, le logiciel rançonneur, logiciel de rançon ou encore logiciel d’extorsion. Comme son nom l’indique, il s’agit d’un logiciel malveillant qui prend en otage des données d’un ordinateur ou encore d’un serveur. Pour ce faire, le cybercriminel chiffre et bloque vos données, notamment celles qui vous sont utiles pour bien fonctionner. Il demande ensuite une rançon souvent élevée en échange d’une clé qui donne droit au déchiffrage et au déblocage de vos ressources informatiques.

Le mode de paiement préféré des pirates informatiques dans le cadre d’une telle attaque est la cryptomonnaie (monnaie virtuelle) pour éviter tout risque d’être tracés. Si vous ne payez pas la rançon exigée, il peut exposer et rendre vos données publiques ou les livrer à vos concurrents. Il peut également tout simplement les supprimer. Dans tous les cas, vous serez dans une situation très embarrassante. Il est souvent recommandé de ne pas payer. Gérer la crise n’est pas simple alors faites vous aider.

Les écoutes illicites

Certains cybercriminels recourent aux écoutes clandestines pour obtenir les mots de passe, les coordonnées bancaires et autres coordonnées confidentielles de votre entreprise. Pour ce faire, ils interceptent le trafic réseau. Ces écoutes peuvent être :

  • Passives : le pirate informatique procède au vol de données et d’informations en écoutant les transmissions de messages sur le réseau.
  • Actives : le pirate informatique usurpe l’identité d’une personne liée à l’entreprise et envoie des requêtes pour s’emparer des données et des informations de l’entreprise. On parle dans ce cas de sondage, sabotage ou encore de scan.

Pour lutter contre ces écoutes illicites, la meilleure solution reste à ce jour le chiffrement des données. Il faut également sensibiliser votre personnel, surtout les employés en télétravail, à n’envoyer des données sur le réseau que lorsque c’est vraiment indispensable.

Cybersécurité, Securite informatique

Architectures Microservices: penser à la sécurité

Microservices, une technique de développement logiciel comme l’exprime Wikipedia. Sa mission, structurer une application comme un ensemble de services faiblement couplés. Les microservices indépendants communiquent les uns avec les autres en utilisant des API indépendantes du langage de programmation. Ce petit monde demande une véritable réflexion sécurité. Explication!

La société de cybersécurité Québécoise 8Brains vient de publier une réflexion sur la sécurité et les architectures microservices. L’avènement des Architectures Microservices requière une approche différente dans la mise en place des pratiques de sécurité.

Construire ce type d’Architecture ? Garder à l’esprit que la sécurité doit être adaptée à ces nouvelles règles.

Une Architecture Microservices n’a pas une équipe dédiée. Bilan, sa sécurité est multiple. Les équipes qui livrent le nouveau service se doit de se pencher sur la sécurité de son livrable.

Un aspect organisationnel souvent négligé « voir complètement oublié » indique Bruno Philippe, spécialiste des architectures de sécurité au sein de 8Brains.

D’abord, pour un Microservice donné, l’équipe en charge doit définir sa couche technique (Framework) : le(s) langage(s) utilisé(s), son dépôt de données, les mécanismes de déploiement, les mécanismes d’échanges avec les autres Microservices, etc.

Cette équipe doit donc se poser notamment les questions suivantes : Quelle taille doit faire notre Microservice ? Que doit contenir notre Microservice comme logiciels ? Pour un langage donné, quels sont les principes de développement sécurisés ? Pour un outil de déploiement donné, y-a-t-il des alertes de sécurité ? Si oui, sont-elles installées ? Quelles sont les autres Microservices qui échangent avec le nôtre ? Que devons-nous échanger ?

L’article complet, avec les réponses, à découvrir ici.

Cybersécurité, Securite informatique

Le rôle de la cybersécurité dans les environnements OT

Une étude commanditée auprès de Forrester Consulting révèle une exposition croissante des acteurs industriels aux cybermenaces, une des conséquences de leur transformation digitale. Le manque de collaboration entre les équipes IT (Information Technology) et celles en charge de l’informatique industrielle (OT – Operational Technology) constitue également un frein à la cybersécurité des entreprises qui souhaitent tirer pleinement parti de la convergence IT/OT pour augmenter leur compétitivité.

Les industriels se sont engagés dans la transformation digitale de leur outil de production, pour doper leur productivité et améliorer leur capacité à recueillir des données liées à leur processus de production. 66% des personnes interrogées indiquent que leurs usines disposent de réseaux IP et qu’elles utilisent des données en temps-réel dans le cadre de leur prise de décision. Cependant, ces réseaux IP génèrent de nouveaux risques de cybersécurité et une expansion de la surface d’attaque, comme le reconnaissent 73% des répondants. Dans le même temps, seule la moitié des répondants estime que leur outil de production est suffisamment préparé pour lutter efficacement contre les menaces de cybersécurité. Ceci laisse l’autre moitié plus vulnérable, d’autant que 55% des interrogés n’ont aucun projet de déployer des technologies de cybersécurité au cours des 12 prochains mois.

Autre constat important : les systèmes de contrôle industriel subissent un risque important, compte tenu du manque de collaboration entre l’IT et l’OT. 51% des personnes interrogées déclarent opérer de manière cloisonnée : les équipes OT gèrent ainsi les équipements industriels critiques et la cybersécurité OT, tandis que les équipes IT sont responsables de la cybersécurité IT. Entre un quart et un tiers des personnes sondées ignorent qui détient la principale responsabilité pour les solutions de cybersécurité associées aux processus, aux systèmes de contrôle et d’automatisation, à la planification métier et à la logistique. Cependant, 91% d’entre elles estiment que la sécurité des machines de production doit être une responsabilité partagée entre l’IT et l’OT, tandis que 58% pensent que des communications claires et régulières sont importantes pour échanger sur la vision de la convergence IT/OT, et ainsi la mener à bien.

Les entreprises ont tout à gagner d’une collaboration étroite entre les équipes IT et OT. Les principaux avantages sont un accès aux données en temps-réel issues des opérations de production (66%), ainsi que la création et la monétisation de nouvelles opportunités business grâce à une visibilité plus claire sur les données de production (59%). Ce sont également des gains de productivité qui sont au rendez-vous, avec 43% des personnes interrogées qui déclarent constater moins de doublons entre les processus et workflows d’un site de production à l’autre, ainsi qu’une visibilité plus fine qui permet de maîtriser les menaces de sécurité.

Joe Sarno, VP International Emerging & Operational Technology & Critical Infrastructure EMEA, Fortinet : « Les entreprises industrielles doivent rapprocher l’IT et l’OT dans le cadre de leurs opérations. Il s’agit de nouer un lien de confiance entre les équipes de ces deux disciplines, pour mener à bien cette convergence IT/OT. Au fur et à mesure que la surface d’attaque s’élargit, les équipes IT et OT doivent collaborer pour améliorer la visibilité sur les menaces et les neutraliser. C’est la raison pour laquelle Fortinet investit beaucoup de temps et de ressources dans la Recherche et le Développement pour ses solutions de cybersécurité industrielle. »

Forrester Consulting a mené une enquête en ligne sur plusieurs pays : Inde, Turquie, Royaume-Uni, Espagne, Pologne, Allemagne, Slovaquie, Italie, France, République tchèque et Pays-Bas. L’objectif était d’évaluer les techniques utilisées par les entreprises industrielles pour gérer leur sécurité, les rôles et responsabilités entre IT et l’OT, ainsi que les défis et les opportunités qu’offre la convergence IT/OT. L’enquête a porté sur 459 décideurs IT et OT en charge des systèmes de contrôle industriel au sein d’entreprises industrielles de 1 000 collaborateurs ou plus (automobile, transport, fabrication, génie maritime et aéronautique), sur l’Europe et en Inde.

Cybersécurité, Securite informatique

Augmentation des attaques par force brute : une alerte sur la faiblesse des mots de passe

Entre août et octobre 2019, augmentation mensuelle du nombre d’attaques par force brute. Durant la même période, environ deux tiers des malwares détectés comportaient une fonction de collecte de mots de passe. Parmi ceux-ci, Emotet a été le plus répandu (56 % des détections), suivi d’Agent Tesla (25 %).

Selon l’étude 2019 Global Password Security Report de LastPass, un collaborateur d’une grande entreprise (comptant plus de 1000 salariés) doit en moyenne mémoriser jusqu’à 25 identifiants distincts. Dans les petites entreprises, cette moyenne atteint même 85. Cela amène inévitablement certains employés à réutiliser des mots de passe ou des variantes faciles à retenir – et donc à découvrir – ou encore à se servir de mots de passe aisément découverts par une attaque par dictionnaire.

Des cyberattaques dopées à l’IA

Le risque d’attaques par dictionnaire ou par force brute accentué si le cybercriminel peut recueillir des informations sur l’utilisateur via les réseaux sociaux, multipliant ainsi ses chances d’identifier des centres d’intérêt que l’utilisateur pourrait reprendre dans ses mots de passe habituels. Ils peuvent également exploiter des données ayant fuité précédemment au sujet de la cible afin de deviner plus efficacement sa façon de construire ses mots de passe.

Il est probable que les outils de force brute utilisant l’IA vont proliférer ou être utilisés en conjonction avec les techniques actuelles permettant de deviner les mots de passe. Des outils tels que Hashcat ou John the Ripper font déjà preuve d’une grande efficacité. Cependant, il existe un nombre maximal de mots de passe que ces programmes peuvent deviner et ceux-ci nécessitent des années de codage manuel et d’améliorations pour parvenir à ce niveau de précision.

Force brute

Heureusement, même si les outils d’attaques par force brute ne cessent de se perfectionner en termes d’efficacité, il existe toujours des moyens de s’en protéger. Les utilisateurs peuvent appliquer des mesures simples, à commencer par l’utilisation d’un mot de passe fort et distinct pour chaque identifiant. Ils peuvent également éviter l’usure des mots de passe au fil du temps en se servant d’un gestionnaire de mots de passe pour leur renouvellement.

Au-delà des règlements et des formations (destinées à sensibiliser les utilisateurs) ou encore des mesures techniques, les entreprises peuvent atténuer l’efficacité des attaques par force brute en appliquant l’authentification multifacteurs et en limitant le nombre de saisies d’un identifiant incorrect avant le blocage temporaire du compte correspondant.

Cybersécurité, Securite informatique

Votre système de sécurité est-il réellement fiable ?

De nos jours, la majorité des entreprises ont recours à un système de caméras de surveillance, que ce soit dans leurs bureaux ou leurs entrepôts. Supposées éloigner ou attraper des potentiels malfaiteurs, ces caméras sont aujourd’hui un nouveau danger car la technologie actuelle permet à certains pirates de contrôler les systèmes de surveillance à distance. Pour éviter cela, il faut comprendre le fonctionnement des caméras, connaître les meilleurs modèles et apprendre à protéger son système de surveillance efficacement.

Comment les pirates agissent-ils ?

À l’époque, les caméras de surveillance étaient reliées par des câbles permettant de filmer et de relayer l’information sur un écran. Actuellement, la plupart des systèmes utilisent une connexion Internet (Wi-Fi) afin de relier leurs caméras, et c’est de là que le danger peut survenir. En effet, les pirates prennent contrôle du système de surveillance en s’y infiltrant par le Wi-Fi. Nombreuses sont les personnes qui ne protègent pas leurs caméras avec un mot de passe réellement sécurisé, ce qui est une porte ouverte aux malfaiteurs. Ceci est aussi valable pour les caméras de particuliers qui ont un système de sécurité à leur domicile.

Quel modèle choisir ?

Les caméras de sécurité ont beaucoup évolué et sont maintenant facilement accessibles au grand public. Ceci n’est pas forcément avantageux pour les entreprises car certains fabricants, au prix de la compétitivité, mettent sur le marché des nouveautés qui ne sont pas d’une grande qualité au niveau sécuritaire. C’est pour cela qu’en tant qu’entreprise (ou même particulier), il vous faut faire appel à un fournisseur professionnel et sérieux, comme par exemple RS Components en ligne, qui garantira un meilleur niveau de sécurité. Ensuite, au niveau du type de caméra, cela dépendra de la zone que vous avez à filmer. Les caméras thermiques appréciées car excellentes pour les entrepôts plutôt grands et obscurs, vu que le manque de lumière ne les affecte pas. Pour des zones où vous souhaitez avoir une image standard, plusieurs options s’offrent à vous au niveau de la qualité de résolution, de la forme et de l’adaptation à la lumière, choix qui se feront en fonction de la zone à filmer.

Comment se protéger ?

La première chose à faire est de définir un mot de passe avec un niveau élevé de sécurité car cela peut être le premier obstacle pour un pirate. Ensuite, si vous êtes inquiet pour votre webcam d’ordinateur, installez un antivirus. En ce qui concerne les entreprises et les systèmes de surveillance plus gros, il est nécessaire de choisir un type de caméra sûr mais aussi de se renseigner sur les possibles failles du modèle en question car les pirates adapteront leur tactique en repérant celui auquel ils ont à faire. Finalement, si vous le souhaitez, il est aussi possible d’installer des caméras en circuits fermés. C’est-à-dire non connectées à un réseau, ce qui immunise efficacement contre les piratages en ligne.

La menace

La menace des piratages de caméras de surveillance est bien réelle. La première étape vers une meilleure sécurité est de se renseigner sur la manière dont les pirates agissent et sur les moyens disponibles pour se protéger, que vous soyez une entreprise ou un particulier. En bref, assurez-vous d’acheter votre système de surveillance chez un professionnel, renseignez-vous sur les failles et n’oubliez pas les réflexes de base comme l’installation d’un mot de passe à sécurité élevée.

Communiqué de presse, Securite informatique

DFIR ORC : un outil de collecte libre pour l’analyse forensique

Conçu en 2011 pour répondre aux missions opérationnelles de l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) en matière d’investigation et de réponse à incident, le logiciel DFIR ORC (pour Outil de recherche de compromission) n’a cessé d’évoluer pour regrouper un ensemble d’outils qui permettent la recherche, l’extraction et la mise à disposition de données forensiques dans un environnement Microsoft Windows… à l’échelle d’un parc entier ! L’outil, intégralement libre, est aujourd’hui publié par l’agence à l’usage des acteurs et des professionnels de la communauté.

Créé et utilisé de longue date par les équipes de l’ANSSI, le logiciel de collecte DFIR ORC regroupe un ensemble d’outils qui permettent la recherche, l’extraction et la mise à disposition des données forensiques. Il a été entièrement conçu afin de fonctionner dans l’écosystème Microsoft Windows de façon décentralisée et à grande échelle.

« Après 8 ans d’usage, DFIR ORC a été utilisé sur plus de 150 000 postes dans le cadre de nos activités opérationnelles en matière de réponse à incident. » indique François Deruty, sous-directeur Opérations de l’ANSSI.

En s’engageant dans une démarche d’ouverture avec la communauté de la sécurité numérique, l’ANSSI souhaite aujourd’hui partager cet outil mature qu’elle utilise au quotidien depuis plusieurs années*. [https://dfir-orc.github.io]

DFIR ORC – POUR QUI ? POUR QUOI ?

DFIR ORC s’adresse aux professionnels de la sécurité informatique soucieux d’acquérir les données nécessaires à la réponse aux incidents de sécurité de façon fiable, ainsi qu’à tous les développeurs qui souhaiteront s’en inspirer ou contribuer à son développement.

DFIR ORC peut être déployé sur l’intégralité d’un parc Microsoft Windows, tout en minimisant l’impact sur son fonctionnement normal. Il assure ainsi la collecte des informations souhaitées avec une exigence de fiabilité, de qualité et de traçabilité, sans modifier la configuration des machines analysées, tout en minimisant les risques d’altérations des données collectées.

Par son usage, DFIR ORC permet donc de disposer d’une vision de l’état du parc au moment de la collecte. Il ne vise cependant pas à pratiquer une analyse sur les données collectées : c’est le rôle de spécialistes disposant d’une méthodologie et d’outils adaptés.

CONTRIBUEZ AU DÉVELOPPEMENT DE DFIR ORC

DFIR ORC est un outil modulaire, configurable, qui peut embarquer d’autres outils, notamment ceux qui sont déjà proposés par l’agence. Avec la publication de DFIR ORC, l’ANSSI partage le code source, la procédure de compilation ainsi que des exemples de configuration de l’outil. Tous ces éléments permettent la génération d’un outil fonctionnel adapté à l’usage souhaité.

« À travers DFIR ORC, nous avons l’ambition de contribuer activement à la vie de la communauté de la réponse à incident, en lui permettant de s’approprier et de développer l’outil à sa manière », ajoute François Deruty. L’ANSSI souhaite encourager l’émergence d’une communauté publique de développeurs et d’utilisateurs de l’outil, pour favoriser sa montée en maturité et l’apparition de nouvelles fonctionnalités. L’agence continuera de même à développer DFIR ORC, et publiera régulièrement des mises à jour de l’outil. L’agence invite tous les acteurs de la communauté à enrichir dès à présent ce projet avec nos équipes.