Les services secrets ukrainiens viennent de mettre la main sur du matériel pirate dans la seconde centrale nucléaire du pays. Quelqu’un minait de la cryptomonnaie.
Ce n’est pas un cas unique, la Russie et de nombreuses universités ont déjà eu à faire à ce genre d’infiltration. La seconde centrale nucléaire d’Ukraine était exploitée par un pirate pas comme les autres. Les services secrets du pays ont découvert du matériel permettant de miner des cryptomonnaies. L’usine, située à Yuzhnoukrainsk, hébergeait six cartes vidéo Radeon RX 470.
Du matos caché dans une aile administrative. Elle n’était pas en lien direct avec la centrale. Le fait d’utiliser les ressources de la société est un délit.
Le même jour, des perquisitions effectuées dans les locaux utilisés par l’unité militaire 3044 (Garde nationale de l’Ukraine – Éd.), Située sur le territoire de la centrale nucléaire du sud de l’Ukraine. À la suite de la recherche, 16 cartes vidéo, une unité centrale avec le numéro d’inventaire de l’unité militaire, sept disques durs, deux disques SSD, un lecteur flash USB et un routeur saisis .
De fuites…
2017, les activistes du mouvement éclair mobilisateur #fuckresponsibledisclosure initié par l’Ukernian Cyber Alliance constatent des problèmes de sécurité chez Energoatom.
Décembre 2017, l’hacktiviste Dmitry Orlov signale une fuite de données à la centrale nucléaire de Zaporizhzhya. Accès libre à la documentation interne.
Octobre 2018, Alexander Galouchtchenko, expert en sécurité, découvre des documents liés aux travaux de la centrale nucléaire.
19 mars 2019, la police ouvre une procédure pénale pour un cas d’ingérence dans le fonctionnement du réseau de la centrale. Trois employés du département de la sécurité nucléaire impliqués.
Et demain ?
En 2015, Data Security Breach vous expliquait comment des chercheurs s’inquiétaient des installations. De plus et plus dépendantes des systèmes numériques. la sensibilisation de haut niveau des menaces liées à la cybersécurité stagne. « Les récentes attaques de grande envergure ont soulevé de nouvelles inquiétudes concernant les failles de sécurité des cyber d’installations nucléaires », commentait le rapport.
Pour de nombreuses normes de conformité, vous devez être en mesure de répondre à certaines questions comme « Qui a accédé à quel fichier ? Quels changements ont eu lieu ? ». Pour des raisons évidentes de sécurité, vous devez être capable d’identifier facilement une activité sur vos fichiers et dossiers partagés les plus sensibles et de réagir en cas de menace. Explication par notre partenaire IS Decisions.
FileAudit offre à la fois aux professionnels de l’informatique une visibilité optimale les données de l’entreprise, mais également une possibilité de réagir rapidement aux événements.
Trouver les derniers fichiers consultés/modifiés
Une fois l’audit configuré, je peux voir en temps réel les accès qui se produisent sur les partages que j’ai sélectionnés, à partir de l’observateur d’accès.
Je peux voir la date et l’heure, le fichier ou le dossier auquel on a accédé, le type d’accès, le refus ou l’octroi, l’utilisateur qui a tenté d’accéder au fichier, la machine à partir de laquelle l’accès a été effectué avec son adresse IP et le serveur sur lequel le fichier est stocké.
Surveiller les accès refusés
Lorsque je suis sur l’observateur d’accès, je peux facilement voir qu’il existe des accès refusés à certains dossiers. Je peux donc aller de l’avant et examiner de plus près ce dossier pour voir qui a tenté d’y accédé. Nous prendrons ici l’exemple d’un utilisateur dénommé Alice et de dossiers appelés « Accounting » et « Peopleopps ».
Je vais ensuite regarder de plus près l’activité générale de cet utilisateur en cliquant sur son nom d’utilisateur. J’obtiens un tableau de bord de l’activité d’Alice des derniers jours et semaines.
Cela me permet de voir s’il y a eu beaucoup d’accès refusé par cet utilisateur. Je peux faire défiler davantage et voir tous ces accès vers tous ces fichiers et dossiers qui ont été lus à la même heure le même jour. S’ils se sont produits simultanément, cela peut m’amener à penser qu’Alice sélectionne un grand nombre de fichiers et les copie sur un lecteur externe ou éventuellement sur son bureau.
Une fois cette vue détaillée obtenue, je peux l’exporter au format PDF au cas où je souhaiterais l’envoyer à un responsable ou au cas où d’autres alertes viendraient de cet utilisateur.
Définir des alertes
La prochaine étape que je souhaite mettre en place consiste à envoyer des alertes proactives au cas où de tels accès se reproduiraient. Je peux donc accéder à l’onglet d’alertes et à partir de là créer mes alertes.
Ce que je vais faire en premier lieu, c’est créer une alerte d’accès unique pour les accès refusés sur les dossiers sensibles Accounting et Peopleops.
Très facilement, il me suffit de sélectionner le statut d’accès « refusé », de laisser tous les types d’accès et d’entrer l’utilisateur Alice. Il faut ensuite sélectionner les deux chemins que nous avons vus précédemment, Accounting et Peopleopps et valider. Je peux enfin simplement choisir le destinataire de l’e-mail et je peux également ajouter un canal Slack où tous les administrateurs recevront des messages afin qu’ils puissent les voir également.
La deuxième alerte que je vais mettre en place s’agit d’une alerte d’accès en masse pour Alice, en raison de l’activité sur plusieurs fichiers ou dossiers accédés en même temps, montrant qu’elle pourrait copier ou déplacer un grand nombre de fichier.
Je vais laisser le statut et les types d’accès, je vais juste ajouter ici à nouveau notre utilisateur Alice et je vais définir un seuil que je vais définir assez bas. Je vais dire que si 25 fichiers ou dossiers sont consultés en l’espace de 30 secondes, j’aimerais que cette alerte soit déclenchée. Pour les chemins à surveiller, je vais mettre tout ce qui est audité, je ne vais pas exclure d’heures, mais je vais ajouter les destinataires de l’e-mail et choisir les mêmes qu’auparavant, l’e-mail de l’administrateur et mon canal Slack qui reçoit toutes ces alertes. Il suffit de valider, sauvegarder cette alerte et maintenant, j’ai la configuration de mes deux alertes.
Réagir aux alertes d’accès suspects
En plus de la surveillance en temps réel et de l’identification des menaces, vous devez être en mesure d’agir sur les menaces potentielles.
FileAudit peut réagir immédiatement à une alerte sans avoir à attendre que le service informatique intervienne. Un script personnalisé peut être créé et exécuté chaque fois qu’une alerte spécifique est déclenchée.
Je peux par exemple arrêter la machine d’Alice ou bien la déconnecter. Cela me permet d’agir sur les menaces potentielles avant que tout dommage ne soit causé.
C’est ainsi que vous pouvez utiliser FileAudit pour voir les accès sur vos fichiers ou vos dossiers, générer des rapports, configurer des alertes de manière proactive et réagir en cas de comportement suspect sur votre réseau.
Les entreprises de toutes tailles doivent relever un certain nombre de défis pour assurer la sécurité de leurs réseaux. Pourtant, les vulnérabilités liées aux MFP et imprimantes connectées d’aujourd’hui sont souvent sous-estimées. Voici comment protéger votre réseau en 5 points.
Désormais, les pirates se servent des systèmes multifonction (MFP) et imprimantes des organisations pour dérober des informations confidentielles stockées sur des disques durs et d’autres périphériques connectés aux réseaux professionnels. Ces cybercriminels provoquent d’importants dégâts et perturbent les activités des entreprises. Selon un rapport d’IDC, 25 % des failles de cybersécurité à corriger impliqueraient des imprimantes. L’impact sur la productivité et la rentabilité des entreprises est donc énorme, alors même que risque lié aux MFP et imprimantes non sécurisés est souvent méconnu et ignoré.
1 : l’identification des utilisateurs et la gestion des autorisations
L’une des solutions les plus importantes pour sécuriser les réseaux consiste à n’autoriser que les utilisateurs connus à accéder aux périphériques tels que les imprimantes. Cet objectif peut être atteint grâce à une administration et à une gestion des autorisations cohérentes.
Identification des utilisateurs : il s’agit du processus grâce auquel les administrateurs ne donnent de droits d’accès aux MFP et imprimantes qu’aux utilisateurs enregistrés. Ces derniers peuvent être identifiés en interne en s’appuyant sur la liste d’utilisateurs locaux, ou via le réseau grâce à un serveur d’authentification. Les administrateurs doivent également décider qui appartient à quel groupe en créant un nom d’utilisateur et un mot de passe, et en mettant en place une stratégie de gestion de mots de passe sur mesure/unique.
Autorisation des utilisateurs : ce processus a pour but d’autoriser l’accès aux ressources des réseaux des organisations, et d’en contrôler l’utilisation. En fonction des identifiants de chaque utilisateur, il est possible de limiter l’accès à certains individus, le restreindre à certaines fonctions, ou le bloquer entièrement. L’administrateur peut également configurer l’accès aux périphériques à l’aide de cartes d’accès contenant des informations d’identification uniques pour chaque individu.
2 : sécuriser le réseau
L’ensemble des périphériques connectés au réseau sont aussi sécurisés que le point le plus vulnérable de ce réseau. Il est donc très important de contrôler l’utilisation des ports et protocoles. Grâce à une configuration intelligente, les administrateurs peuvent bloquer les activités indésirables et les attaques potentielles sur l’infrastructure. Parmi les techniques permettant de sécuriser les communications entre les périphériques du réseau :
Utiliser des fonctions de filtrage pour limiter l’accès à des adresses IP et MAC (Media Access Control) spécifiques. Le réseau et les canaux de communication sont ainsi protégés en limitant l’accès aux adresses ou plages d’adresses spécifiées.
Désactiver les ports non utilisés (afin que seuls ceux qui sont nécessaires fonctionnent) pour bénéficier d’une couche de sécurité supplémentaire et de davantage de contrôle sur le réseau en bloquant les accès non autorisés vers l’ensemble des actifs connectés.
S’assurer que les protocoles IPSec (le protocole Internet pour un échange de données sécurisé et chiffré de données), TLS (le protocole de sécurité de la couche de transport, qui chiffre la transmission de données) et HTTPS (le protocole de transfert hypertexte sécurisé, qui sécurisé les communications sur le réseau) sont configurés pour offrir le niveau de protection le plus élevé.
3 : protéger les données
Il y a deux façons de s’assurer que les données stockées sur les disques durs des MFP et imprimantes soient en permanence sécurisées :
Le chiffrement des données est la procédure ou fonctionnalité cryptant les documents à l’aide d’un algorithme complexe à 256 bits.
L’écrasement des données, qui permet d’effacer le disque dur d’un appareil. Cette stratégie garantit l’effacement définitif de l’ensemble des données déjà stockées sur le disque et des documents numérisés après avoir qu’elles aient été écrasées jusqu’à 10 fois.
4 : imprimer des informations confidentielles de façon sécurisée
Les documents confidentiels doivent être imprimés en suivant une procédure sécurisée évitant les accès et copies non autorisées. Ainsi, lorsqu’une tâche d’impression est soumise, elle est conservée sur le disque dur de l’appareil jusqu’à ce que l’utilisateur saisisse un code PIN, ou présente un jeton ou une carte d’authentification configurés au préalable. Une fois le document imprimé, l’ensemble des données sont automatiquement effacées du disque dur.
5 : assurer une supervision et un contrôle à distance
Mis en place correctement, les outils de sécurité des réseaux offrent aux administrateurs informatiques un contrôle total sur l’ensemble des appareils connectés au réseau, et ce directement depuis leurs postes de travail. Ils peuvent ainsi contrôler un parc entier de MFP et d’imprimantes, et découvrir et gérer à distance la plupart des menaces de sécurité potentielles. Le clonage des appareils permet également de rationaliser le travail des administrateurs, et offre encore plus de sérénité, tout changement au niveau des paramètres d’un équipement pouvant ainsi être reproduit sur l’ensemble du parc. (Par Tomasz Stefanski – Solutions and Applications Specialist chez Sharp Europe).
La société Proofpoint, spécialiste de la mise en conformité et cybersécurité, a publié son rapport 2019 sur la fraude au nom de domaine. L’étude dévoile les dernières tendances, les stratégies et les activités des cybercriminels. Une analyse approfondie des données collectées sur une période de douze mois dans la base de données de domaines actifs de l’entreprise. Elle contient plus de 350 millions de domaines et représente pratiquement tous les domaines sur le Web.
Chasse aux domaines frauduleux ! À l’instar de nombreuses autres méthodes d’attaque très populaires aujourd’hui, la fraude au nom de domaine cible des individus plutôt que des infrastructures en faisant appel à l’ingénierie sociale, terme connu aussi sous Social Engineering, pour amener les utilisateurs à croire que les domaines auxquels ils accèdent sont légitimes. Du fait du peu d’obstacles à l’enregistrement des noms de domaine et de la facilité d’exécution, il est essentiel que les sociétés restent vigilantes face aux domaines suspects et illégaux susceptibles de présenter un risque pour leur marque et leurs clients.
Hausse de 11%
Entre le 1er trimestre et le 4ème trimestre 2018, le nombre d’enregistrements de noms de domaines frauduleux a connu une hausse de 11%. Presque tous les domaines frauduleux détectés restent actifs et prêts à l’attaque, plus de 90% d’entre eux étant associés à un serveur actif.
Parmi ces domaines frauduleux, plus de 15% ont des enregistrements Mail Exchanger (MX), ce qui signifie qu’ils envoient et/ou reçoivent des e-mails. Un sur quatre dispose également de certificats de sécurité, c’est bien plus que ce que l’on peut observer dans le paysage global des domaines. Or, de nombreux internautes les assimilent de ce fait à tort comme des domaines légitimes et sûrs.
Les domaines frauduleux utilisent souvent les mêmes domaines de premier niveau (TLD), offices d’enregistrement et serveurs Web que les domaines légitimes afin d’imiter les marques et abuser les utilisateurs. Ces facteurs, ainsi que la forte proportion de serveurs Web actifs, qui sont nombreux à posséder des certificats SSL valides, renforcent la perception de légitimité des domaines frauduleux, augmentant ainsi le potentiel de nombreuses attaques, notamment les fraudes par virement électronique, le phishing, les ventes de produits de contrefaçon et autres escroqueries.
Quand le HTTPS sert aux pirates
Plus de 85% des grandes marques de vente au détail ont identifié des domaines vendant des versions contrefaites de leurs produits. Les marques de vente au détail en décomptent en moyenne plus de 200. D’ailleurs, les domaines vendant des produits de contrefaçon possèdent plus de certificats de sécurité que d’autres types de domaines frauduleux, ce qui les rend légitimes aux yeux des clients.
96% des sociétés ont trouvé des correspondances exactes de leur domaine avec un TLD différent (par exemple, « .net » au lieu de « .com ») et 76% ont identifié des domaines « similaires » se faisant passer pour leur marque. La plupart des secteurs et des zones géographiques sont touchés.
Les domaines frauduleux utilisent l’e-mail pour mieux cibler les attaques. Pour 94% des sociétés observées, Proofpoint a identifié au moins un domaine frauduleux se faisant passer pour leur marque et envoyant des e-mails. De nombreux domaines frauduleux ont envoyé de faibles volumes d’e-mails, un comportement typiquement associé à des attaques hautement ciblées et basées sur l’ingénierie sociale. Les cybercriminels se faisant passer pour des marques de vente au détail facilement reconnaissables (en particulier celles ayant des chaînes d’approvisionnement complexes) ont envoyé des volumes d’e-mail beaucoup plus importants, ce qui laisse suggérer des attaques plus généralisées contre les clients et les partenaires.
Des facteurs comme l’introduction de nouveaux TLD créent des opportunités pour les cybercriminels. En 2018, l’introduction de nouveaux TLD, tels que .app et .icu,, a créé de nouvelles opportunités pour l’enregistrement de domaines frauduleux. Proofpoint a constaté que les cybercriminels exploitaient ces nouveaux TLD pour enregistrer des noms ressemblant à des domaines « .com » qui appartiennent déjà à de grandes marques.
Des chercheurs ont mené une enquêtes sur l’état de la sécurité des applications des plus grandes banques du monde. Un des outils posséde une faille connue depuis 2011.
Les nouvelles recherches de la société ImmuniWeb va faire grincer des dents dans le petit monde bancaire. Ils ont étudié la sécurité, la confidentialité et la conformité des applications des plus grandes institutions financières mondiales figurant dans la liste S&P Global 2019. Le résultat a de quoi étonner. En ce qui concerne la conformité, 85 applications Web de banque en ligne ont échoué au test de conformité GDPR ; 49 banque en ligne ont échoué au test de conformité PCI DSS ; 25 app ne sont pas protégées par un WAF.
Vulnérabilités de sécurité
Dans cette étude, on découvre que sept applications Web de banque en ligne contiennent des vulnérabilités connues et exploitables.
La plus ancienne vulnérabilité est connue depuis 2011. 92% des applications bancaires mobiles contiennent au moins une vulnérabilité à risque moyen.
100% des banques ont des problèmes de sécurité ou des problèmes liés aux sous-domaines oubliés.
Pour finir, concernant la sécurité du site web, seuls 3 portails sur 100 affichaient la note la plus élevée «A+» pour le « chiffrement SSL et la sécurité des sites Web». Dans ce top 3, on trouve un Suisse (credit-suisse.com), un Danois (danskebank.com) et un Suédois (handelsbanken.se).
Pendant ce temps, dans le commerce 2.0
De son côté, le laboratoire Pradeo a étudié 38 applications mobiles d’e-commerce les plus téléchargées au monde. Le rapport montre qu’elles envoient les données personnelles des utilisateurs via de nombreuses connexions non sécurisées (pourcentages précis dans l’article) et présentent en moyenne 13 vulnérabilités de code, dont certaines ayant un haut niveau de sévérité.
Olvid, un nouvel outil de sécurisation de vos conversations. Mission : chiffrer vos messages mobiles sans risque de fuite de données !
Depuis quelques jours nous testons Olvid, un outil dédié aux smartphones (Android, iOS). Mission d’Olvid, permettre de communiquer avec ses collègues, proches, familles en mode chiffré.
Une application lancée en décembre 2018 sous l’impulsion de deux docteurs en cryptographie : Thomas Baignères et Matthieu Finiasz.
Olvid est sous la « protection » d’Agoranov, un incubateur fondé par l’ENS, Paristech, Dauphine Université Paris, Sorbonne Université, Inria et sponsorisé par le Ministère de l’enseignement supérieur, de la recherche et de l’innovation, l’Île de France, la Mairie de Paris et le Fonds social européen de l’Union européenne. A noter que Matthieu Finiasz est enseignant pour ENSTA-ParisTech.
Olvid
Il existe déjà de nombreux outils tels que Whatsapp (à bannir), Telegram (méfiance, on ne connait pas le code source et il semble exister une master key), Signal, … Olvid annonce être différent. Aucune trace sur les serveurs. Pas de fuite de données, pas d’espionnage, pas de données personnelles, anonymat complet. La versoin 0.7.3 pour Android ne dépasse pas les 6Mo.
Sécurisé, oui mais …
Bon, pour être très honnête, l’espionnage reste possible dans la mesure ou un logiciel espion a été installé dans votre appareil, à l’image de Cerberus. Mais le problème viendrait de la non maîtrise de votre téléphone, pas d’Olvid.
En ce qui concerne les communications, plus de risque. Le chiffrement rend illisible les conversations. « Contrairement à l’intégralité des autres messageries, la sécurité de vos communications ne dépend plus d’un serveur. explique les fondateurs de cet outil. Notre serveur se fait hacker ? Peu importe… la sécurité des communications est préservée. »
A tester sans attendre
L’outil réclame quatre informations nom, prénom, société et votre poste au sein de cette société. Vous pouvez, bien évidement mettre ce que bon vous semble. Une fois les données enregistrée, l’application produit un QRCode. Une information à transmettre à vos contacts par mail. Votre correspondant, qui doit installer sur son smartphone Olvid, photographie le QRCode reçu, si ce dernier reçoit l’invitation via un courriel lu sur un ordinateur. Un lien permet d’accéder directement au répertoire Olvid.
Aucun numéro de téléphone, adresse mail ne sont réclamés. Bref, seuls vos contacts autorisés connaissent votre présence dans l’outil.
Olvid est gratuite pour le moment. La bonne occasion de le tester (Android / iOS).
La formation restreinte de la CNIL a prononcé une sanction de 400 000 euros à l’encontre de la société SERGIC pour avoir insuffisamment protégé les données des utilisateurs de son site web et mis en œuvre des modalités de conservation des données inappropriées.
La société SERGIC est spécialisée dans la promotion immobilière, l’achat, la vente, la location et la gestion immobilière. Pour les besoins de son activité, elle édite le site web www.sergic.com. Ce dernier permet notamment aux candidats à la location de télécharger les pièces justificatives nécessaires à la constitution de leur dossier.
En août 2018, la CNIL a reçu une plainte d’un utilisateur du site indiquant avoir pu accéder, depuis son espace personnel sur le site, à des documents enregistrés par d’autres utilisateurs en modifiant légèrement l’URL affichée dans le navigateur. Un contrôle en ligne réalisé le 7 septembre 2018 a permis de constater que des documents transmis par les candidats à la location étaient librement accessibles, sans authentification préalable. Parmi ces documents figuraient des copies de cartes d’identité, de cartes Vitale, d’avis d’imposition, d’attestations délivrées par la caisse d’allocations familiales, de jugements de divorce, de relevés de compte ou encore d’identité bancaire.
Le jour même de son contrôle, la CNIL a alerté la société de l’existence de ce défaut de sécurité et de la violation de données personnelles consécutive. Quelques jours plus tard, un contrôle sur place a été réalisé dans les locaux de la société. A cette occasion, il est apparu que la société avait connaissance de la vulnérabilité depuis le mois de mars 2018 et que, si elle avait entamé des développements informatiques pour les corriger, ce n’est que le 17 septembre 2018 que la correction totale est devenue effective.
Sur la base des investigations menées, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a constaté deux manquements au règlement général sur la protection des données (RGPD).
400 000 euros !
Tout d’abord, la formation restreinte de la CNIL a considéré que la société SERGIC a manqué à son obligation de préserver la sécurité des données personnelles des utilisateurs de son site, prévue par l’article 32 du RGPD. La société n’avait pas mis en place de procédure d’authentification des utilisateurs du site permettant de s’assurer que les personnes accédant aux documents étaient bien celles à l’origine de leur téléchargement, alors qu’il s’agissait d’une mesure élémentaire à prévoir. Ce manquement était aggravé d’une part, par la nature des données rendues accessibles, et d’autre part, par le manque particulier de diligence de la société dans sa correction : la vulnérabilité n’a été définitivement corrigée qu’au bout de 6 mois et aucune mesure d’urgence visant à limiter l’impact de la vulnérabilité n’a été prise dans l’attente.
Ensuite, la formation restreinte a constaté que la société conservait sans limitation de durée en base active l’ensemble des documents transmis par les candidats n’ayant pas accédé à location au-delà de la durée nécessaire à l’attribution de logements.
Conservation des données
Or, la formation restreinte a rappelé que, par principe, la durée de conservation des données personnelles doit être déterminée en fonction de la finalité du traitement. Lorsque cette finalité (par exemple, la gestion des candidatures) est atteinte, et qu’aucune autre finalité ne justifie la conservation des données en base active, les données doivent soit être supprimées, soit faire l’objet d’un archivage intermédiaire si leur conservation est nécessaire pour le respect d’obligations légales ou à des fins pré-contentieuses ou contentieuses. Dans ce cas, les données doivent être placées en archivage intermédiaire, par exemple dans une base de données distincte. Là encore, la durée de cet archivage doit être limitée au strict nécessaire.
La formation restreinte a prononcé une amende de 400 000 euros, et décidé de rendre publique sa sanction. La formation restreinte a notamment tenu compte de la gravité du manquement, du manque de diligence de la société dans la correction de la vulnérabilité et du fait que les documents accessibles révélaient des aspects très intimes de la vie des personnes. Elle a toutefois pris en compte, également, la taille de la société et sa surface financière. (Legifrance)
Télétravail : Les résultats de l’enquête révèlent que seulement 11 % des PME se préoccupent des facteurs sécurité et informatique lorsqu’il s’agit du travail à distance de leurs employés.
Une étude vient de dévoiler les résultats d’une enquête sur le télétravail . Selon cette recherche, à partir de 586 répondants, les nouvelles pratiques de travail flexibles pourraient poser un risque pour la sécurité des petites entreprises. En effet, un employé sur cinq (9 %) estime être le plus productif lorsqu’il travaille dans des lieux publics comme un café ou une bibliothèque, mais seulement 11 % des employeurs sont préoccupés par les répercussions que cela pourrait avoir sur la sécurité de leur entreprise. Les PME doivent donc relever le défi de maintenir leur sécurité, tout en répondant aux besoins et aux attentes de leurs collaborateurs.
Une nouvelle norme
L’étude met en évidence les tendances et les attentes concernant le télétravail, plus d’un tiers (38 %) des personnes interrogées préférant accepter une réduction de salaire plutôt que de se limiter à travailler dans un bureau. Une autre tranche de 35 % choisirait la flexibilité du travail à domicile plutôt qu’une augmentation de salaire, même si on leur proposait une augmentation de 25 %. Alors que les entreprises se disputent les meilleurs talents, il sera vital de pouvoir attirer des personnes aptes à mettre en place des méthodes de travail modernes. Cependant, 38 % des répondants ont indiqué qu’ils ne reçoivent pas le soutien technologique ou l’expertise dont ils ont besoin lorsqu’ils travaillent à domicile ou dans un lieu public, faisant de la sécurité un problème croissant pour les petites entreprises qui ont recours au travail flexible.
« Le lieu de travail fonctionnant selon un horaire 9h – 17h appartient au passé, et les employés qui rejoignent le marché du travail aujourd’hui exigent une plus grande flexibilité en termes d’horaires, d’emplacement et d’avantages sociaux personnalisés,déclare Kevin Chapman, SVP et General Manager, chez Avast Business. Bien qu’il soit prouvé dans certains cas que ces pratiques augmentent la satisfaction et même la productivité des employés, il y a des problèmes de sécurité bien réels qu’il est nécessaire de résoudre. Les entreprises doivent être en mesure de fournir les outils qui leur permettent non seulement de faire preuve de flexibilité, mais aussi de le faire en toute sécurité. Il est également important de ne pas négliger les employés qui préféreraient conserver un environnement de bureau traditionnel. Il convient de trouver un équilibre pour permettre à tous de travailler de la manière qui leur est la plus bénéfique. »
Avantages du télétravail
Non seulement les PME seront en mesure d’attirer le meilleur personnel qui soit, mais le travail mobile semble présenter d’autres bénéfices. Interrogés sur les avantages que présente le télétravail pour les employés des petites entreprises, près d’un tiers d’entre eux (30 %) ont confié que cela les rendait plus heureux, et 31 % ont répondu que cela leur permettait d’apprécier leur travail. Cette étude a également révélé que la satisfaction des employés n’est pas la seule à augmenter : la flexibilité du travail pourrait avoir un impact positif sur sa qualité et sur la productivité ; 34 % des employés affirment être les plus productifs lorsqu’ils travaillent à domicile, contre 45 % au bureau.
Les petites entreprises qui souhaitent adopter de nouvelles pratiques de travail doivent relever de nombreux défis sécuritaires. Si le personnel accède à des données sensibles ou se connecte à des comptes professionnels via un réseau Wi-Fi non sécurisé, l’entreprise risque de subir une attaque. Il existe également un risque de violation de données si un employé enregistre des renseignements sensibles sur un ordinateur de bureau. Machine qui va disparaître. Les propriétaires de petites entreprises doivent prévoir des mesures de sécurité pour les travailleurs mobiles, telles que des solutions de réseau privé virtuel (VPN) à utiliser sur les connexions Wi-Fi ouvertes, et des logiciels anti-malware déployés aux points finaux sur tous les appareils personnels (BYOD – Bring Your Own Device) des employés. De plus, il convient de veiller à ce que les employés soient sensibilisés au rôle très important qu’ils ont à jouer dans la sécurité de l’entreprise.
FIDO2 : Une authentification sécurisée sans mot de passe pour plus de 800 millions de dispositifs Windows 10 actifs
L’Alliance FIDO annonce que Microsoft a obtenu la certification FIDO2 pour Windows Hello. Tout appareil compatible fonctionnant sous Windows 10 est ainsi désormais certifié FIDO2 dès sa sortie, une fois la mise à jour de Windows 10 de mai 2019 effectuée. Les utilisateurs de Windows 10 peuvent désormais se passer des mots de passe stockés de manière centralisée et utiliser la biométrie ou les codes PIN Windows Hello pour accéder à leurs appareils, applications, services en ligne et réseaux avec la sécurité certifiée FIDO.
FIDO21 est un ensemble de normes qui permettent de se connecter facilement et en toute sécurité à des sites Web et à des applications via la biométrie, des appareils mobiles et/ou des clés de sécurité FIDO. La simplicité de l’expérience utilisateur de FIDO2 s’appuie sur une sécurité cryptographique forte qui est largement supérieure aux mots de passe, protégeant les utilisateurs contre le phishing, toutes les formes de vols de mots de passe et les attaques par rejeu (replay attack). Pour en savoir plus sur FIDO2, rendez-vous sur : https://fidoalliance.org.
FIDO2
« Notre travail avec l’Alliance FIDO, le W3C et nos contributions aux normes FIDO2 ont été un élément déterminant dans l’engagement de Microsoft pour un monde sans mot de passe,confie Yogesh Mehta, Principal Group Program Manager, chez Microsoft Corporation. Windows Hello a été conçu pour s’aligner sur les normes FIDO2 et fonctionner avec les services Microsoft cloud ainsi que dans des environnements hétérogènes. L’annonce d’aujourd’hui boucle la boucle, permettant aux organisations et aux sites Web d’étendre l’authentification FIDO à plus de 800 millions de dispositifs actifs sous Windows 10».
Microsoft, l’un des leaders dans le domaine de l’authentification sans mot de passe, a fait de l’authentification FIDO un élément fondamental dans ses efforts visant à offrir aux utilisateurs une expérience de connexion transparente et sans mot de passe. En tant que membre du conseil d’administration de l’Alliance FIDO et l’un des principaux contributeurs au développement des spécifications FIDO2, Microsoft a proposé l’un des premiers déploiements FIDO2 du marché avec Windows Hello. L’entreprise prend en charge FIDO2 sur son navigateur Microsoft Edge et permet également la connexion au compte Windows avec les clés de sécurité FIDO.
Windows 10 prend en compte FIDO
La mise à jour Windows 10 de mai 2019 prend en charge l’authentification FIDO sans mot de passe via Windows Hello ou la clé de sécurité FIDO, sur Microsoft Edge ou les versions les plus récentes de Mozilla Firefox. Plus d’informations sont disponibles sur le blog de Microsoft.
« En tant que membre du conseil d’administration et contributeur clé au développement de FIDO2, Microsoft a été un ardent défenseur de la mission de l’Alliance FIDO qui est de faire évoluer le monde au-delà des mots de passe. Cette certification s’appuie sur la prise en charge de longue date par Microsoft des technologies FIDO2 sous Windows 10 et, par l’intermédiaire de l’écosystème Windows, donne la possibilité à ses clients et partenaires de bénéficier de l’approche de FIDO en matière d’authentification des utilisateurs, indique Andrew Shikiar, Directeur Marketing de l’Alliance FIDO. FIDO2 est désormais pris en charge par les systèmes d’exploitation et les navigateurs Web les plus utilisés au monde, ce qui permet aux entreprises, aux fournisseurs de services et aux développeurs d’applications d’offrir rapidement une expérience d’authentification plus simple et plus forte à des milliards d’utilisateurs dans le monde.»
FIDO2 et les navigateurs
En plus de Microsoft Edge, FIDO2 est également supporté par les principaux navigateurs Web Google Chrome et Mozilla Firefox (avec, en avant-première, la prise en charge par Apple Safari). Android a également été certifié FIDO2, ce qui permet aux applications mobiles et aux sites Web de tirer parti des normes FIDO sur plus d’un milliard d’appareils compatibles Android 7.0+. En outre, plusieurs produits certifiés FIDO2 ont été annoncés en vue d’appuyer la mise en œuvre.
Les fabricants d’appareils qui souhaitent bénéficier d’une certification prête à l’emploi et afficher le logo FIDO Certified sur leurs appareils Windows 10 doivent consulter le nouvel accord relatif à l’utilisation de la marque et des services de l’Alliance FIDO.
Je vous faisais écouter, voilà bientôt un an, un interlocuteur proposant de vendre une mise en conformité RGPD. Une arnaque qu’avait dénoncé la CNIL dans un avertissement à destination des entreprises françaises. L’arnaque ne cesse pas !
Entré en application, il y a un an (le 25 mai 2018), le RGPD est plus que jamais un prétexte idéal pour des campagnes d’arnaques ciblant les entreprises françaises. Le blog ZATAZ avait été l’un des premier à alerter sur ce sujet [1] [2]. Depuis quelques semaines, une nouvelle variante de l’arnaque à la mise en conformité RGPD cible les entreprises. Cette arnaque est déjà connue, mais ici la méthode semble différente et très efficace. Décryptage de l’arnaque par Vade Secure, entreprise basée dans les Hauts de France, à Hem (59).
Un premier contact par courrier
Les escrocs ciblent les entreprises au travers d’une campagne de courriers au sujet d’une plainte d’un client concernant la mise en conformité à la RGPD. La technique est efficace. Des couleurs qui font officielles et des qui font peur.
« Si nous nous arrêtons quelques secondes sur ce document, le titre de la société – Comité Européen de la protection des données CFFE – semble reprendre le nom du Comité Européen de la protection des données CEPD, présent dans le texte de la RGPD à la section 3 du Chapitre VII (articles 68 à 76)» indique Sébastien Gest, Tech Évangéliste de Vade Secure.
L’adresse associée au dit comité est en fait une adresse de domiciliation située dans le 8e arrondissement de Paris. Contacté, l’interlocuteur de la société explique qu’il croule sous les appels pour ce même sujet depuis 15 jours. Un numéro de téléphone indiqué dans le but de traiter cette plainte. La personne au bout du fil développe alors un argumentaire efficace dans le but de vendre une prestation d’audit de mise en conformité afin de résoudre cette situation. Ces numéros de téléphone sont largement commentés et dénoncés.
Le paiement demandé par mail
Suite à cet appel un email contenant un lien de paiement par carte bancaire est envoyé dans le but de finaliser la transaction. D’un montant de 1194€, la prestation semble correspondre à un « Audit et à la rédaction du référentiel de traitement des données ».
Nous retrouvons dans cet email l’email présent dans le document papier mais ici en tant qu’expéditeur. Un lien de paiement par carte bancaire est ainsi proposé et ainsi qu’une nouvelle adresse apparaissant dans le but de contacter le support. Les domaines utilisent des extensions .eu et .online et sont déposés via le registrar américain namecheap.
En signature de cet email apparaît également le nom d’une société Française experte dans les domaines de la RGPD. Il ne nous est pas possible de certifier une possible implication de cette société dans cette escroquerie, nous avons donc souhaité de ne pas la citer.
Une arnaque ressemblant fortement à l’arnaque au support téléphonique
L’entreprise pensant devoir se mettre en conformité va dans les faits consommer une prestation dont elle n’a pas le besoin. Il est difficile d’évaluer le nombre de sociétés escroquées. Le seul indicateur reste le nombre de signalements sur les sites anti-escroqueries qui augmentent de jour en jour.
Porter plainte et faire un signalement aux autorités ? Clairement oui ! Les services de l’état ont mis en place le site https://www.pre-plainte-en-ligne.gouv.fr/ permettant de déposer une pré-plainte. À l’issue de ce signalement, un rendez-vous en gendarmerie est proposé. Il est vivement recommandé de déposer plainte et de faire remonter les informations aux services de Gendarmerie compétents.
Petites entreprises, grandes menaces : restez informés, restez protégés
