Archives de catégorie : Entreprise

Actualités liées à la sécurité informatique des entreprises, PME, PMI, TPE, association, communes.

Communiqué de presse, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Logiciels, Mise à jour, Oracle, Patch, Piratage, Securite informatique

Java est dangereux selon une nouvelle étude

Chaque jour, des millions d’utilisateurs ont recours aux applications Java sans être conscients que 88% d’entre elles sont vulnérables aux cyberattaques !

Vous utilisez java ? Êtes-vous comme 28% des entreprises qui ont mis en place une stratégie de supervision des failles de sécurité efficace pour faire face à des attaques de grande ampleur ? CA Technologies a présenté les résultats de sa derniére étude baptisée « Rapport sur la Sécurité des Logiciels en 2017 ». Une étude réalisée par Veracode, sa filiale spécialisée dans la sécurisation des logiciels.

Ce rapport est une analyse complète de données collectées auprès de plus de 1 400 entreprises en matière de sécurité des applications. Les conclusions de l’étude sont inquiétantes en ce qui concerne les délais de correction des vulnérabilités, les pourcentages d’applications présentant des failles et les risques mniprésents liés à l’utilisation de composants open source vulnérables.

A une époque où les cyberattaques sont devenues monnaie courante (vol de données sensibles, piratage industriel, ransomware, … etc.), l’analyse fournie par Veracode démontre que, sur le terrain, les principes basiques de sécurité ne sont pas respectés. Il est donc urgent que les entreprises aient consciences des mesures nécessaires pour hausser leur niveau de sécurité, face à des hackers dont la force de frappe n’est plus à démontrer.

88% des applications Java seraient dangereuses

Chris Wysopal, Directeur Technique de CA Veracode, explique : « En raison de l’utilisation généralisée de composants exogènes par les développeurs pour coder, une seule vulnérabilité peut suffire pour mettre en danger des milliers d’applications différentes. » 88% des applications Java contiendraient au moins un composant les exposant à des attaques de grande ampleur. Tout ceci est en partie dû au fait que moins de 28% des entreprises mènent régulièrement des analyses pour analyser la fiabilité des composants d’une application.

Outre des informations concernant la menace posée par l’utilisation de composants à risque, ce rapport met également en lumière d’autres enseignements comme le fait que 77% des applications présentent au moins une faille dès la première analyse. Ce nombre progresse à un rythme alarmant pour les applications qui échappent à un test avant leur mise en production. Les institutions gouvernementales continuent à se montrer les moins performantes. Seules 24,7% d’entre elles réussissent tous les scans de sécurité applicative. Par ailleurs, elles présentent le plus de failles exploitables, par exemple par cross-site scripting (49%) ou encore par injection SQL (32%). Deux secteurs enregistrent de légères progressions entre la première et la dernière analyse des vulnérabilités de leurs applications : la santé affiche un taux de réussite au scan de sécurité de 27,6%, puis de 30,2 % ; et la grande distribution : 26,2 % puis 28,5 %.

Les raisons de ces failles majeures

Au cours des 12 derniers mois, plusieurs failles majeures au sein des applications Java ont été provoquées par des vulnérabilités de composants logiciels, qu’ils soient d’origine open source ou de suites commerciales. « Struts-Shock », une faille révélée en mars 2017, en est une illustration. Selon les résultats des analyses, plusieurs semaines après l’attaque initiale, 68% des applications Java s’appuyant sur la bibliothèque Apache Struts 2 utilisaient toujours une version à risque du composant.

Cette vulnérabilité permettait d’exécuter du code à distance grâce à l’injection de commandes, et quelque 35 millions de sites étaient concernés. En exploitant cette faille, les cybercriminels ont pu pirater les applications de nombreuses victimes, dont l’Agence du Revenu du Canada et l’Université du Delaware.

Le rapport révèle également qu’environ 53,3 % des applications Java s’appuient sur une version vulnérable de la bibliothèque Commons Collections ; un chiffre identique aux résultats trouvés en 2016. L’utilisation de composants tiers pour le développement d’applications est courant, car il permet aux développeurs de réutiliser du code fonctionnel et d’accélérer la conception de logiciels. Des études ont montré que les composants open source pouvaient même constituer jusqu’à 75% du code d’un logiciel.

Industrialisation des cyberattaques : une réalité méconnue

Pour Chris Wysopal, les équipes de développement ne cesseront pas d’utiliser de tels composants, et il n’y a pas de raison qu’elles le fassent. Cependant, en cas de vulnérabilités, le temps presse. Les composants tiers et open source ne sont pas forcément moins sécurisés que du code développé en interne. Il est donc important de conserver un inventaire de leurs versions à jour. En effet, un grand nombre de failles sont le résultat de composants vulnérables. Et à moins que les entreprises ne prennent cette menace plus sérieusement et s’appuient sur des outils adaptés pour superviser leur utilisation, le problème ne peut qu’empirer.

L’utilisation de composants à risque fait partie des tendances les plus marquantes de ce rapport. L’ambiguïté réside dans le fait que bon nombre d’entreprises donnent la priorité à la gestion des vulnérabilités les plus dangereuses sans pour autant résoudre les problèmes au niveau du développement de leurs applications de façon efficace. Même les failles les plus graves nécessitent un temps considérable pour être corrigées. Seules 22 % des failles les plus sévères sont corrigées sous 30 jours et la plupart des criminels en profitent dès leur identification. Les pirates ont donc largement assez de temps pour infiltrer un réseau donné et occasionner des dégâts parfois irréversibles.

Le rapport donne 5 conseils à suivre

Tester le plus tôt possible dans le cycle de développement et le plus souvent possible ;
Donner aux développeurs les informations et les ressources dont ils ont besoin, notamment pour leur formation continue et les procédures de remédiation ;
Respecter les procédures de remédiations scrupuleusement et immédiatement après avoir découvert les vulnérabilités ;
Identifier et documenter les versions de vos composants logiciels, en limitant l’utilisation de composants à risques ;
Cibler en priorité les applications critiques et les vulnérabilités les plus virulentes lors des mesures de remédiation. Dans ces phases de crises, c’est souvent la seule possibilité en fonction de vos ressources.

En conclusion, il est urgent de réagir et d’agir rapidement, faute de quoi les entreprises, tout comme les organismes publics, verront leur notoriété mise à mal et perdront la confiance de leurs clients et utilisateurs. En laissant la porte ouverte à la cybercriminalité, elles ne feront qu’encourager des pratiques aussi nuisibles que dangereuses, aujourd’hui le danger ne vient plus de pirates isolés mais de réseaux organisés à l’échelle mondiale, à l’affût de la moindre faille de sécurité.

Base de données, Cybersécurité, Entreprise, Espionnae, Facebook, Fuite de données, ID, Identité numérique, Mise à jour, Particuliers, Patch, Securite informatique, Social engineering

Facebook collecte-t-il des données étatiques ?

Pour récupérer un compte Facebook, un espace Instagram piraté, le géant de l’Internet réclame une photo de votre visage et une copie de votre carte d’identité. Facebook collecte-t-il des données étatiques sous couvert de cybersécurité ?

Facebook serait-il en train de se constituer une base de données contenant des informations étatiques sous le couvert de ses opérations de cybersécurité ? Voilà la question qui est posée. De nombreux lecteurs de Data Security Breach ont reçu un message de Facebook après le blocage de leur compte sur le réseau social. un piratage, un message douteux, … Facebook exige la photographie du propriétaire et sa pièce d’identité. Un scan de la carte d’identité. Facebook explique qu’il s’agit de s’assurer que le propriétaire légitime pourra récupérer son espace. Cela démontre surtout que les algorithmes biométriques sont efficaces. Facebook compare avec les photos présentes sur le compte. Mais n’est-ce-pas aussi et surtout un moyen de fichier plus efficacement encore les utilisateurs.

Cette « récupération » de données (carte d’identité) permet de prouver aux actionnaires que les comptes sont bien associés à des personnes physiques.

Des majeures et solvables si possible.

Bref, voilà le questionnement sur cette « demande » d’informations. Facebook affirme ne rien sauvegarder sur ses serveurs : « Merci d’envoyer une photo de vous montrant clairement votre visage. Nous la vérifierons puis la supprimerons définitivement de nos serveurs ».

Valider son compte Facebook avec sa carte d’identité

Facebook a annoncé il y a peu vouloir utiliser cette méthode pour valider un nouveau compte ouvert sur sa plateforme. Le nouvel abonné, explique Wired, aura l’obligation de se prendre en photo pour ouvrir un profil. Facebook indique que ce projet de sécurisation sera opérationnel sous peu. Le système est testé depuis avril 2017. Facebook parle d’un système de sécurité. Système qui doit permettre de « détecter les activités suspectes » lors d’une demande d’ami ou pour créer une publicité.

Des algorithmes Facebook qui ne sont pas tous à mettre dans la case « espionnage » (quoique) ! A l’image de son détecteur de suicide. Un code qui apprend par lui même et qui serait capable d’alerter en cas de messages considérés comme « annonçant » un passage à l’acte suicidaire en cours. Un système de détection qui ne sera pas mis en place en Europe en raison des règles en matière de respect de la vie privée (RGPD). Une technologie testée depuis mars 2017.

Pour détecter ce genre de cri de détresse, Facebook a introduit en mars 2017 une technologie apprenant par elle-même.

Un algorithme autodidacte. Il a appris à identifier des modèles dans des données existantes : messages, photos … Il peut être utilisé pour détecter ces modèles dans de nouvelles données. Ces données peuvent être des messages inquiétants, des réactions soucieuses à ceux-ci, voire des appels à l’aide sous la forme de vidéos en direct. Plus l’algorithme de détection s’appliquera, plus il deviendra intelligent. « L’intelligence artificielle nous aidera à reconnaître également les nuances linguistiques plus subtiles et à identifier les tendances suicidaires, le harcèlement« , indique Mark Zuckerberg.

Communiqué de presse, Emploi, Entreprise, ID, Identité numérique, Logiciels, Paiement en ligne, Particuliers, Propriété Industrielle, Vie privée

PeerTube : une alternative libre à YouTube d’ici mars 2018 ?

Après trois années passées à « Dégoogliser Internet », l’association française Framasoft finance actuellement le développement de PeerTube, un logiciel libre qui vise à égratigner le monopole de YouTube… grâce à une conception radicalement différente.

PeerTube

Le principe de YouTube est simple : centraliser et contrôler le maximum de créations vidéos pour mieux capter l’attention et les données personnelles des internautes qui vont les voir. Pour financer de telles plateformes, il faut les moyens d’un Google-Alphabet (qui détient YouTube) ou d’un Vivendi-Universal (qui a acheté Dailymotion).

C’est en partant aux antipodes de ce principe que Chocobozzz a conçu PeerTube : un logiciel libre qui allie fédération d’hébergements vidéo et visionnage en pair-à-pair. Après deux années à développer PeerTube sur son temps libre, Chocobozzz vient de rejoindre l’équipe salariée de l’association Framasoft. Il se consacre à la finalisation du projet, dont une version publiquement utilisable est prévue pour mars 2018.

Un peu de technique…

À l’instar de Mastodon (une alternative libre et fédérée à Twitter), PeerTube utilise le protocole ActivityPub. Il permet de fédérer de petits hébergeurs de vidéos indépendants, ce qui permet à un spectateur qui va sur telle instance de PeerTube d’avoir accès à l’ensemble du catalogue vidéos de sa fédération. Ainsi, il n’est plus nécessaire d’héberger les vidéos de la terre entière pour présenter ses vidéos à un large public.

La diffusion en pair-à-pair permet de partager entre internautes des fragments de la vidéo que plusieurs personnes regardent en même temps. Avec cette technologie basée sur WebTorrent, on diminue fortement le risque qu’une vidéo faisant le buzz fasse tomber le serveur, ce qui évite de payer au prix fort bande passante et trafic vers son serveur.

Allier ces deux principes techniques, qui font partie des fondamentaux d’Internet, permet tout simplement de démocratiser l’hébergement de vidéos, afin que des médias, des associations, des universités et des collectifs d’artistes puissent progressivement gagner leur indépendance face à un YouTube toujours plus contraignant.

Framasoft fait le pari du libre, qui n’est pas gratuit

« Pendant ces trois années passées à Dégoogliser Internet, nous avons cherché une alternative libre à YouTube qui ne demande pas d’avoir les moyens d’un Google-Alphabet… car nous avons fait les calculs : nous sommes 350 000 fois plus pauvres qu’eux ! » plaisante Pierre-Yves Gosset, directeur de Framasoft. « L’intérêt de Google, c’est de centraliser nos créations vidéos et nos attentions, pour mieux capter nos données personnelles et monétiser notre temps de cerveau disponible. Chocobozzz a pensé PeerTube hors des sentiers battus par ces plateformes centralisatrices, et c’est là la véritable innovation. Il était donc évident pour nous de soutenir son projet en finançant son temps de travail. »

Le pari n’est pas anodin pour cette petite association française financée à 90 % par les dons des internautes. Sur les 90 000 € que Framasoft demande au public pour boucler son budget 2018. Un tiers sera consacré au développement de PeerTube, que l’association présente sur le site Framatube.org.

« Dès mars 2018, Framatube ne sera qu’une des portes d’entrée vers la fédération PeerTube. Nous n’hébergerons pas les vidéos de tout le monde. Nous préférerons accompagner des collectifs en les incitant à ouvrir leur propre instance de PeerTube. Bref : plutôt que de copier les géants du Web, nous voulons créer un réseau de fourmilières sur la toile. » conclut Pierre-Yves.

Avec plus de 38 000 € récoltés sur les 90 000 € nécessaires à la continuité de ses actions, Framasoft, espère que ce pari sera relevé.

Base de données, Chiffrement, Cloud, Communiqué de presse, cryptage, Cybersécurité, Entreprise, Fuite de données, Sauvegarde, Securite informatique

Les 4 piliers pour maîtriser l’environnement multi-Cloud

Il existe quelques fondamentaux à respecter pour gagner en liberté et en sécurité et permettre à l’entreprise de tirer le meilleur parti de ses applications.

Le Cloud, qu’il soit public, privé ou hybride, ne cesse de gagner du terrain. Il offre aux entreprises une formidable opportunité de se développer rapidement et de fournir des services à valeur ajoutée pour répondre à la demande croissante des clients. Selon un récent rapport d’IDC, 86 % des entreprises adopteront une stratégie multi-Cloud d’ici deux ans. Cette évolution exerce de fortes pressions sur les départements informatiques, qui se voient contraints de réduire les coûts, d’assurer la protection des données et de sécuriser les applications critiques. Pour maîtriser l’univers multi-Cloud, l’accent doit être mis sur quatre piliers fondamentaux : stratégie, marché, opérations et valeur.

Stratégie du multi-cloud

Un plan de migration stratégique vers le Cloud aide les entreprises à aller de l’avant grâce à une architecture efficace qui sécurise les applications critiques, optimise le potentiel de l’entreprise, garantit la conformité des données et préserve l’expérience utilisateur. La question que doivent se poser les responsables est de savoir si la stratégie de migration vers le Cloud fournit le socle nécessaire à l’innovation, la croissance de l’activité et l’apport de valeur ajoutée aux clients. Les entreprises ont besoin de résultats tangibles qui ont un impact positif sur l’activité. La sécurité est une composante centrale de tout projet de migration, en particulier lorsque ce dernier intègre des services Cloud natifs s’appuyant sur des règles incompatibles avec les services déployés sur site. Parallèlement, investir dans des outils avancés et du personnel qualifié renforce la maîtrise technologique et l’alignement de la stratégie globale.

Marché

Une compréhension du marché des fournisseurs de services Cloud est fondamentale pour créer de la valeur et optimiser les performances. D’après le rapport State of Applications Delivery 2017 publié par F5, une entreprise sur cinq prévoit d’héberger plus de 50 % de ses applications dans le Cloud, ce qui ne fera qu’amplifier le problème de la sécurité des applications.

D’où l’importance de choisir une solution Cloud et un fournisseur de sécurité appropriés. Il est par exemple possible de combiner services sur site, services de Cloud public/privé et services SaaS (Software-as-a-Service). Le marché offre de nombreuses possibilités. Que l’entreprise opte pour le transfert des applications existantes vers le Cloud (migration de type « lift and shift ») ou pour des applications Cloud natives, il est important d’éviter toute dépendance vis-à-vis de fournisseurs de services Cloud spécifiques. Déployer la bonne combinaison de solutions dans le ou les bons environnements accélère la mise sur le marché, atténue les menaces et assure la cohérence, quel que soit le scénario opérationnel.

Opérations

Un modèle multi-Cloud transforme le département informatique en courtier de services, aidant ainsi les entreprises à renforcer la sécurité des applications tout en optimisant le rendement de l’infrastructure existante via la normalisation. Les entreprises prospères adoptent une approche intégrée du Cloud et évitent les silos départementaux. La sécurité des applications dépend de l’ensemble de l’architecture applicative, y compris de l’infrastructure réseau. Tout l’écosystème doit protéger pleinement les données et services vitaux en constante évolution. La sécurité ne doit pas être l’affaire d’un seul individu ni d’une seule fonction de l’entreprise. Pour une transition en douceur, toutes les parties prenantes doivent se synchroniser entre elles et parfaitement saisir les objectifs commerciaux. Une collaboration plus étroite entre les équipes DevOps et NetOps est attendue. De leur côté, les architectes des nouvelles solutions et nouveaux services applicatifs doivent mieux sensibiliser les dirigeants. Avantages de la migration vers le Cloud et aux aspects à normaliser.

Valeur

Il est indispensable de mettre en place des dispositifs de mesure, de surveillance et de gestion. Un écosystème de solutions de sécurité intégrées est requis. Il doit protéger les applications vitales contre des risques majeurs, où qu’elles résident.

Recourir à des outils robustes. Appréhender le paysage des menaces. Mettre à la disposition des spécialistes de la sécurité tous les moyens nécessaires aide les entreprises à protéger les données sensibles. Il doit faciliter le contrôle des accès en vue d’une meilleure expérience client.

Une mesure et une surveillance étroites des performances d’un projet Cloud permettent d’identifier les menaces. Connatre leur impact sur le bilan de l’entreprise.

L’adoption de technologies Cloud doit également être un moyen pour les entreprises de lancer de nouveaux services et d’innover. Croissance de l’activité, accélération de la mise sur le marché, flexibilité/efficacité opérationnelles et optimisation des performances applicatives sont des facteurs essentiels. Au final, le Cloud doit être une source de fierté pour l’entreprise et renforcer la réputation de la marque.

Conclusion : maîtriser ou subir son multi-cloud

De plus en plus d’entreprises adoptent un modèle multi-Cloud. Si elles ne veulent pas être laissées pour compte dans un monde numérique en rapide mutation, elles doivent agir. Ce sont la réputation de leur marque et la confiance des clients qui sont en jeu. En l’absence de vision et de stratégie, elles se laisseront dépasser par la complexité. Elles finiront par rejoindre les rangs des victimes de la cybercriminalité. Il est temps pour elles de devenir maîtres de leur destin. (Par Laurent Pétroque, expert sécurité chez F5 Networks)

Base de données, Chiffrement, Cloud, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données, Justice, loi, RGPD, Sauvegarde, Securite informatique

Cadres, le RGPD pourrait vous coûter votre carrière

Le nouveau règlement sur les données privées, le RGPD, pourrait ralentir la carrière des cadres supérieurs dans le monde entier.

Les cadres supérieurs mettent en danger leur avancement de carrière en raison d’un grand manque de connaissances concernant la nouvelle législation sur la confidentialité des données. C’est ce que révèle une nouvelle étude internationale : si les cadres ne contribuent pas à l’hébergement de leurs données par des chasseurs de tête, ils risquent de manquer des opportunités de carrière cruciales et donc les augmentations de salaire typiques lorsque le Règlement général sur la protection des données (RGPD) sera entré en vigueur, en mai 2018.

Les cadres supérieurs risquent de passer à côté d’opportunités de carrière cruciales

L’étude Conséquences inattendues – Pourquoi le RGPD pourrait ralentir la carrière des cadres supérieurs dans le monde entier, a été réalisée par GatedTalent, un outil de mise en conformité avec le RGPD destiné au secteur du recrutement, auprès de plus de 350 cabinets de recrutement autour du monde. Elle montre que les cadres supérieurs sont généralement contactés par des chasseurs de tête au moins une fois par an, 32 % des répondants s’attendant même à être contactés trois à cinq fois par an. Pour que cela puisse être le cas, les cabinets de recrutement doivent pouvoir stocker les données reçues de cadres et dirigeants – mais le RGDP implique que bon nombre de recruteurs vont devoir changer la façon dont ils opèrent actuellement.

C’est le sentiment qu’exprime le Dr Bernd Prasuhn, de l’entreprise de recrutement Ward Howell, interviewé dans le cadre de la recherche : « Les cadres supérieurs qui espèrent atteindre un poste de direction un jour doivent être sur le radar des entreprises de recrutement des cadres, faute de quoi ils n’y parviendront jamais ».

Un manque considérable de connaissances sur le RGPD

Malgré tout, peu de cabinets de recrutement ayant participé à l’étude estiment que les cadres supérieurs sont conscients de la façon dont le RGPD risque d’affecter leur avancement. Jens Friedrich de l’entreprise de recrutement SpenglerFox, qui a été interrogé dans le cadre de l’étude, ne pense pas que les cadres supérieurs, qui comptent sur les chasseurs de tête pour leur proposer un nouveau poste, soient pleinement conscients de la façon dont le RGPD est susceptible d’affecter leurs options professionnelles, surtout quand on sait qu’un cadre supérieur change généralement de travail tous les 3 ou 4 ans. « Je pense que cela dépendra beaucoup des circonstances personnelles, à savoir s’ils travaillent dans un secteur susceptible d’être fortement affecté, par exemple, ou s’ils ont déjà été informés par une entreprise de recrutement. Cela variera vraisemblablement d’un pays à l’autre mais j’ai le sentiment que la prise de conscience sera minimale chez les cadres supérieurs ».

Base de données, Chiffrement, Communiqué de presse, cryptage, Cybersécurité, double authentification, Entreprise, Fuite de données, Sauvegarde, Securite informatique

Près de la moitié des entreprises ont subi une compromission de données en 2016

La forte progression du trafic Internet émanant de bots crée un sérieux angle mort pour la sécurité IT, et 79% des entreprises ne savent toujours pas si leur trafic web provient d’humains ou de bots selon une étude de Radware.

La publication d’une nouvelle étude intitulée Radware Research: Web Application Security in a Digitally Connected World ne laisse rien présagé de bon. Ce rapport, qui examine la façon dont les entreprises protègent leurs applications web, identifie des lacunes de sécurité au sein des actuelles pratiques DevOps, recense les principaux types et vecteurs d’attaques et identifie les principaux risques.

L’étude qui s’intéresse aux secteurs d’industrie les plus ciblés, comme la vente au détail, la santé et les services financiers, souligne la prolifération du trafic web généré par des bots et son impact sur la sécurité applicative des entreprises. En réalité, les bots sont à l’origine de plus de la moitié (52%) de tout le flux du trafic Internet. Pour certaines entreprises, les bots constituent plus de 75% du trafic total. Les résultats soulignent ainsi qu’une entreprise sur trois (33%) ne sait pas distinguer les « bons » bots des « mauvais ».

Le rapport révèle également que près de la moitié (45%) des sondés ont expérimenté une compromission de données l’année passée et que 68% ne sont pas certains de pouvoir préserver la sécurité de leurs informations internes. De plus, les entreprises protègent souvent mal leurs données sensibles. 52% n’inspectent pas le trafic échangé depuis et vers des API. 56% ne sont pas en capacité de suivre les données une fois qu’elles quittent l’entreprise.

Toute entreprise qui collecte les informations de citoyens européens va bientôt devoir se conformer aux réglementations strictes sur la confidentialité des données imposées par le nouveau règlement général sur la protection des données (GRPD) ou GDPR (General Data Protection Regulations).

Ces nouvelles obligations prendront effet en mai 2018. Toutefois, à moins d’un an de l’échéance, 68% des entreprises craignent de ne pas être prêtes à temps.

« Il est alarmant que les dirigeants d’entreprises qui recueillent les données sensibles de millions de consommateurs doutent de la sécurité des informations qu’ils détiennent », déclare Carl Herberger, vice-président des solutions de sécurité chez Radware. « Ils connaissent les risques mais des angles morts, potentiellement vecteurs de menaces, persistent. Tant que les entreprises ignoreront où se situent leurs vulnérabilités et qu’elles n’auront pas pris les bonnes mesures pour se protéger, les attaques d’ampleur et les compromissions de données continueront de faire les gros titres. » Selon le Dr Larry Ponemon, « Ce rapport montre clairement que la pression exercée à fournir des services applicatifs en continu limite la capacité des méthodes DevOps à assurer la sécurité des applications Web aux différentes étapes du cycle de vie des développements logiciels.»

La sécurité applicative est trop souvent négligée. Tout le monde veut bénéficier des avantages de l’automatisation totale et de l’agilité conférées permis par le déploiement continu. La moitié (49%) des sondés utilisent actuellement le déploiement continu des services applicatifs et 21% envisagent de l’adopter au cours des 12 à 24 mois. Toutefois, ce modèle peut aggraver les problématiques de sécurité du développement applicatif : 62% reconnaissent que la surface d’attaque s’en trouve étendue et la moitié environ déclare ne pas intégrer la sécurité au processus.

Les bots prennent le dessus. Les bots sont la dorsale du e-commerce aujourd’hui. Les e-commerçants utilisent les bots pour les sites comparateurs de prix, les programmes de fidélité électroniques, les chatbots, etc. 41% des commerçants ont même déclaré que plus de 75% de leur trafic émane de bots, alors que 40% ne font toujours pas la différence entre les bons et les mauvais bots. Les bots malveillants constituent un risque réel. Certaines attaques de web scrapping volent la propriété intellectuelle des commerçants, cassent les prix et rachètent des stocks de façon à écouler la marchandise via des canaux non autorisés en dégageant une marge. Mais les bots ne sont pas le seul problème des commerçants. Dans le secteur de la santé, où 42% du trafic émane de bots, 20% seulement des responsables de la sécurité IT étaient certains qu’ils pourraient identifier les « mauvais » bots.

La sécurité des API est souvent négligée. Quelque 60% des entreprises partagent et consomment des données via les API, y compris des informations personnelles, des identifiants et mots de passe, des détails de paiements, des dossiers médicaux, etc. Pourtant, 52% n’inspectent pas les données échangées avec leurs API, et 51% n’effectuent aucun audit de sécurité ni n’analysent les failles éventuelles des API en amont de l’intégration.

Les périodes de vacances sont à haut risque pour les commerçants. Les commerçants sont confrontés à deux menaces distinctes mais très dommageables pendant les périodes de vacances : les pannes et les compromissions de données. Des pannes d’Internet lors de la haute saison quand les commerçants dégagent le plus de bénéfices peuvent avoir des conséquences financières désastreuses. Pourtant, plus de la moitié (53%) ne sont pas certains de la disponibilité à 100% de leurs services applicatifs. Les périodes où la demande est forte comme celles du Black Friday et du Cyber Monday, exposent également les données des clients : 30% des détaillants laissent entendre qu’ils peinent à protéger correctement leurs données sensibles au cours de ces périodes.

Les données médicales des patients courent des risques également. 27% seulement des sondés dans le secteur de la santé ont confiance dans leur capacité à protéger les dossiers médicaux de leurs patients, même s’ils sont près de 80% à devoir se conformer aux réglementations d’état. Il est primordial de déployer des correctifs de sécurité pour faire face aux actuelles menaces et mieux pouvoir atténuer leur impact, mais 62% environ des sondés dans le secteur de la santé n’ont peu ou pas confiance dans la capacité de leur établissement à pouvoir adopter rapidement des correctifs de sécurité et déployer les mises à jour, sans compromettre la conduite des opérations. Plus de la moitié (55%) des établissements de santé déclarent n’avoir aucun moyen de suivre les données partagées avec une tierce partie une fois qu’elles ont quitté le réseau interne. Les organisations du secteur de la santé sont les moins enclines à rechercher des données volées sur le Darknet : 37% ont déclaré le faire contre 56% dans le secteur des services financiers et 48% dans le secteur de la vente au détail.

La multiplication des points de contact aggrave le niveau de risque. L’avènement des nouvelles technologies financières (comme celles liées aux paiements mobiles) facilite l’accès des consommateurs et leur degré d’engagement, ce qui a pour effet d’accroître le nombre des points d’accès comportant des vulnérabilités et de majorer le niveau de risque auquel sont confrontés les responsables de la sécurité. Alors que 72% des organisations de services financiers partagent les identifiants et mots de passe et que 58% partagent les détails des paiements réalisés via des API, 51% ne chiffrent pas le trafic, avec le risque d’exposer les données en transit des clients.

Base de données, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, IOT, Leak, Mise à jour, Particuliers, Patch, Piratage, Sauvegarde, Securite informatique, Vie privée

Les équipements médicaux seront-ils la prochaine cible des cybercriminels ?

Equipements médicaux et les pirates ! Le thème de l’édition 2017 du Cyber Security Weekend européen était “Next” – the near future and threats we will face ». A cette occasion, des experts de Kaspersky Lab, de KPN et d’EUMETSAT se sont réunis pour évoquer leurs prévisions et études respectives. Les participants ont ainsi pu écouter les prévisions sur ce que réservent les cybercriminels aux hôpitaux et aux patients en 2018.

Les données médicales contenus dans les équipements médicaux ont une très grande valeur sur le marché noir et les systèmes médicaux revêtent une importance vitale. Dès lors, les organisations de santé sont une proie de choix pour les tentatives d’extorsion. Il est donc essentiel que la communauté des spécialistes de la sécurité travaille en étroite collaboration avec le monde de la santé et ses fournisseurs dans le but de renforcer la protection des appareils utilisés, de veiller à ce que les nouveaux systèmes soient sécurisés et sûrs d’entrée de jeu, et pour que les équipes médicales soient bien formées aux questions de cybersécurité.

Le paysage en 2017

En 2017, les recherches ont montré à quel point les informations médicales et les données des patients stockées au sein d’une infrastructure de santé connectée étaient peu protégées et donc, accessibles en ligne par n’importe quel cybercriminel motivé. Les experts ont par exemple découvert que près de 1500 appareils utilisés pour le traitement des imageries médicales étaient accessibles au public. En outre, les recherches ont démontré qu’un nombre non négligeable de logiciels et d’applications en ligne de nature médicale, renferment des vulnérabilités pour lesquelles il existe des exploits publics. Ce risque se voit accru par la valeur des informations médicales, dont comptent bien profiter les cybercriminels pour leur bénéfice personnel. Ils savent en effet pertinemment qu’elles sont faciles d’accès et que les organismes médicaux seront toujours prêts à payer pour les récupérer.

A quoi faut-il s’attendre pour 2018 ?

Le secteur médical va être de plus en plus menacé, étant donné le nombre croissant d’appareils connectés et d’applications vulnérables déployés par les services de santé. Le monde de la santé est soumis à différents facteurs qui influent sur son fonctionnement : la nécessité d’en faire plus, à moindre coût, avec les ressources existantes ; le besoin croissant des soins à domicile pour les populations vieillissantes et les pathologies chroniques telles que le diabète ; l’aspiration du grand public à adopter un mode de vie plus sain ; et la prise de conscience que le partage de données et le suivi croisé des patients par différentes organisations sont la clé pour améliorer la qualité et l’efficacité des soins médicaux.

9 grandes menaces dans les 12 prochains mois

Les attaques ciblant les équipements médicaux avec un objectif d’enrichissement personnel, de malveillance pure, ou pour des motivations pire encore, seront en recrudescence. Les équipements médicaux spécialisés sont de plus à en plus nombreux à être connectés à des réseaux informatiques. Si ces derniers sont pour la plupart privés, une seule connexion peut suffire pour permettre à des attaquants de s’engouffrer dans la brèche et de diffuser des programmes malveillants à l’aide de ce réseau « pourtant fermé ». Or s’en prendre à des équipements peut perturber l’administration de soins, voire être fatal, ce qui augmente grandement les probabilités de versement de rançons en cas de tentative d’extorsion.

Il faut s’attendre à une hausse du nombre d’attaques ciblées visant à dérober des données. Le volume d’informations médicales et de données patients stockées et traitées par les systèmes de santé connectés, augmente tous les jours. Ce type de données est très coté sur le marché noir et peut servir à des fins de chantage et de tentative d’extorsion. D’autant que les criminels ne sont pas les seuls intéressés : l’employeur ou l’assureur d’une victime peuvent être intéressés de connaitre ce qui peut impacter les primes d’une personne ou son emploi.

Équipements médicaux dans la ligne de mire

Le nombre de cas d’attaques avec ransomware, visant les organismes médicaux, va augmenter. Ces tentatives s’appuieront sur le chiffrement de données et le blocage des appareils : les coûts exorbitants des équipements médicaux connectés et leur caractère souvent vital en feront des cibles de choix pour des attaques et tentatives de racket.

Le concept de périmètre professionnel clairement défini va continuer de s’effriter au sein des institutions médicales, dans la mesure où un nombre croissant d’appareils sont connectés à Internet – stations de travail, serveurs, appareils mobiles et équipements divers. Les criminels ont un choix toujours plus large pour tenter d’accéder à des informations médicales et à des réseaux. Mettre en place des systèmes de protection et sécuriser les utilisateurs finaux ou points de terminaison, va devenir le nouveau défi des équipes chargées de la sécurité dans les structures médicales. En effet, tous les nouveaux appareils créent autant de points d’accès à l’infrastructure.

Les données sensibles et confidentielles transmises aux professionnels de la santé par les appareils portables connectés, les implants notamment, vont être de plus en plus pris pour cible par des attaquants. En effet, ces appareils sont de plus en plus utilisés pour les diagnostics médicaux, les traitements et les soins préventifs. Les pacemakers et les pompes à insuline en sont de bons exemples.

Les systèmes d’information médicaux nationaux et régionaux qui échangent des données patients non-chiffrées, ou non sécurisées, avec des praticiens, des hôpitaux, des cliniques et autres établissements, vont être de plus en plus ciblés. Les attaquants vont chercher à intercepter les données lorsqu’elles se trouvent en dehors du pare-feu des réseaux. Il en sera de même pour les données échangées par les établissements médicaux et les compagnies d’assurance santé.

Équipements médicaux, mais pas que…

Le succès des petits appareils de santé et de fitness connectés est une aubaine pour les attaquants, car ils livrent de gros volumes de données personnelles généralement peu protégées. Avec l’engouement pour l’amélioration du bien-être, les bracelets, systèmes de suivi et autres montres connectées vont héberger et transmettre des grandes quantités de données personnelles, protégées à minima. Les cybercriminels n’hésiteront pas à profiter de cette véritable mine d’or.

Les attaques paralysantes – de type DDoS (avec refus de service) ou ransomware qui détruit les données (à l’instar de WannaCry) – posent un problème croissant pour les organismes de soins de santé de plus en plus digitalisés. Le nombre de stations de travail, processus informatisés de traitement des archives médicales et des données commerciales, qui sont le quotidien de toute organisation à la page, élargissent la surface d’attaque possible pour les cybercriminels. La situation est d’autant plus critique pour le monde de la santé dans les cas d’urgences avec pronostic vital engagé.

Enfin, et surtout, les technologies émergentes telles que les membres artificiels connectés, les implants destinés à apporter des améliorations physiologiques, la réalité augmentée embarquée conçues pour résoudre des problèmes de handicap et rendre l’être humain plus fort et en meilleure forme, constituent, elles aussi de nouvelles opportunités pour les attaquants imaginatifs armés d’intentions malveillantes. Ces nouvelles technologies médicales doivent donc être sécurisées dès le stade de leur conception.

Ce document est le premier d’une série publiée par Kaspersky Lab, consacrée aux prévisions annuelles de ses experts. Les autres annonces concerneront les domaines de l’automobile, des services financiers et de la fraude, de la sécurité industrielle et des crypto-monnaies. Tous seront accompagnés des traditionnelles prévisions de menaces ciblées. L’intégralité des Kaspersky Lab Threat Predictions for 2018 sera disponible sur Securelist dans la semaine.

BYOD, Chiffrement, Cybersécurité, Entreprise, Fuite de données, IOT, Justice, loi, Patch, Securite informatique

La sécurité des objets connectés dans une motion aux Pays-Bas

Les Pays-Bas viennent d’adopter une motion imposant aux fabricants d’ objets connectés (IoT) des tests de sécurité informatique.

Voilà une loi traitant de la sécurité des objets connectés qui fait tendre l’oreille. Les Pays-Bas viennent de valider une motion qui impose des tests de piratage à l’encontre des objets connectés vendu dans le pays. Bref, l’Internet of Things (IoT) pris au sérieux et d’une maniérè sécuritaire. C’est l’idée du sénateur Maarten Hijink qui demande au gouvernement et aux entreprises d’organiser des « pentests », des tests de sécurité, afin de tester les appareils connectés. Il y a quelques mois, la Chambre des députés avait réclamé au gouvernement d’agir sur ce même thème, la sécurité des objets connectés. Dans cette nouvelle motion, l’état est inviter à des actions proactives, comme le « hack éthique » dont la mission est d’améliorer la sécurité des objets, donc des utilisateurs.

Bitcoin, BYOD, Chiffrement, Cybersécurité, Entreprise, IOT, Mise à jour, Patch, Securite informatique

Quand votre entreprise mine de la crypto-monnaie… pour les pirates

Votre ordinateur consomment-ils de l’énergie pour vos uniques intérêts ? L’extraction de cryptomonnaie présente une nouvelle menace pour les entreprises. Le tout dernier Threat Index de Check Point révèle une augmentation des extractions de cryptomonnaie en octobre, avec CoinHive en sixième place des logiciels les plus utilisés au monde.

Non, CoinHive ou les crypto-monnaies (cryptomonnaie) ne sont pas malveillantes. Leurs utilisations inapropriées par des malveillants transforment ces beaux projets en merdier sans nom. C’est un peu comme dire que la voiture est illégale car des chauffards roulent à 230kms heures et tuent des gens. Que des braqueurs se servent d’une automobile pour attaquer une banque. Toujours est-il que l’ambiance autour des monnaies démateriealisées ne va pas s’arranger dans les semaines à venir.

Suite à la récente étude de Check Point démontrant que les extracteurs de cryptomonnaie peuvent frauduleusement utiliser jusqu’à 65 % des ressources totales en CPU d’un utilisateur final, sans son approbation, la variante CoinHive a fait son apparition dans le Threat Index d’octobre en 6e position. Ce logiciel malveillant est conçu pour extraire la cryptomonnaie Monero lorsqu’un utilisateur consulte une page web, sans l’approbation de l’utilisateur. CoinHive implante du code JavaScript, qui utilise ensuite le CPU de l’utilisateur final, impactant gravement les performances de sa machine.

Comme en septembre, RoughTed et Locky sont les deux menaces les plus répandues. Cependant, le logiciel malveillant Seamless, un redirecteur transparent de trafic, a fait son entrée parmi les trois premiers. Ce logiciel malveillant redirige silencieusement ses victimes vers une page web pirate. Elle infecte à l’aide d’un kit d’exploitation de vulnérabilités. L’infection réussie permet au pirate de télécharger d’autres logiciels malveillants.

Maya Horowitz, Threat Intelligence Group Manager chez Check Point, précise : « L’émergence de Seamless et de CoinHive souligne une fois de plus le besoin en technologies avancées de prévention des menaces pour sécuriser les réseaux contre les cybercriminels. L’extraction de cryptomonnaie est un nouvel acteur silencieux et pourtant significatif dans le paysage des menaces. Elle permet à des pirates de générer d’importants revenus tandis que les postes et les réseaux des victimes souffrent de latence et d’une baisse de performance. »

Top 3 des logiciels malveillants en octobre 2017

RoughTed est un logiciel de publicité malveillante. Contournement les bloqueurs de publicités. RT déclenche une série d’escroqueries, d’exploitations de vulnérabilités et de logiciels malveillants. Il est en mesure d’attaquer n’importe quel type de plate-forme et de système d’exploitation. Il utilise des techniques de prise d’empreintes pour délivrer l’attaque la plus pertinente.

Locky est connu. Un ransomware diffusé en février 2016. Il se propage principalement via des mails et des pièces jointes au format Word ou Zip. Il télécharge et installe un logiciel qui chiffre les fichiers des utilisateurs.

Seamless est un système de répartition de trafic. Il redirige silencieusement ses victimes vers une page web malveillante. Elle infecte les machines à l’aide d’un kit d’exploitation de vulnérabilités. L’infection permet au pirate de télécharger d’autres logiciels malveillants.

La liste des logiciels malveillants les plus couramment utilisés pour attaquer les actifs mobiles des entreprises a connu un changement par rapport à septembre, avec le logiciel rançonneur LeakerLocker pour Android apparaissant en seconde position.

Top 3 des logiciels malveillants mobiles

Triada – Une porte dérobée modulaire pour Android accordant des privilèges super-utilisateur aux logiciels malveillants téléchargés pour mieux les intégrer dans les processus système. Triada charge également de fausses URL dans le navigateur. LeakerLocker – Un logiciel rançonneur sur Android accédant aux données personnelles de l’utilisateur, puis les lui présentant en le menaçant de les divulguer en ligne en cas de non-paiement d’une rançon. Lootor – Outil de piratage ciblant des vulnérabilités du système d’exploitation Android afin d’obtenir des privilèges root sur les appareils mobiles compromis.

L’indice Check Point des menaces et la carte ThreatCloud sont alimentés par des renseignements issus de Check Point ThreatCloud, le plus grand réseau collaboratif de lutte contre la cybercriminalité, qui fournit des données et des tendances sur les menaces et les attaques grâce à un réseau mondial de capteurs. La base de données ThreatCloud comprend plus de 250 millions d’adresses analysées pour découvrir des bots, plus de 11 millions de signatures de logiciels malveillants et plus de 5,5 millions de sites web infectés. Elle identifie des millions de types de logiciels malveillants quotidiennement. La liste complète des 10 principales familles de logiciels malveillants en octobre est disponible sur le Blog Check Point.

Pour la France, le top 5 comprend : Roughted, Locky, Pushdo, Seamless ou encore Conficker. CoinHive s’affiche à la 6ème position.

Base de données, Cybersécurité, Entreprise, Fuite de données, Justice, loi, RGPD, Securite informatique

RGPD : un logiciel pour réaliser son analyse d’impact sur la protection des données (PIA)

Pour accompagner les professionnels dans leurs analyses d’impact sur la protection des données dans le cadre du réglement général sur la protection des données (RGPD), la CNIL met à disposition un logiciel PIA. Adopté en mai 2016, le RGPD entre en application le 25 mai 2018 dans tous les Etats membres de l’Union Européenne.

L’analyse d’impact sur la protection des données (Privacy Impact Assessment, PIA ou DPIA) est un outil important pour la responsabilisation des organismes. Cette bonne pratique fortement recommandée, et obligatoire dans certains cas. Construire des traitements de données respectueux de la vie privée. Démontrer leur conformité au règlement général sur la protection des données (RGPD).

Pour les accompagner dans cette démarche, la CNIL met à disposition un logiciel libre PIA. Cet outil ergonomique déroule l’intégralité de la méthode PIA développée par la CNIL dès 2015. L’application de cette méthode permet d’être conforme aux exigences définies dans les lignes directrices du G29. Le groupe des « CNIL européennes » les a adopté en octobre 2017. Des directions qui permettent aux professionnels de se familiariser à la méthode PIA. Bref, être prêt en mai 2018.

L’outil PIA offre plusieurs fonctionnalités pour mener à bien son PIA. Une base de connaissances contextuelle reposant sur le texte du RGDP. Des guides PIA. Un Guide sécurité publiés par la CNIL.

Lors de l’avancée de l’analyse, la base présente les contenus les plus pertinents ; des outils de visualisation permettant de comprendre en un coup d’œil l’état des risques du traitement étudié. Actuellement présenté dans sa « version beta », des améliorations et enrichissements pourront être apportés au logiciel en fonction des retours utilisateurs.

Publié sous licence libre, vous pouvez développer de nouvelles fonctionnalités répondant à vos besoins spécifiques et les partager par la suite avec la communauté. La CNIL proposera une version finalisée en 2018, avant l’entrée en application du règlement.