Identifiants de connexion – Les identifiants et les mots de passe d’environ 18 millions d’utilisateurs d’Internet Japonais retrouvés dans un serveur mis en place par une fausse société. Elle revendait les connexions à des Chinois.
La Nicchu Shinsei Corp., basée dans le quartier de Toshima Ward de Tokyo semblait être une PME nippone comme toutes les autres. Sauf qu’elle fournissait à des Chinois des moyens de se connecter à Internet en usurpant les identités des clients originaire du pays du soleil levant.
La police locale a trouvé sur un serveur informatique de cette entreprise, pas moins de 18 millions de japonais piratés. Nicchu Shinsei Corp. fournissait un serveur de relais pour des accès illicites. 18 millions de données (ID, Mot de passe), ainsi que 1,78 millions de données Twitter, Rakuten… Le nombre de victimes dans cette affaire récente fait de ce piratage le plus grand cas de vol d’informations au Japon. Sur le serveur, un programme automatique tentait illégalement d’accéder aux espaces ainsi compromis.
Des pirates Chinois seraient derrière cette « installation ». Un piratage qui ressemble comme deux goutes d’eau à celui vécu, en 2014. Ici aussi, une autre société avait permis d’intercepter 5.928.290 millions de données personnelles. (Japan News)
Surfer anonyme et sécurisé sur votre téléphone portable et autre tablette est devenu un acte obligation. Pour cela, l’utilisation d’un VPN est devenue indispensable. Pas toujours simple à employer, il existe des applications qui automatisent et facilitent l’exploitation d’un VPN. Voici quelques solutions d’outils et de VPN pour votre téléphone portable et votre tablette, simples à mettre en place et efficace.
S’il fallait faire simple, un VPN est une machine qui va vous permettre de cacher votre adresse Internet lors de vos surfs, téléchargements, … La machine, entre vous et l’espace numérique que vous souhaitez visiter va servir de leurre. C’est l’adresse du VPN qui apparaitra dans les traces du forum, des sites… que vous visitez. A noter que de plus en plus de service VPN vous proposent aussi de chiffrer les informations qui transitent entre lui, votre FAI et votre ordinateur. En gros, les informations que vous envoyez/recevez, sont chiffrés entre le fournisseur de VPN, votre FAI [ou celui qui vous propose la connexion : hôtel, restaurant, conférence…] et vous. Bilan, un « espion » ayant la main sur votre connexion (un wi-fi public par exemple, NDR) ne pourra pas intercepter/lire/modifier les données qui arrivent/sortent de votre ordinateur. Bref, indispensable sur un ordinateur (PC, MAC). Encore plus indispensable sur un smartphone, tablette et tout autre objet nomade.
Voici quelques solutions de VPN et d’applications proposées par ZATAZ.COM dédié au surf anonyme et sécurisé pour votre smartphone et tablette. Ils vous permettant de surfer, converser… en mode sécurisé et chiffré. Je vais commencer par les applications que j’utilise. A noter que je n’exploite jamais deux fois la même application/VPN dans la même journée.
A partir de 3€ par mois, sans abonnement.
HideMyAss! est un service permettant de surfer en mode chiffré, et quasi anonymement. Pour cela, HMA vous permet d’utiliser un VPN, un tunnel qui chiffre les informations qui transitent entre vous et les réseaux que vous pouvez utiliser (Oueb, FTP, IRC…). Hide My Ass, que l’on peut traduire par… « protéger son petit fessier sur Internet » propose une application simple et efficace. Sélection aléatoire des serveurs, recommandations géographiques (pour plus de rapidité, par exemple), planification des changements d’ip (toutes les 5 minutes, une nouvelle adresse, un nouveau serveur, un nouveau pays, par exemples).
Très pratique, vous pouvez choisir les applications qui ne peuvent se connecter qu’avec un VPN (mails…). L’application pour iPhone et Android est très intuitive. Bref, avec 929 serveurs basés dans plus de 190 pays, HMA met à disposition 125688 adresses IP. Cette société propose une option TV et console de jeux. Fonctionne sur PC, MAC, Android, iOS. Surf anonyme et sécurisé pour votre smartphone et tablette, téléchargez et testez HideMyAss!
VyprVPN, comme son cousin HideMyAss, offre un système de chiffrement. OpenVPN, et par une invention maison, le Chameleon (256 bits). Il utilise le protocole OpenVPN 256 bits, et permet de brouiller les métadonnées pour éviter le Deep Packet Inspection (DPI), les blocages… Ici aussi, vous pouvez définir les applications qui se lanceront uniquement avec un VPN. L’appli VyprVPN peut aussi être configurée de manière à s’allumer dès qu’une connexion wi-fi non sécurisée est détectée.
Nouveau, l’outil pour smartphone et tablette permet de bloquer les contenus et espaces numériques que votre mobile souhaiterait visiter sans votre accord (pub, redirection, lancement de programme malveillant…). Plus de 200.000 adresses IP, quelques 800 serveurs. Compter 10€ par mois, sans obliger de souscrire à un abonnement. VyprVPN propose une option TV, console de jeux et routeur. Fonctionne sur PC, MAC, Android, iOS. Surf anonyme et sécurisé pour votre smartphone et tablette – Téléchargez et testez VyprVPN.
Apple vs. FBI –Suites du jugement rendu mardi 16 février par la Cour fédérale du Riverside en Californie, dans lequel cette dernière exigeait de la multinationale « une assistance technique raisonnable » au FBI afin de lui permettre d’accéder au contenu crypté de l’iPhone d’un des auteurs présumés de la fusillade de San Bernadino.
Il semblerait que le gouvernement qui parallèlement à ce jugement poursuivait ses efforts pour accéder au contenu de l’iPhone soit arrivé à ses fins. Le FBI contacté par un tiers serait sur le point de parvenir à accéder (si ce n’est déjà le cas) aux données de l’iPhone. S’en est suivie la levée d’une audience qui devait se tenir ce mardi. Le test de la viabilité de méthode fera l’objet d’un rapport d’évaluation et sera prochainement communiqué au juge en charge de l’affaire, Sheri Pym.
Il y serait parvenu sans l’aide d’Apple. Dans une telle hypothèse, la personne à l’origine de cette méthode pourrait néanmoins s’exposer à des poursuites judiciaires. Selon Robert Enderle, expert en technologies, il pourrait s’agir de John McAfee (créateur de l’anti-virus éponyme), ou d’un ancien employé d’Apple. En France, cette personne aurait pu être poursuivie sur le fondement des articles L 323-1 et suivants du Code pénal qui incriminent l’accès ou le maintien frauduleux dans un système automatisé de traitement des données. S’il s’agit d’un ancien employé d’Apple, il pourrait se voir opposer la clause de confidentialité présente dans son ancien contrat de travail.
Apple vs. FBI
En réalité, il serait surprenant qu’Apple ne soit pas intervenu. La version des faits telle qu’avancée par le gouvernement américain constituerait un juste milieu et permettrait à Apple de collaborer avec le FBI tout en maintenant son image de garant des libertés fondamentales auprès des consommateurs. En effet, depuis le jugement du 16 février dernier, la multinationale était dans une position ambigüe puisque si fournir au FBI un moyen pour accéder au contenu de l’iPhone permet de démontrer qu’Apple participe à lutter contre le terrorisme, a contrario cela engendrerait une menace de sécurité pour ses clients.
Depuis l’affaire Snowden qui avait révélé une collecte massive des données par la NSA dépassant le cadre sécuritaire, les sociétés américaines surfant sur cette vague d’indignation ont fait de la sécurité des données un véritable argument marketing. Si l’inviolabilité des téléphones rassure les consommateurs, les autorités regrettent qu’elle puisse aider la criminalité. Cette affaire ravive ainsi le débat sur la nécessité d’accéder aux contenus en vue de lutter contre le terrorisme d’une part et de renforcer la sécurité des données, d’autre part. D’un point de vue informatique, le premier suppose l’introduction d’une faille de sécurité dans le programme au moyen notamment des backdoors (ou « portes dérobées »), tandis que le second vise à rendre le logiciel infaillible à toute intrusion tierce.
Dans l’un comme dans l’autre cas, l’impact en termes d’image est négatif pour Apple. Il semble qu’elle s’en soit néanmoins sortis de cette confrontation Apple vs. FBI. Ainsi, lundi dernier alors que le FBI affirmait détenir une méthode viable pour accéder aux données de l’iPhone, Tim Cook déclarait que « nous devons décider en tant que nation quel pouvoir devrait avoir le gouvernement sur nos données et notre vie privée ».
En France, le projet renforçant la lutte contre le crime organisé, le terrorisme et leur financement qui sera prochainement en discussion devant le Sénat, complète l’article L 230-1 du Code pénal qui permet aux autorités judiciaires de désigner toute personne morale ou physique en vue d’accéder à des données chiffrées. Ce faisant, il disposera désormais en son dernier alinéa que « le fait, pour un organisme privé, de refuser de communiquer à l’autorité judiciaire requérante enquêtant sur des crimes ou délits terroristes (…) des données protégées par un moyen de cryptologie dont il est le constructeur, est puni de cinq ans d’emprisonnement et de 350 000 euros d’amende », l’amende étant portée au quintuple concernant les personnes morales. (Par Maitre Antoine Chéron, avocat spécialisé en propriété intellectuelle et NTIC, fondateur du cabinet ACBM.)
Les migrations de données et les mises à jour des systèmes d’exploitation présentent des risques de pertes de données selon une étude Kroll Ontrack.
Une étude Kroll Ontrack menée auprès d’environ 600 administrateurs IT dans le monde montre qu’un tiers (32 %) des organisations a perdu ses données pendant la migration d’un support de stockage sur un autre ou au cours d’une mise à jour de leur système. Kroll Ontrack a aussi noté que plus de la moitié (57 %) des répondants disposait d’une sauvegarde, les trois quarts (75 %) n’étaient pas capables de restaurer toutes leurs données perdues, et plus d’un sur cinq (23 %) incapable de retrouver une seule donnée.
Les résultats de l’enquête 2016 sont cohérents avec les études de ces trois dernières années : plus de la moitié des particuliers et des entreprises perdent des données malgré la mise en place d’un système de sauvegarde. Interrogés sur leurs pertes de données à la suite d’une migration ou d’une mise à jour, les répondants équipés d’un système de sauvegarde ont expliqué que la sauvegarde n’était pas à jour (17 %) ou défaillante (15 %), le support n’était pas inclus dans la sauvegarde (14 %), ou la sauvegarde était corrompue (11 %).
« Les mises à jour et la migration de données font partie du quotidien en informatique, c’est donc inquiétant de voir qu’il y a autant d’entreprises victimes d’une perte de données parce que leurs protocoles de sauvegarde échouent. » indique à DataSecurityBreach.fr Antoine Valette, Business Manager Kroll Ontrack France. « Nous constatons que les mises à jour et les processus de migration sont un risque quel que soit le support, téléphone portable, ordinateur portable, PC ou serveur. Les entreprises doivent bien sûr veiller à avoir une stratégie de sauvegarde rigoureuse et la tester régulièrement pour valider son efficacité ; notre étude montre que ces pratiques sont d’autant plus critiques avant une migration.»
Système d’exploitation ou matériel : quel est le plus risqué pour les pertes de données ?
La perte de données se produit aussi fréquemment sur des supports autonomes que sur des serveurs. La moitié (50 %) des répondants déclarent avoir perdu ses données pendant la migration vers un nouveau logiciel ou plate-forme, à partir d’un ordinateur de bureau ou d’un ordinateur portable. Les mises à jour des systèmes d’exploitation sont les plus à risque (39 %), suivies par les clones des médias (22 %), puis les migrations physiques du matériel (20 %) ou la mise à jour du matériel (17 %).
Les résultats indiquent que la perte de données est moins un problème pour les utilisateurs de mobile, mais affecte tout de même plus d’un tiers (34 %) des répondants. Malgré les mises à jour automatiques des téléphones portables, 53 % des répondants déclarent avoir perdu leurs données pendant la migration vers un nouveau portable.
Échelle des risques pertes de données
Quand on demande aux participants de l’étude d’estimer quelles seront les principales causes de perte de données en entreprise au cours des 12 prochains mois, ils classent les migrations et les mises à jour des systèmes en bas de leur échelle de préoccupation, alors qu’un tiers des répondants a perdu des données au cours de ces opérations. A la place, les répondants classent les défaillances matérielles (22 %), les erreurs d’utilisation (22 %) et les erreurs imprévues et inattendues (21 %) comme les principaux risques de perte de données. Seulement 11 % considèrent que le faible contrôle interne des données est un risque majeur.
L’AFCDP (Association française des Correspondants à la protection des Données à caractère Personnel) lance un concours destiné à récompenser le meilleur mémoire réalisé sur un sujet qui intéresse les Correspondants Informatique et Libertés – destinés à devenir les futurs DPO (Data Protection Officer) et, plus largement, tout professionnel de la conformité à la loi Informatique et Libertés et à la protection des données personnelles. Ce prix est dénommé « Meilleur Mémoire AFCDP ».
Pour cette première édition du Prix du Meilleur Mémoire AFCDP, le thème porte sur les moyens et techniques permettant de rendre « inintelligibles » les données personnelles afin de mieux les protéger et d’éviter à avoir à notifier les personnes concernées en cas de violation à un traitement de données. Ce thème s’inscrit dans la préparation des responsables de traitements au futur règlement européen sur les données personnelles.
L’objectif du mémoire est donc de vulgariser et de montrer, de façon opérationnelle, les apports de techniques telles que le chiffrement, le hachage, la tokenisation, la pseudonymisation pour éviter la notification des violations de données aux personnes concernées. Le règlement de ce concours est librement accessible ICI.
Durant plusieurs heures, le site LitecoinTalk ne répondait plus aux demandes des visiteurs. Le site vient de demander à ses utilisateurs de changer leur mot de passe. Ça sent le piratage et le data leak !
Il y a quelques jours, les amateurs de la monnaie numérique Litecoin, et utilisateurs des forums de LitecoinTalk, se sont retrouvés à la porte de cet espace dédié au concurrent du Bitcoin. Il y a cinq jours, le 11 mars 2016, un message d’alerte a été diffusé par les administrateurs. Une annonce inquiétante, LitecoinTalk demande à ses utilisateurs de modifier leur mot de passe d’accès.
Même si les mots de passe sont hachés (dont illisibles et inutilisables, NDR), rien n’empêche de penser que ces derniers peuvent être crackés. Au moment de l’écriture de cette brève, je constate que les forums de LitecoinTalk sont toujours fermés. Les administrateurs indiquent sur Reddit « Nous ne pouvons pas confirmer si l’attaquant a obtenu la base de données, mais il convient de supposer qu’il a pu y accéder, et si vous avez utilisé votre mot de passe Litecointalk ailleurs, changer le immédiatement« .
Un piratage ? Il y a malheureusement une forte chance. Une « probable » attaque qui démontre une fois de plus qu’il est important d’utiliser des mots de passe différents pour chaque site et services web utilisés. Le risque de » data leak « , la diffusion de la base de données volées, via la revente dans le blackmarket ou gratuitement, est un danger loin d’être négligeable. Les informations ainsi rendues publiques deviennent incontrôlables ! Une problème qui intervient alors que la monnaie Litcoin prend de la valeur, ce qui n’était pas arrivé depuis pas mal de temps.
Le smartphone pourrait-il devenir la nouvelle identité numérique permettant d’accéder à la fois aux données et aux bâtiments ? La réponse est oui : l’accès mobile est très en vogue. Plusieurs grandes entreprises sont prêtes à sauter le pas, de même pour les PME.
Le champ d’application des smartphones ne cesse de s’élargir. L’accès mobile, quoique récent, prend de plus en plus d’importance le domaine d’activité. Les smartphones peuvent ainsi servir d’identités numériques pour accéder aux bâtiments, aux systèmes informatiques et autres applications. Ce sont les nouvelles technologies d’accès mobile et les standards de communication, comme NFC et Bluetooth Smart, qui rendent cela possible. Dans ce cadre, les identités numériques de nouvelle génération offrent même une plus grande sécurité que de nombreuses cartes conventionnelles, le cryptage de leurs transmissions n’ayant pas encore été compromis. L’accès mobile signifie que les clés, les cartes et autres jetons sont intégrés dans les smartphones, les tablettes et autres objets connectés à l’instar de l’Apple Watch.
De nouvelles opportunités s’ouvrent également au sein des PME au sein desquelles l’utilisation des smartphones ne cesse de se développer. La tendance BYOD a accéléré la pénétration des smartphones dans la sphère professionnelle et lorsqu’un smartphone est utilisé au quotidien le chemin vers la solution d’accès mobile n’est pas long. Pour l’administrateur il s’agit cependant de trouver des solutions et de gérer un parc souvent hétéroclite.
Les avantages d’une stratégie d’accès mobile sont clairs. Les économies découlent de la numérisation intégrale des processus évitant la commande et l’impression des nouvelles cartes tout en rationalisant les flux. Ainsi, par exemple, il n’est plus nécessaire de disposer de différents processus pour l’émission et l’administration d’identités distinctes servant à l’accès informatique et au contrôle d’accès.
Identité numérique
Alliant sécurité et convivialité, une solution d’accès mobile peut marquer des points. La caractéristique clé des smartphones réside dans leur capacité de mise en œuvre de mesures de sécurité intégrées. Citons notamment le cryptage des données ou l’utilisation de procédures biométriques avec des empreintes digitales. L’application d’accès peut fonctionner en outre dans un sandbox dédié, ce qui permet de garantir qu’aucune autre application ne puisse accéder à des informations d’authentification ou d’accès confidentielles. Notamment en cas de perte, il doit être possible de révoquer à distance les données qu’il contient. Cette multitude de fonctions de sécurité permet d’assurer un niveau élevé de protection des données, ce qui répond justement aux exigences des entreprises de taille moyenne. Le confort des différents collaborateurs s’en trouve amélioré, ces derniers n’ayant plus à transporter de cartes et de clés, et à se souvenir de leurs nombreux codes ou mots de passe. Pour certaines applications comme le parking, il peut également bénéficier d’une distance de lecture pouvant aller jusqu’à plusieurs mètres.
La condition pour la mise en œuvre d’une solution d’accès mobile est la mise en place d’une infrastructure avec une gestion d’identité numérique et d’accès sécurisée et généralisée. Dans ce domaine, HID Global propose des lecteurs compatibles avec ces identités mobiles dont les fonctionnalités peuvent bénéficier de mises à jour et d’un portail sur le Cloud pour l’administration de ces mêmes identités numériques.
Les solutions d’accès mobiles sont clairement tendance et cette évolution n’épargnera pas les PME. En fin de compte, les solutions d’accès mobiles, et donc de l’identité numérique, ouvriront la voie à une nouvelle conception de la gestion des identités, démarche où le service sera très présent. (Par Yves Ackermann, Directeur Segments Stratégiques Europe, HID Global)
Le partage de fichiers devient le service le plus ciblé par le phishing. Près d’une URL malveillante sur cinq utilise un service de partage de fichiers.
Le phishing via les services de partage de fichiers a explosé au cours des trois derniers mois, classant ainsi les services Cloud de distribution de fichiers en tête de liste des secteurs les plus ciblés par des actions malveillantes, selon une étude de Bitdefender.
À l’échelle mondiale, le partage de fichiers est davantage utilisé pour propager les arnaques de phishing que les achats en ligne et les services de paiement, qui sont les couvertures traditionnellement favorisées par les hackers. Près d’une URL malveillante sur cinq utilise un service de partage de fichiers pour infecter les utilisateurs avec des malwares, comme le montrent ces dernières données Bitdefender.
Le manque d’innovation de cette technique est compensé par sa facilité d’utilisation et la popularité des services de partage de fichiers entre particuliers. L’an dernier, Dropbox a atteint la barre des 400 millions d’utilisateurs ayant stocké 35 milliards de fichiers Microsoft Office, tandis que Google Drive en hébergeait 190 millions en 2014.
Il est également important de noter que les services de partage de fichiers et de stockage dans le Cloud ne disposent pas des fonctions de sécurité pour filtrer les contenus illicites. Les pirates profitent de cette lacune pour dissimuler leurs fichiers infectés par des malwares, sans laisser de trace.
Par exemple, Dropbox n’examine pas les fichiers détenus dans les dossiers privés des utilisateurs. Cependant, ce service a réussi à mettre en place un système basé sur le hachage qui reconnaît le contenu protégé par des droits d’auteur. Cela permet de générer automatiquement une empreinte pour les fichiers stockés. Celle-ci est ensuite comparée avec une liste des empreintes de fichiers protégés par un copyright et les contenus sont bloqués uniquement si les utilisateurs essaient de les partager avec des contacts externes. Sans grande surprise, Dropbox se place au 4e rang des marques les plus usurpées, après PayPal, Apple et Google.
Une attaque typique suit globalement ce procédé : l’utilisateur reçoit un e-mail en apparence authentique, l’invitant à cliquer sur un lien intégré afin d’afficher un document en pièce jointe. Ce lien redirige l’utilisateur vers une page de phishing hébergée sur le nom de domaine du fournisseur. La page en question demande les informations d’identification de l’utilisateur, puis les capture pour envoyer ces données aux cybercriminels via un SSL. Si les certificats SSL s’assurent que les données sur un site Web sont présentées de manière sécurisée, ils ne garantissent pas que le site lui-même soit sécurisé. C’est pourquoi les pirates en profitent : ils achètent des certificats SSL bon marché et les utilisent sur des sites de phishing pour se faire passer pour des sites légitimes.
En général, les cybercriminels ne se limitent pas à vouloir dérober uniquement de simples identifiants de service de stockage en ligne ; les URL malveillantes peuvent, par exemple, pousser les utilisateurs à télécharger des crypto-ransomwares à leur insu. Dans ce cas, les conséquences sont beaucoup plus graves car les nouvelles générations de ransomwares peuvent prendre le contrôle des fichiers stockés par ces services d’hébergement en ligne. La plupart des sites de phishing sont hébergés aux États-Unis.
« Le phishing reste un vecteur d’attaque très efficace, responsable d’une part de plus en plus élevée d’incidents provoquant des fuites de données, touchant aussi bien les particuliers que les entreprises », déclare Bogdan Botezatu, Analyste Senior chez Bitdefender. Le phishing est une technique encore très efficace et dont la proportion connaît des niveaux sans précédent comme l’a récemment souligné l’IRS (Internal Revenue Service) aux États-Unis avec une augmentation de +400% d’e-mails et de messages faussement légitimes, envoyés en 2015.
Si un employé est victime d’un e-mail de phishing, il peut compromettre à son insu l’ensemble du réseau de l’entreprise, y compris les comptes bancaires, mots de passe du système informatique et identifiants professionnels. Le spear-phishing (phishing personnalisé visant un utilisateur) est efficace parce qu’il est crédible. C’est pourquoi il est conseillé aux utilisateurs d’éviter de trop partager leurs données personnelles sur les plates-formes publiques et de ne pas ouvrir de liens et de fichiers provenant de sources inconnues.
Les utilisateurs Mac ne sont plus aussi sereins en ce qui concerne la sécurité de leurs données : la première attaque de ransomwares ciblant des terminaux Apple vient d’être répertoriée, confirmant la fin du mythe selon lequel les dispositifs de la célèbre enseigne à la pomme seraient épargnés par le fléau des cyber-attaques.
Bien qu’Apple ait pu identifier rapidement l’origine de l’infection et enrayer sa propagation, les entreprises prennent conscience de la multiplication des risques liés aux nombreux modèles de terminaux accédant à leur système d’information, créant par ce biais autant de nouvelles failles et potentielles vulnérabilités qui ne peuvent pas être ignorées.
Parmi les solutions proposées, la mise à jour des applications – et notamment celle incriminée dans le cadre de ce ransomware – est la première et la plus importante des étapes. Cette première ″cyber-extorsion″ à grande échelle témoigne de la sophistication et de l’accélération de la propagation de ransomware, affectant aussi bien les grandes que les petites entreprises. En général, le ransomware se propage par le biais d’emails d’hameçonnage contenant des pièces jointes corrompues, mais les téléchargements involontaires depuis des sites web ou des logiciels infectés peuvent également lui permettre de s’infiltrer dans le système, comme le prouve la récente attaque sur les périphériques Mac.
Les Mac étaient autrefois considérés comme étant immunisés contre les cyber-attaques, mais la croissance d’Apple au sein des entreprises a transformé les utilisateurs de Mac en une cible toute aussi intéressante que leurs homologues sur PC. La gestion des patchs reste l’un des moyens les plus efficaces de lutter contre les cyber-attaques, y compris dans le cadre de rançongiciels basés sur des programmes de chiffrement appelés ″cryptoransomware″. La mise à jour des correctifs permet en effet de réduire les vulnérabilités connues des logiciels et des réseaux, et ainsi de minimiser les zones d’intervention potentielles des cybercriminels.
Pour se protéger des ransomwares, au même titre que d’autres types de cyber-menaces, les entreprises doivent placer la gestion des patchs comme l’une des priorités de leur stratégie de sécurité, pour contrôler à la fois les systèmes d’exploitation, Microsoft Office, les applications Adobe, les navigateurs web et les plug-ins de navigation. Grâce à des plateformes centralisées, incluant souvent des fonctionnalités d’automatisation, les entreprises sont aujourd’hui capables de répondre au défi de la multiplication des terminaux en leur sein et d’assurer ainsi la protection de leur système d’information – quels que soient les terminaux utilisés par leurs collaborateurs ou tiers. C’est uniquement à ce prix que les données peuvent être réellement protégées et que la réputation de l’entreprise peut être préservée. (Par Benjamin DeRose, Directeur des Ventes SEMEA chez HEAT Software)
Le chiffrement SSL/TLS est largement utilisé pour garantir la confidentialité des communications vers les serveurs internes et externes. Malheureusement, cette confidentialité s’applique également aux solutions de sécurité en les aveuglant et de ce fait en empêchant l’inspection du trafic réseau. Ce qui augmente les risques encourus. Le cabinet Gartner prévoit ainsi qu’en 2017, plus de la moitié des attaques réseau menées contre les entreprises utiliseront le trafic chiffré afin de contourner les mécanismes de contrôle.
Les flux chiffrés étant de plus en plus utilisé par les pirates informatiques, intéressons-nous aux cinq erreurs les plus fréquemment commises en matière d’inspection des communications réseau :
La négligence. Selon Gartner, les entreprises sont nombreuses à ignorer le manque d’efficacité de leurs systèmes de protection en profondeur. Ainsi, la plupart des organisations n’ont pas mis en place de politique formelle de sécurisation des flux chiffrés. Moins de 50% des entreprises équipées de passerelles Web sécurisées (SWG) s’en servent pour déchiffrer le trafic Web sortant. Enfin, moins de 20% des organisations équipées d’un pare-feu, d’un système de prévention des intrusions (IPS) ou d’une appliance de gestion unifiée des menaces (UTM) analysent le contenu des flux lorsqu’ils sont chiffrés.
Le manque de précision. Les entreprises gaspillent de l’argent dans toutes sortes de solutions : IDS/IPS (systèmes de détection/prévention d’intrusion), DLP (solutions de prévention contre la perte de données), pare-feu de nouvelle génération, outils d’analyse de logiciels malveillants, etc. Bien que ces solutions répondent à une variété de problématiques, l’inspection du trafic SSL n’y est tout au plus présente qu’en tant que fonctionnalité optionnelle, et se limite à fournir une visibilité sur les communications Web/HTTPS. De plus, ces fonctionnalités étant tellement consommatrice de ressources, les entreprises doivent déployer plusieurs appliances supplémentaires afin de prendre en charge l’inspection d’un trafic SSL. Cette méthode s’avère couteuse, problématique sur le plan opérationnel et souvent incomplète.
Le manque de cohérence. Le manque de cohérence dans le déploiement des politiques de déchiffrement du trafic sur les différentes solutions de sécurité utilisées est souvent problématique pour les services chargés de la sécurité informatique. La complexité des réglementations en matière de confidentialité des données est généralement identifiée comme étant un obstacle aux prises de décisions par les départements juridiques, RH ou de conformité. En outre, le manque de communication avec les employés et souvent source de mécontentement (« Pourquoi mes flux sont-ils inspectés ? ») et annihile souvent l’aboutissement des efforts de déchiffrement de ce type.
S’appuyer sur une protection insuffisante. Les logiciels malveillants utilisent le trafic SSL pour commettre leurs méfaits. Ainsi, selon Gartner, l’omniprésent botnet Zeus utilise les communications SSL/TLS pour se mettre à jour après une première infection par e-mail. Par ailleurs, notre centre de recherche Blue Coat Research Labs a constaté que le cheval de Troie Dyre utilisait souvent des mécanismes de commande et de contrôle (C2C) malfaisants tels qu’Upatre pour communiquer secrètement avec ses serveurs de contrôle et de commandement.
Se laisser perturber par l’évolution de l’environnement. L’adoption rapide d’applications et de services cloud étend et complique considérablement les environnements informatiques, accélère le développement du trafic SSL/TLS chiffré, et augmente l’exposition aux risques de piratage. Les applications modernes telles que les médias sociaux, les solutions de stockage de fichier, les moteurs de recherche et les logiciels cloud s’appuient de plus en plus sur ces protocoles pour communiquer. Il est vivement recommandé de superviser et d’analyser ces applications et services, à la recherche de contenu et d’activité malveillants. La généralisation de l’utilisation de ces applications rend encore plus critique la mise en place d’une politique de déchiffrement permettant d’identifier ce qui peut l’être ou ce qui doit rester chiffré.
Voici quatre recommandations pour combler les lacunes vis-à-vis de la sécurité de votre réseau :
1. Identifier la volumétrie et prévoir son augmentation : évaluez le pourcentage et le volume de trafic réseau chiffré par SSL dans votre organisation.
2. Évaluez le risque que le trafic ne soit pas inspecté : partagez des informations et collaborez avec vos collègues en dehors des services informatiques (départements RH, juridiques, conformité) ; étudiez et affinez vos stratégies d’entreprise sur le plan de la confidentialité et de la conformité ; et créez un plan d’action commun afin de gérer toute vulnérabilité.
3. Renforcez votre infrastructure de sécurité réseau en assurant une gestion complète du trafic chiffré : renforcez vos solutions existantes (pare-feu de nouvelle génération, IDS/IPS, antivirus, DLP, outils d’analyse de malware/sandbox et autres logiciels d’analyse de la sécurité) en leur donnant la possibilité de détecter toutes les menaces (même celles issues du trafic précédemment chiffré) et de les traiter comme il se doit.
4. Supervisez, affinez et appliquez vos stratégies : supervisez, affinez et mettez en œuvre vos stratégies relatives aux applications et au trafic chiffrés entrant et sortant de votre réseau. (par Par Dominique Loiselet, Directeur Général de Blue Coat France)
Petites entreprises, grandes menaces : restez informés, restez protégés
