Archives de catégorie : Entreprise

Actualités liées à la sécurité informatique des entreprises, PME, PMI, TPE, association, communes.

Base de données, BYOD, Chiffrement, Cloud, Cybersécurité, Entreprise, IOT, Mise à jour, ransomware

Tendances 2016 de la sécurité des réseaux

Aux prémices de 2016, Shehzad Merchant, Chief Technology Officer chez Gigamon, spécialiste de la visibilité réseau, a fait le bilan de l’année 2015 et identifié les cinq tendances principales en matière d’infrastructures réseaux et de sécurité pour l’année 2016.

Démocratisation croissante des Malwares-as-a-Service (MaaS) – Ces deux dernières années, de nombreuses failles de sécurité sophistiquées ont été révélées et avec elles, c’est tout un « écosystème » de MaaS qui a vu le jour avec la mise à disposition d’une large gamme d’offres packagées de virus prêtes à l’emploi et accessibles à tous, augmentant de fait la quantité d’acteurs en mesure de perpétrer des cyberattaques. Toutefois, la démocratisation des malwares tend à réduire leur niveau de sophistication, et bien que certaines menaces persistantes avancées restent de haut niveau, une majorité des attaques perpétrées par ce moyen seront plus faciles à détecter et à stopper, car les pirates qui auront choisi de se connecter aux systèmes existants ne pourront y intégrer qu’une quantité limitée de zones d’ombre.

Généralisation de la sécurité prédictive – 2016 verra une croissance des cybermenaces de type « polymorphes », c’est-à-dire que chaque instance du malware se manifestera sous une apparence et un fonctionnement différents tout en gardant une base commune. Par conséquent, de nombreuses variantes sont susceptibles de passer outre les systèmes de détection traditionnels tels que les pare-feu ou les solutions anti-virus. Afin de mieux détecter ces menaces polymorphes, les entreprises auront besoin de solutions d’analyse prédictive visant à contrôler l’ensemble des données de l’entreprise dans le but d’identifier toute anomalie ou activité inhabituelle sur le réseau. Elles fourniront ainsi des indicateurs clés de menaces potentielles au sein de l’organisation pour détecter plus rapidement l’empreinte et l’activité du malware, et permettre un confinement plus rapide.

Perte de vitesse du Software-Defined Networking (SDN) – Malgré l’engouement du marché pour les technologies SDN, les tests ont démontré qu’elles n’étaient pas suffisamment matures pour une utilisation optimale par les entreprises. Cette année verra l’émergence de technologies « marginales » mais solides, qui, fortes des bonnes pratiques du SDN, ont su trouver leur place sur le marché. Bien qu’elles ne répondent pas aux standards technologiques, elles se concentrent sur la résolution du problème et font preuve de plus de maturité sur un marché fortement concurrentiel. Ainsi, face à ces pure players émergents, certaines technologies SDN risquent de se retrouver hors-jeu car encore trop immatures par rapport aux attentes du marché.

Ralentissement du Network Function Virtualisation (NFV) – Cette année, le NFV sera confronté, dans sa phase de déploiement, à de nouveaux défis qui toucheront particulièrement la vitesse et la performance. Le passage du format matériel dédié des fonctions réseau à une offre virtualisée risque en effet de causer des ralentissements. La normalisation du NFV peut pallier ce problème notamment avec l’ajout de davantage de serveurs de type x86 afin de multiplier les nœuds et permettre ainsi de répartir la charge. Ces serveurs sont en effet valorisés pour leur interopérabilité et leur prix abordable, et leur facilité à être intégrés et supprimés. Toutefois, un tel procédé comporte son lot de défis, en particulier en ce qui concerne le maintien de l’état, de la gestion de la distribution et de l’équilibre de charge du trafic, à travers des fonctions ne nécessitant pas de très haut débit, de performance ou de redimensionnements. Cependant, l’augmentation constante des besoins de bande passante, fera émerger les systèmes logiciels en mesure de gérer avec précision la capacité d’équilibrage de charge et l’état du réseau, ou bien ceux capables d’extraire chaque parcelle de performance dans des environnements NFV. Néanmoins, si les entreprises qui déploient des solutions basées sur ces environnements ne forment pas des équipes internes capables de gérer ces logiciels de A à Z, elles seront confrontées tôt ou tard à des obstacles les obligeant à ralentir.

Rationaliser la transition vers le cloud – Ces dernières années, de nombreuses organisations ont suivi le mouvement de l’adoption du cloud. Les DSI étaient encouragés à adopter et à investir dans le cloud sous toutes ses formes : Software, Platform ou Infrastrustrure as-a-service. L’IaaS a particulièrement séduit les entreprises par sa souplesse, sa capacité de dépassement et sa simplicité de provisioning. Celles-ci l’ont toutefois adopté sans analyser les coûts dans le détail ou sans tenir compte des questions de sécurité. La gestion d’applications connectées en permanence, pendant plusieurs années, génèrent des quantités massives de données dans le cloud, ce qui peut s’avérer très onéreux sur le long terme ; or, le basculement du cloud vers une solution sur-site peut l’être encore plus en raison du coût de réversibilité. En 2016, le DSI sera mieux informé et aura toutes les cartes en main pour comparer les modèles disponibles et trouver ainsi le bon équilibre entre l’offre cloud, le modèle purement hybride offrant à la fois des applications clés et données hébergées sur site ou une capacité de dépassement favorisée par une offre de cloud. Et ce, en disposant d’un meilleur contrôle sur les coûts.

Argent, Arnaque, backdoor, Base de données, Chiffrement, Cyber-attaque, Cybersécurité, Entreprise, Fraude au président, Fuite de données, Leak, Particuliers, Piratage, pourriel, Social engineering, spam

Poseidon : un groupe de pirates informatiques opérant sur terre, dans les airs et en mer

Poseidon, une campagne de piratage ciblant des établissements financiers ainsi que des opérateurs de télécommunications, des fabricants, des compagnies d’énergie et des groupes médias. La France visée par l’attaque.

L’équipe GREaT (Global Research & Analysis Team) de Kaspersky Lab annonce la découverte du groupe Poseidon, une menace avancée active dans des opérations internationales de cyber espionnage depuis au moins 2005. L’originalité de Poseidon est qu’il s’agit d’une entité commerciale, dont les attaques font appel à des malwares personnalisés, signés numériquement avec des certificats pirates et déployés dans le but de dérober des données sensibles aux victimes et de les racketter. En outre, le malware est conçu pour fonctionner spécifiquement sur les machines Windows en anglais et en portugais brésilien, une première pour une attaque ciblée.

Au moins 35 entreprises victimes ont été identifiées, les principales cibles étant des établissements financiers et des administrations, des opérateurs de télécommunications, des fabricants, des compagnies d’énergie et d’autres réseaux de services collectifs, ainsi que des groupes médias et des agences de relations publiques. Les experts ont également détecté des attaques contre des sociétés proposant leurs services à des cadres supérieurs. Les victimes du groupe Poseidon se trouvent dans les pays suivants :

  • Etats-Unis
  • France
  • Kazakhstan
  • Emirats Arabes Unis
  • Inde
  • Russie

Cependant, la répartition des victimes penche très nettement vers le Brésil, où bon nombre d’entre elles réalisent des opérations via des joint-ventures ou des partenaires.

L’une des caractéristiques du groupe Poseidon réside dans l’exploration active des réseaux d’entreprise sur la base des noms de domaine. Selon le rapport d’analyse consulté par DataSecurityBreach.fr, Poseidon recourt à des e-mails de spear-phishing accompagnés de documents RTF/DOC, comportant généralement un appât sur le thème des ressources humaines, qui installent un fichier binaire malveillant dans le système cible lorsque le destinataire clique dessus. Un autre trait marquant est la présence de chaînes de caractères en portugais du Brésil. La prédilection du groupe pour les systèmes lusophones, comme le révèlent les échantillons, est une pratique inédite.

Une fois un ordinateur infecté, le malware rend compte à des serveurs de commande et de contrôle, avant d’entamer une phase complexe de déplacements latéraux à l’intérieur du réseau de l’entreprise. Cette phase fait souvent intervenir un outil spécialisé qui collecte automatiquement et systématiquement un grand nombre d’informations (identifiants, règles de sécurité, voire journaux système) afin de mieux cibler les attaques suivantes et d’assurer la bonne exécution du malware. De la sorte, les auteurs des attaques savent quelles applications et commandes utiliser sans alerter l’administrateur du réseau pendant leur exploration et leur exfiltration.

Les informations rassemblées sont ensuite exploitées par une organisation de façade pour racketter les entreprises victimes en les contraignant à engager Poseidon comme consultant en sécurité, sous peine de voir utiliser les informations dérobées dans une série de transactions louches au profit du groupe.

« Le groupe Poseidon est une équipe de vétérans intervenant sur tous les théâtres d’opérations : terre, air et mer. Certains de ses centres de commande sont implantés chez des fournisseurs d’accès Internet desservant des navires en mer, des connections sans fil ou encore des opérateurs classiques », commente Dmitry Bestuzhev, Directeur de l’équipe GREaT de Kaspersky Lab en Amérique latine. « En outre, plusieurs de ses implants présentent une durée de vie très courte, ce qui a permis à ce groupe de sévir aussi longuement sans se faire repérer. »

Le groupe Poseidon étant en activité depuis au moins 10 ans, les techniques de conception de ses implants ont évolué, ce qui complique pour de nombreux chercheurs la mise en corrélation des indicateurs et l’assemblage des pièces du puzzle. Cependant, en réunissant soigneusement tous les indices, en étudiant la signature de la menace et en reconstituant la chronologie des attaques, les experts ont pu établir vers la mi-2015 que des traces détectées précédemment mais non identifiées appartenaient bien à la même menace, c’est-à-dire le groupe Poseidon.

BYOD, Chiffrement, Cybersécurité, Entreprise, Mise à jour, Patch

Le disque dur de votre imprimante HP peut cacher un logiciel malveillant

Un problème de sécurité informatique visant certaines imprimante HP permet à un pirate de cacher dans la machine des logiciels malveillants.

Chris Vickery, chercheur en sécurité informatique, a découvert un problème dans le fonctionnement de certaines imprimantes HP. La faille concerne les imprimantes HP LaserJet. Il a été révélé que les imprimantes HP LaserJet peuvent être facilement abusés par des pirates informatiques.

Vickery a indiqué que les disques durs de l’imprimante HP LaserJet peuvent être utilisés par des pirates informatiques comme une unité de stockage de données. En cause, le réglage par défaut de l’imprimante qui peut mettre en place un serveur FTP via le Port 9100. Bilan, via l’adresse http://l’ip de l’imprimante/hp/device/nom du fichier les actes malveillants peuvent débuter sans que personne ne puisse s’en rendre compte.

Autant dire qu’il est fortement conseillé de regarder du côté des paramétrages de la machine et du firewall qui protège votre infrastructure. Fermer le port 9100 ne fera pas de mal. Selon Shodan, 20 000 imprimantes sont ainsi exposées de part le monde.

Base de données, BYOD, Chiffrement, Cybersécurité, Entreprise, IOT, Sauvegarde, Social engineering

Un ours et une montre connectés diffusaient les infos privées des enfants

Les objets connectés, véritable plaie pour nos vies privées. Un nouvel exemple avec l’ours connecté Smart Bear de Fisher-Price, et une montre connectée pour les moins de 12 ans.

Le fabriquant de jouets Fisher-Price vient de corriger une fuite de données concernant un de ses jouets connecté, l’ours Smart Bear. Comme pour Vtech, plusieurs failles avaient été découvertes entre l’application connectée, l’ours et le serveur de gestion des données enregistrées par les parents/enfants. A la différence de Vtech, aucun pirate n’a été se servir dans les données.

La fuite, découverte par Rapid7, n’en n’était pas moins inquiétante. Dans les données qu’un malveillant aurait pu intercepter : l’identité et la date de naissance de l’enfant, son sexe et la langue parlait. Il y a de forte chance que l’ensemble des informations enregistrées étaient accessibles.

Toujours dans la grande famille des objets connectés, le GPS HereO avait un problème avec sa plateforme de gestion des données envoyées par la montre destinée aux 3-12 ans. Ici aussi, les données pour les enfants étaient accessibles. Faille corrigée.

Bref, parents, arrêtez de rentrer les vraies informations de vos enfants sur Internet ou via ces jouets connectés. Vous créez une identité numérique de votre môme que vous ne pourrez plus contrôler.

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Sauvegarde

Disques durs perdus dans la nature

La société Centene Corporation a perdu six disques durs et plus d’un million de données d’assurés.

Centene Corporation est une entreprise américaine dédiée à l’assurance santé. Elle est basée à Clayton dans le Missouri. La direction vient de lancer une enquête après avoir découvert qui lui manquait six disques durs. L’histoire pourrait s’arrêter là, sauf que les supports de sauvegarde transportent plus d’un million de dossiers d’assurés.

Ces six disques durs contiennent des renseignements personnels de patients passés par des laboratoires entre 2009 et 2015. Dans les données, non chiffrées : nom, adresse, date de naissance, numéro de sécurité sociale, numéro d’identification d’assuré, et des informations de santé. La société a déclaré qu’aucun des disques durs contenaient des informations financières. (Fox2)

backdoor, Base de données, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Espionnae, Fuite de données, Leak, Particuliers, Piratage, Vie privée

Quand le chef des hackers de la NSA explique son travail

Voilà un rendez-vous qu’il ne fallait pas rater. Rob Joyce, le responsable des hackers de la NSA, des « pirates » connus sous le nom de Tailored Access Operations, a expliqué comment les entreprises pouvaient se protéger de ses « ninjas » !

Le Tailored Access Operations, c’est le service top secret de la NSA. Le TAO regroupe les informaticiens hackers de la National Security Agency. La mission du TAO, infiltrer et mettre la main sur des informations dont l’agence et l’Oncle Sam auraient besoin. Rob Joyce, le patron de cette section numérique de la NSA est venu expliquer le travail de son équipe lors de l’Enigma conférence. Étonnante rencontre alors que durant des années la NSA a toujours démenti agir à la sauce cyber attaque.

Plus étonnant encore, Rob Joyce a indiqué comment les entreprises pouvaient se protéger des actions de ses hommes. Bon, bien évidement, il a raconté ce qu’il pouvait/voulait dire, mais la démarche a le mérite d’ouvrir les sens. « Beaucoup de gens pensent que les États-Unis utilisent beaucoup de 0Day. Nous n’en possédons pas tant que ça et il n’est pas commun que nous les utilisions« . L’homme de l’ombre indique que l’ingéniosité et les essais suffisent « Nous essayons, nous attendons, puis essayons encore et attendons jusqu’à ce que nous trouvions la vulnérabilité. » Un détail amusant dans la conférence du Big boss du TAO, le fait que ses hommes, la plupart du temps, connaissent mieux le réseau et les installations que les informations de la cible de la NSA « Souvent, nous connaissons mieux les réseaux que ceux qui les ont conçus et les font fonctionner« . Les hackers de la NSA exploitent huit phases dans leurs actions : découvrir, première pénétration, assurer leur présence, installer un outil logiciel, étendre la présence, recueillir, exfiltrer et exploiter les données. L’agence spécial a indiqué que les entreprises doivent impérativement mettre à jour leurs logiciels et se méfier du cloud !

backdoor, Base de données, Cybersécurité, Entreprise, Fuite de données, ID, Identité numérique, Particuliers

Trois employés de TalkTalk arrêtés

Un commentaire

Novembre 2015, deux adolescents sont arrêtés dans l’affaire du piratage de données de l’opérateur TalkTalk. En Inde, trois employés du Call Centre de l’entreprise viennent d’être entendus par la police.

Un rapport avec l’affaire du piratage des données clients de l’opérateur britannique TalkTalk ? Je vous expliquais, en novembre 2015, comment deux adolescents avaient été arrêtés au Royaume-Unis. Ils étaient soupçonnés d’avoir participé au piratage des données de l’opérateur britannique TalkTalk. Quatre millions de données avaient été consultés. 157 000 avaient été volées.

Trois mois plus tard, en Inde cette fois, trois employés de TalkTalk, ils officiaient au Call Center de la société, ont été arrêtés. Ces personnes travaillaient pour un partenaire de TalkTalk, la société Wipro, un fournisseur de centre d’appel basé à Calcutta.

Suite à la cyberattaque d’octobre 2015, un audit a été lancé par l’opérateur. Il a été découvert que les trois individus avaient fait de « grosses bêtises » numériques. Un rapport avec le piratage ou un moyen pour TalkTalk de modifier son contrat commercial avec Wipro ? Chose est certaine, les trois indiens se sont servis dans les informations clients.

Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Mise à jour, Patch, Sauvegarde

Cinq impératifs de sécurité à l’intention des nouveaux utilisateurs du Cloud

Apple, Amazon et Microsoft sont trois géants de la technologie et de véritables références en matière de fourniture de services cloud. Mais ils ont aussi comme point commun d’avoir été la cible de hackers plutôt virulents…

Le piratage Apple (le “celebgate”) a abouti à la divulgation de photos très personnelles de certaines célébrités qui utilisaient iCloud, une mésaventure qui a fait la une de nombreux médias l’année dernière. Au Royaume-Uni, le fournisseur technologique Code Spaces a tout simplement baissé le rideau en 2014, après avoir été la cible de maîtres chanteurs qui ont, au final, supprimé des données essentielles sur l’environnement de stockage cloud de l’entreprise basé sur Amazon Web Services. En 2013, un certificat SSL expiré au sein du cloud Azure de Microsoft permettait à des hackers de mettre à l’arrêt plusieurs services cloud, dont Xbox Live.

Les risques en matière de sécurité du Cloud sont à la hausse, tandis que les attaques ont progressé à un rythme effréné : +45% en glissement annuel selon le spécialiste de la sécurité Alert Logic. Au cours des 5 prochaines années, les entreprises devraient investir 2 milliards de dollars pour renforcer leurs défenses Cloud, selon Forrester Research.

Ce sont les primo-utilisateurs du cloud qui connaissent le plus grand risque, car peu familiers à ce nouvel environnement et confrontés à des méthodes différentes pour gérer les utilisateurs, les données et la sécurité. À leur intention, voici cinq règles d’or qui encadrent (et sécurisent) toute migration vers le Cloud.

1. Apprenez à mieux connaître les environnements Cloud
Tout projet cloud est tripartite, avec pour parties prenantes le fournisseur de la plateforme cloud, le fournisseur du service réseau et l’entreprise cliente. Le Cloud doit être pensé en tant qu’extension du centre de données de l’entreprise, d’où certaines questions : peut-on déployer des règles et services de sécurité communs aux trois domaines ? Quels sont les risques en matière de sécurité ?

Avant de sélectionner votre fournisseur cloud, interrogez-le sur les services de sécurité proposés et les éditeurs/constructeurs avec lequel il collabore. Le cloud est un environnement dynamique qui implique des mises à jour régulières de l’architecture de sécurité pour pouvoir neutraliser les menaces les plus récentes. Quels sont les outils, fonctions et méthodes de sécurité en vigueur pour s’immuniser contre les nouveaux types de menaces et les vulnérabilités zero-day ?

Pensez également à vous familiariser avec les modèles de sécurité partagée. Identifiez précisément les responsabilités de votre fournisseur cloud, ainsi que les vôtres. Pour certains types de cloud, les IaaS notamment, l’entreprise cliente est responsable de la sécurité de ses applications et données dans le cloud. Il est également essentiel d’identifier les appliances de sécurité et technologies proposées par le fournisseur de services cloud ou autorisées à être déployées pour assurer une sécurité optimale.

2. Nouvelles applications, nouvel arsenal de sécurité
Prêt à migrer une application dans le cloud ? Mais avant, interrogez-vous sur l’intérêt de déployer des couches de sécurité dédiées aux processus d’authentification et de connexion à vos applications cloud.

Pour sécuriser l’accès à votre application cloud, vous devez déployer un schéma d’accès granulaire aux données, qui, par exemple, associe des privilèges d’accès à des rôles, des postes ou des projets. Vous disposez ainsi d’une couche supplémentaire de protection lorsque les assaillants détournent les identifiants de connexion de vos collaborateurs.

Le détournement d’un compte est une exaction plutôt simple mais il constitue encore à ce jour, selon la Cloud Security Alliance, une menace virulente qui pèse sur les utilisateurs du cloud. Pour renforcer votre processus d’authentification, pourquoi ne pas adopter l’authentification à deux facteurs ou l’utilisation des mots de passe OTP (à usage unique) ? Autre bonne idée : obliger les utilisateurs à modifier leurs identifiants de connexion dès leurs premières authentifications à une application.

3. Optez pour le chiffrement
Le chiffrement des données est l’un de vos meilleurs alliés dans le cloud et doit d’ailleurs être obligatoire pour les transferts de fichiers et les emails. Bien sûr, le chiffrement ne préviendra pas les tentatives de piratage, mais il immunisera votre entreprise face au lourd impact financier lié aux amendes réglementaires infligées en cas de piratage avéré et de divulgation de données.

Interrogez ainsi votre fournisseur cloud sur les options de chiffrement disponibles. Identifiez comment les données sont chiffrées lorsqu’elles sont stockées, utilisées et transférées. Pour identifier le périmètre des données à chiffrer, il est essentiel de les localiser, qu’elles soient hébergées sur les serveurs de votre fournisseur cloud ou d’un tiers, les ordinateurs portables des collaborateurs, les PC fixes ou encore des dispositifs amovibles de stockage.

4. Maîtrisez le virtuel
En migrant vers le Cloud, les entreprises capitalisent sur les avantages de la virtualisation, mais un environnement virtualisé présente des défis spécifiques en matière de protection des données. La principale problématique ? La gestion de la sécurité et des échanges de données au sein de ces espaces virtualisés et mutualisés.

Les appliances physiques de sécurité ne sont pas conçues pour gérer les données dans le cloud. D’où l’intérêt de se pencher sur les appliances virtuelles pour sécuriser le trafic entre machines virtuelles. Ces appliances sont conçues pour simplifier la gestion de multiples instances d’applications et d’environnements mutualisés.

Elles permettent ainsi aux entreprises de contrôler plus précisément la sécurité de leurs données dans le Cloud. Demandez à votre fournisseur cloud comment il s’y prend pour sécuriser ses environnements virtualisés et découvrez quelles sont les appliances de sécurité virtuelles déployées. Si vous mettez en place votre propre cloud privé ou hybride, il est préférable de choisir des produits de sécurité virtualisés qui permettent un contrôle le plus fin de la sécurité.

5. Ne restez pas dans l’ombre du Shadow IT
Les anecdotes et exemples sont nombreux pour illustrer les cas d’utilisation non autorisés d’applications et de services cloud, ce qu’on appelle le Shadow IT, plus présent en entreprise qu’on ne le croirait. Cette activité regroupe les projets, outils ou services de communication existants au sein d’une organisation, mais sans approbation de la DSI. Le Shadow IT est donc, par définition, non contrôlé, ce qui constitue une certaine menace dont les impacts sont lourds en matière de gouvernance.

Votre application qui a récemment migré vers le Cloud connaît ainsi des risques. Considérez ce scénario dans lequel un collaborateur ouvre un fichier sur son smartphone. Il est probable qu’une copie du fichier soit réalisée et envoyée pour stockage vers un espace en ligne non approuvé et qui accueille les sauvegardes automatiques du téléphone. Et voilà des données de l’entreprise, jusqu’à présent sécurisées, qui se retrouvent dans un cadre non sécurisé.

Interdire le Shadow IT et les accès aux données et applications induits ne freinera sans doute pas cette pratique au sein d’une organisation. Il est plus intelligent de sensibiliser les utilisateurs et de miser sur la technologie pour régler cette problématique. Justement, le chiffrement des données, le monitoring réseau et les outils de gestion de la sécurité protègent vos applications cloud des risques liés au Shadow IT. (Christophe Auberger, Directeur Technique France chez Fortinet)

Android, Cybersécurité, Entreprise, Fuite de données, ios, Mise à jour, Patch, Sécurité, Smartphone, Téléphonie, Windows phone

Que faire face à la déferlante des applications mobiles ?

Dans les entreprises, l’engouement pour les applications mobiles, couplé au phénomène BYOD (Bring Your Own Device), impose de sécuriser les systèmes et données en instaurant une gestion des certificats numériques.

Les acteurs opérant dans le secteur informatique depuis au moins 20 ans auront observé une quantité astronomique de changements. Si chacun d’eux est nécessaire, certains se révèlent plus intéressants que d’autres. L’essor des applications mobiles, en l’occurrence, représente incontestablement l’une des déferlantes frappant de plein fouet le monde de l’entreprise.

S’agissant des applications mobiles grand public, comme celles axées sur les jeux vidéo et les réseaux sociaux, les failles de sécurité sont aisément repérables dès lors que vous possédez un bagage dans le domaine. Étant donné que les développeurs d’applications mobiles sont, au contraire, très peu versés dans la sécurité, il est à craindre qu’ils exposent leurs applications à des risques dont ils n’ont pas même conscience. Personnellement, je m’intéresse à la composante Infrastructure à clé publique depuis le début de ma carrière, à l’époque où je participais au développement de logiciels pour l’Administration américaine. De ce fait, la sécurité a toujours été ma priorité. Et l’une des premières questions que je me suis efforcé d’élucider, au moment de l’éclosion des applications mobiles, a été la suivante : qui est chargé de diffuser et de gérer les certificats de sécurité des mobiles ?

La sensibilisation à la problématique de sécurité des applications mobiles s’est généralisée, consécutivement aux récents incidents liés aux certificats qui ont attiré l’attention des consommateurs. Des tas de buveurs de café ont ainsi supprimé leurs applications mobiles Starbucks à la suite de piratages qui ont exploité les failles de sécurité de l’entreprise pour accéder directement aux comptes bancaires des clients. Dans le même registre, des contrôles de certificats défaillants sur l’application Télé-Accès OnStar ont permis à des pirates de localiser, déverrouiller et même démarrer à distance des véhicules GM, d’où une certaine réticence de la part des propriétaires de véhicules de cette marque à utiliser l’application mobile du constructeur. General Motors a résolu le problème, contrairement à nombre de ses concurrents qui semblent l’ignorer ; récemment, un pirate a exploité exactement la même faiblesse de certificat dans les applications iOS pour BMW, Mercedes et Chrysler.

Des problèmes de ce genre montrent à quel point les clés et certificats numériques sont essentiels ; de fait, ils constituent le fondement même de la sécurité pour tous les équipements connectés. Néanmoins, sachant que même les entreprises les plus prudentes développent aujourd’hui des applications pour mobiles, assurer leur suivi est devenu une véritable gageure. Au moment où j’écris ces lignes, ces acteurs continuent à divulguer des informations qu’ils réservaient auparavant à leurs propres réseaux. Et, pour compliquer encore davantage la donne de la sécurité mobile, avec la révolution BYOD, les salariés accèdent aux informations de l’entreprise au moyen d’équipements qui échappent à leur contrôle. Autant d’aspects qui ont véritablement rendu plus délicate la vérification des certificats numériques. Tant que cette situation n’évoluera pas, les cybercriminels détourneront les certificats numériques pour mettre à profit les données résidant sur terminaux mobiles, qu’elles appartiennent à l’entreprise ou à ses collaborateurs, tout simplement parce que cette opération est un jeu d’enfant.

Pour empêcher ce scénario, les développeurs d’applications mobiles doivent être en mesure de sécuriser et de protéger leurs clés cryptographiques et certificats numériques. Les entreprises doivent avoir recours à des outils de cybersécurité permettant aux développeurs de découvrir et contrôler des certificats sur des appareils mobiles. À l’instar du système immunitaire qui assure la défense de l’organisme en repérant les agents pathogènes et les anomalies, ces outils surveillent les appareils mobiles en réseau pour détecter les certificats porteurs d’anomalies et de risques et les révoquer aussitôt. Ils s’intègrent également avec la plupart des solutions de gestion de flotte mobile (MDM) pour aider les entreprises à mettre en œuvre des règles qui leur permettront de se maintenir à flot sur un océan de réglementations et d’impératifs sécuritaires. (Par Hari Nair, Director, Product Management chez Venafi)

Base de données, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, ID, Identité numérique, Particuliers, Sauvegarde

Sécurité des données : une tour en équilibre précaire

Pendant les fêtes, j’ai eu l’occasion de voir « The Big Short : Le Casse du siècle », film inspiré du livre de Michael Lewis sur la bulle immobilière. Ou plus exactement sur la manière dont un groupe de parias de Wall Street voit clairement les signes d’effondrement prochain du marché hypothécaire. Il est intéressant de constater qu’aucun de ces indices financiers ne constituait un secret.

Cela m’a poussé à me demander s’il existe aussi des signes incroyablement évidents montrant que la sécurité des données d’entreprise ne se trouve qu’à un ou deux piratages d’une explosion complète.

En guise de pièce à conviction A, veuillez consulter l’article de Krebs sur les nouvelles méthodes d’authentification mises en œuvre par Google et Yahoo. Google essaie une ouverture de session Gmail sans mot de passe par l’envoi d’un e-mail d’approbation au smartphone associé à votre adresse électronique. Après avoir accepté la requête, vous pouvez utiliser Gmail. Aucun mot de passe n’est nécessaire !

En octobre dernier, Yahoo a commencé à offrir un service similaire appelé « mots de passe à la demande ». Dans ce système, Yahoo envoie un code aléatoire de quatre caractères à un périphérique séparé lorsqu’un abonné tente de se connecter. Yahoo exige ensuite que l’utilisateur saisisse ce code sur son site Web pour obtenir l’accès.

Phishing récréatif et lucratif
Que dit Krebs à propos de ces changements ? Améliorer l’authentification est une bonne idée, mais Krebs pense que ces approches mèneront à des attaques de phishing plus sophistiquées. Aïe !

En règle générale, ce type de modèle reste exposé aux attaques de l’intercepteur.  Toutefois, Krebs semble suggérer que les pirates profitant de ces services enverront des e-mails contrefaits pour demander plus d’informations aux abonnés. Les utilisateurs de Yahoo et de Google ayant probablement l’habitude d’accepter et de répondre à des e-mails de vérification réels, ils pourraient accidentellement révéler un mot de passe ou d’autres informations en réponse à une communication falsifiée.

Alors que d’autres grands services en ligne commencent à essayer leurs propres méthodes et que certaines entreprises font appel à des techniques à facteurs multiples, d’insidieuses failles de sécurité restent possibles.

Le Web caché
Ma pièce à conviction B est constituée de toutes les données piratées au cours de ces deux dernières années. Étant donné que les IPI et autres données sensibles sont à la portée des pirates au moyen du Web caché, les cybercriminels possèdent beaucoup plus d’informations pour exécuter leurs futures opérations de phishing et autres attaques d’ingénierie sociale.

À l’heure où j’écris ces lignes, les médias technologiques signalent la divulgation massive de plus de 190 millions d’enregistrements électoraux comprenant des dates de naissance, des adresses électroniques et des affinités politiques. Bien sûr, cela s’ajoute à la violation géante de l’OPM, la violation de l’IRS  et les gigantesques violations des compagnies d’assurance.

Récemment, j’ai écrit un article au sujet des énormes quantités de données de santé protégées (PHI) qui se trouvent dans les systèmes informatiques des grandes entreprises. Ces dernières ne sont pas toutes des entreprises de services de santé. Souvent mal sécurisées, les PHI ont été écrémées par les pirates au cours des quelques dernières années. Elles constituent une autre remarquable source d’informations pour de futures attaques.

Le Jenga de la sécurité des données
Revenons au film « The Big Short ». Je ne pense pas que nous en dirons trop en révélant cette scène du film, car elle a déjà été largement distribuée. Je fais ici référence à Ryan Gosling montrant à ses collègues de Wall Street les pieds d’argile du colossal marché hypothécaire.

Comme au Jenga, il a lentement retiré les blocs de base de sa tour infernale. Comme on peut s’y attendre, la structure entière, y compris les blocs représentant les hypothèques les plus sûres, finit par s’effondrer.

J’attends qu’un DSI retire ce genre de bloc de Jenga ! C’est-à-dire qu’un collaborateur (peut-être un individu imprégné de philosophie « red team ») explique aux cadres dirigeants en quoi la sécurité informatique est semblable à une tour de Jenga.

Au sommet se trouvent une défense de périmètre et un chiffrement des données forts. Mais il existe des données mal sécurisées sous cette première couche. Et plus profondément encore, on rencontre des techniques d’authentification peu efficaces, des mauvaises stratégies de mots de passe, une gestion tardive des correctifs et une supervision des données insuffisante.

Le pirate mène ses essais et ses attaques à travers la main de l’employé. Guidé par les données volées existantes et d’autres informations de vulnérabilité acquises sur le marché noir (logiciels malveillants, IPI, informations d’identification volées), il sait quels blocs retirer de la base pour faciliter son accès à la prochaine couche de données mal sécurisées.

L’ensemble de la structure informatique s’effondre ensuite en laissant les blocs de Jenga éparpillés sur le bureau du DSI.

Je ne pense pas qu’en 2016 nous verrons l’équivalent informatique d’un effondrement financier dans lequel le commerce électronique et la pornographie seraient soudainement bloqués. Mais il existe depuis quelques années des signaux d’alarme en direction de sérieux problèmes au niveau des fondations mêmes de la sécurité des données informatiques. (Par Norman Girard, Vice Président et directeur général Europe de Varonis)