Mardi 18 juin 2019, la CNIL annonce une amende à l’encontre d’une entreprise. Motif : vidéosurveillance excessive des salariés.
La formation restreinte de la CNIL a prononcé en ce mois de juin 2019 une sanction de 20 000 euros à l’encontre de la société UNIONTRAD COMPANY. Motif ? L’entreprise a mis en place un dispositif de vidéosurveillance qui plaçait ses salariés sous surveillance constante.
La Commission Nationale Informatique et des Libertés a également prononcé une injonction afin que la société prenne des mesures pour assurer la traçabilité des accès à la messagerie professionnelle partagée.
Contrôle mené dans les locaux de la société en février 2018
Un contrôle effectué par les agents assermentés de la CNIL a permis de constater que la caméra présente dans le bureau des six traducteurs les filmait à leur poste de travail sans interruption ; aucune information satisfaisante n’avait été délivrée aux salariés ; les postes informatiques n’étaient pas sécurisés par un mot de passe et les traducteurs accédaient à une messagerie professionnelle partagée avec un mot de passe unique (sic!).
En juillet 2018, la Présidente de la CNIL mettait en demeure la société de se mettre en conformité à la loi Informatique et Libertés, en lui demandant de : déplacer la caméra pour ne plus filmer les salariés de manière constante ; procéder à l’information des salariés sur la présence des caméras ; mettre en œuvre des mesures de sécurité pour l’accès aux postes informatiques et pour la traçabilité des accès à la messagerie professionnelle.
20 000€
En l’absence de mesures satisfaisantes à l’issue du délai fixé dans la mise en demeure, la CNIL a effectué un second contrôle en octobre 2018 qui a confirmé la persistance des manquements malgré les affirmations contraires de la société. Une procédure de sanction a donc été engagée par la Présidente de la CNIL.
Aujourd’hui, il n’est plus possible de faire vivre votre business sans utiliser l’informatique et l’Internet : emails, communications et échanges, recherches, utilisation d’outils de travail…. Pourtant, saviez-vous que vos données de navigation sont consultables à tout moment, de même que vos mots de passe ou votre historique ?
Que ce soit en travaillant à son bureau ou depuis chez soi, les questions de navigation et de protection des données sont essentielles pour votre entreprise !
Selon une étude Gfk menée sur les comportements personnels avec Internet, les GAFA détiendraient environ 70 000 données sensibles sur des enfants issues d’une même famille. La raison ? La surpublication sur les réseaux sociaux ou encore, des échanges via les réseaux non protégés. Dans le milieu professionnel, ce chiffre atteindrait 975 données pour chaque collaborateur. Des chiffres affolants, mais heureusement, il existe des solutions pour y remédier.
Les risques de la navigation web non protégée
C’est en voyant ces chiffres évoqués en introduction que l’on comprend bien le problème : Internet n’est pas un espace protégé, mais bien un lieu où, malgré le sentiment d’individualité et d’intimité au moment de la navigation, les internautes sont sous le regard permanent d’autres parties : gouvernements, hackers, spécialistes de la sécurité… De nos jours, le phishing ou les malwares sont tout autant à craindre pour votre entreprise que vos propres concurrents : ce n’est pas seulement votre sécurité qui est en jeu, mais aussi celles de vos consommateurs.
En effet, dans de nombreux secteurs, hautement concurrentiels, c’est la guerre de l’information. Que feriez-vous si votre concurrent principal sur le marché obtenait des informations sur vos contacts clients ? Ce serait catastrophique ! Le risque de piratage des données est beaucoup plus élevé dans le cadre d’un serveur ouvert, et plus encore si plusieurs personnes travaillent en réseau sur ces mêmes données.
Dès lors, utiliser un VPN (Virtual Private Network), autrement dit, un réseau de navigation privée, permet de contrecarrer ces défis de l’Internet.
L’intérêt d’un VPN pour votre société
Que vous soyez une petite PME ou une grande société, peu importe : la sécurité de vos données doit rester une priorité. Dans ce cadre, le VPN agit comme une barrière de protection, en permettant aussi la confidentialité des données grâce à un système de cryptage. Ainsi, personne ne peut vous géolocaliser, télécharger vos contenus échangés ou consulter vos historiques de conversation.
Le chiffrement et la confidentialité des données échangées au travail, aussi bien du côté de l’entreprise que des clients
Aux collaborateurs de se connecter au réseau privé, même à distance lors d’un déplacement
De tracer les authentifications, empêchant ainsi toute intrusion extérieure
Attention : un VPN est différent d’un proxy, qui ne permet que le changement d’une adresse IP durant la navigation internet, ce qui ne garantit pas la sécurité des données.
Surfez anonymement et en toute sécurité !
Sur le plan personnel, un VPN peut être très pratique pour changer votre localisation géographique afin d’accéder à des contenus d’Internet, souvent bloqués dans un pays, comme c’est le cas de LinkedIn en Russie ou de Facebook en Chine. Cela dit, dans le cadre d’une entreprise, le VPN est plus qu’un gadget, c’est un véritable outil de travail, surtout si vous travaillez en multisites ou avec des consultants extérieurs.
Avec la fluidification des échanges, la notion de secret professionnel est de plus en plus mise à l’épreuve : autant mettre tous les atouts de votre côté avec un VPN pour lutter contre la cybercriminalité !
Petit conseil : malgré l’utilisation d’un VPN, pensez à changer régulièrement vos mots de passe et assurez-vous d’adopter un comportement sécurisant sur Internet, en limitant les prises de risques.
Le Patch Tuesday de Microsoft traite 88 vulnérabilités dont 21 classées comme critiques. Parmi ces dernières, 17 affectent les moteurs de scripts et les navigateurs tandis que 3 sont des attaques Escape potentielles contre l’hyperviseur Hyper-V.
Patch Tuesday – La dernière vulnérabilité est une exécution de code à distance (RCE) au sein de l’API de reconnaissance vocale Microsoft Speech. Microsoft a également publié des recommandations pour les clés FIDO Bluetooth basse consommation ainsi que pour HoloLens et Microsoft Exchange. Concernant Adobe, l’éditeur vient de publier des correctifs pour Flash, ColdFusion et Campaign.
Correctifs pour postes de travail
Le déploiement de patches pour les moteurs de script et les navigateurs est une priorité pour les équipements de type poste de travail, c’est-à-dire tous les systèmes permettant d’accéder à la messagerie ou à Internet depuis un navigateur. Sont également concernés les serveurs multiutilisateurs qui font office de postes de travail distants.
Attaque Escape contre l’hyperviseur Hyper-V
Trois vulnérabilités avec exécution de code à distance (CVE-2019-0620, CVE-2019-0709 et CVE-2019-0722) sont corrigées dans Hyper-V. Elles permettaient à un utilisateur authentifié sur un système invité d’exécuter du code arbitraire sur l’hôte. Microsoft signale que l’exploitation de ces vulnérabilités est moins probable. Les patches restent tout de même une priorité pour les systèmes Hyper-V.
Exécution de code RCE dans l’API de reconnaissance vocale Microsoft Speech
L’API Microsoft Speech abrite une vulnérabilité par exécution de code à distance (CVE-2019-0985). Affectant Windows 7 et Server 2008 R2, elle a besoin qu’un utilisateur ouvre un document malveillant.
Avis de sécurité
Microsoft a également publié plusieurs avis de sécurité :
ADV190016 qui désactive la possibilité d’utiliser certaines clés de sécurité FIDO basse consommation Bluetooth en raison d’une vulnérabilité divulguée en mai 2019. Google et Feitian ont également publié des avis de sécurité pour les clients qui utilisent ces clés.
ADV190017 qui corrige plusieurs vulnérabilités dans HoloLens permettant à un attaquant non identifié de lancer des attaques DoS ou de compromettre des équipements HoloLens se trouvant à proximité.
ADV190018 qui fournit une mise à jour de la défense en profondeur de Microsoft Exchange Server même si, à l’heure actuelle, aucun détail n’a été communiqué sur cette mise à jour.
Patch Tuesday version Adobe
Adobe a publié des mises à jour pour Flash, ColdFusion et Campaign. La mise à jour pour Flash permet de résoudre une vulnérabilité et exposition courante (CVE) et doit être déployée en priorité sur les postes de travail sur lesquels Flash est installé. Les mises à jour pour ColdFusion corrigent trois vulnérabilités de types différents, toutes étant classées comme critiques. Quiconque utilise un serveur ColdFusion devrait le tester et déployer le correctif dès que possible. Quant au patch pour Adobe Campaign, il corrige sept vulnérabilités différentes dont une considérée comme critique. (Par Jimmy Graham dans The Laws of Vulnerabilities)
La formation restreinte de la CNIL a prononcé une sanction de 400 000 euros à l’encontre de la société SERGIC pour avoir insuffisamment protégé les données des utilisateurs de son site web et mis en œuvre des modalités de conservation des données inappropriées.
La société SERGIC est spécialisée dans la promotion immobilière, l’achat, la vente, la location et la gestion immobilière. Pour les besoins de son activité, elle édite le site web www.sergic.com. Ce dernier permet notamment aux candidats à la location de télécharger les pièces justificatives nécessaires à la constitution de leur dossier.
En août 2018, la CNIL a reçu une plainte d’un utilisateur du site indiquant avoir pu accéder, depuis son espace personnel sur le site, à des documents enregistrés par d’autres utilisateurs en modifiant légèrement l’URL affichée dans le navigateur. Un contrôle en ligne réalisé le 7 septembre 2018 a permis de constater que des documents transmis par les candidats à la location étaient librement accessibles, sans authentification préalable. Parmi ces documents figuraient des copies de cartes d’identité, de cartes Vitale, d’avis d’imposition, d’attestations délivrées par la caisse d’allocations familiales, de jugements de divorce, de relevés de compte ou encore d’identité bancaire.
Le jour même de son contrôle, la CNIL a alerté la société de l’existence de ce défaut de sécurité et de la violation de données personnelles consécutive. Quelques jours plus tard, un contrôle sur place a été réalisé dans les locaux de la société. A cette occasion, il est apparu que la société avait connaissance de la vulnérabilité depuis le mois de mars 2018 et que, si elle avait entamé des développements informatiques pour les corriger, ce n’est que le 17 septembre 2018 que la correction totale est devenue effective.
Sur la base des investigations menées, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a constaté deux manquements au règlement général sur la protection des données (RGPD).
400 000 euros !
Tout d’abord, la formation restreinte de la CNIL a considéré que la société SERGIC a manqué à son obligation de préserver la sécurité des données personnelles des utilisateurs de son site, prévue par l’article 32 du RGPD. La société n’avait pas mis en place de procédure d’authentification des utilisateurs du site permettant de s’assurer que les personnes accédant aux documents étaient bien celles à l’origine de leur téléchargement, alors qu’il s’agissait d’une mesure élémentaire à prévoir. Ce manquement était aggravé d’une part, par la nature des données rendues accessibles, et d’autre part, par le manque particulier de diligence de la société dans sa correction : la vulnérabilité n’a été définitivement corrigée qu’au bout de 6 mois et aucune mesure d’urgence visant à limiter l’impact de la vulnérabilité n’a été prise dans l’attente.
Ensuite, la formation restreinte a constaté que la société conservait sans limitation de durée en base active l’ensemble des documents transmis par les candidats n’ayant pas accédé à location au-delà de la durée nécessaire à l’attribution de logements.
Conservation des données
Or, la formation restreinte a rappelé que, par principe, la durée de conservation des données personnelles doit être déterminée en fonction de la finalité du traitement. Lorsque cette finalité (par exemple, la gestion des candidatures) est atteinte, et qu’aucune autre finalité ne justifie la conservation des données en base active, les données doivent soit être supprimées, soit faire l’objet d’un archivage intermédiaire si leur conservation est nécessaire pour le respect d’obligations légales ou à des fins pré-contentieuses ou contentieuses. Dans ce cas, les données doivent être placées en archivage intermédiaire, par exemple dans une base de données distincte. Là encore, la durée de cet archivage doit être limitée au strict nécessaire.
La formation restreinte a prononcé une amende de 400 000 euros, et décidé de rendre publique sa sanction. La formation restreinte a notamment tenu compte de la gravité du manquement, du manque de diligence de la société dans la correction de la vulnérabilité et du fait que les documents accessibles révélaient des aspects très intimes de la vie des personnes. Elle a toutefois pris en compte, également, la taille de la société et sa surface financière. (Legifrance)
Les données de Threat intelligence indiquent que les attaques subies par l’Europe émanent davantage de l’intérieur de ses frontières que de toute autre partie du monde. Les Pays-Bas ont lancé 1,5 fois plus d’attaques contre des systèmes en Europe que les États-Unis et la Chine réunis
D’après une nouvelle analyse de F5 Labs, les cyberattaques qui frappent l’Europe émanent davantage de l’intérieur de ses frontières géographiques que de toute autre région du monde. Ce constat s’appuie sur une étude du trafic d’attaque à destination des adresses IP européennes entre le 1er décembre 2018 et le 1er mars 2019, de même que sur une comparaison avec les tendances observées aux États-Unis, au Canada et en Australie.
Principaux pays à l’origine des attaques
Les systèmes déployés en Europe sont ciblés par des adresses IP du monde entier. En examinant une carte mondiale, le F5 Labs a découvert que les pays originaires des attaques en Europe étaient analogues à ceux visant l’Australie et le Canada, mais différents de ceux s’attaquant aux États-Unis (qui subissent beaucoup moins d’attaques en provenance d’adresses IP européennes que l’Europe). Les Pays-Bas se classent en tête des 10 premiers pays à l’origine des attaques, devant les États-Unis, la Chine, la Russie, la France, l’Iran, le Vietnam, le Canada, l’Inde et l’Indonésie. Les Pays-Bas ont lancé 1,5 fois plus d’attaques contre des systèmes européens que les États-Unis et la Chine réunis, et six fois plus que l’Indonésie.
Principaux réseaux (ASN) et FAI à l’origine des attaques
Le réseau néerlandais de HostPalace Web Solution (ASN 133229) est celui qui a lancé le plus grand nombre d’attaques, suivi par le Français Online SAS (ASN 12876). Vient ensuite NForce Entertainment (ASN 43350), lui aussi néerlandais. Ces trois entreprises sont des hébergeurs Web dont les réseaux apparaissent régulièrement dans les listes F5 Labs des principaux réseaux d’acteurs malveillants5.
72 % des ASN1 d’attaque répertoriés appartiennent à des fournisseurs d’accès Internet. 28 % à des hébergeurs Web. Dans le cadre de son analyse, F5 Labs a également identifié les 50 premières adresses IP qui s’attaquent à l’Europe2. Aussi les entreprises sont-elles désormais exhortées à vérifier leurs logs réseau afin de détecter les connexions émanant de ces adresses IP. De la même manière, les propriétaires de réseaux doivent enquêter sur les éventuelles violations imputables à ces adresses IP.
Principaux ports ciblés
L’examen des principaux ports ciblés a permis à F5 Labs d’établir le type de systèmes dans la ligne de mire des attaquants. En Europe, le port 5060 est celui qui a subi le plus d’attaques. Il est utilisé par le service SIP (Session Initiation Protocol) pour la connectivité VoIP (Voice over IP) aux téléphones et aux systèmes de vidéoconférence. L’analyse du trafic d’attaque visant une destination spécifique lors d’événements mondiaux majeurs, tels que les récents sommets entre Donald Trump et Kim Jung Un ou encore Vladimir Poutine, montre que ce port est systématiquement pris pour cible. Le port 445, dédié à Microsoft Server Message Block (SMB), est le deuxième le plus attaqué, devant le port 2222, couramment utilisé en tant que port Secure Shell (SSH) non standard.
Bien se protéger
Au vu des recherches il est recommandé aux entreprises de procéder à des analyses de vulnérabilité externes constantes afin d’identifier les systèmes exposés publiquement et de déterminer sur quels ports.
Il convient de bloquer les ports les plus sujets aux attaques sur tous les systèmes exposés publiquement (par exemple le port Microsoft Samba 445, ou les ports SQL 3306 et 1433) ou de mettre en place des mesures de gestion des vulnérabilités. Les applications Web qui reçoivent du trafic sur le port 80 doivent en outre être protégées au moyen d’un pare-feu pour applications Web (WAF), être continuellement analysées pour détecter les éventuelles vulnérabilités et se voir appliquer en priorité des mesures de gestion des vulnérabilités, notamment, sans s’y limiter, la correction des bugs et l’installation de correctifs.
Un grand nombre d’attaques par force brute sur les ports prenant en charge des services d’accès tels que SSH. C’est pourquoi toutes les pages de connexion publiques doivent disposer de mécanismes de protection adéquats contre ce type d’attaques.
Les logs !
Les administrateurs réseau et les ingénieurs en sécurité doivent passer en revue les logs réseau afin d’identifier toutes les connexions vers les principales adresses IP à l’origine d’attaques. Dès lors qu’une entreprise subit des attaques émanant d’une de ces adresses IP, elle doit porter plainte pour violation auprès des FAI et des propriétaires des ASN de manière à ce qu’ils procèdent à la mise hors service de ces systèmes d’attaque.
Sara Boddy, directrice de la division Threat Research chez F5 Labs explique : « Concernant le blocage des adresses IP, l’établissement de longues listes de blocage peut se révéler difficile, tout comme le blocage d’adresses IP de FAI offrant des services Internet à des abonnés susceptibles de figurer parmi ses clients. Dans ces cas de figure, un appareil IoT infecté à l’insu de son propriétaire sera probablement utilisé comme système d’attaque et ne sera sans doute jamais désinfecté. Bloquer l’intégralité du trafic d’ASN ou de FAI peut poser problème pour la même raison. Le blocage de tout leur réseau empêcherait des clients d’engager des relations commerciales avec son entreprise. Sauf s’il s’agit d’un FAI desservant un pays dans lequel son entreprise n’exerce pas d’activités. Dans ce cas, le blocage géolocalisé au niveau d’un pays peut être un moyen efficace de filtrer un grand volume de trafic d’attaque et d’épargner à son système un traitement inutile. Il est par conséquent préférable de bloquer le trafic en fonction du schéma d’attaque sur ses pare-feu réseau et WAF.«
Télétravail : Les résultats de l’enquête révèlent que seulement 11 % des PME se préoccupent des facteurs sécurité et informatique lorsqu’il s’agit du travail à distance de leurs employés.
Une étude vient de dévoiler les résultats d’une enquête sur le télétravail . Selon cette recherche, à partir de 586 répondants, les nouvelles pratiques de travail flexibles pourraient poser un risque pour la sécurité des petites entreprises. En effet, un employé sur cinq (9 %) estime être le plus productif lorsqu’il travaille dans des lieux publics comme un café ou une bibliothèque, mais seulement 11 % des employeurs sont préoccupés par les répercussions que cela pourrait avoir sur la sécurité de leur entreprise. Les PME doivent donc relever le défi de maintenir leur sécurité, tout en répondant aux besoins et aux attentes de leurs collaborateurs.
Une nouvelle norme
L’étude met en évidence les tendances et les attentes concernant le télétravail, plus d’un tiers (38 %) des personnes interrogées préférant accepter une réduction de salaire plutôt que de se limiter à travailler dans un bureau. Une autre tranche de 35 % choisirait la flexibilité du travail à domicile plutôt qu’une augmentation de salaire, même si on leur proposait une augmentation de 25 %. Alors que les entreprises se disputent les meilleurs talents, il sera vital de pouvoir attirer des personnes aptes à mettre en place des méthodes de travail modernes. Cependant, 38 % des répondants ont indiqué qu’ils ne reçoivent pas le soutien technologique ou l’expertise dont ils ont besoin lorsqu’ils travaillent à domicile ou dans un lieu public, faisant de la sécurité un problème croissant pour les petites entreprises qui ont recours au travail flexible.
« Le lieu de travail fonctionnant selon un horaire 9h – 17h appartient au passé, et les employés qui rejoignent le marché du travail aujourd’hui exigent une plus grande flexibilité en termes d’horaires, d’emplacement et d’avantages sociaux personnalisés,déclare Kevin Chapman, SVP et General Manager, chez Avast Business. Bien qu’il soit prouvé dans certains cas que ces pratiques augmentent la satisfaction et même la productivité des employés, il y a des problèmes de sécurité bien réels qu’il est nécessaire de résoudre. Les entreprises doivent être en mesure de fournir les outils qui leur permettent non seulement de faire preuve de flexibilité, mais aussi de le faire en toute sécurité. Il est également important de ne pas négliger les employés qui préféreraient conserver un environnement de bureau traditionnel. Il convient de trouver un équilibre pour permettre à tous de travailler de la manière qui leur est la plus bénéfique. »
Avantages du télétravail
Non seulement les PME seront en mesure d’attirer le meilleur personnel qui soit, mais le travail mobile semble présenter d’autres bénéfices. Interrogés sur les avantages que présente le télétravail pour les employés des petites entreprises, près d’un tiers d’entre eux (30 %) ont confié que cela les rendait plus heureux, et 31 % ont répondu que cela leur permettait d’apprécier leur travail. Cette étude a également révélé que la satisfaction des employés n’est pas la seule à augmenter : la flexibilité du travail pourrait avoir un impact positif sur sa qualité et sur la productivité ; 34 % des employés affirment être les plus productifs lorsqu’ils travaillent à domicile, contre 45 % au bureau.
Les petites entreprises qui souhaitent adopter de nouvelles pratiques de travail doivent relever de nombreux défis sécuritaires. Si le personnel accède à des données sensibles ou se connecte à des comptes professionnels via un réseau Wi-Fi non sécurisé, l’entreprise risque de subir une attaque. Il existe également un risque de violation de données si un employé enregistre des renseignements sensibles sur un ordinateur de bureau. Machine qui va disparaître. Les propriétaires de petites entreprises doivent prévoir des mesures de sécurité pour les travailleurs mobiles, telles que des solutions de réseau privé virtuel (VPN) à utiliser sur les connexions Wi-Fi ouvertes, et des logiciels anti-malware déployés aux points finaux sur tous les appareils personnels (BYOD – Bring Your Own Device) des employés. De plus, il convient de veiller à ce que les employés soient sensibilisés au rôle très important qu’ils ont à jouer dans la sécurité de l’entreprise.
FIDO2 : Une authentification sécurisée sans mot de passe pour plus de 800 millions de dispositifs Windows 10 actifs
L’Alliance FIDO annonce que Microsoft a obtenu la certification FIDO2 pour Windows Hello. Tout appareil compatible fonctionnant sous Windows 10 est ainsi désormais certifié FIDO2 dès sa sortie, une fois la mise à jour de Windows 10 de mai 2019 effectuée. Les utilisateurs de Windows 10 peuvent désormais se passer des mots de passe stockés de manière centralisée et utiliser la biométrie ou les codes PIN Windows Hello pour accéder à leurs appareils, applications, services en ligne et réseaux avec la sécurité certifiée FIDO.
FIDO21 est un ensemble de normes qui permettent de se connecter facilement et en toute sécurité à des sites Web et à des applications via la biométrie, des appareils mobiles et/ou des clés de sécurité FIDO. La simplicité de l’expérience utilisateur de FIDO2 s’appuie sur une sécurité cryptographique forte qui est largement supérieure aux mots de passe, protégeant les utilisateurs contre le phishing, toutes les formes de vols de mots de passe et les attaques par rejeu (replay attack). Pour en savoir plus sur FIDO2, rendez-vous sur : https://fidoalliance.org.
FIDO2
« Notre travail avec l’Alliance FIDO, le W3C et nos contributions aux normes FIDO2 ont été un élément déterminant dans l’engagement de Microsoft pour un monde sans mot de passe,confie Yogesh Mehta, Principal Group Program Manager, chez Microsoft Corporation. Windows Hello a été conçu pour s’aligner sur les normes FIDO2 et fonctionner avec les services Microsoft cloud ainsi que dans des environnements hétérogènes. L’annonce d’aujourd’hui boucle la boucle, permettant aux organisations et aux sites Web d’étendre l’authentification FIDO à plus de 800 millions de dispositifs actifs sous Windows 10».
Microsoft, l’un des leaders dans le domaine de l’authentification sans mot de passe, a fait de l’authentification FIDO un élément fondamental dans ses efforts visant à offrir aux utilisateurs une expérience de connexion transparente et sans mot de passe. En tant que membre du conseil d’administration de l’Alliance FIDO et l’un des principaux contributeurs au développement des spécifications FIDO2, Microsoft a proposé l’un des premiers déploiements FIDO2 du marché avec Windows Hello. L’entreprise prend en charge FIDO2 sur son navigateur Microsoft Edge et permet également la connexion au compte Windows avec les clés de sécurité FIDO.
Windows 10 prend en compte FIDO
La mise à jour Windows 10 de mai 2019 prend en charge l’authentification FIDO sans mot de passe via Windows Hello ou la clé de sécurité FIDO, sur Microsoft Edge ou les versions les plus récentes de Mozilla Firefox. Plus d’informations sont disponibles sur le blog de Microsoft.
« En tant que membre du conseil d’administration et contributeur clé au développement de FIDO2, Microsoft a été un ardent défenseur de la mission de l’Alliance FIDO qui est de faire évoluer le monde au-delà des mots de passe. Cette certification s’appuie sur la prise en charge de longue date par Microsoft des technologies FIDO2 sous Windows 10 et, par l’intermédiaire de l’écosystème Windows, donne la possibilité à ses clients et partenaires de bénéficier de l’approche de FIDO en matière d’authentification des utilisateurs, indique Andrew Shikiar, Directeur Marketing de l’Alliance FIDO. FIDO2 est désormais pris en charge par les systèmes d’exploitation et les navigateurs Web les plus utilisés au monde, ce qui permet aux entreprises, aux fournisseurs de services et aux développeurs d’applications d’offrir rapidement une expérience d’authentification plus simple et plus forte à des milliards d’utilisateurs dans le monde.»
FIDO2 et les navigateurs
En plus de Microsoft Edge, FIDO2 est également supporté par les principaux navigateurs Web Google Chrome et Mozilla Firefox (avec, en avant-première, la prise en charge par Apple Safari). Android a également été certifié FIDO2, ce qui permet aux applications mobiles et aux sites Web de tirer parti des normes FIDO sur plus d’un milliard d’appareils compatibles Android 7.0+. En outre, plusieurs produits certifiés FIDO2 ont été annoncés en vue d’appuyer la mise en œuvre.
Les fabricants d’appareils qui souhaitent bénéficier d’une certification prête à l’emploi et afficher le logo FIDO Certified sur leurs appareils Windows 10 doivent consulter le nouvel accord relatif à l’utilisation de la marque et des services de l’Alliance FIDO.
Ce Patch Tuesday de mai 2019 traite 79 vulnérabilités dont 22 classées critiques. Parmi ces dernières, 18 affectent les moteurs de scripts et les navigateurs.
Les quatre restantes concernent des exécutions de code à distance (RCE) sur le protocole Remote Desktop (RDP), le serveur DHCP, GDI+ et Word. Microsoft a également publié des recommandations sur les techniques MDS (Microarchitectural Data Sampling) récemment divulguées dont les failles ZombieLoad, Fallout et RIDL. Concernant Adobe, le Patch Tuesday comprend des correctifs pour des vulnérabilités dans Flash, Acrobat/Reader (83 vulnérabilités !) et Media Encoder.
Correctifs pour postes de travail
Le déploiement de patches pour les moteurs de script, les navigateurs, GDI+ et Word est une priorité pour les équipements de type poste de travail, c’est-à-dire tous les systèmes utilisés pour accéder à la messagerie ou à Internet depuis un navigateur. Sont également concernés les serveurs multi utilisateurs utilisés comme postes de travail distants par des utilisateurs.
Exécution de code RCE sur les services Remote Desktop (RDS)
Le protocole RDP (Remote Desktop Protocol) est affecté par la vulnérabilité par exécution de code à distance CVE-2019-0708. L’exploitation de cette vulnérabilité permet à un attaquant non authentifié d’exécuter du code de manière arbitraire sur un système affecté. Ce type de vulnérabilité peut faciliter la propagation de vers informatiques en raison du manque d’authentification et de l’omniprésence du service RDP. Même si un exploit Preuve de concept n’a pas encore été dévoilé, cette vulnérabilité doit être résolue en priorité absolue sur Windows 7, Server 2008 et Server 2008 R2.
Critiques : Exécution de code RCE sur le serveur DHCP
Le serveur DHCP de Windows est affecté par la vulnérabilité CVE-2019-0725 classée comme critique pouvant faciliter l’exécution de code à distance. Un quelconque attaquant non identifié peut envoyer des paquets à un serveur DHCP pour exploiter cette vulnérabilité, ce correctif est donc une priorité pour tous les déploiements DHCP Windows. Une vulnérabilité semblable au sein du serveur DHCP a été corrigée en février tandis qu’une autre vulnérabilité a été corrigée en mars sur le client DHCP.
Conseils pour les attaques MDS (Microarchitectural Data Sampling)
Microsoft a publié une documentation d’assistance concernant l’atténuation des attaques MDS (Microarchitectural Data Sampling). Les attaques de ce type s’appellent notamment ZombieLoad, Fallout et RIDL. Les CVE correspondant à ces vulnérabilités sont CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 et CVE-2019-11091. Intel diffuse aussi une présentation ainsi qu’un document détaillé sur les techniques employées et les atténuations à déployer.
Des mises à jour du microcode pour les processeurs concernés devront être réalisées pour atténuer ces attaques tandis que des correctifs devront être déployés pour les systèmes d’exploitation. Microsoft précise que la désactivation de l’hyper-threading (alias Simultaneous Multi Threading ou SMT) pourra s’avérer nécessaire pour une atténuation complète, même si Intel déconseille cette procédure. Microsoft distribuera des mises à jour du microcode uniquement pour Windows 10. Pour les autres systèmes d’exploitation, c’est le fabricant OEM qui devra fournir ces mises à jour souvent sous la forme d’une mise à jour du BIOS.
Attaques actives sur des vulnérabilités facilitant une élévation de privilèges pour le traitement des erreurs Windows
Microsoft a également publié un correctif pour une vulnérabilité facilitant une élévation de privilèges pour le traitement des erreurs Windows (CVE-2019-0863) et qui a été exploitée à l’aveugle. L’application de ce correctif est donc prioritaire pour toutes les versions Windows prises en charge.
Adobe Patch Tuesday
Adobe a publié des correctifs pour Flash, Acrobat/Reader et Media Encoder. Même si les correctifs pour Flash ne concernent qu’une seule exécution CVE et que les patches pour Media Encoder en traitent deux, les patches pour Acrobat/Reader concernent pas moins de 83 vulnérabilités. Il est recommandé de traiter en priorité tous les systèmes hôtes impactés et plus particulièrement les équipements de type poste de travail. (Publié par Jimmy Graham dans The Laws of Vulnerabilities)
Je vous faisais écouter, voilà bientôt un an, un interlocuteur proposant de vendre une mise en conformité RGPD. Une arnaque qu’avait dénoncé la CNIL dans un avertissement à destination des entreprises françaises. L’arnaque ne cesse pas !
Entré en application, il y a un an (le 25 mai 2018), le RGPD est plus que jamais un prétexte idéal pour des campagnes d’arnaques ciblant les entreprises françaises. Le blog ZATAZ avait été l’un des premier à alerter sur ce sujet [1] [2]. Depuis quelques semaines, une nouvelle variante de l’arnaque à la mise en conformité RGPD cible les entreprises. Cette arnaque est déjà connue, mais ici la méthode semble différente et très efficace. Décryptage de l’arnaque par Vade Secure, entreprise basée dans les Hauts de France, à Hem (59).
Un premier contact par courrier
Les escrocs ciblent les entreprises au travers d’une campagne de courriers au sujet d’une plainte d’un client concernant la mise en conformité à la RGPD. La technique est efficace. Des couleurs qui font officielles et des qui font peur.
« Si nous nous arrêtons quelques secondes sur ce document, le titre de la société – Comité Européen de la protection des données CFFE – semble reprendre le nom du Comité Européen de la protection des données CEPD, présent dans le texte de la RGPD à la section 3 du Chapitre VII (articles 68 à 76)» indique Sébastien Gest, Tech Évangéliste de Vade Secure.
L’adresse associée au dit comité est en fait une adresse de domiciliation située dans le 8e arrondissement de Paris. Contacté, l’interlocuteur de la société explique qu’il croule sous les appels pour ce même sujet depuis 15 jours. Un numéro de téléphone indiqué dans le but de traiter cette plainte. La personne au bout du fil développe alors un argumentaire efficace dans le but de vendre une prestation d’audit de mise en conformité afin de résoudre cette situation. Ces numéros de téléphone sont largement commentés et dénoncés.
Le paiement demandé par mail
Suite à cet appel un email contenant un lien de paiement par carte bancaire est envoyé dans le but de finaliser la transaction. D’un montant de 1194€, la prestation semble correspondre à un « Audit et à la rédaction du référentiel de traitement des données ».
Nous retrouvons dans cet email l’email présent dans le document papier mais ici en tant qu’expéditeur. Un lien de paiement par carte bancaire est ainsi proposé et ainsi qu’une nouvelle adresse apparaissant dans le but de contacter le support. Les domaines utilisent des extensions .eu et .online et sont déposés via le registrar américain namecheap.
En signature de cet email apparaît également le nom d’une société Française experte dans les domaines de la RGPD. Il ne nous est pas possible de certifier une possible implication de cette société dans cette escroquerie, nous avons donc souhaité de ne pas la citer.
Une arnaque ressemblant fortement à l’arnaque au support téléphonique
L’entreprise pensant devoir se mettre en conformité va dans les faits consommer une prestation dont elle n’a pas le besoin. Il est difficile d’évaluer le nombre de sociétés escroquées. Le seul indicateur reste le nombre de signalements sur les sites anti-escroqueries qui augmentent de jour en jour.
Porter plainte et faire un signalement aux autorités ? Clairement oui ! Les services de l’état ont mis en place le site https://www.pre-plainte-en-ligne.gouv.fr/ permettant de déposer une pré-plainte. À l’issue de ce signalement, un rendez-vous en gendarmerie est proposé. Il est vivement recommandé de déposer plainte et de faire remonter les informations aux services de Gendarmerie compétents.
Entré en vigueur le 25 mai 2018, le règlement général sur la protection des données personnelles (RGPD) continue de donner des cauchemars à de nombreux dirigeants d’entreprises et responsables juridiques. Soucieuse de ne pas laisser la discussion s’éteindre alors que de nombreux progrès restent à faire, la CNIL a récemment publié un premier bilan, plus de 6 mois après la mise en application du texte. Le nombre de sites web qui se sont mis en conformité avec le RGPD est encore trop anecdotique et la progression reste faible. Cela s’entend d’une part assez facilement du fait du flou de la position de la CNIL et de ses éventuelles sanctions qui planent ; et d’autre part du fait de la difficulté à remplir toutes les conditions pour être RGPD-compliant. En effet, nombre d’entreprises sont dépassées par l’application du texte de la CNIL, et n’arrivent pas à envisager de tels changements. Néanmoins, si la mise en place d’actions pour être conforme au RGPD n’est pas une mince affaire, passer par une agence de mise en conformité RGPD compétente et experte reste encore la meilleure solution pour rapidement et efficacement rendre votre site web fidèle aux attentes de la CNIL et vous éviter les lourdes sanctions encourues.
Parmi les principaux chiffres à retenir, 1 200 à 1 300 notifications de violation de données ont été reçues par la commission. Ces chiffres déjà impressionnants ne sont que la partie visible de l’iceberg.
Pour Tanguy de Coatpont, Directeur général Kaspersky Lab France : « Il ne fait aucun doute que le nombre de violations de données en France est bien plus élevé. Malgré les efforts combinés de la CNIL et de l’ANSSI pour sensibiliser les entreprises, elles sont encore nombreuses à ignorer ce qu’est une violation de données et méconnaître les obligations que leur impose le RGPD. Pour les petites et moyennes entreprises notamment, c’est un véritable casse-tête car elles ne disposent souvent pas des compétences juridiques et informatiques nécessaires. Les utilisateurs sont les premiers pénalisés par cette situation, car leurs données personnelles exposées sont à la merci de personnes mal intentionnées qui souhaiteraient les monnayer d’une façon ou d’une autre. »
Entré en vigueur le 25 mai 2018, le règlement général sur la protection des données personnelles (RGPD) continue de donner des cauchemars à de nombreux dirigeants d’entreprises et responsables juridiques. Soucieuse de ne pas laisser la discussion s’éteindre alors que de nombreux progrès restent à faire, la CNIL a récemment publié un premier bilan, plus de 6 mois après la mise en application du texte. Le nombre de sites web qui se sont mis en conformité avec le RGPD est encore trop anecdotique et la progression reste faible. Cela s’entend d’une part assez facilement du fait du flou de la position de la CNIL et de ses éventuelles sanctions qui planent ; et d’autre part du fait de la difficulté à remplir toutes les conditions pour être RGPD-compliant. En effet, nombre d’entreprises sont dépassées par l’application du texte de la CNIL, et n’arrivent pas à envisager de tels changements. Néanmoins, si la mise en place d’actions pour être conforme au RGPD n’est pas une mince affaire, passer par une agence de mise en conformité RGPD compétente et experte reste encore la meilleure solution pour rapidement et efficacement rendre votre site web fidèle aux attentes de la CNIL et vous éviter les lourdes sanctions encourues.
Une difficile mise en conformité, face à des menaces qui ne faiblissent pas
Une étude réalisée en novembre 2018 sur les mesures de sécurité et de protection prises par les PME depuis la mise en application du RGPD. Réalisée auprès de 700 décideurs en fin d’année 2018, elle révèle que près de 50% des PME n’ont pas renforcé leurs mesures de sécurité ; près de 77% n’ont pas réalisé d’audit de sécurité ; 1 PME sur 2 ne forme pas ses salariés aux questions de protection de données personnelles et de cybersécurité.
Pourtant, les menaces ne faiblissent pas
En 2018, 30,1% des utilisateurs de produits de l’éditeur de solutions commerciales de cybersécurité ont été confrontés à une attaque web de type malware, contre 29,4% en 2017. En 2018, 554 159 621 URLs uniques ont été reconnus comme malveillantes, contre 199 455 606 en 2017 (+178%). 1 876 998 691 attaques lancées repoussées, depuis des ressources en ligne, contre 1 188 728 338 en 2017.
Petites entreprises, grandes menaces : restez informés, restez protégés
