Archives de catégorie : Entreprise

Actualités liées à la sécurité informatique des entreprises, PME, PMI, TPE, association, communes.

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, ID, Identité numérique, Particuliers, Propriété Industrielle

Smart Cities : Pourquoi l’identité est la clé des villes vraiment intelligentes

Il ne fait aucun doute que la montée en puissance de l’internet des objets (IoT) change fondamentalement la façon dont nous interagissons avec le monde. Que ce soient les smartphones, les tablettes, les réfrigérateurs ou les ampoules, presque tout type d’équipement est désormais doté d’une connexion internet destinée à rendre notre vie plus facile et efficace. Cependant, alors que la révolution IoT s’est fortement accélérée ces dernières années, elle est limitée par un défaut significatif : les équipements IoT ne peuvent généralement pas communiquer entre eux. Par Ludovic Poitou, Directeur Général Forgerock, France

Cette impossibilité de communiquer vient du manque d’identité numérique de ces équipements. En tant qu’individu, notre identité est ce qui nous rend unique et ce qui indique aux autres qui nous sommes. Sans elle, nous ne serions qu’un numéro indiscernable de ceux qui nous entourent. Le même concept s’applique aux équipements connectés. Or parmi les 4,9 milliards d’équipements qui font désormais partie de l’IoT (avec une augmentation à 25 milliards prévue en 2025), un grand nombre souffre actuellement d’une crise d’identité.

Cela change cependant. Le développement de la technologie de gestion d’identité numérique signifie que l »on peut désormais attribuer leur propre identité à ces équipements à travers l’écosystème de l’internet des objets. Ils peuvent reconnaitre les autres identités numériques, interagir avec elles en toute sécurité et établir des relations numériques connues entre utilisateurs, entre objets connectés, et entre utilisateurs et objets connectés. Le résultat de cette nouvelle forme de communication est la forte amélioration de l’utilité des équipements connectés à internet chez les particuliers, dans les bureaux et même dans les villes.

Protéger la ville intelligente de demain

Envisagez une ville où les services publics y compris les systèmes de prévention de catastrophes et les systèmes d’alerte sont connectés à l’aide de l’identité. Un ouragan approche ? Alors, le système d’alerte se déclenche, il envoie un message crypté aux services des urgences municipales pour les prévenir du danger. L’identité du système d’alerte est rapidement vérifiée et des plans d’action en cas d’urgence préétablis sont mis en œuvre. Quelques minutes après le signal d’alerte initial, on peut fermer automatiquement les ponts et les systèmes de transport à risque et les services anti-incendie peuvent être envoyées pour évacuer des immeubles dangereux rapidement et efficacement. Les équipes anti-incendies possèdent elles-mêmes leur propre identité ainsi on peut suivre leurs mouvements à travers la ville et les véhicules peuvent être envoyés vers les lieux mal desservis à travers un itinéraire non encombré. Les feux de circulation réagissent à l’arrivée des pompiers afin de limiter les bouchons et on peut vérifier l’authenticité de l’identité de chaque pompier lorsqu’ils arrivent sur site.

Comme le montre cet exemple, l’introduction de l’identité numérique à chaque étape de la réponse d’urgence peut rapidement transformer une opération très complexe avec beaucoup de mouvements en une réponse automatique qui peut sauver de nombreuses vies. Sans identité attachée à chacun des équipements et des systèmes impliqués, cela serait tout simplement impossible.

Equiper la ville intelligente de demain

En plus de nous protéger de l’imprédictible, l’identité numérique peut être aussi utilisée pour rendre plus rapides et plus faciles des aspects plus banals de notre vie. Les voyages et la logistique sont deux des domaines qui devraient bénéficier le plus d’une approche basée sur l’identité. Par exemple, les systèmes intelligents de services routiers peuvent collecter des données en temps réel sur le trafic, la vitesse et les dangers. Ces systèmes peuvent alors mettre en œuvre une signalétique réactive pour guider les voyageurs vers des itinéraires moins encombrés (à travers leurs identités numériques), pour les avertir des retards sur leur itinéraire habituel et pour leur suggérer des alternatives. Les données collectées par ce type d’activité peuvent aussi servir aux planificateurs urbains pour les futurs développements de routes et de transports en commun en indiquant précisément quels sont les points critiques des systèmes actuels.

Ailleurs, les systèmes de parking intelligents peuvent indiquer automatiquement aux conducteurs les places libres dès qu’ils arrivent à proximité, ce qui évite de faire le tour. Une fois la voiture garée, le système intelligent peut surveiller la durée du stationnement à l’aide du GPS du véhicule, déterminer la somme à payer dès que la voiture redémarre et prélever automatiquement la somme à l’aide d’un compte préenregistré. Dans le même temps, la ville peut surveiller la demande globale de stationnement et y répondre par des prix indexés à la demande, ce qui réduit la pollution et le trafic tout en optimisant les revenus.

L’identité est la clé

Ce ne sont que quelques exemples du rôle central que peut jouer l’identité dans les villes intelligentes de demain. La possibilité qu’ont les équipements intelligents à se connecter et à communiquer les uns avec les autres améliorera beaucoup la qualité des services publics et la planification des villes. Pour les citoyens, cela signifiera de nouveaux services efficaces qui amélioreront presque tous les aspects de la vie urbaine, et tout cela sera rendu possible par l’identité et l’internet des objets.

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, VPN

Les attaques « Man In the Cloud » exploitent les principaux services de synchronisation de fichiers

Les attaques de dernière génération transforment facilement les services cloud les plus communément utilisés en outils d’attaque dévastateurs.

Imperva, Inc., société spécialisée dans la protection des données critiques des entreprises et des applications sur site et dans le cloud, publie son nouveau rapport d’information sur les hackers portant sur une nouvelle forme d’attaque : « Man in the Cloud Attacks » ou MTIC (en anglais).

Avec « Man in the Cloud » (MITC), un hacker parvient à s’introduire discrètement dans les services de synchronisation de fichiers les plus communément utilisés, tels que Google Drive et Dropbox, pour les transformer en outils d’attaque dévastateurs, que les mesures de sécurité usuelles parviennent difficilement à détecter. Le rapport souligne que cette attaque de dernière génération n’implique pas l’usurpation du compte ou du mot de passe cloud des utilisateurs.

Les services de synchronisation cloud, tels que Box, Dropbox, Google Drive et Microsoft OneDrive, peuvent être facilement exploités et transformés en infrastructure visant à compromettre les points d’accès, en offrant un canal pour les communications de commande et contrôle, l’exfiltration des données et l’accès à distance.

Des attaques basées sur cette architecture ont déjà été identifiées
Les mesures de sécurité au niveau des points d’accès et du périmètre réseau sont insuffisantes pour la détection et l’atténuation de cette menace, car aucun code malveillant n’est stocké sur le point d’accès et aucun canal de trafic sortant anormal n’apparaît sur le réseau. Les organisations doivent consacrer davantage d’efforts à la surveillance et à la protection de leurs ressources de données critiques d’entreprise, dans le cloud et sur site. En détectant les comportements d’accès abusif à ces ressources, les entreprises peuvent se protéger contre cette nouvelle génération d’intrusions.

« Notre étude met simplement au grand jour à quel point il est facile pour les cybercriminels d’utiliser des comptes de synchronisation cloud et à quel point il est difficile de détecter ce nouveau type d’attaque, et d’y résister », indique Amichai Shulman, directeur de la technologie chez Imperva. « Depuis que nous avons identifié l’existence des attaques MITC, nous savons que les organisations qui protègent leurs systèmes contre les infections à l’aide d’outils de détection de code malveillant ou de détection des communications de commande et contrôle font face à de sérieux risques, les attaques MITC utilisant l’infrastructure de partage et de synchronisation des fichiers d’entreprise existante pour les communications de commande et contrôle, et l’exfiltration des données. »

En raison de l’utilisation croissante des appareils mobiles, des tablettes, des VPN, de l’accès à distance et des applications SaaS, les données sont désormais stockées dans le cloud, dans un périmètre qui s’étend au-delà des frontières traditionnellement définies par les entreprises. Ce passage au cloud, qu’il concerne des particuliers ou des entreprises, est bien illustré par le recours aux services de synchronisation de fichiers. L’utilisation de Box, Dropbox, Google Drive et Microsoft OneDrive dans un environnement professionnel souligne l’importance des conclusions de cette étude.

Les entreprises ont la possibilité de se protéger contre les attaques MITC en adoptant une approche en deux temps. D’une part, elles doivent s’appuyer sur une solution de courtage d’accès au service cloud (CASB, Cloud Access Security Broker) qui surveille l’accès et l’utilisation de leurs services cloud d’entreprise. D’autre part, les organisations peuvent déployer des contrôles, tels que des solutions de surveillance de l’activité des données (DAM, Data Activity Monitoring) et de surveillance de l’activité des fichiers (FAM, File Activity Monitoring), au niveau de leurs ressources de données d’entreprise pour identifier l’accès anormal et abusif aux données critiques.

Le centre de défense des applications (ADC, Application Defense Center) d’Imperva est le premier organisme de recherche consacré à l’analyse de la sécurité, à la détection des vulnérabilités et à l’expertise en matière de mise en conformité. Cette cellule allie tests approfondis en laboratoire et tests pratiques en environnement réel pour améliorer les produits d’Imperva, le tout grâce à une technologie avancée dédiée à la sécurité des données, dans le but d’offrir une protection optimale contre les menaces et une automatisation de la mise en conformité inégalée. L’équipe réalise régulièrement des études sur l’évolution du paysage des menaces, notamment le rapport consacré à son initiative d’information sur les hackers et le rapport sur les attaques visant les applications Web. La version intégrale de ce rapport du mois d’août.

Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Justice, Leak, Piratage, Sauvegarde

Aux USA, les entreprises qui fuitent peuvent être poursuivies

Une cour fédérale américaine confirme que la Federal Trade Commission peut dorénavant prendre des mesures contre les entreprises qui ne parviennent pas à protéger les données de leurs clients.

Une cour d’appel américaine a statué ce lundi 24 août que dorénavant, la Federal Trade Commission peut prendre des mesures contre les entreprises qui ne protègent pas correctement les données de leurs clients.

Tout est parti de l’affaire des Hôtels du groupe Wyndham. Trois violations de données, entre 2008 et 2009 occasionnant 10,6 millions de dollars de fraudes. Le groupe hôtelier avait fait appel de la décision du tribunal. Il contestait la compétence de la FTC.

La décision du tribunal d’appel vient donc de tomber, confirmant la première décision. En bonus, la cour d’appel suggère que la FTC peut dorénavant tenir les entreprises responsables en cas de problème de sécurité informatique occasionnant une fuite de données.

En France, et en Europe, les internautes sont toujours en attente d’une application législative définitive qui obligera les entreprises à mieux protéger nos données et à alerter les clients maltraités. Des rumeurs font état que la France va accélérer le mouvement d’ici la fin de l’année. Il serait peut-être temps !

Adobe, Android, BYOD, Cloud, cryptolocker, Cyber-attaque, Cybersécurité, DDoS, Entreprise, Fuite de données, ios, Leak, Logiciels, Mise à jour, OS X, Patch, Piratage, ransomware, Sécurité, Smartphone, Virus, VPN, Windows phone, Wordpress, Wordpress

État des lieux de l’Internet du 2ème trimestre 2015

Akamai Technologies, Inc., leader mondial des services de réseau de diffusion de contenu (CDN), annonce la disponibilité de son rapport de sécurité « État les lieux de l’Internet » du 2ème trimestre 2015. Il livre une analyse et un éclairage sur les cyber-menaces qui pèsent sur la sécurité cloud à l’échelle mondiale.

« La menace des attaques par déni de service distribué (DDoS) et applicatives web ne cesse de s’intensifier chaque trimestre », précise John Summers, vice-président, Cloud Security Business Unit d’Akamai. « Les acteurs malveillants brouillent perpétuellement la donne en changeant de tactique, en dénichant de nouvelles vulnérabilités, voire en remettant au goût du jour des techniques considérées comme obsolètes. En analysant les attaques observées sur nos réseaux, nous sommes en mesure d’inventorier les menaces et tendances naissantes et de communiquer au public les informations indispensables à la consolidation de leurs réseaux, sites web et applications, et à l’amélioration de leurs profils de sécurité cloud. »

Dans ce rapport sont analysés deux vecteurs d’attaques applicatives web supplémentaires, mais aussi examiné les menaces représentées par le trafic TOR (routage en oignon) et même mis au jour certaines vulnérabilités dans des modules externes WordPress tiers, en cours de publication dans le dictionnaire CVE », ajoute-t-il. « Plus les menaces de cybersécurité sont documentées, mieux la défense d’une entreprise peut être opérée.

Panorama de l’activité des attaques DDoS
Sur les trois derniers trimestres, il apparaît que le nombre d’attaques DDoS double d’une année sur l’autre. Si, au cours de ce trimestre, les pirates ont privilégié les attaques de moindre débit mais de plus longue durée, toujours est-il que le nombre de méga-attaques ne cesse de croître. Au 2ème trimestre 2015, 12 attaques à un débit supérieur à 100 Gb/s ont été recensées et 5 autres culminant à plus de 50 Mp/s (millions de paquets par seconde). Très peu d’entreprises sont capables de résister par elles-mêmes à des attaques de cette ampleur.

L’attaque DDoS la plus massive au 2ème trimestre 2015, mesurée à plus de 240 Gb/s, a duré plus de 13 heures. Le débit crête est généralement limité à une fenêtre d’une à deux heures. Sur cette même période, l’une des attaques présentant le débit de paquets le plus élevé jamais encore enregistré sur le réseau Prolexic Routed a également été déclenchée (à un pic de 214 Mp/s). Ce volume d’attaques est capable de paralyser des routeurs de niveau 1 comme ceux utilisés par les fournisseurs d’accès Internet.

L’activité des attaques DDoS a établi un nouveau record au 2ème trimestre 2015, en hausse de 132 % à trimestre comparable un an auparavant, et de 7 % par rapport au 1er trimestre 2015. Si le débit crête et le volume maximal moyens des attaques ont légèrement progressé au 2ème trimestre 2015 comparativement au trimestre précédent, ils demeurent nettement en-deçà des valeurs maximales relevées au deuxième trimestre 2014.

SYN et SSDP (Simple Service Discovery Protocol) sont les vecteurs les plus couramment utilisés ce trimestre, chacun d’eux représentant approximativement 16 % du trafic d’attaques DDoS. Eu égard à la prolifération d’équipements électroniques de loisirs non sécurisés, connectés à Internet via le protocole UPuP (Universal Plug & Play), leur utilisation comme réflecteurs SSDP demeure attrayante. Quasiment inexistant il y a encore un an, le SSDP s’est imposé comme l’un des principaux vecteurs d’attaques ces trois derniers trimestres. Quant à la technique par saturation de type « SYN flood », elle continue à dominer les attaques volumétriques et ce, depuis la première édition du rapport de sécurité parue au troisième trimestre 2011.

Le secteur des jeux en ligne demeure une cible privilégiée depuis le 2ème trimestre 2014, systématiquement visé par environ 35 % des attaques DDoS. Au cours des deux derniers trimestres, la majorité du trafic d’attaques ne provenant pas d’adresses usurpées a continué à émaner de la Chine, pays qui figure dans le trio de tête depuis la parution du premier rapport au troisième trimestre 2011.

Activité des attaques applicatives web
Des statistiques sur les attaques applicatives web ont commencé à être publiées par Akamai au premier trimestre 2015. Ce trimestre, deux autres vecteurs d’attaques ont été analysés : les failles Shellshock et XSS (cross-site scripting).

Shellshock, vulnérabilité logicielle présente dans Bash mise au jour en septembre 2014, a été exploitée dans 49 % des attaques applicatives web ce trimestre. En réalité, 95 % des attaques Shellshock ont visé un seul client appartenant au secteur des services financiers, dans le cadre d’une campagne qui a duré plusieurs semaines en début de trimestre. Généralement menée sur HTTPS, cette campagne a rééquilibré l’utilisation des protocoles HTTPS et HTTP. Au premier trimestre 2015 en effet, seulement 9 % des attaques avaient été dirigées sur HTTPS, contre 56 % ce trimestre.

Par ailleurs, les attaques par injection SQL (SQLi) représentent 26 % de l’ensemble des attaques, soit une progression de plus de 75% des alertes de ce type rien qu’au deuxième trimestre. À l’inverse, les attaques de type LFI (inclusion de fichier local) s’inscrivent en net recul. Principal vecteur d’attaques applicatives web au premier trimestre 2015, LFI n’est plus à l’origine que de 18 % des alertes au deuxième trimestre 2015. L’inclusion de fichier distant (RFI), l’injection PHP (PHPi), l’injection de commandes (CMDi), l’injection OGNL Java (JAVAi) et le chargement de fichier malveillant (MFU) comptent, pour leur part, pour 7 % des attaques applicatives web.

Comme au premier trimestre 2015, ce sont les secteurs des services financiers et du commerce et de la grande distribution qui ont été les plus fréquemment touchés par les attaques.

La menace des modules externes et thèmes WordPress tiers
WordPress, plate-forme la plus en vogue dans le monde pour la création de sites web et de blogues, est une cible de choix pour des pirates qui s’attachent à exploiter des centaines de vulnérabilités connues pour créer des botnets, disséminer des logiciels malveillants et lancer des campagnes DDoS.

Le code des modules externes tiers est très peu, voire nullement, contrôlé. Afin de mieux cerner les menaces, Akamai a testé plus de 1 300 modules externes et thèmes parmi les plus répandus. Résultat : 25 d’entre eux présentaient au moins une vulnérabilité nouvelle. Dans certains cas, ils en comprenaient même plusieurs puisque 49 exploits potentiels ont été relevés au total. Une liste exhaustive des vulnérabilités mises au jour figure dans le rapport, accompagnée de recommandations pour sécuriser les installations WordPress.

Les forces et les faiblesses de TOR
Le projet TOR (The Onion Router, pour « routage en oignon ») fait en sorte que le nœud d’entrée ne soit pas identique au nœud de sortie, garantissant ainsi l’anonymat des utilisateurs. Bien que nombre des utilisations de TOR soient légitimes, son anonymat présente de l’intérêt pour les acteurs malveillants. Pour évaluer les risques liés à l’autorisation de trafic TOR à destination de sites web, Akamai a analysé ce trafic web à l’échelle de sa base de clients Kona sur une période de sept jours.

L’analyse a révélé que 99 % des attaques émanaient d’adresses IP non-TOR. Néanmoins, une requête sur 380 issues de nœuds de sortie TOR était malveillante, contre une sur 11 500 seulement en provenance d’adresses IP non-TOR. Ceci dit, le blocage de trafic TOR pourrait se révéler préjudiciable sur le plan économique. Toutefois, les requêtes HTTP légitimes vers les pages d’e-commerce correspondantes font état de taux de conversion équivalents entre nœuds de sortie TOR et adresses IP non-TOR. Le rapport.

BYOD, Chiffrement, Cloud, cryptage, Cyber-attaque, Cybersécurité, DDoS, Entreprise, Fuite de données, ID, Identité numérique, Mise à jour, Patch, Piratage

Un rapport IBM X-Force dévoile une utilisation accrue de Tor et une évolution des attaques avec rançon

IBM Sécurité annonce les résultats de son rapport Q3 2015 IBM X-Force Threat Intelligence.

Ce rapport dévoile les dangers grandissants provoqués par les cyber-attaques provenant du Dark Web à travers l’utilisation du réseau Tor (The Onion Router), ainsi que les nouvelles techniques mises en place par les criminels pour les attaques avec rançon. Rien que depuis le début de l’année,  plus de 150 000 événements malveillants provenant de Tor ont eu lieu aux États-Unis.

Même si on entend davantage parler des fuites de données que des demandes de rançon, les « ransomware » représentent une menace grandissante. Comme la sophistication des menaces et des attaquants croît, leur cible fait de même, et ainsi certains attaquants se sont par exemple spécialisés dans la demande de rançon concernant les fichiers de joueurs de jeux en lignes populaires. Le rapport dévoile que les agresseurs peuvent maintenant également bénéficier de « Ransomware as a Service » en achetant des outils conçus pour déployer de telles attaques.

Comme les hauts fonds des océans, le Dark Web demeure largement inconnu et inexploré, et il héberge des prédateurs. L’expérience récente de l’équipe IBM Managed Security Services (IBM MSS) montre que les criminels et d’autres organisations spécialisées dans les menaces utilisent Tor, qui permet d’anonymiser les communications aussi bien en tant que vecteur d’attaques que d’infrastructure, pour commander et contrôler les botnets. La façon dont Tor masque le cheminement offre des protections supplémentaires aux attaquants en les rendant anonymes. Ils peuvent aussi masquer la location physique de l’origine de l’attaque,  et même la remplacer par une autre de leur choix. Le rapport étudie également Tor lui-même, et fournit des détails techniques permettant de protéger les réseaux contre les menaces, intentionnelles ou non, véhiculées par Tor.

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données, Propriété Industrielle, Social engineering

L’importance d’identifier ses données sensibles

Une récente étude conduite par le Ponemon Institute révèle que 64% des professionnels de l’IT déclarent que leur principal défi en matière de sécurité est de ne pas savoir où se trouvent les données sensibles de leur organisation sur site et dans le cloud. Ils estiment en effet que cette tâche est d’autant plus difficile qu’ils ne sont pas non plus en mesure de déterminer si ces données sont vulnérables à une attaque ou une faille de sécurité. Par Jean-François Pruvot, Regional Director France chez CyberArk pour DataSecurityBreach.fr.

La gestion et la sécurisation efficaces des données sensibles passent par la mise en place de comptes administratifs ou individuels privilégiés pour surveiller et contrôler les accès – quel que soit l’emplacement des données. En effet, les organisations possèdent en moyenne trois à quatre fois plus de comptes à hauts pouvoirs que d’utilisateurs, ce qui rend les comptes à privilèges plus compliqués à gérer et à identifier. Ces derniers sont souvent utilisés par des cyber attaquants pour gagner l’accès au réseau d’une organisation et attaquer insidieusement le cœur de l’entreprise en visant les données et systèmes sensibles. Les hackers se déplacent latéralement à l’intérieur de l’entreprise tout en élevant les privilèges leur donnant accès à l’ensemble du réseau, et peuvent rester virtuellement non détectés pendant de très longues périodes.

Par conséquent, si la majorité des équipes IT ne parviennent pas à tracer les mouvements de leurs données, et n’ont pas non plus suffisamment de visibilité sur les comptes administrateurs permettant d’y accéder, il est indispensable de mettre en place les outils nécessaires pour identifier rapidement les personnes ou machines qui accèdent aux données sensibles – et l’utilisation qui en est faite – pour protéger et renforcer l’efficacité des stratégies de sécurité. « Le fait que 64% des professionnels de l’IT ne pensent pas être capables d’identifier l’emplacement des données sensibles de leur organisation démontre des faiblesses dans les systèmes de protection. Un tel constat confirme la nécessité de sensibiliser les organisations sur le renforcement des mesures de contrôle pour sécuriser l’accès aux données et adhérer à des politiques de sécurité strictes. Avant d’envisager le déploiement de solutions de sécurité, il est essentiel de mettre en place une stratégie dédiée à la gestion de ces données – et en particulier des solutions permettant de mieux gérer, surveiller et contrôler les accès. Que ce soit sur site ou dans le cloud, les entreprises doivent savoir ce qu’elles sécurisent à tout moment et quelles que soient les actions en cours sur les infrastructures afin de protéger ce que de potentiels hackers peuvent dérober. »

Un programme stratégique de sécurisation des comptes à privilèges commence par l’identification de l’emplacement des comptes à hauts pouvoirs et identifiants associés. Sont inclus les comptes administrateurs des machines et postes de travail de l’entreprise, ainsi que les identifiants qui permettent la communication entre applications et entre machines. Les organisations doivent mettre en place les fondements de base de la sécurité incluant des patchs, la mise à jour régulière des systèmes et la rotation fréquente des mots de passe. Sans une vigilance accrue de leur gestion, une personne extérieure, ou un employé n’étant pas censé intervenir sur ces comptes dans le cadre de ses fonctions, pourrait accéder aux données de l’entreprise et en compromettre la sécurité de manière accidentelle ou malveillante.

Ainsi, afin de réduire au maximum les risques de vol ou de pertes de données, l’identification et la cartographie des données est indispensable pour élaborer une stratégie de sécurité parfaitement adaptée aux contraintes de sécurité liées à l’accès au réseau des organisations, et particulièrement dans les environnements virtualisés. Par conséquent, de même qu’on règle son rétroviseur et qu’on attache sa ceinture avant de prendre le volant, les organisations doivent avoir une visibilité complète de leurs données, de leur emplacement et contrôler qui accède aux informations où et quand, afin de les sécuriser de la manière la plus adaptée ; elles peuvent ainsi se prémunir contre les attaques et les infiltrations insidieuses dans leurs systèmes, que les données soient stockées sur site ou dans le cloud.

Banque, BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données

Les employés en vacances posent-ils un risque pour la sécurité des données d’entreprise ?

Beaucoup d’employés ont du mal à déconnecter pendant leurs congés. En dehors des accès via des connexions parfois non protégées, la perte ou le vol d’un terminal peuvent porter préjudice à la sécurité des données de l’entreprise. Comment en optimiser la protection ? Par Xavier Dreux, Responsable Marketing chez Prim’X

Comme DataSecurityBreach.fr vous le prouvait en 2013, un trop grand nombre d’employés utilisent encore de trop leurs données professionnelles durant leurs vacances. Nous sommes au milieu des congés estivaux et comme chaque année beaucoup de dirigeants et cadre d’entreprises ont du mal à déconnecter. Certains continueront à se connecter à distance à leur messagerie et ou aux serveurs de leur entreprise, d’autres emmèneront tout simplement leur portable sur leur lieu de vacances « au cas où » sans penser ou en sous-estimant les conséquences que cela peut avoir pour la sécurité des données de leur entreprise. Plusieurs solutions s’offrent néanmoins à l’entreprise pour garantir la protection de ses données.

Les fondamentaux

Premièrement, il peut paraître utile de rappeler aux employés et notamment aux cadres que les vacances servent à déconnecter et à se couper avec le stress du quotidien pendant plusieurs jours. En effet, si l’on en croit les résultats d’une étude menée par Roambi et Zebaz, 93% des cadres dirigeants français consultent leurs données professionnelles durant leurs vacances.

Il paraît plus que pertinent d’un point de vue gestion des ressources humaines de transmettre les fondamentaux et d’inciter les employés à gérer leur absence avec les collègues qui resteront présents. Faire une passation de dossiers et prévoir un « testament » avec les points à suivre et les coordonnées des personnes capables d’apporter un soutient en cas d’urgence est déjà un bon début pour partir serein et couper le cordon. Certaines entreprises commencent également à prendre des mesures drastiques d’un point de vue technique en coupant tout simplement les accès des employés pendant la durée de leur absence.

Sensibiliser aux risques

Nous le rappelons constamment chez DataSecuritybreach.fr, le maillon faible de la sécurité c’est l’humain. La sensibilisation doit être renouvelée régulièrement pour être efficace. La période estivale est une excellente opportunité pour transmettre aux salariés une note rappelant quelques-uns des principes de base et les mesures clés pour assurer la sécurité de ses données lorsque l’on est en dehors de l’entreprise.

On peut ainsi souligner les différents risques qui peuvent porter préjudice aux données de l’entreprise : s’assurer que l’on tape le mot de passe de son terminal à l’abri des regard, que la connexion utilisée est sécurisée, ne pas laisser ses terminaux sans surveillance ou les mettre sous clé, etc. Plusieurs actualités ont récemment rappelé les risques liés à l’utilisation des hotspots WiFi publics (gares, aéroports, hôtels, lieux de restauration).

En mars, c’est le magazine Wired qui révélait les risques de sécurité liés à un problème de sécurité des routeurs WiFi utilisés par 8 des 10 plus grandes chaines hôtelières au niveau mondial. En avril, c’est une étude d’Avast Software qui soulignait que 66% des français préfèrent se connecter au Wi-Fi public non sécurisé au risque de perdre leurs données personnelles. Quand on sait que nombre d’employés accèdent à leur messagerie sur le terminal personnel, le risque n’est pas anodin.

Bien entendu les risques de pertes et ou de vols du terminal viennent s’ajouter à celui des connexions. Il est donc opportun de rappeler qu’il faut impérativement protéger son terminal avec un mot de passe adéquat et s’assurer que celui-ci soit à l’abri lorsque vous devez vous en séparer lorsque l’on va à la plage par exemple (coffre fort de chambre, consigne d’hôtel, proches, etc.). Qu’une connexion ne peut se faire sans VPN.

Dans le cadre des meilleures pratiques, c’est à l’entreprise de mettre à disposition de ses salariés et dirigeants des moyens pour protéger leurs terminaux et sécuriser les échanges de données. Sans ce type d’outils, l’employé sera tenté de passer outre les règles de sécurité ou bien de mettre en œuvre des solutions de protection par ses propres moyens, sous réserve qu’il ait été sensibilisé aux problématiques de sécurité. Aucune de ces solutions n’est souhaitable. L’entreprise doit conserver la responsabilité de la sécurité L’important n’est pas uniquement de rester opérationnels mais surtout de ne pas mettre en péril l’entreprise et son patrimoine informationnel. Et comme nous l’avons vu, il existe aujourd’hui plusieurs moyens simples de protéger les données présentes sur un terminal emmené en congé par les professionnels.

Dernier point, savoir se déconnecter pendant ses vacances, une vraie preuve de professionnalisme !

Cyber-attaque, Cybersécurité, Emploi, Entreprise, Justice, loi, Mise à jour, Patch, Piratage, Propriété Industrielle, santé, Virus

Un appareil médical interdit en raison de vulnérabilités numériques

2 commentaires

La Food and Drug administration vient de faire interdire un appareil médical considéré comme dangereux en raison de trop nombreuses vulnérabilités informatiques. Un pirate pourrait manipuler les transfusions à un patient.

La FDA, la Food and Drug administration, l’Agence américaine des produits alimentaires et médicamenteux vient de tirer la sonnette d’alarme au sujet des matériels médicaux face aux pirates informatiques. Pour ce faire entendre, et faire de manière à ce que les constructeurs écoutent avec leurs deux oreilles, la FDA vient de faire interdire le dispositif médical de la société Hospita.

Le matériel incriminé, une pompe à perfusion, l’Hospira Symbiq Infusion System. La FDA encourage « fortement les établissements de soins de santé à changer de matériel, à utiliser des systèmes de perfusion de rechange, et de cesser l’utilisation de ces pompes [celles d’Hospita]. »

La raison de cette interdiction ? Trop de vulnérabilités pourraient être exploitées par des pirates informatiques, et donc mettre en danger les patients. Des failles qui pourraient permettre à un utilisateur non autorisé de contrôler l’appareil et de modifier la perfusion. Délivrer plus ou moins de médicament par exemple.

Une interdiction qui était prévue chez Hospira. Le constructeur avait annoncé en mai 2013 qu’il mettrait à la « retraite » Symbiq, ainsi que d’autres pompes à perfusion. Une mise à la retraite prévue pour la fin 2015.

Antivirus, Cybersécurité, Entreprise, Fuite de données, Logiciels, Microsoft, Mise à jour, Patch, Propriété Industrielle, Virus

Des vilains chez Kaspersky ?

Deux ex-employés de Kaspersky indiquent que l’éditeur russe d’antivirus aurait diffusé de faux positifs pour embêter la concurrence.

Les plus anciens se souviennent très certainement des polémiques autour de plusieurs éditeurs d’antivirus, nous sommes alors dans les années 1990. Des éditeurs avaient été accusés d’être les auteurs de codes malveillants, histoire de faire parler la presse de leurs outils, capable d’éradiquer ces mystérieux monstres numériques. Nous sommes alors à l’époque de VX BBS, des worms Murphy, Nomenclatura, Beast, 512, Number of Beast (Virus made in Bulgarie) ou encore des russes Peterburg, Voronezh ou encore LoveChild. Une époque ou les lecteurs des Magazine Pc Today, ou encore Amstrar CPC, se souvient des codes malveillants cachés dans la disquette offerte par le journal ou proposé dans la page du journal.

Juillet 2015, voici revenir la rumeur. Selon l’agence de presse américaine Reuters, le russe Kaspersky aurait tenté de diffuser des fichiers modifiés afin de les faire détecter comme dangereux, par la concurrence. En gros, réussir à faire effacer par les concurrents des programmes indispensables permettant de lancer Windows. Bref, mettre le souk dans les signatures des autres antivirus.

Deux anciens employés, donc pas content de ne plus bosser pour Kaspersky, ont affirmé ce fait à Reuters. L’idée malveillante aurait été lancée il y a plus de dix ans. Kaspersky visait  les antivirus de Microsoft, AVG ou encore Avast. Sa méthode consistait donc a faire effacer des programmes importants, et non dangereux, par les antivirus des concurrents. Intoxiquer la concurrence et faire décliner l’efficacité de leurs outils. Reuters indique que le fondateur Eugene Kaspersky en a lui-même donné l’ordre. Il voulait, paraît-il, faire payer les concurrents qui auraient simplement imité la technologie utilisée dans son propre antivirus.

Kasperksy a bien entendu démenti la diffusion de ces faux positifs. Pourtant, il y a 5 ans, Kaspersky avait expliqué comment, en diffusant 10 faux positifs, ils avaient découvert les agissements de 14 concurrents. ces derniers auraient repris ses informations comme argent comptant. Dennis Batchelder, responsable des recherches anti-malwares chez Microsoft a confirmé à Reuters avoir découvert des fichiers modifiés ayant pour mission de paraître dangereux. Bref, la nouvelle guerre froide entre Russie et USA vient de se déplacer, aussi, dans le petit monde des antivirus.

Cyber-attaque, Cybersécurité, DDoS, Emploi, Entreprise, Paiement en ligne, Piratage

La France, 1ère cible des attaques DDoS de botnet en Europe au 2ème trimestre 2015

Un commentaire

Les trois quarts des ressources attaquées au deuxième trimestre de 2015 par des botnets se situent dans 10 pays seulement, selon les statistiques du système Kaspersky DDoS Intelligence.

En tête du classement, les États-Unis et de la Chine enregistrent un grand nombre d’attaques à cause du faible coût d’hébergement de ces pays. Cependant, les changements dans les autres positions du classement et le nombre croissant de pays affectés par ce type d’attaque prouvent qu’aucun territoire n’est sécurisé face aux attaques DDoS. Le nombre de pays où les ressources attaquées ont été localisés a augmenté de 76 à 79 au cours du deuxième trimestre de 2015 ; Dans le même temps, 72% des victimes se situaient dans seulement 10 pays ; Cependant, ce chiffre a diminué comparé à la période précédente, avec 9 victimes sur 10 présentes dans le top 10 au premier trimestre.

Le top 10 du deuxième trimestre incluait la Croatie, tandis que les Pays-Bas ont quitté le classement. La Chine et les Etats-Unis ont gardé leurs positions dominantes ; la Corée du Sud a fait descendre le Canada de sa troisième place. La cause en est une explosion des activités de botnets, la plupart ciblant la Corée du Sud. En outre, la proportion d’attaques localisées en Russie et au Canada a diminué comparé au trimestre précédent.

Une forte augmentation du nombre d’attaques a été observée dans la première semaine de mai, tandis que la fin du mois de juin montrait la plus faible activité. Le pic d’attaques par jour (1960) a été enregistré le 7 mai ; Le jour le plus « calme » a été le 25 juin avec seulement 73 attaques enregistrées ; Dans le même temps, la plus longue attaque DDoS du trimestre a duré 205 heures (8,5 jours).

Concernant la technologie sur laquelle sont basées les attaques, les cybercriminels impliqués dans le développement de botnets DDoS investissent de plus en plus dans la création de botnets d’appareils de systèmes de réseaux comme les routeurs et modems DSL. Ces changements annoncent sûrement une augmentation du nombre d’attaques DDoS utilisant des botnets à l’avenir.

Alerte du CERT US

Le CERT USA a lancé une alerte à ce sujet, le 17 août 2015. Même alerte pour l’Internet Crime Center (IC3) qui rajounte que des campagnes d’extorsion menacent les entreprises avec un déni de service (distribué DDoS). Si les entreprises ne paient pas une rançon, ils sont attaqués. La menace vient généralement par mail, et les rançons varient. Elles sont généralement exigées en Bitcoin. Dans les attaques connues et référencées par l’IC3, elle se composait principalement de Discovery Protocol (Simple SSDP) et NTP (Network Time Protocol). La plupart des attaques ont duré une à deux heures avec 30 à 45 gigaoctets de données envoyées. Le FBI pense que plusieurs personnes sont impliquées dans ces campagnes et que les attaques vont s’étendre d’autres industries en ligne. Selon MarketWatch, un site hors service peut coûter jusqu’à 100.000 dollars de l’heure pour certains établissements financiers. Des attaques de plus en plus simples à mettre en place, sans aucune connaissance technique préalable.