Archives de catégorie : Entreprise

Actualités liées à la sécurité informatique des entreprises, PME, PMI, TPE, association, communes.

Cybersécurité, Entreprise, Fuite de données, Logiciels, Propriété Industrielle

Enterprise Immune System : combattre pro activement les cybermenaces

Un commentaire

Darktrace est une société de cyberdéfense britannique, fondée en 2013 par des mathématiciens de l’Université de Cambridge. DataSecurityBreach.fr va vous proposer  de découvrir une nouvelle catégorie de technologie, appelée « Enterprise Immune System ». Elle permet aux entreprises de se défendre contre les cybermenaces avancées d’aujourd’hui, de façon proactive. Son socle technologique est basé sur des avancées récentes dans le domaine des mathématiques probabilistes et de l’apprentissage automatique. Découverte de Darktrace !

DataSecurityBreach.fr :  Qu’est-ce qu’un « système immunitaire d’entreprise » ?
DarkTrace : Le « système immunitaire d’entreprise » est une nouvelle approche de cyberdéfense, qui prend comme point de départ l’inévitable infiltration des réseaux d’entreprise. De la même façon que le corps humain est constamment attaqué par des bactéries et des virus, les entreprises sont également exposées à une gamme de menaces complexes qui ne sont pas prévisibles à l’avance. Le système immunitaire du corps humain nous permet de gérer ces attaques constantes tout en apprenant ce qui fait partie de « nous-mêmes » et ainsi en repérant ce qui est « anormal » en mode adaptatif. Cette capacité d’auto-apprentissage est aussi primordiale pour les stratégies de cyberdéfense d’avenir, permettant ainsi aux entreprises de détecter, en temps réel, des menaces potentielles à l’intérieur de leur système et de les stopper avant qu’elles ne deviennent des incidents nuisibles.

DataSecurityBreach.fr :  Cela fonctionne comment ?
DT : Le « système immunitaire d’entreprise » s’inspire du corps humain qui a la même capacité de repérer des éléments étrangers qui pourraient représenter une menace  mais aussi de « se connaître » et de « s’apprendre » de manière évolutive. La technologie « Enterprise Immune System » repose sur des mathématiques et des techniques d’apprentissage automatique très pointues qui analysent en temps réel les comportements de chaque machine, chaque individu et de l’entreprise dans sa globalité, tout en s’adaptant dynamiquement à leur évolution. Avec ces modèles probabilistes, le système immunitaire d’entreprise établit une compréhension de la « normalité » (pattern of life) qui change constamment selon les activités de l’entreprise, des utilisateurs et des machines. Ce système est capable de repérer les comportements anormaux, au fur et à mesure que ceux-ci apparaissent.

DataSecurityBreach.fr :  Identifier une menace qui n’existe pas encore publiquement (0day) demande de connaître cette menace, Darktrace fait comment pour y arriver ?
DT : Il est impossible de prédire chaque menace à l’avance. Nous faisons face à de plus en plus attaques ciblées, menées par des personnes compétentes qui savent se cacher dans le bruit d’un réseau. Il y a aussi la menace interne, provenant des employés, qui est souvent sous-estimée, car elle est très difficile à détecter. Darktrace fait des calculs probabilistes selon des évidences informatiques changeantes, corrélant des traces d’activité faibles pour établir une vue d’ensemble de normalité et anormalité. Ce processus se passe en temps réel, ce qui nous donne la meilleure opportunité de détecter de vraies menaces qui n’ont pas encore été identifiées.

DataSecurityBreach.fr :  Achetez-vous des 0day pour être capable d’agir en amont ?
DT : Non. Toute la valeur de l’approche du « système immunitaire »’ repose sur l’auto-apprentissage de la plateforme Darktrace, qui n’a pas besoin de connaissances « a priori » sur les menaces déjà existantes ou des règles prédéfinies.

DataSecurityBreach.fr :  Qu’est-ce qu’une activité anormale dans une entreprise ?
DT : Une activité anormale peut être n’importe quelle action ou comportement qui sort du tissu de vie « normal » pour l’entreprise dans sa globalité, une machine ou une personne, ou bien l’ensemble de ces trois éléments. Darktrace prend en compte la mesure de 300 dimensions d’activité pour avoir une visibilité très riche de ce qui se passe à l’intérieur de l’entreprise – par exemple, l’heure normale de connexion au réseau par un employé le matin, les dossiers qu’il utilise souvent, le volume de données envoyées et ses destinations. – etc. Chaque entreprise est différente, alors Darktrace apprend la ‘normalité’ pour chaque client de manière évolutive.

DataSecurityBreach.fr : Les mathématiques (Recursive Bayesian Estimation) seraient-elle plus forte que les pirates/les malveillants/… ?
DT : Les mathématiques probabilistes, y compris le « Recursive Bayesian Estimation », représente une innovation fondamentale dans ce domaine qui aident les organisations de reprendre l’avantage sur l’attaqueur ou des menaces potentielles. Grace à sa vision globale de l’entreprise digitale, Darktrace permet aux organisations de voir – pour la première fois – la topologie de leurs systèmes d’informations en temps réel. Fort de cette surveillance probabiliste, le défendeur est capable d’anticiper les signes de compromission subtils, avant que les malveillants et les attaqueurs aient l’opportunité de voler des informations ou de nuire à l’organisation.

DataSecurityBreach.fr :  Travailler sur le comportement (le soi) de ses employés pour en extraire des comportements « illicites », n’est-ce pas un problème d’un cyber espionnage en entreprise, à l’insu des employés ?
DT : Non ce n’est pas un problème, Darktrace ne lit pas le contenu des données qu’elle analyse, et la consommation de ces données est passive. Nos modèles mathématiques détectent les anomalies automatiquement, et n’alertent l’opérateur de sécurité qu’en cas d’anomalie suspecte.

DataSecurityBreach.fr : Darktrace est capable de gérer ses menaces « inconnues » aujourd’hui, mais certains peuvent agir/se lancer demain, comment gérer le risque de faux positif ?
DT : Les menaces présentes et futures sont traitées de la même façon par Darktrace. Les attaques sont identifiées avant qu’elles lancent de manière définitive de façon proactive. La puissance des modèles mathématiques probabilistes de Darktrace est telle que le nombre de faux positifs typique est radicalement réduit. Il est impossible d’adresser chaque violation de politique ou problème potentiel. Mais comme les probabilités se mettent en œuvre dès l’installation, tout comme l’apprentissage du système qui se construit en temps réel, tout en étant auto-apprenant, cela permet d’éviter les faux positifs et rend l’utilisation de Darktrace unique et extrêmement efficace. Par définition l’utilisation de Darktrace permet d’anticiper les potentialités malveillantes qui n’ont jamais été rencontrées. Grâce à son modèle comportemental, le « système immunitaire d’entreprise » est capable non pas de prédire, mais de se prémunir d’attaque jamais rencontrée auparavant.

Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage

Cyberattaques de points de vente

Comme le montrent les titres de la presse depuis quelques mois, les pirates font preuve de plus en plus de ressources quand il s’agit de traverser les pare-feu des entreprises pour attaquer directement les terminaux des points de vente et leurs serveurs back-end. Si le service informatique ne peut les empêcher d’entrer par la porte, existe-t-il une seconde ligne de défense permettant au moins de contenir les cybervoleurs une fois que ceux-ci se trouvent à l’intérieur ?

Le modus operandi des pirates reste relativement simple dans le cas des attaques liées à la vente au détail. Ils pénètrent dans le poste fixe ou le portable d’un utilisateur par phishing ou en devinant le mot de passe. L’injection SQL, un autre vecteur d’attaque éprouvé, peut également avoir été employée lors d’une certaine occasion.

Dans tous les cas, les cybervoleurs ont contourné les vérifications de périmètre et les défenses anti-intrusion pour lesquelles les entreprises ont dépensé des centaines de millions de dollars ou d’euros. La détection antivirus traditionnelle ne peut, au mieux, que rester au fait des signatures les plus récentes. De plus, les programmes malveillants comportent maintenant des routines anti-investigation qui déjouent les stratégies de blocage de base. Mais il existe une furtivité encore plus grande dans ces attaques.

L’art de la furtivité
Après avoir examiné de nombreux incidents réels, je peux vous dire que les pirates testent les vulnérabilités d’authentification de manière réflexe dès leur entrée, au moyen de Pass the Hash, de rainbow tables, etc.

Si vous voulez des statistiques plus précises, le Rapport d’enquête sur les compromissions de données de Verizon Data Breach indique qu’environ 80 % des incidents de piratage comportent une attaque de type authentification.

La stratégie des pirates consiste à moissonner autant d’informations d’identification que possible. Le logiciel de surveillance les voit comme de simples utilisateurs lors de leur passage furtif de serveur en serveur. Leur objectif ultime est d’obtenir les informations d’identification d’un utilisateur avancé disposant de permissions élevées afin de pouvoir aboutir au serveur contenant les données les plus précieuses.

À partir de là, leur outil malveillant préféré est la ligne de commande habituelle : ils copient les fichiers vers un serveur spécial à partir duquel les informations de carte de crédit seront finalement extraites.

En quoi consiste un programme malveillant exactement ?
Cette question mène à des considérations plus vastes sur la disparition des limites entre programmes malveillants et vrais logiciels. Nombre de logiciels que les pirates chargent après leur arrivée sont souvent les mêmes que ceux utilisés par les services de sécurité informatique.

Les outils présents dans la panoplie d’un pirate peuvent comprendre PWDump (extraction de chaînes de hachage), Netview (mappage des connexions réseau), Psll (listeur de processus) et CheckSQL (force brute appliquée aux comptes SQL). Tous se trouvent dans une zone d’ombre et ne sont pas entièrement inappropriés dans le dossier d’un administrateur système. Ainsi, leur existence ne prouve pas nécessairement qu’un système a été compromis.

L’essentiel à retenir : si vous comptez sur les logiciels commerciaux de détection d’intrusion pour analyser la liste de « programmes malveillants » ci-dessus, vous finirez par lever beaucoup de faux lièvres.

Faire le premier pas
Sans surprise, il existe différentes approches pour réduire les risques. Lorsque les cyber voleurs passent les premiers murs de défense, certains voient la situation comme un autre problème de périmètre : un problème interne résolu au mieux par une meilleure architecture réseau (c.-à-d. en isolant les serveurs et les terminaux PDV de tout le reste). Mais les autres (moi y compris) pensent qu’il vaut mieux concentrer les efforts de sécurité sur les défenses se trouvant vers le haut de la pile, à savoir au niveau de l’OS. Toutefois, lors de mes propres conversations avec les pros de la sécurité d’une grande société d’antivirus, j’ai découvert qu’il existe un consensus sur quelques mesures de prévention. Outre la mise en place de politiques de mot de passe strictes, l’action suivante consiste à restreindre les connexions réseau à distance à partir des machines des utilisateurs ordinaires.

Pourquoi cela ?
Il faut empêcher les intrus de repartir depuis leur point d’entrée initial. Malheureusement, dans de nombreux environnements Windows, les services de connexion à distance au PC sont souvent largement activés et les pirates peuvent confortablement s’y connecter et même lancer l’interface utilisateur depuis la ligne de commande. Ce risque peut être réduit en limitant le nombre d’utilisateurs et d’ordinateurs capable d’effectuer des connexions via RDP (Remote Desktop Protocol). Les administrateurs peuvent le faire au moyen de l’éditeur d’objets de stratégie de groupe (GPO : Group Policy Object), en naviguant vers les Composants Windows | Hôte de session Bureau à distance | Connexions. Ils pourront également configurer la stratégie Attribution des droits utilisateur. Vous pouvez en savoir plus sur cette procédure ici. (Par Norman Girard, Vice Président et directeur général Europe de Varonis)

Cybersécurité, Espionnae, Facebook, Fuite de données, Identité numérique, Particuliers, Social engineering

Connaître vos ami(e)s sur Facebook, un jeu d’enfant

Facebook permet de protéger son compte des regards non autorisés. Lorsqu’une personne configure correctement son profile, la protection des informations et des ami(e)s semble correcte… ou pas.

Voici un bug qui affiche vos ami(e)s alors normalement invisbles. Mario Gosparini, analyste et développeur R&D, explique ce problème qui permet de retrouver l’identité de vos ami(e)s. Plutôt génant quand on sait la vivacité des escrocs à intervenir sur Facebook.

Etonnant, le « truc » jongle avec les personnes inscrites sur votre compte et une url qu’il suffit de manipuler : facebook.com/{ pseudo de la personne cible}/friends?and={ pseudo de l’ami de la personne cible }&sk=friends.

Grace à ce lien « modifié », les visages des ami(e)s des ami(e)s permet de faire ressortir les ami(e)s en commun. « Du coup de fil en aiguille en prenant chaque amis et en utilisant un lien spéciale, je peux comparer les amis des 2 personnes, et récupérer progressivement la liste des amis intégralement« . C’est long, mais c’est efficace. (Dyrk)

Biométrie, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données

La biométrie peut-elle vraiment remplacer les mots de passe ?

Les hackers du Chaos Computer Club ont réussir, fin décembre, à reproduire l’empreinte digitale du ministre allemand de la défense à partir de photos publiques en haute définition. Sachant qu’ils avaient précédemment montré qu’ils savent utiliser ces empreintes reconstituées sur les capteurs des téléphones portables grand public… Prenons un peu de recul et analysons ce que cela veut dire pour l’avenir de l’authentification en ligne. Par Emmanuel Schalit, CEO de Dashlane.

Il y a traditionnellement trois types de facteurs qui permettent d’authentifier un individu :
·         Ce qu’il sait (mot de passe, code pin, question secrète…)
·         Ce qu’il possède (jetons, cartes…)
·         Ce qu’il est (signature de l’iris, empreinte digitale…)

Les systèmes informatiques très sensibles des gouvernements ou des grandes entreprises utilisent souvent des processus d’authentification forte, multi facteurs, qui requièrent la mise en œuvre de deux ou trois facteurs parmi les trois types citées ci-dessus. Les sites Internet grand public quant à eux utilisent des systèmes d’authentification simples, basés sur un identifiant et un mot de passe connu uniquement de l’utilisateur. Pour des raisons pratiques, les consommateurs ne sont pas prêts à utiliser des systèmes multi facteurs sur les dizaines de sites web qu’ils utilisent régulièrement.

Quels sont les avantages et les désavantages de la biométrie pour l’authentification en ligne des consommateurs?
Le point fort de la biométrie c’est qu’elle résout à la fois le problème de l’identification (déterminer l’identité d’un individu) et de l’authentification (confirmer son droit à accéder à un contenu ou un service). Sur le papier c’est un bon outil pour prévenir l’usurpation d’identité et de nombreuses fraudes. On peut me voler ma carte de crédit ou mes mots de passe mais on ne peut pas me voler mon empreinte digitale… C’est ce qu’on pensait jusqu’à maintenant. La reconstitution d’empreinte réalisée par les hackers la semaine dernière bouleverse cette croyance.

Désormais on sait que l’authentification biométrique peut être piratée comme toute autre forme d’authentification. Et apparaît alors un gros inconvénient : à la différence des mots de passe, les données biométriques ne peuvent pas être modifiées en cas de piratage,  si on vous vole vos empreintes digitales, vous ne pouvez pas les remplacer par de nouvelles. Et si tous vos comptes sont protégés par la même information biométrique, ils risquent devenir tous vulnérables en même temps. Il y a d’autres limites à l’utilisation de données biométriques : elles ne peuvent être partagées et elles ne peuvent pas être rendues anonymes. Le partage et l’utilisation anonyme d’identifiants sont cependant de plus en plus répandus sur le web…

La biométrie est pertinente pour ajouter un facteur d’authentification supplémentaire dans le cadre de l’authentification multi facteurs mais il y a peu de chances qu’elle succède au mot de passe comme standard pour l’ensemble des sites, contrairement à ce que l’on veut nous faire croire. Utilisés correctement (un mot de passe fort et unique pour chaque site web), les mots de passe ont de réels avantages :

·         Un mot de passe peut être volé mais si vous utilisez un mot de passe unique pour chaque site, l’intégrité de vos autres accès n’est pas compromise en cas de vol. C’est différent avec les données biométriques qui sont par définition les mêmes partout
·         Un mot de passe peut être partagé, ce qui est nécessaire à la fois en famille et au travail. Les comptes Netflix à la maison ou les comptes Twitter d’entreprise sont par exemple généralement accessibles via un seul compte dont les identifiants sont partagés.
·         Le mot de passe préserve l’anonymat qui est très important pour les internautes. Que serait Twitter sans la possibilité de créer des comptes anonymes ?

Compte tenu de notre utilisation croissante d’Internet, nos cerveaux ne peuvent plus accomplir seuls toutes les tâches nécessaires pour bien gérer ses mots de passe : génération aléatoire, stockage sous forme cryptée, mémorisation, changement des mots de passe. Nous avons trop de comptes et trop d’appareils pour cela. C’est pourquoi de plus en plus d’utilisateurs d’Internet se reposent sur un gestionnaire de mot de passe pour s’assurer de respecter les règles de bases du bon usage des mots de passe.

Certains voient les mots de passe comme un système temporaire qui sera remplacé très rapidement par un système d’authentification ultra sophistiqué. Cela sera peut-être vrai un jour mais en attendant, le mot de passe reste le standard, et un standard ne se remplace pas si facilement. Pour preuve, nous utilisons toujours le clavier au format azerty, non pas parce que l’ordre de ces lettres est nécessaire aujourd’hui (c’était le cas uniquement sur les machines à écrire avec ruban), mais parce que c’est devenu un standard, et qu’aucune innovation n’a réussi à le supplanter, en termes de facilité d’usage comme en termes de déploiement. Nous ferions mieux de veiller à bien utiliser nos mots de passe plutôt que de croire à une hypothétique solution miracle !

Cybersécurité, DDoS, Entreprise, Piratage

Recrudescence des attaques DDoS en France au lendemain des marches contre le terrorisme

Le 15 janvier, le vice-amiral Arnaud Coustillière, officier général à la cyberdéfense faisait état d’une montée en flèche des attaques contre des sites Web français : « Parlant d’une vague sans précédent, le vice-amiral Arnaud Coustillière, officier général de la cyberdéfense à l’état-major des armées françaises, a déclaré que 19 000 sites Web français avaient été la cible de cyberattaques ces derniers jours, … ». Une attaque que révélait le site zataz.com.

Avec l’aide de l’observatoire ATLAS, la société Arbor Networks nous a permis de constater les répercussions de conflits du monde réel sur l’espace numérique. ATLAS reçoit des données anonymes du trafic relatives aux incidents DDoS provenant de plus de 330 fournisseurs d’accès Internet partenaires à travers le monde. Nous nous sommes intéressés aux attaques DDoS survenues avant et après le dimanche 11 janvier. Afin de jauger cette riposte, nous comparons les attaques DDoS observées entre le 3 et le 10 janvier à celles recensées du 11 au 18 janvier inclus.

Fréquence des attaques
Entre le 3 et le 18 janvier, au total 11 342 attaques distinctes ont été signalées contre la France, soit en moyenne 708 par jour. La série suivante de graphiques illustre la fréquence et l’ampleur des attaques DDoS durant les 8 jours ayant précédé et suivi la date du 11 janvier à 00:00:00 GMT. Nous observons une augmentation de 26 % du nombre d’attaques DDoS dans la période qui a suivi le 11 janvier.

Ampleur des attaques
Nous constatons une hausse de 35 % de l’ampleur moyenne des attaques DDoS après le 11 janvier. En effet, dans les huit jours précédant le 11 janvier, la moyenne était de 1,21 Gbit/s. Après le 11 janvier, elle est passée à 1,64 Gbit/s.

Répartition de l’ampleur des attaques
247 (5 %) des attaques DDoS sur la période antérieure au 11 janvier ont dépassé 5 Gbit/s, chiffre qui est passé à 678 (11 %) après le 11 janvier. Tandis que la Figure 2 indique une augmentation de 35 % de l’ampleur moyenne des attaques le 11 janvier, le pourcentage d’attaques supérieures à 5 Gbit/s a, quant à lui, plus que doublé.

Pics d’attaques
Le 9 janvier s’est déroulée une attaque à 40,96 Gbit/s, tandis qu’une attaque à 63,02 Gbit/s a été signalée le 11 janvier. L’attaque du 11 janvier a donc été 54 % plus violente que celle du 9 janvier.

Le 11 janvier, la plus grande manifestation depuis la libération, a vu des millions de personnes marcher pour lutter contre le terrorisme dans tout le pays[5]. Le 15 janvier, le vice-amiral Arnaud Coustillière a fait état d’une vague sans précédent de cyberattaques contre des sites Web français, parlant d’une « riposte aux manifestations de masse ». Les données Arbor ATLAS présentées ci-dessus paraissent corroborer ces affirmations.

Les comparaisons des statistiques d’attaques DDoS durant les huit jours ayant précédé et suivi le 11 janvier font en effet apparaître une hausse de 26 % du nombre d’attaques, une augmentation de 35 % de l’ampleur moyenne des attaques, un doublement du nombre d’attaques supérieures à 5 Gbit/s et un accroissement de 54 % de l’ampleur de l’attaque la plus violente entre les deux périodes. Il s’agit là d’un nouvel exemple frappant d’une recrudescence des cyberattaques en écho à des événements géopolitiques.

Adobe, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Joomla, Leak, Logiciels, Microsoft, Mise à jour, Oracle, Patch, Piratage, Red Hat, Social engineering, Wordpress

Selon Cisco – 100% des réseaux analysés contiennent des malwares

Le principal enjeu des équipes en charge de la sécurité des systèmes d’information est de faire face à des attaques de plus en plus ciblées et de mieux comprendre la menace pour détecter les signaux faibles sur leurs réseaux. Selon Cisco – 100% des réseaux analysés contiennent des malwares. Vous avez dit inquiétant ?

Le Rapport Annuel sur la Sécurité 2015 de Cisco révèle que 40 % des failles de sécurité en entreprise ne sont pas corrigées. Les résultats du Rapport Cisco soulignent que, malgré une prise de conscience de la menace et un nombre croissant d’attaques ciblées médiatisées, les entreprises n’utilisent pas forcément l’ensemble des outils disponibles, simples à mettre en œuvre, pour contrer les cyberattaques. L’étude Cisco a été menée auprès de 1700 entreprises dans 9 pays.

Le Rapport permet de tirer plusieurs conclusions majeures :
La menace est réelle et permanente : 100 % des réseaux analysés contiennent des malwares. Ces résultats sont identiques au Rapport 2014. En 2014, 1 % des vulnérabilités connues (43 sur 6756) ont été exploitées par les cybercriminels. D’une part, cela signifie que les entreprises doivent prioriser 1 % des vulnérabilités exploitées dans le cadre de leur politique globale de correction. D’autre part, même si les technologies atteignent de hauts niveaux de performance, il est nécessaire de comprendre les menaces pour lutter contre les vulnérabilités. Les kits d’exploits largement utilisés sont rapidement détectés par les solutions de sécurité – ce qui signifie que les cybercriminels préfèrent disposer  du 4ème ou 5ème kit d’exploits le plus utilisé, pour ne pas trop attirer l’attention. Même si les kits d’exploits ont diminué de 88 % entre mai et novembre 2014, ils restent un outil utilisé à un rythme soutenu par les cybercriminels, aux conséquences sérieuses pour les entreprises. Les failles Java sont en baisse de 34 % et les attaques Flash de 3 % alors que les failles Silverlight ont augmenté de 228 % et les failles PDF de 7 %.

Les malwares Flash peuvent désormais interagir avec JavaScript pour cacher des vulnérabilités en partageant un exploit entre deux fichiers distincts : un Flash et un JavaScript. L’activité malveillante est alors plus difficile à détecter et à analyser et prouve la sophistication des attaques et la professionnalisation des hackers.

L’industrie pharmaceutique et la chimie sont les secteurs les plus touchés par la cybercriminalité. Les médias, l’industrie, le transport et la logistique et l’aviation complètent le top 5 des secteurs les plus touchés. L’an dernier, seuls l’industrie pharmaceutique et la chimie et l’aviation figuraient parmi les secteurs les plus concernés par les attaques. Le volume de spam a augmenté de 250 % en 2014. Plus ciblé et plus dangereux, envoyé à plus faible volume à partir d’un grand nombre d’adresses IP pour échapper aux outils de détection, un nouveau type de spam est en train d’émerger (Snowshoe). Les spammeurs adaptent les messages à leur cible (phishing), de façon à contourner les filtres anti-spam pour mieux tromper leurs victimes. Le malvertising (publicités malicieuses) est une nouvelle technique utilisée par les cybercriminels en 2014 qui permet de diffuser des malwares au travers des navigateurs, tout en ne nécessitant pas de moyens importants mais permettant aux cybercriminels de gagner beaucoup d’argent. Adobe et Internet Explorer sont les éditeurs les plus vulnérables avec respectivement 19 % et 31 % des attaques observées.

Grâce à l’évolution des technologies de sécurité, les attaques directes et massives sont de plus en plus difficiles à mettre en œuvre. Les cybercriminels font désormais preuve de plus de créativité pour tromper l’utilisateur afin que celui-ci installe lui-même le logiciel malveillant. Ils profitent également de la faiblesse des entreprises en matière de mise à jour des vulnérabilités connues sur leurs systèmes : Alors que la faille Heartbleed a été découverte il y a plus de 6 mois, et qu’elle a permis de révéler une faille dans OpenSSL, 56 % des versions OpenSSL ont plus de 4 ans et sont toujours vulnérables car elles n’ont pas été mises à jour depuis la sortie du patch. Internet Explorer est le navigateur le moins mis à jour avec seulement 10 % des versions installées mises à jour avec la dernière version connue, la version la plus courante datant de 31 mois par rapport à la version la plus récente. Au contraire, 64 % des versions de Chrome sont à jour.

« La sécurité du système d’information est une affaire d’équipe : elle ne pourra être optimale que si le RSSI et l’équipe informatique, les dirigeants de l’entreprise, les directeurs métier, etc. travaillent ensemble pour mieux comprendre la menace et faire face aux cyberattaques. Les cybercriminels travaillent de mieux en mieux pour dissimuler leurs traces. L’ensemble des parties prenantes doit donc répondre à des questions majeures : est-ce que l’entreprise dispose des outils qui lui permettront non seulement d’identifier les attaques avérées, mais également de déterminer où se situent les vrais vulnérabilités de son informatique ? Comment l’entreprise peut être certaine que ses utilisateurs sont en sécurité, et cela même lorsqu’ils travaillent en dehors du périmètre du réseau de l’entreprise ? » explique à DataSecurityBreach.fr Christophe Jolly, Directeur Sécurité Cisco France. « Face à l’évolution de la menace, les entreprises doivent mettre en œuvre un ensemble de mesures de sécurité pour leur permettre de répondre aux défis liés à la cybercriminalité et au cyberespionnage industriel et pour mieux comprendre la cybersécurité du monde d’aujourd’hui ».

Retrouvez le Rapport Annuel sur la Sécurité 2015 de Cisco en intégralité ici : www.cisco.com/go/asr2015

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, Sauvegarde

Conservation des données et entreprises

Nouvelle loi relative à la conservation des données : Quels sont les impacts pour les entreprises et les administrations ? Les changements qu’il va falloir intégrer avec la récente entrée en vigueur de la loi du 13 novembre 2014 visant à encadrer l’apologie d’actes terroristes, notamment sur le net. (par Olfeo)

A l’heure où le gouvernement travaille sur des mesures permettant de mieux prévenir le terrorisme notamment sur Internet suite aux attentats en France, deux textes ont déjà vu le jour depuis début 2015. Ainsi le 1er janvier 2015, une nouvelle loi en matière de conservation des données a vu le jour à
travers le décret n° 2014-1576 du 4 décembre 2014 et le 10 janvier la loi du 13 novembre 2014 est entrée en vigueur afin d’encadrer l’apologie d’actes terroristes, notamment sur le net.

Quel impact l’entrée en vigueur de ce décret pour les entreprises et les administrations en matière de conservation des logs ?
A travers le décret n° 2014-1576 du 4 décembre 2014, les données auxquelles les services de renseignement et de défense peuvent avoir accès sont des données dites de connexion, telles que, notamment :

o   l’identifiant de la connexion ;
o   les dates et heure de début et de fin de la connexion ;
o   les données relatives aux destinataires de l’utilisation

Les services relevant de la sécurité intérieure, de la défense, de l’économie et du budget, chargées notamment de rechercher des informations intéressant la sécurité nationale, la criminalité et la délinquance organisée ou la prévention du terrorisme, sont habilités à demander l’accès à ces données de connexion. Ces « personnalités qualifiées » peuvent solliciter une demande d’accès aux données de connexion, en temps différé comme en temps réel, au groupement interministériel de contrôle.

Le groupement interministériel de contrôle transmet ensuite aux opérateurs de communication électroniques, aux fournisseurs d’accès à internet, aux hébergeurs et par extension aux entreprises et administrations (loi n° 2006-64 du 23 janvier 2006, relative à la lutte contre le terrorisme – alinéa 2 de l’article L. 34-1) la demande d’accès aux données ;

Les données transmises par ces derniers sont ensuite conservées, pour une durée maximale de trois ans, par le Premier ministre et sont automatiquement effacées passé ce délai. Par conséquent, ce décret modifie la durée de conservation des données collectées par le groupement interministériel de contrôle, qui passe d’un an à trois ans, et sont conservées par le Premier ministre seul.

Toutefois il ne modifie pas l’obligation de conservation, durant un an, par les opérateurs de communications électroniques, les fournisseurs d’accès à internet et les hébergeurs, entreprises et administrations des données de connexion. Depuis le 10 janvier 2015, l’utilisation d’Internet pour faire l’apologie d’actes terroristes est devenue circonstance aggravante à travers l’article 421-2-5 du code pénal.

Cet article dispose que « le fait de provoquer directement à des actes de terrorisme ou de faire publiquement l’apologie de ces actes est puni de cinq ans d’emprisonnement et de 75.000 € d’amende », et précise que « les peines sont portées à sept ans d’emprisonnement et à 100.000 euros d’amende lorsque les faits ont été commis en utilisant un service de communication au public en ligne ». Une entreprise ou administration peut ainsi être sollicitée par le groupement interministériel de contrôle (décret n° 2014-1576 du 4 décembre 2014) pour une demande d’accès aux données de connexion, en temps différé comme en temps réel.

Pour conclure, ces deux dernières évolutions de la législation française en matière de lutte contre le terrorisme ne font que mettre l’accent sur la réelle obligation de filtrer pour les entreprises et les administrations en France. Néanmoins, d’autres évolutions sont à prévoir dans le cadre des réflexions du gouvernement pour mieux prévenir les menaces terroristes.

Android, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Sécurité, Smartphone, Téléphonie

Le téléphone sécurisé BlackPhone… pas si secure que ça

Une faille sérieuse découverte dans le téléphone portable ultra sécurisé BlackPhone. Le smartphone qui protège des écoutes peut être infiltré !

Un hacker australien a découvert comment piéger la sécurité, pourtant très poussée, du téléphone BlackPhone. L’appareil permet de chiffrer les appels et les contenus qu’il diffuse. Du moins, ça c’était avant. Avant qu’un bidouilleur découvre qu’avec un simple SMS envoyé à l’application « Silent » il était possible d’exécuter un code malveillant et de prendre la main sur le téléphone. Une injection découverte en une semaine par Mark Dowd. Le fabricant du BlackPhone annonce une rustine pour son matériel. Un téléphone qui coûte 550€. (Register)

Cloud, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Linux, Logiciels, Mise à jour, Piratage

Faille sévère pour les systèmes Linux

Qualys publie un bulletin de sécurité pour la vulnérabilité « GHOST » découverte sur les systèmes Linux Cette vulnérabilité sévère détectée dans la bibliothèque C de GNU/Linux donne le contrôle aux attaquants sans nécessiter d’identifiants système. – Patchs disponibles dès aujourd’hui –

Qualys, Inc., le principal fournisseur de solutions de sécurité et de conformité dans le Cloud, annonce que son équipe chargée de la recherche en sécurité a découvert dans la bibliothèque C de GNU/Linux (glibc) une vulnérabilité critique qui permet aux pirates de prendre le contrôle à distance de tout un système, en se passant totalement des identifiants système. Qualys a travaillé de manière étroite et coordonnée avec les fournisseurs de distributions Linux pour proposer un patch pour toutes les distributions de systèmes Linux touchés. Ce patch est disponible dès aujourd’hui auprès des fournisseurs correspondants.

Baptisée GHOST (CVE-2015-0235) parce qu’elle peut être déclenchée par les fonctions gethostbyname et gethostbyaddr, cette vulnérabilité touche de nombreux systèmes sous Linux à partir de la version glibc-2.2 publiée le 10 novembre 2000. Les chercheurs de Qualys ont par ailleurs détecté plusieurs facteurs qui atténuent l’impact de cette vulnérabilité, parmi lesquels un correctif publié le 21 mai 2013 entre les versions glibc-2.17 et glibc-2.18. Malheureusement, ce correctif n’ayant pas été classé comme bulletin de sécurité, la plupart des distributions stables et bénéficiant d’un support à long terme ont été exposées, dont Debian 7 (« Wheezy »), Red Hat Enterprise Linux 6 & 7, CentOS 6 & 7 et Ubuntu 12.04.

Les clients Qualys peuvent détecter GHOST à l’aide de la signature QID 123191 fournie par le service Cloud Qualys Vulnerability Management (VM). Lorsqu’ils lanceront le prochain cycle de scan, ils obtiendront des rapports détaillés sur l’exposition de leur entreprise à cette vulnérabilité sévère. Ils pourront ainsi estimer son impact sur leur activité et suivre efficacement la vitesse de résolution du problème.

« GHOST expose à un risque d’exécution de code à distance qui rend l’exploitation d’une machine par un pirate terriblement enfantine. Il suffit par exemple qu’un pirate envoie un mail sur un système sous Linux pour obtenir automatiquement un accès complet à cette machine », explique à dataSecuritybreach.fr Wolfgang Kandek, Directeur technique de Qualys, Inc. « Compte tenu du nombre de systèmes basés sur glibc, nous considérons qu’il s’agit d’une vulnérabilité sévère qui doit être corrigée immédiatement. La meilleure marche à suivre pour atténuer le risque est d’appliquer un patch fourni par votre fournisseur de distributions Linux. »

Mise à jour RedHat publiée ce 27 janvier. Explication technique sur open wall.

Mise à jour : 

L’éditeur Ve-hotech vient de diffuser une mise à jour 5.1.1 de son système d’exploitation en vue de prévenir la vulnérabilité CVE-2015-0235 dans la bibliothèque libc6. libc6 étant la principale bibliothèque utilisée par l’ensemble des programmes fonctionnant sous Linux, Ve-hotech a pris des mesures immédiates pour régler le problème.

  • Si le serveur est paramétré pour se mettre automatiquement à jour, il est probablement déjà à jour. Il suffit de vérifier que le numéro de version est bien 5.1.1 dans l’interface utilisateur.
  • Si le serveur est paramétré pour être mis à jour manuellement, l’utilisateur doit effectuer la mise à jour à partir de l’onglet maintenance de l’application de configuration avancée.
  • Si la version du serveur est inférieure à la 4.0, il est fortement conseillé de mettre à niveau le serveur vers la génération 4 du micro-logiciel.
  • Les versions 1.x du micro-logiciel ne sont pas concernées.
Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données

Le site de l’Élysée géré par une ferme américaine ?

Faut-il s’inquiéter de cette idée numérique ? Le site Internet de la Présidence de la République Française serait hébergé par une société américaine.

Loin de nous de penser que l’hébergeur américain COLT soit une mauvaise entreprise. Loin de nous de penser que Level 3 espionne ses clients. Mais s’il existe bien un site en France qui doit être hébergé sur le territoire, et par une entreprise hexagonale, c’est bien celui de l’Élysée. Nous imaginons mal voir le site de la Maison Blanche finir dans les serveurs d’Oceanet Technology ou OVH, même sur le sol américain.

Le site de l’Élysée est hébergé par qui ?

D’après les informations de l’AFNIC, le site passerait par les câbles et serveurs de la société COLT Imaginet ; Selon Geolook, Elysee.fr passe aussi par une ferme du Kensas (La localisation à la sauce Google Map, ndr), mais plus sérieusement par les tuyaux de l’américain Level 3 Communications, Inc (certainement, entre autre, pour soutenir une éventuelle attaque DDoS, NDR). Les deux géants ont débarqué en force, en 2012, sur le territoire français.

En visitant le portail présidentiel, nous découvrons une autre information. Le site serait hébergé par Bears Tech. Bref, la souveraineté de la France 2.0 semble promenée d’ hébergeur et hébergeur ?

Google Map situe le site de l’Élysée… dans une ferme du Kansas 🙂

Bref, dans une période ou des Snowden (officiels ou non) expliquent les infiltrations étatiques, que le FBI arrête encore des espions sur son sol, les plus paranoïaques peuvent se dire que tant de partenaires pour un hébergement multiple, voilà qui est troublant. Rien que pour les correspondances entre les Français et le Président. Un formulaire, comme des pages, qui n semblent pas utiliser le https. Même plus besoin de lancer des satellites d’espionnages ou de mettre une pince crocodile sur les câbles sous-marin au large de Marseille.