backdoor, Base de données, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Espionnae, Fuite de données, Leak, Particuliers, Piratage, Vie privée

Quand le chef des hackers de la NSA explique son travail

Voilà un rendez-vous qu’il ne fallait pas rater. Rob Joyce, le responsable des hackers de la NSA, des « pirates » connus sous le nom de Tailored Access Operations, a expliqué comment les entreprises pouvaient se protéger de ses « ninjas » !

Le Tailored Access Operations, c’est le service top secret de la NSA. Le TAO regroupe les informaticiens hackers de la National Security Agency. La mission du TAO, infiltrer et mettre la main sur des informations dont l’agence et l’Oncle Sam auraient besoin. Rob Joyce, le patron de cette section numérique de la NSA est venu expliquer le travail de son équipe lors de l’Enigma conférence. Étonnante rencontre alors que durant des années la NSA a toujours démenti agir à la sauce cyber attaque.

Plus étonnant encore, Rob Joyce a indiqué comment les entreprises pouvaient se protéger des actions de ses hommes. Bon, bien évidement, il a raconté ce qu’il pouvait/voulait dire, mais la démarche a le mérite d’ouvrir les sens. « Beaucoup de gens pensent que les États-Unis utilisent beaucoup de 0Day. Nous n’en possédons pas tant que ça et il n’est pas commun que nous les utilisions« . L’homme de l’ombre indique que l’ingéniosité et les essais suffisent « Nous essayons, nous attendons, puis essayons encore et attendons jusqu’à ce que nous trouvions la vulnérabilité. » Un détail amusant dans la conférence du Big boss du TAO, le fait que ses hommes, la plupart du temps, connaissent mieux le réseau et les installations que les informations de la cible de la NSA « Souvent, nous connaissons mieux les réseaux que ceux qui les ont conçus et les font fonctionner« . Les hackers de la NSA exploitent huit phases dans leurs actions : découvrir, première pénétration, assurer leur présence, installer un outil logiciel, étendre la présence, recueillir, exfiltrer et exploiter les données. L’agence spécial a indiqué que les entreprises doivent impérativement mettre à jour leurs logiciels et se méfier du cloud !

backdoor, Base de données, Cybersécurité, Entreprise, Fuite de données, ID, Identité numérique, Particuliers

Trois employés de TalkTalk arrêtés

Un commentaire

Novembre 2015, deux adolescents sont arrêtés dans l’affaire du piratage de données de l’opérateur TalkTalk. En Inde, trois employés du Call Centre de l’entreprise viennent d’être entendus par la police.

Un rapport avec l’affaire du piratage des données clients de l’opérateur britannique TalkTalk ? Je vous expliquais, en novembre 2015, comment deux adolescents avaient été arrêtés au Royaume-Unis. Ils étaient soupçonnés d’avoir participé au piratage des données de l’opérateur britannique TalkTalk. Quatre millions de données avaient été consultés. 157 000 avaient été volées.

Trois mois plus tard, en Inde cette fois, trois employés de TalkTalk, ils officiaient au Call Center de la société, ont été arrêtés. Ces personnes travaillaient pour un partenaire de TalkTalk, la société Wipro, un fournisseur de centre d’appel basé à Calcutta.

Suite à la cyberattaque d’octobre 2015, un audit a été lancé par l’opérateur. Il a été découvert que les trois individus avaient fait de « grosses bêtises » numériques. Un rapport avec le piratage ou un moyen pour TalkTalk de modifier son contrat commercial avec Wipro ? Chose est certaine, les trois indiens se sont servis dans les informations clients.

Cyber-attaque, Cybersécurité, Espionnae, Mise à jour, Particuliers, Piratage, Social engineering, Virus

Scarlet Mimic : Campagne d’espionnage politique

Depuis quatre ans, une attaque informatique baptisée Scarlet Mimic vise des ONG protectrices de minorités Chinoises.


La Chine, c’est 56 « ethnies ». Le Han représentent 92% de la population. Les revendications indépendantistes existent. Le plus connu étant celui du Tibet et les Ouïghours. Mais on y trouve aussi la Mongolie Intérieure avec les Dariangs, Ordos, Khalkhas ou encore les Zhuang. Bref, ça fait du monde.

Au cours des sept derniers mois, l’Unité 42 de PaloAlto a repéré une série d’attaques attribuées à un groupe de pirates informatiques baptisés « Scarlet Mimic. » Les piratages ont débuté il y a plus de quatre ans et leur modèle de ciblage suggère que la mission principale de cet adversaire est de recueillir des informations sur des militants en charge des droits des minorités Chinoises. Il n’y a pas de preuves reliant directement ces attaques à une source gouvernementale. Les cibles font cependant pencher les regards vers le gouvernement chinois.

Les attaques de Scarlet Mimic ont visé les Ouïghours et des militants Tibétains, ainsi que des internautes intéressés par leurs causes. La minorité musulmane turcophone résidant principalement dans au nord-ouest de la Chine a été la cible de plusieurs attaques sophistiquées ces derniers mois.

Cybersécurité, Espionnae, ID, Identité numérique, Mise à jour, Particuliers, Patch

Qwant, en déploiement expérimental dans l’administration Française

Le moteur de recherche français et européen Qwant est actuellement en déploiement expérimental au sein de l’administration française.

Dans le cadre des discussions parlementaires relatives au projet de loi pour une République numérique qui se sont tenues le 21 janvier 2016, Madame Axelle Lemaire, Secrétaire d’État chargée du numérique, a déclaré, interpelée par Patrice Martin-Lalande, Député (LR) au sujet de l’accès de l’ensemble des agents de la fonction publique au libre choix de leur moteur de recherche : « […] Nous l’avons [mis] en œuvre à Bercy, à ma demande […] Nous avons procédé au déploiement expérimental du moteur de recherche Qwant, qui met en avant la protection des données personnelles et le respect de la vie privée de ses utilisateurs. Nous avons demandé aux agents, sans naturellement les y obliger, d’utiliser par défaut ce moteur de recherche et l’analyse de leurs retours d’expérience est très intéressante. Comme vous le voyez, c’est dans une démarche d’encouragement que nous nous inscrivons plutôt que dans une démarche d’obligation. »

Android, Chiffrement, cryptage, Cybersécurité, Sécurité, Smartphone

GranitePhone: Un Smartphone sécurisé

Logic Instrument annonce avoir procédé à la première livraison du GranitePhone à Mirabilis/Sikur en Janvier. Cette première livraison porte sur 3.000 unités et une commande complémentaire est en cours de production.

Fruit d’une collaboration (développement réalisé en moins de 4 mois) entre les équipes du Groupe ARCHOS (ARCHOS et Logic Instrument) et celles de Mirabilis, le GranitePhone est entièrement conçu autour de la solution de sécurité SIKUR. Le GranitePhone est commercialisé par le groupe MIRABILIS en Amérique du Nord et du Sud et les équipes commerciales de Logic Instrument sont partenaires pour la commercialisation des GranitePhone en EMEA.

Destiné aux utilisateurs (particuliers, entreprises et professions libérales) souhaitant protéger l’intégrité et la confidentialité de leurs communications, le GranitePhone est à ce jour le smartphone offrant le meilleur niveau de sécurité pour la voix, les messages, les données et la messagerie instantanée  .

Une solution complète de communication sécurisée permet de se prémunir contre les Cyber attaques et contre les écoutes. Le « Center for Strategic & International Studies » et McAfee ont évalué à 400Mds d’Euros les pertes annuelles résultant des Cyber attaques et les smartphones sont de plus en plus souvent utilisés par les pirates comme une passerelle pour accéder aux informations des utilisateurs.

Granite OS
Grace au Granite OS, le système d’exploitation développé par la société SIKUR, le GranitePhone offre un niveau de sécurité maximale en restreignant l’accès aux fonctionnalités à risques et en bloquant toute installation d’applications tierces, empêchant ainsi l’infiltration de « Malwares » dans le terminal. De plus le GPS est neutralisé pour préserver la confidentialité de l’utilisateur.

Kenny Holroyd, le directeur commercial de SIKUR déclare : « Depuis 18 mois nous avons lancé un ‘Bug Bounty Program’ consistant à offrir une prime aux pirates capables de ‘hacker’ notre logiciel et nous sommes la seule société au niveau mondial dont le produit n’a à ce jour pas été mis en défaut. »

142g, ultra fin, le GranitePhone séduira tous les utilisateurs pour qui la sécurité des communications est primordiale. Le Smartphone possède un module 4G LTE, des caméras de 16 et 8 mégapixels, un écran Full-HD, un processeur octo-core ainsi que 2 Go de mémoire vive et 16 Go de stockage. L’objet est vendu 925€ et 2 ans d’accès à la solution de sécurité du Granite Phone.

Cybersécurité, Justice, loi

Les backdoors constituent le graal des pirates informatiques

A l’occasion du Forum international sur la cybercriminalité, le gouvernement a réaffirmé sa prise position contre la mise en place d’une « porte dérobée » (dites « backdoor ») dans les logiciels. Décision qu’il convient de saluer dès lors que l’adoption d’une telle mesure aurait conduit au développement du piratage informatique.

Suite aux attentats de Paris, le débat sur le cybersécurité oscillait entre renforcement du chiffrement des données ou mise en place systématique des « portes dérobées » (dites « backdoors ») au sein des logiciels. Il semblerait que le gouvernement ait tranché en faveur du premier, à l’aune du gouvernement néerlandais et à contrecourant notamment de la Chine et de la Grande-Bretagne.

Ces techniques ont pour finalité la lutte contre le terrorisme, via des moyens diamétralement opposés. En effet, dans le premier cas il s’agit d’assurer une protection renforcée des données des citoyens, des entreprises et de l’Etat en vue de limiter l’espionnage. Tandis que, dans le second cas il s’agit de faciliter le décryptage des données appartenant à des organisations terroristes en permettant l’introduction d’une faille au sein de l’ensemble des logiciels.

Pour un renforcement du chiffrement des données

L’article 29 du projet de loi pour une République Numérique confère à la CNIL une nouvelle mission consistant à promouvoir le chiffrement des données. Dans un entretien accordé à l’AFP, Guillaume Poupard, président de l’Agence Nationale de Sécurité des Systèmes Informatiques, confirme que le chiffrement est « un outil indispensable » à la protection des données commerciales, personnelles et stratégiques, et qu’en ce sens il est nécessaire de le promouvoir.

La volonté du gouvernement d’encourager le cryptage des données aura très probablement pour effet le perfectionnement de logiciels créés à cette fin en raison de leur utilisation massive, y compris par les organisations terroristes.

Contre la mise en place de backdoors

La Secrétaire d’Etat au Numérique, Axelle Lemaire, a fait rejeté un amendement au projet de loi pour une République Numérique déposé par Nathalie Kosciusko-Morizet visant à imposer aux concepteurs de systèmes de communication la création d’une backdoor.

Selon Guillaume Poupard, une telle mesure aurait eu pour conséquence d’exposer les logiciels à davantage de vulnérabilités facilitant ainsi le piratage informatique réprimé aux articles 323-1 et suivants du Code pénal. Ces dispositions incriminent l’accès et le maintien dans tout ou partie d’un système informatique, ainsi que l’extraction de données.

Pour ma part, la mise en place systématique d’une backdoor rendrait impossible la condamnation de tels faits au regard du mouvement jurisprudentiel actuel. En effet, le juge écarte l’application des dispositions précitées dès lors que l’accès dans un système informatique ne présentant aucune restriction (code utilisateur, mot de passe) a été rendu possible par l’existence d’une faille de sécurité (CA Paris, 5 février 2014 dite affaire « Bluetouff »).

Par Antoine CHERON, avocat associé, est docteur en droit de la propriété intellectuelle, avocat au barreau de PARIS et au barreau de BRUXELLES et chargé d’enseignement en Master de droit à l’Université de Assas (Paris II).

Android, Cybersécurité, Smartphone, Virus

60 jeux sur Google Play piégés

3 commentaires

Un logiciel d’espionnage caché dans une soixantaine de jeux diffusés sur le Google Play.

Selon les chercheurs de l’éditeur d’antivirus Dr.Web, la boutique Google Play serait de moins en moins fiable. Une nouvelle fois, plus de 60 jeux Android sont disponibles sur la plate-forme appartenant au géant de l’Internet, cache le cheval de Troie Xiny, un logiciel espion qui se charge d’envoyer les données d’un téléphone infiltré à un inconnu, quelque part sur Internet. Près de 30 développeurs différents seraient responsables de ces jeux. Cependant, les jeux sont si semblables que ceux-ci semblent être proposées par la même source. Les informations volées incluent les codes IMEI et IMSI des téléphones infiltrés, ainsi que les adresses MAC, la position GPS, le type de carte mémoire dans l’ordiphone.

Cependant, ce malware ne peut pas obtenir les privilèges « root ». Il est suffisamment puissant pour bloquer le dispositif et aider l’attaquant à acquérir plus de contrôle sur l’appareil. Il a été remarqué que cette infiltration usée d’une technique de stéganographie pour le déploiement des applications malveillantes. Xiny est « emballé » dans d’autres applications Android à l’intérieur d’une image PNG et n’utilise pas de connexion HTTPS. Le téléchargement via HTTPS faisant tendre l’oreille des chercheurs et outils de sécurité.

Cybersécurité, Mise à jour, Social engineering

Une formule mathématique pour contredire les théories du complot

Les théories du complot font les choux gras de quelques personnes dans le monde afin de recruter des internautes à des fins peu recommandables, ou tout simplement, faire de la page vue. Une formule mathématique permet de contredire complotistes.

S’il fallait définir rapidement un complot, nous aurions besoin d’une poignée de personnes qui, dans l’ombre, prépare une action malveillante. Prendre le pouvoir, attaque un système informatique ou s’amuser de voir jusqu’où l’idée atteindra son apogée. Quand une dizaine de personnes fomentent un complot, cela reste difficile à tracer, remonter. Quand il s’agit de centaines d’individus, cela commence à être plus visible. L’un d’eux fera une erreur, vendra la mèche. Un chercheur vient de proposer une méthode pour couper cour aux théories du complot via une formule mathématique.

Le Docteur David Grimes officie à l’Université d’Oxford. Il a réfléchi à l’idée que si un individu reste imprévisible, un groupe de personnes permet de dégager certaines tendances. En analysant des exemples passés de conspirations, et qui ont été mis à jour, le chercheur est capable de prédire la longévité du complot. L’analyse se fait via des informations telles que le nombre de personnes impliquées dans chaque complot, et combien de temps il a fallu pour quelqu’un découvre le complot. Parmi les éléments, le programme de surveillance menée par l’Agence américaine de sécurité nationale (NSA), connu sous le nom PRISM, mis au grand jour par Edward Snowden. Il aura fallu 6 ans pour que soit révélé cet espionnage.

Autre élément, l’expérience de Tuskegee sur la syphilis. Le fait que le traitement pour la syphilis, via la pénicilline, a été délibérément bloqué pour soigner des patients. Le docteur Peter Buxtun alarmera l’opinion publique après 25 ans de « complot ». Il aurait impliqué 5 700 personnes.

Le dernier élément qui a permis cette « formule mathématique », le scandale du FBI et les révélations du docteur Frederic Whitehurst. Les analyses médico-légales de l’agence étaient trompeuses. Bilan, des innocents avaient été condamnés à mort. Le Dr. Grimes estime qu’un maximum 500 personnes auraient été impliquées et qu’il aura fallu six ans pour le scandale explose.

Dr Grimes détermine qu’à un moment donné, les chances de déjouer une conspiration via une fuite d’un de ses propres membres, était de quatre sur un million. De toute évidence, les chances augmentent rapidement quand le temps passe et que le nombre de personnes impliquées dans le complot est important.

Le chercheur d’Oxford a donc utilisé sa formule sur de récentes théories. « On n’a jamais marché sur la Lune » ; « Le changement climatique est une invention » et « les vaccins contre l’autisme et le cancer existent ». Dans le premier cas, Dr. Grimes indique que si complot il y avait eu, il aurait été en 4 ans, le changement climatique en 43 mois et ceux sur les vaccines, en 3 ans et 2 mois. L’atterrissage sur la Lune a impliqué 411 000 personnes, des employés de la NASA. Un atterrissage qui date de 1965. Pour l’universitaire, seulement 251 amateurs de la théorie du complot auraient été impliqués dans cette diffusion de conspiration. Le projet Manhattan, la fabrication d’une bombe atomique par les américains est un parfait exemple du contrôle de l’information et de sa compartimentation. 120 000 personnes ont travaillé sur le projet de cette bombe. Seule une poignée savait véritablement la finalité du projet Manhattan. La majorité de ces personnes avait reçu des instructions et des objectifs qui ne se rapportaient qu’à un segment très étroit du projet. Si les bombes n’avaient pas été déversées sur le Japon, la grande majorité des 120 000 militaires et scientifiques n’auraient jamais su sur quels travaux ils officiaient. David Grimes explique cependant que sa formule n’est pas tout. Elle n’a pas pour vocation de fournir une vérité incontestable.

Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Mise à jour, Patch, Sauvegarde

Cinq impératifs de sécurité à l’intention des nouveaux utilisateurs du Cloud

Apple, Amazon et Microsoft sont trois géants de la technologie et de véritables références en matière de fourniture de services cloud. Mais ils ont aussi comme point commun d’avoir été la cible de hackers plutôt virulents…

Le piratage Apple (le “celebgate”) a abouti à la divulgation de photos très personnelles de certaines célébrités qui utilisaient iCloud, une mésaventure qui a fait la une de nombreux médias l’année dernière. Au Royaume-Uni, le fournisseur technologique Code Spaces a tout simplement baissé le rideau en 2014, après avoir été la cible de maîtres chanteurs qui ont, au final, supprimé des données essentielles sur l’environnement de stockage cloud de l’entreprise basé sur Amazon Web Services. En 2013, un certificat SSL expiré au sein du cloud Azure de Microsoft permettait à des hackers de mettre à l’arrêt plusieurs services cloud, dont Xbox Live.

Les risques en matière de sécurité du Cloud sont à la hausse, tandis que les attaques ont progressé à un rythme effréné : +45% en glissement annuel selon le spécialiste de la sécurité Alert Logic. Au cours des 5 prochaines années, les entreprises devraient investir 2 milliards de dollars pour renforcer leurs défenses Cloud, selon Forrester Research.

Ce sont les primo-utilisateurs du cloud qui connaissent le plus grand risque, car peu familiers à ce nouvel environnement et confrontés à des méthodes différentes pour gérer les utilisateurs, les données et la sécurité. À leur intention, voici cinq règles d’or qui encadrent (et sécurisent) toute migration vers le Cloud.

1. Apprenez à mieux connaître les environnements Cloud
Tout projet cloud est tripartite, avec pour parties prenantes le fournisseur de la plateforme cloud, le fournisseur du service réseau et l’entreprise cliente. Le Cloud doit être pensé en tant qu’extension du centre de données de l’entreprise, d’où certaines questions : peut-on déployer des règles et services de sécurité communs aux trois domaines ? Quels sont les risques en matière de sécurité ?

Avant de sélectionner votre fournisseur cloud, interrogez-le sur les services de sécurité proposés et les éditeurs/constructeurs avec lequel il collabore. Le cloud est un environnement dynamique qui implique des mises à jour régulières de l’architecture de sécurité pour pouvoir neutraliser les menaces les plus récentes. Quels sont les outils, fonctions et méthodes de sécurité en vigueur pour s’immuniser contre les nouveaux types de menaces et les vulnérabilités zero-day ?

Pensez également à vous familiariser avec les modèles de sécurité partagée. Identifiez précisément les responsabilités de votre fournisseur cloud, ainsi que les vôtres. Pour certains types de cloud, les IaaS notamment, l’entreprise cliente est responsable de la sécurité de ses applications et données dans le cloud. Il est également essentiel d’identifier les appliances de sécurité et technologies proposées par le fournisseur de services cloud ou autorisées à être déployées pour assurer une sécurité optimale.

2. Nouvelles applications, nouvel arsenal de sécurité
Prêt à migrer une application dans le cloud ? Mais avant, interrogez-vous sur l’intérêt de déployer des couches de sécurité dédiées aux processus d’authentification et de connexion à vos applications cloud.

Pour sécuriser l’accès à votre application cloud, vous devez déployer un schéma d’accès granulaire aux données, qui, par exemple, associe des privilèges d’accès à des rôles, des postes ou des projets. Vous disposez ainsi d’une couche supplémentaire de protection lorsque les assaillants détournent les identifiants de connexion de vos collaborateurs.

Le détournement d’un compte est une exaction plutôt simple mais il constitue encore à ce jour, selon la Cloud Security Alliance, une menace virulente qui pèse sur les utilisateurs du cloud. Pour renforcer votre processus d’authentification, pourquoi ne pas adopter l’authentification à deux facteurs ou l’utilisation des mots de passe OTP (à usage unique) ? Autre bonne idée : obliger les utilisateurs à modifier leurs identifiants de connexion dès leurs premières authentifications à une application.

3. Optez pour le chiffrement
Le chiffrement des données est l’un de vos meilleurs alliés dans le cloud et doit d’ailleurs être obligatoire pour les transferts de fichiers et les emails. Bien sûr, le chiffrement ne préviendra pas les tentatives de piratage, mais il immunisera votre entreprise face au lourd impact financier lié aux amendes réglementaires infligées en cas de piratage avéré et de divulgation de données.

Interrogez ainsi votre fournisseur cloud sur les options de chiffrement disponibles. Identifiez comment les données sont chiffrées lorsqu’elles sont stockées, utilisées et transférées. Pour identifier le périmètre des données à chiffrer, il est essentiel de les localiser, qu’elles soient hébergées sur les serveurs de votre fournisseur cloud ou d’un tiers, les ordinateurs portables des collaborateurs, les PC fixes ou encore des dispositifs amovibles de stockage.

4. Maîtrisez le virtuel
En migrant vers le Cloud, les entreprises capitalisent sur les avantages de la virtualisation, mais un environnement virtualisé présente des défis spécifiques en matière de protection des données. La principale problématique ? La gestion de la sécurité et des échanges de données au sein de ces espaces virtualisés et mutualisés.

Les appliances physiques de sécurité ne sont pas conçues pour gérer les données dans le cloud. D’où l’intérêt de se pencher sur les appliances virtuelles pour sécuriser le trafic entre machines virtuelles. Ces appliances sont conçues pour simplifier la gestion de multiples instances d’applications et d’environnements mutualisés.

Elles permettent ainsi aux entreprises de contrôler plus précisément la sécurité de leurs données dans le Cloud. Demandez à votre fournisseur cloud comment il s’y prend pour sécuriser ses environnements virtualisés et découvrez quelles sont les appliances de sécurité virtuelles déployées. Si vous mettez en place votre propre cloud privé ou hybride, il est préférable de choisir des produits de sécurité virtualisés qui permettent un contrôle le plus fin de la sécurité.

5. Ne restez pas dans l’ombre du Shadow IT
Les anecdotes et exemples sont nombreux pour illustrer les cas d’utilisation non autorisés d’applications et de services cloud, ce qu’on appelle le Shadow IT, plus présent en entreprise qu’on ne le croirait. Cette activité regroupe les projets, outils ou services de communication existants au sein d’une organisation, mais sans approbation de la DSI. Le Shadow IT est donc, par définition, non contrôlé, ce qui constitue une certaine menace dont les impacts sont lourds en matière de gouvernance.

Votre application qui a récemment migré vers le Cloud connaît ainsi des risques. Considérez ce scénario dans lequel un collaborateur ouvre un fichier sur son smartphone. Il est probable qu’une copie du fichier soit réalisée et envoyée pour stockage vers un espace en ligne non approuvé et qui accueille les sauvegardes automatiques du téléphone. Et voilà des données de l’entreprise, jusqu’à présent sécurisées, qui se retrouvent dans un cadre non sécurisé.

Interdire le Shadow IT et les accès aux données et applications induits ne freinera sans doute pas cette pratique au sein d’une organisation. Il est plus intelligent de sensibiliser les utilisateurs et de miser sur la technologie pour régler cette problématique. Justement, le chiffrement des données, le monitoring réseau et les outils de gestion de la sécurité protègent vos applications cloud des risques liés au Shadow IT. (Christophe Auberger, Directeur Technique France chez Fortinet)

Android, Cybersécurité, Entreprise, Fuite de données, ios, Mise à jour, Patch, Sécurité, Smartphone, Téléphonie, Windows phone

Que faire face à la déferlante des applications mobiles ?

Dans les entreprises, l’engouement pour les applications mobiles, couplé au phénomène BYOD (Bring Your Own Device), impose de sécuriser les systèmes et données en instaurant une gestion des certificats numériques.

Les acteurs opérant dans le secteur informatique depuis au moins 20 ans auront observé une quantité astronomique de changements. Si chacun d’eux est nécessaire, certains se révèlent plus intéressants que d’autres. L’essor des applications mobiles, en l’occurrence, représente incontestablement l’une des déferlantes frappant de plein fouet le monde de l’entreprise.

S’agissant des applications mobiles grand public, comme celles axées sur les jeux vidéo et les réseaux sociaux, les failles de sécurité sont aisément repérables dès lors que vous possédez un bagage dans le domaine. Étant donné que les développeurs d’applications mobiles sont, au contraire, très peu versés dans la sécurité, il est à craindre qu’ils exposent leurs applications à des risques dont ils n’ont pas même conscience. Personnellement, je m’intéresse à la composante Infrastructure à clé publique depuis le début de ma carrière, à l’époque où je participais au développement de logiciels pour l’Administration américaine. De ce fait, la sécurité a toujours été ma priorité. Et l’une des premières questions que je me suis efforcé d’élucider, au moment de l’éclosion des applications mobiles, a été la suivante : qui est chargé de diffuser et de gérer les certificats de sécurité des mobiles ?

La sensibilisation à la problématique de sécurité des applications mobiles s’est généralisée, consécutivement aux récents incidents liés aux certificats qui ont attiré l’attention des consommateurs. Des tas de buveurs de café ont ainsi supprimé leurs applications mobiles Starbucks à la suite de piratages qui ont exploité les failles de sécurité de l’entreprise pour accéder directement aux comptes bancaires des clients. Dans le même registre, des contrôles de certificats défaillants sur l’application Télé-Accès OnStar ont permis à des pirates de localiser, déverrouiller et même démarrer à distance des véhicules GM, d’où une certaine réticence de la part des propriétaires de véhicules de cette marque à utiliser l’application mobile du constructeur. General Motors a résolu le problème, contrairement à nombre de ses concurrents qui semblent l’ignorer ; récemment, un pirate a exploité exactement la même faiblesse de certificat dans les applications iOS pour BMW, Mercedes et Chrysler.

Des problèmes de ce genre montrent à quel point les clés et certificats numériques sont essentiels ; de fait, ils constituent le fondement même de la sécurité pour tous les équipements connectés. Néanmoins, sachant que même les entreprises les plus prudentes développent aujourd’hui des applications pour mobiles, assurer leur suivi est devenu une véritable gageure. Au moment où j’écris ces lignes, ces acteurs continuent à divulguer des informations qu’ils réservaient auparavant à leurs propres réseaux. Et, pour compliquer encore davantage la donne de la sécurité mobile, avec la révolution BYOD, les salariés accèdent aux informations de l’entreprise au moyen d’équipements qui échappent à leur contrôle. Autant d’aspects qui ont véritablement rendu plus délicate la vérification des certificats numériques. Tant que cette situation n’évoluera pas, les cybercriminels détourneront les certificats numériques pour mettre à profit les données résidant sur terminaux mobiles, qu’elles appartiennent à l’entreprise ou à ses collaborateurs, tout simplement parce que cette opération est un jeu d’enfant.

Pour empêcher ce scénario, les développeurs d’applications mobiles doivent être en mesure de sécuriser et de protéger leurs clés cryptographiques et certificats numériques. Les entreprises doivent avoir recours à des outils de cybersécurité permettant aux développeurs de découvrir et contrôler des certificats sur des appareils mobiles. À l’instar du système immunitaire qui assure la défense de l’organisme en repérant les agents pathogènes et les anomalies, ces outils surveillent les appareils mobiles en réseau pour détecter les certificats porteurs d’anomalies et de risques et les révoquer aussitôt. Ils s’intègrent également avec la plupart des solutions de gestion de flotte mobile (MDM) pour aider les entreprises à mettre en œuvre des règles qui leur permettront de se maintenir à flot sur un océan de réglementations et d’impératifs sécuritaires. (Par Hari Nair, Director, Product Management chez Venafi)

Petites entreprises, grandes menaces : restez informés, restez protégés

Quitter la version mobile