Archives de catégorie : Fuite de données

Chiffrement, cryptage, Entreprise, Fuite de données, Propriété Industrielle

3 entreprises sur 4 stockent leurs clés de chiffrement dans leurs applications

Un commentaire

Personne n’est à l’abri d’une faille de sécurité.

Les révélations récentes de chercheurs de l’université de Columbia Engineering concernant la possibilité de récupérer des clés secrètes Facebook, Amazon ou Linkedin dans Google Play, l’App Store d’Android, ne sont qu’un exemple de plus qui doit contribuer à alerter les entreprises qui continuent de stocker les clés de chiffrement dans leurs applications. Les données sensibles et la propriété intellectuelle ne sont en sécurité que si les clés utilisées pour les chiffrer le sont. Quand ces clés sont stockées dans des serveurs qui stockent également les logiciels elles sont susceptibles d’être compromises ou perdues.

Pourtant, d’après une étude SafeNet récente, 74% des organisations stockent leurs clés de chiffrement dans leur logiciel. Pour des spécialistes en sécurité IT cette stratégie est comparable à laisser les clés de sa maison sous le paillasson. Il est plutôt conseillé de faire appel à des plateformes spécifiquement dédiées à la gestion de clés et qui permettent de stocker et gérer les clés dans un équipement matériel où elles seront protégées et contrôlées (des boîtiers HSM, pour « Hardware Security Module ». Une technologie qui n’est pas réservée aux grandes entreprises puisque ces boitiers peuvent être achetés par l’entreprise ou utilisés en paiement à la consommation, dans le cloud en mode SaaS). Seules les sociétés qui chiffrent leurs données sensibles et mettent en œuvre ce type de moyens de contrôle robustes et résistants aux attaques peuvent avoir la certitude que leurs données seront protégées même si une faille de sécurité survient.

L’approche la plus réaliste est en effet de considérer qu’une faille de sécurité surviendra (953 millions de fichiers compromis depuis 2013, comptabilisés sur Breachlevelindex.com), et de sécuriser la donnée elle-même par du chiffrement, pour que si elle tombait entre de mauvaises mains elle soit inexploitable. (Julien Champagne, Directeur Commercial France de SafeNet)

Chiffrement, cryptage, Cybersécurité, Fuite de données, Identité numérique, Leak, Vie privée

14 millions de patients médicaux touchés par une fuite de données

Un commentaire

La rédaction de Data Security Breach a reçu le rapport Annuel du HHS, l’US Departement of Health et Human Services, bref, le Ministére de la santé de l’Oncle Sam.

Ce rapport annuel, baptisé « Annual Report to Congress on Breaches of Unsecured Protected Health Information » revient sur les années 2011 et 2012. Cette étude égraine les violations de données en 2011 et 2012. Entre 2011 et 2012, le HHS a reçu 458 rapports de violations de données qui touchent plus de 500 personnes. Au total, c’est environ 14.690.000 de patients, d’employés… à avoir été touchés par des violations de leurs données personnelles, et donc sensibles.

Le nombre de violations de données qui affectent plus de 500 personnes sur cette période compte pour 64,5% de toutes les violations de données depuis le premier rapport, diffusé en septembre 2009. Le vol était la cause la plus commune de ces violations, soit 53% des cas, suivie par l’accès ou la divulgation non autorisée (18%).

En 2012, 68% des infractions touchaient des fournisseurs de soins de santé. 27% des fuites étaient dues à des ordinateurs portables compromis (vol, piratage, …). 23% des informations étaient diffusées en mode « papier » ; 13% via un serveur. En 2012, il y a eu 21.194 infractions signalées affectant moins de 500 personnes. Des violations de données qui ont affecté 165.135 personnes.

Le HHS, suite aux plaintes, a pu récolter 8 millions de dollars d’amende. Bref, le piratage et les fuites de données rapportent aux pirates, comme au gouvernement.

Entreprise, Fuite de données, Propriété Industrielle

L’avènement de la Security Intelligence

Selon une étude récente du cabinet d’analyse IDC, les entreprises françaises sont de plus en plus préoccupées par les menaces de sécurité et comptent bien investir dans ce sens au cours des prochaines années.

Les attaques récentes portées à l’encontre de grandes entreprises telles qu’Orange ou Domino’s Pizza ne font qu’accentuer la prise en considération des risques liés au vol de données personnelles : non seulement d’un point de vue financier, mais aussi en raison de l’impact sur la réputation de l’entreprise.

Cette étude indique toutefois un certain décalage entre les craintes des RSSI et les politiques de sécurité appliquées. Si la mobilité représente un risque pour 91% des entreprises interrogées, seules 75% disposent d’une solution de sécurité dédiée. En ce qui concerne les nouvelles tendances liées aux réseaux sociaux par exemple, d’autres contradictions apparaissent : 72% des entreprises considèrent toujours les réseaux sociaux comme risqués, mais seulement 60% d’entre elles disposent d’outils de filtrage et 34% dispensent des formations de sensibilisation auprès des employés.

Pour répondre à des besoins précis de sécurité en matière de mobilité, d’accès aux réseaux, de transfert de données, etc., les organisations disposent de nombreuses solutions dédiées. Cependant, dans un contexte où les cyber-attaques deviennent plus sophistiquées et les hackers plus expérimentés, c’est une stratégie globale consacrée à la sécurité des données qui doit impérativement être mise en place au sein de chaque organisation.

Mais chaque entreprise est différente et ses besoins en matière de sécurité varient en fonction des infrastructures, voire de l’activité même de l’entreprise. D’après IDC, une nouvelle alternative en matière de protection de données se présente : le Big Data et l’analytique. «  Les entreprises savent aujourd’hui détecter et empêcher les attaques les plus basiques, cependant, les hackers font preuve d’autant de dynamisme pour s’introduire par tous les moyens sur les réseaux d’entreprise, que les éditeurs pour détecter et parer ces attaques.  explique Jean-Pierre Carlin, Directeur Europe du Sud chez LogRhythm,Nous savons que la question n’est plus de savoir « si » une menace pourra passer outre les systèmes de sécurité, mais « quand ». Et c’est à ce moment que l’analytique entre en jeu« .

Si les méthodes de détection traditionnelles ont prouvé leurs limites, la combinaison des rapports d’analyses de l’ensemble des données de l’entreprise permet une visibilité accrue de l’activité sur les réseaux. En termes de solution, le SIEM – qui collecte la totalité des logs et journaux d’activités du système d’information – apporte une réponse concrète aux problématiques globales de sécurité : grâce à la collecte des logs en temps réel, aux analyses comportementales et à la corrélation des données, toute anomalie est repérée afin d’être aussitôt contrôlée. Ainsi, chaque incident peut-être vérifié en temps réel et permettre une réponse immédiate en cas de véritable menace.

Cette méthode de détection automatisée et en temps réel peut être définie comme de la Security Intelligence, un concept qui tend vers des solutions dotée d’intelligence artificielle, basé sur les solutions SIEM de nouvelle génération. Grâce aux évolutions constantes dans ce domaine, notamment en termes de fonctionnalités et de facultés d’analyse automatique, nous pouvons espérer que les entreprises puissent enfin être à l’abri des cyber-attaques les plus avancées. (Par Jean-Pierre Carlin, LogRhythm)

Cybersécurité, Fuite de données, Mise à jour, Patch

OPEN SSL : 49% des serveurs vulnérables et 14% exploitables

OpenSSL a publié un avis consultatif détaillant un certain nombre de difficultés sérieuses.

La vulnérabilité CVE-2014-0224 sera la plus problématique pour la plupart des déploiements car elle peut être exploitée par l’intermédiaire d’une attaque réseau active de type « Man the Middle ». Cette vulnérabilité permet à un attaquant actif sur un réseau d’injecter des messages ChangeCipherSpec (CCS) des deux côtés d’une connexion et de forcer les deux parties à se mettre d’accord sur les clés à utiliser avant que tous les éléments relatifs à la clé ne soient disponibles. Ce qui entraîne la négociation de clés faibles. (Pour en savoir plus sur le sujet, voir l’analyse technique pertinente d’Adam Langley).

Bien que pratiquement toutes les versions d’OpenSSL soient vulnérables, ce problème est exploitable seulement si les deux parties utilisent OpenSSL et (2) si le serveur utilise une version vulnérable d’OpenSSL de la branche 1.0.1. La bonne nouvelle est que la plupart des navigateurs ne s’appuient pas sur OpenSSL, ce qui signifie que la plupart des internautes ne seront pas affectés. Cependant, les navigateurs Android utilisent OpenSSL et sont donc vulnérables à cette attaque. De plus, de nombreux outils en mode ligne de commande et assimilés utilisent OpenSSL. En outre, les produits pour réseaux VPN seront une cible particulièrement intéressante s’ils reposent sur OpenSSL comme c’est le cas pour OpenVPN.

Qualys teste une vérification à distance pour CVE-2014-0224 via SSL Labs. Suite au test qui a permis d’identifier correctement les serveurs vulnérables, Qualys a lancé une analyse sur l’ensemble des données du tableau de bord SSL Pulse. Les résultats indiquent que près de 49% des serveurs sont vulnérables. Environ 14% (de l’ensemble des serveurs) peuvent être victimes d’un exploit parce qu’ils exécutent une version plus récente d’OpenSSL. Les autres systèmes ne sont probablement pas exploitables, mais leur mise à niveau s’impose car il existe probablement d’autres moyens d’exploiter cette vulnérabilité.

Si vous souhaitez tester vos serveurs, la toute dernière version de SSL Labs propose un test de vérification pour la vulnérabilité CVE-2014-0224.

Arnaque, Cybersécurité, escroquerie, Fuite de données, Phishing, pourriel, Social engineering, spam, Vie privée

1800 fonctionnaires piégés par un phishing

Un commentaire

S’il existe bien un secteur qui mériterait d’être un peu plus regardant sur sa sécurité informatique, c’est bien celui concernant les fonctionnaires. Ils gèrent les informations locales, régionales, nationales, donc des milliers, quand cela ne se chiffre pas en millions de données privées et sensibles. seulement, la sécurité informatique, faudrait-il encore qu’il en entende parler sous forme de formation, de réunion, et autrement que par des professionnels qui ne connaissent du terrain que les rapports chiffrés qu’ils lisent et recopient à longueur de journée.

Un exemple en date, chez nos cousins canadiens. Un sondage interne lancé par le ministère fédéral de la Justice annonce qu’environ 2000 membres du personnel ont cliqué sur un courriel piégé. De l’hameçonnage facile via un faux courriel traitant… de la sécurité des informations confidentielles du ministère. Un tiers des personnes ciblées a répondu à la missive, soit 1850 fonctionnaires sur 5000. Les prochains essais auront lieu en août et au mois d’octobre avec un degré de sophistication supérieure.

Selon le gouvernement canadien environ 10 % des 156 millions de filoutages diffusés chaque jour réussissent à contrer les logiciels et autres filtres antipourriels. Huit millions sont executés par le lecteur, 10% cliquent sur le lien. 80.000 se font piéger. (La presse)

Entreprise, Fuite de données

Protection des données personnelles : 5 étapes d’un plan de mise en conformité

Pour Elizabeth Maxwell, directrice technique EMEA chez CompuwareLes, la question se pose : les entreprises se sentent-elles concernées par les législations européennes ? En matière de protection des données personnelles, l’impact risque d’être plus retentissant que ne le laisse penser l’éloignement géographique d’institutions dont les objectifs sont parfois obscurs. Transferts des données encadrés, amendes réévaluées à la hausse, profilage sous condition, l’ensemble du cadre législatif européen aura des conséquences sur les investissements IT des entreprises. Protection des données personnelles, voici les 5 étapes d’un plan de mise en conformité.

·        Comprendre les implications de la législation
Cela va sans dire mais il appartient aux entreprises de comprendre les conséquences du nouveau cadre législatif européen sur leurs opérations quotidiennes et récurrentes. Cette première étape est essentielle à l’identification des processus de collecte et de transferts applicables chez elles. L’erreur à ne pas commettre est de minimiser l’impact et le coût. Il faudra s’attendre, au contraire, à d’importantes dépenses, compte tenu des pratiques généralisées de développement et de test qui s’appuyaient jusque-là sur des données non anonymisées.

·        Auditer et localiser les données sensibles
La deuxième étape consiste à réaliser un audit global de localisation des données personnelles et sensibles. Qui a accès à quoi, où et comment ces données sont-elles recoupées ? Quels sont les points d’achoppement, où sont les risques de violation ?  Encore une fois, le temps nécessaire à cette analyse ne doit pas être sous-estimé.

·        Adapter ses processus aux nouvelles contraintes
Une fois la localisation et l’identification des données et des risques associés réalisées, il devient plus aisé d’introduire à ses processus de traitement existants l’anonymisation de la donnée. Il est également envisageable de créer de nouveaux flux de travail qu’il sera plus facile et plus rapide d’adapter aux exigences à venir de la législation européenne.

·        Développer une solution conforme aux exigences
En fonction des résultats de l’audit, du niveau préalable de conformité, du business model choisi ou encore de la démarche retenue par l’entreprise, la solution globale définie pourra porter par exemple sur une révision des droits d’accès aux données, sur le choix d’une nouvelle solution de MDM, sur la refonte des clauses contractuelles relatives aux transferts ou (et très certainement) une combinaison de ces différents sujets.

·        Donner de l’air à la  DSI
L’ensemble de ces étapes représente un processus long et fastidieux, dont la réussite repose sur une parfaite maîtrise du cadre législatif. Le délai de deux ans laissé aux entreprises n’est pas de trop au regard des très nombreux paramètres à prendre en compte. Le volume de données, leur interaction complexe, leur qualité et leur intégrité ne sont qu’une étape d’un plan plus général de révision des processus afin de répondre rigoureusement aux obligations européennes.

Les DSI européennes travaillent aujourd’hui, bien malgré elles, à flux tendu. La charge de travail qu’implique le dispositif européen de protection des données personnelles peut être supportée en s’appuyant sur une expertise extérieure, afin de réduire à la fois le risque d’erreur, les délais d’initiation à la législation et donc le coût global.

Chiffrement, Cybersécurité, Espionnae, Fuite de données, Identité numérique, Vie privée

Un Monsieur sécurité pour protéger les données des électeurs

Le gouvernement Canadien a décidé, voilà quelques jours, de mandater une équipe de sécurité informatique qui aura comme mission de trouver la moindre faille et fuite de données concernant les électeurs du pays. Une décision politique qui fait suite au jugement d’une entreprise de généalogie qui a commercialisé durant 6 ans les données de plusieurs millions d’élécteurs via ses services oueb.

L’Institut Drouin, spécialisé dans la généalogie, avait copié une liste électorale datant de 2003. Le jugement de cour du Québec a ordonné à Drouin de détruire les données appartenant à 5,5 millions de Québécois : nom, adresse, sexe et date de naissance. « L’État a le droit d’en interdire la diffusion pour protéger la vie privée des électeurs », a indiqué le tribunal.

En France, il suffit de regarder les seconds tours d’éléctions pour appercevoir les candidats et leurs équipes décortiquer les listes électorales afin d’inciter les abstansionnistes à voter, voir certains élus analyser les employés municipaux n’ayant pas pris le temps de voter !

Entreprise, Fuite de données, Propriété Industrielle

Guide de la charte informatique

2 commentaires

La charte informatique permet d’encadrer les risques liés à l’utilisation du système d’information par les salariés et de limiter les responsabilités pénales et civiles de l’entreprise et de ses dirigeants.

Toutefois sa mise en place doit se faire dans certaines conditions pour qu’elle soit juridiquement opposable, c’est pourquoi Olfeo propose un guide pour accompagner les entreprises sur ce point.

Olfeo, éditeur français d’une solution de proxy et filtrage de contenus Internet, dévoile son « Guide de la charte Informatique » co-écrit avec le cabinet d’avocats Alain Bensoussan spécialisé dans le domaine du droit de l’informatique. Ce document a pour objectif d’aider les directions informatiques dans l’élaboration de leur Charte des systèmes d’information, souvent appelée de manière générique « Charte informatique ».

« Une grande partie des DSI et des RSSI sont conscients de l’importance de mettre en place une charte informatique dans leur entreprise pour définir les conditions générales d’utilisation du système d’information et notamment des accès Internet, des réseaux et des services multimédias », explique à DataSecurityBreach.fr Alexandre Souillé, président et fondateur d’Olfeo. « Toutefois, la démarche de charte n’est pas toujours évidente à mettre en œuvre, c’est pourquoi nous avons conçu ce guide qui permet à nos clients de mieux comprendre les facteurs clés de succès lors de la conception et le déploiement de leur charte. »

Le guide de la charte informatique Olfeo co-écrit avec le cabinet d’avocats Alain Bensoussan aborde ainsi, de manière pédagogique, les différents aspects relatifs au document :

–             Comprendre les fondements juridiques d’une charte
–             Pourquoi mettre en œuvre une charte
–             Comment aborder le contenu d’une charte tout en préservant l’équilibre entre vie privée résiduelle et droit du travail
–             Comment déployer une charte opposable aux salariés et quelles sont les autres guides ou livrets à mettre en œuvre en parallèle…

Concernant le déploiement d’une charte opposable aux employés, le guide présente les étapes indispensables à respecter
La charte doit être déployée de la même manière qu’un règlement intérieur. La jurisprudence établit clairement qu’une charte déployée comme un règlement intérieur s’impose à tous les utilisateurs soumis à ce règlement. Son déploiement doit être effectué conformément à certains fondamentaux. Le premier consiste à de soumettre la Charte aux instances représentatives du personnel, c’est le principe de discussion collective. Le second est le principe de transparence qui consiste à diffuser la Charte auprès des utilisateurs, à la fois individuellement mais également collectivement, à une place facilement accessible sur le lieu de travail.

Pour les entreprises privées et les administrations qui disposent d’agents de droit privé deux étapes supplémentaires sont également nécessaires : déposer cette charte au conseil des prud’hommes ainsi qu’à l’inspection du travail en deux exemplaires. Enfin, à chaque modification de la Charte, l’ensemble de cette procédure doit être à nouveau déployée.

« Une Charte s’inscrit dans une démarche d’explication et de sensibilisation quant aux enjeux et aux risques. L’objectif est de faire adhérer les utilisateurs. Il faut donc que la Charte soit claire et à la portée de tous », ajoute à Data Security Breach Alexandre Souillé. « >Il ne faut d’ailleurs pas hésiter à se faire accompagner de professionnels qualifiés en cas de besoin car l’utilisation de la charte peut prévenir l’entreprise, les dirigeants et mêmes les employés de bien des désagréments. »

Cyber-attaque, Cybersécurité, Fuite de données, Mise à jour, Patch

Faille pour TweetDeck

Depuis plusieurs heures, des milliers d’internautes se sont amusés à utiliser une vulnérabilité dans l’outil de conversation en ligne TweetDeck.

Un excellent logiciel au demeurant qui permet de suivre et administrer plusieurs comptes Twitter. La faille, un XSS, a donc été diffusé et largement exploité pour le fun, mais aussi dans des buts largement moins avouables. Une véritable plaie, le code diffusé retweet la faille et envahie donc Twitter et les comptes des utilisateurs ainsi piégés. Cela fait plus de 24 heures que la vulnérabilité est connue publiquement, et Twitter, propriétaire de l’outil n’a pas encore réagi. Attendez-vous à voir Tweetdeck fermer quelques minutes (heures ?) le temps de la mise en place d’un correctif.

Une vague XSS qui pourrait paraître anodine. Le Cross-Site Scripting ne fait que diffuser automatiquement son contenu. Une action qui cache peut-être l’arbre malveillant dans la forêt ! Un pirate serait-il en train de détecter des cibles utilisatrices de TweetDeck. Une veille (un compte Twitter référence les microblogs piégés, voir ci-dessus, Ndlr de DataSecuritybreach.fr) aux intentions malveillantes qui aurait pour but final de lancer une autre attaque, dans les heures/jours à venir ? Action largement plus violente via une faille, un 0day [0Day], voleuse de données; ou d’une préparation pour une cyber manifestation contre la Coupe du Monde 2014 qui débute au Brésil ? A suivre …

Android, Fuite de données, Identité numérique, Sécurité, Smartphone, Social engineering, Vie privée

Heartbleed, de retour dans nos smartphones

2 commentaires

Nous vous en parlions à l’époque, la faille heartbleed a été découverte/exploitée aussi dans les smartphones. Des millions d’appareils sous Android, non mis à jour (4.1.1 et antérieur), le sont encore. Un chercheur vient de lancer une alerte indiquant que des millions de smartphones sont tributaires des mises à jour des opérateurs, constructeurs. Bref, la faille OpenSSL fait encore des dégâts.

Luis Grangela, scientifiques portuguais, indique qu’une méthode de piratage exploitant Heartbleed peut être exploitée par des pitrates. Sa méthode utilise le Wi-Fi et des smartphones Android. Son attaque, baptisée Cupidon, est basée au niveau des tunnels TLS. Pour le chercheur, iOS d’Apple ne serait pas épargné.