Archives par mot-clé : chiffrement

Chiffrement, cryptage, Cybersécurité

GMX lance un service de chiffrement de mail via PGP

Les mails représentent le moyen de communication le plus utilisé sur Internet. Cependant, n’étant généralement pas chiffrés par défaut, leur niveau de sécurité est aussi faible que celui d’une carte postale.

Suite aux nombreuses atteintes aux données sensibles des grandes entreprises ces dernières années, ainsi qu’aux révélations de Snowden, les internautes sont de plus en plus conscients de la vulnérabilité de leurs données en ligne. Grâce au PGP (Pretty Good Privacy), un standard de sécurité mondialement reconnu, GMX offre à tous les utilisateurs la possibilité de facilement chiffrer leurs mails. GMX est le premier fournisseur proposant gratuitement le chiffrement des mails de bout-en-bout. Ce nouveau service est compatible avec tous les appareils les plus fréquemment utilisés.

« Grâce à l’intégration du chiffrement de bout-en-bout, GMX offre à ses clients le contrôle absolu de leur conversations privées. Tous les utilisateurs, quelles que soient leurs compétences techniques, peuvent désormais chiffrer leurs emails afin que leurs destinataires soient les seuls à pouvoir accéder à leur contenu. Via un navigateur ou depuis l’application GMX pour smartphones, il est désormais possible pour tous d’avoir recours au chiffrement grâce à une technologie dont l’installation était autrefois très complexe. C’est un grand pas en faveur de la généralisation du chiffrement » déclare Jan Oetjen, Président de GMX.

L’assistant d’installation configure le PGP pour les utilisateurs
Cette approche permet de résoudre les trois principaux problèmes auxquels ont déjà été confrontés les utilisateurs qui ont souhaité utiliser le chiffrement de bout-en-bout et qui ont pu freiner son adoption : l’installation du PGP, l’échange de clés et l’aide disponible en cas de perte de la clé. GMX a donc lancé son assistant de configuration pour accompagner les premiers pas des utilisateurs jusqu’à l’envoie de leur premier mail chiffré. Après avoir installé le plug-in sur le navigateur, une clé privée et une clé publique est générée automatiquement et attribuée spécifiquement à l’utilisateur. Les e-mails adressés à un destinataire en particulier sont ainsi chiffrés avec la clé publique de ce destinataire et ne peuvent alors être déchiffrés par cette personne qu’en utilisant une clé privée secrète. En transférant simplement les clés entre les appareils, les utilisateurs peuvent également enregistrer rapidement leur clé privée sur leur smartphone pour permettre de la restaurer facilement à partir de l’un de leurs appareils, même en cas de perte.

Une solution basée sur de l’open source
Le chiffrement PGP de ce service a été développé à l’aide du logiciel open source Mailvelope, et peut ainsi être utilisé sur la quasi-totalité des appareils électroniques. Lors d’une connexion via un moteur de recherche, le plug-in s’intègre automatiquement à l’interface habituelle de la messagerie de GMX et chiffre directement le contenu du mail et les pièces-jointes avant l’envoi. Ce plug-in est directement inclus dans les versions Android et iOS de l’application GMX pour les smartphones et tablettes. Cela permet aux utilisateurs de chiffrer et déchiffrer leurs messages sur les appareils les plus couramment utilisés. Même les pièces-jointes sont maintenant facilement chiffrables avec le reste de l’email, et cela quel que soit l’appareil, ce qui auparavant demandé des efforts supplémentaires.

Résoudre le problème du PGP grâce à un répertoire de clé publique dédiée
Avec son répertoire de clé publique dédié, GMX offre la solution à l’un des problèmes majeurs de la technologie PGP : comment les clés publiques des autres utilisateurs peuvent être accessibles de façon sécurisée et comment peut-on s’assurer que ce sont les bonnes clés ? Toutes les clés publiques générées par le moteur du plug-in sont stockées dans un répertoire administré par GMX. Grâce à une signature spécifique, GMX s’assure que les clés contenues par ce répertoire correspondent bien à celles des comptes dans le répertoire. Seuls les utilisateurs connaissent leurs clés privées.

Publier le code source de son service pour en assurer la transparence
GMX assure la transparence de son service en publiant le code source et en mandatant des experts en sécurité, externes à l’entreprise, pour effectuer des audits. Toutes les informations sensibles – comme les clés privées ou les mots de passe – échappent au contrôle de GMX et ne pourront jamais être consultés par eux. Les utilisateurs conservent ainsi la pleine souveraineté de leurs données. Cela signifie tout d’abord que les utilisateurs peuvent choisir quels messages ils souhaitent chiffrer, mais le chiffrement de bout-en-bout signifie également que les utilisateurs sont responsables de la sécurité de leurs appareils, de leurs clés privées. Le chiffrement ne peut être sûr que si l’appareil l’est.

Chiffrement, cryptage, Cybersécurité, Justice, loi

Lutte anti-terrorisme et chiffrement : le Conseil national du numérique lance une réflexion à la rentrée 2016

Mardi 23 août, le ministre de l’Intérieur Bernard Cazeneuve a rencontré son homologue allemand pour soutenir une initiative européenne de lutte contre le terrorisme visant à limiter le chiffrement. En réaction, le Conseil national du numérique (CNNum) souhaite instruire les implications politiques, sociales et économiques d’une limitation du chiffrement. Le Conseil se saisira de cette question à la rentrée pour apporter sa contribution au débat.

A l’initiative du Président du CNNum Mounir MAHJOUBI, plusieurs membres du Conseil et experts extérieurs (dont Isabelle FALQUE-PIERROTIN – Présidente de la CNIL, Gilles BABINET – Digital Champion de la France auprès de l’Union européenne et Tristan NITOT – Fondateur de Mozilla Europe et Chief Product Officer de Cozy Cloud) se sont exprimés en faveur du chiffrement dans une tribune publiée dans “Le Monde” le 22 août. Ils alertent le gouvernement français sur les conséquences graves et non anticipées d’une limitation du chiffrement ou d’une généralisation des portes dérobées (backdoors). De telles mesures auraient pour conséquence d’affaiblir la sécurité des systèmes d’information dans leur ensemble” en ouvrant des failles de sécurité utilisables par tous, à des fins légitimes ou mal-intentionnées. De plus, elles auraient “une efficacité toute relative sur l’infime minorité d’utilisateurs ciblés”.

Accusé de faciliter la propagande et la préparation d’actes terroristes, le chiffrement est avant tout utilisé par les citoyens, entreprises et pouvoirs publics pour protéger des communications ou transactions. Il consiste à protéger des données en les rendant illisibles de l’extérieur et déverrouillables par une clé.

Mounir MAHJOUBI, Président du CNNum, résume ainsi les enjeux : “Il n’est pas question de nier les enjeux de sécurité et l’urgence d’agir. Le chiffrement peut être utilisé par des terroristes mais il constitue surtout un élément essentiel de notre sécurité en ligne et, partant, de celle de notre pays.

Afin d’apporter à ce débat un éclairage à la hauteur des enjeux liés au chiffrement, le Conseil national du numérique prévoit donc de lancer dès la rentrée des travaux dédiés à ce sujet, notamment sur les règles de coopération judiciaire internationale et la généralisation d’une culture du chiffrement.

Chiffrement, cryptage, Cybersécurité, Facebook, Mise à jour, Patch, Vie privée

Chiffrement de bout en bout pour WhatsApp

La filiale de Facebook, WhatsApp, permet de converser dorénavant en mode chiffré de bout en bout. Les messages et les conversations ne pourront plus être lus, ni écoutés. Chiffrement de bout en bout pour WhatsApp, vraiment ?

C’est officiel, Facebook vient de mettre de nouveaux bâtons dans les roues des autorités. Son outil de conversation WhatsApp vient d’être mis à jour. Dans cette mise à jour, une option chiffrement qui va beaucoup amuser le FBI. L’outil chiffre les messages textes et les conversations audios, et cela de bout en bout.

Chiffrement de bout en bout pour WhatsApp – La technologie ressemble à celle utilisée par les outils PGP, GPG… les interlocuteurs doivent posséder leur clé de chiffrement (la clé privée) et diffuser leur clé publique. WhatsApp s’en charge automatiquement et rend toute tentative de lecture des interceptions impossibles. Si les contenus ne sont pas « lisibles », les interceptions sont toujours possibles (Wi-fi ouvert…).

Mais prudence, comme le rappel sur Twitter 0x356CDCDE, c’est avant tout une annonce marketing. « Le problème de Whatsapp, c’est surtout que c’est une application propriétaire, donc pas de peer review du code source… » Bilan, rien n’empêche de penser que Facebook posséde une MasterKey, un passe-partout pour déchiffrer les messages.

Pendant ce temps…

… la grande dame qu’est la CNIL vient de prononcer un avis particulièrement intéressant concernant l’utilisation dans les procédures judiciaires de « portes dérobées« . Une backdoor dans un téléphone, un ordinateur, une tablette, pourrait permettre de passer outre le mot de passe et le système de chiffrement proposé de base, comme pour les appareils sous Android et iOS.

La présidente de la Commission Nationale Informatique et des Liberté, Isabelle Falque-Pierrotin, a indiqué vendredi 8 avril, lors de la conférence de presse Annuelle de la CNIL que « autoriser […] backdoors ou portes dérobées n’est pas une bonne solution […] L’idée qu’au nom de cet impératif de sécurité il faille mettre en place des backdoors pour, dans tous les cas, permettre aux services de police d’accéder à une information qui sera le cas échéant cryptée et non décryptable, cette solution n’est pas une bonne solution ».

Pour la CNIL, le chiffrement est indispensable et il y a suffisamment « de dispositifs dédiés permettant l’accès aux données, réquisitions, captations de données informatiques, techniques de collectes mises en place par la loi renseignement ».

Android, Apple, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, ID, Identité numérique, ios, iOS, IOT, Microsoft, Particuliers, Sécurité, Smartphone, Vie privée, VPN, Windows phone

Applications et VPN pour téléphone portable et tablette

Surfer anonyme et sécurisé sur votre téléphone portable et autre tablette est devenu un acte obligation. Pour cela, l’utilisation d’un VPN est devenue indispensable. Pas toujours simple à employer, il existe des applications qui automatisent et facilitent l’exploitation d’un VPN. Voici quelques solutions d’outils et de VPN pour votre téléphone portable et votre tablette, simples à mettre en place et efficace.

S’il fallait faire simple, un VPN est une machine qui va vous permettre de cacher votre adresse Internet lors de vos surfs, téléchargements, … La machine, entre vous et l’espace numérique que vous souhaitez visiter va servir de leurre. C’est l’adresse du VPN qui apparaitra dans les traces du forum, des sites… que vous visitez. A noter que de plus en plus de service VPN vous proposent aussi de chiffrer les informations qui transitent entre lui, votre FAI et votre ordinateur. En gros, les informations que vous envoyez/recevez, sont chiffrés entre le fournisseur de VPN, votre FAI [ou celui qui vous propose la connexion : hôtel, restaurant, conférence…] et vous. Bilan, un « espion » ayant la main sur votre connexion (un wi-fi public par exemple, NDR) ne pourra pas intercepter/lire/modifier les données qui arrivent/sortent de votre ordinateur. Bref, indispensable sur un ordinateur (PC, MAC). Encore plus indispensable sur un smartphone, tablette et tout autre objet nomade.

Voici quelques solutions de VPN et d’applications proposées par ZATAZ.COM dédié au surf anonyme et sécurisé pour votre smartphone et tablette. Ils vous permettant de surfer, converser… en mode sécurisé et chiffré. Je vais commencer par les applications que j’utilise. A noter que je n’exploite  jamais deux fois la même application/VPN dans la même journée.

A partir de 3€ par mois, sans abonnement.

HideMyAss! est un service permettant de surfer en mode chiffré, et quasi anonymement. Pour cela, HMA vous permet d’utiliser un VPN, un tunnel qui chiffre les informations qui transitent entre vous et les réseaux que vous pouvez utiliser (Oueb, FTP, IRC…). Hide My Ass, que l’on peut traduire par… « protéger son petit fessier sur Internet » propose une application simple et efficace. Sélection aléatoire des serveurs, recommandations géographiques (pour plus de rapidité, par exemple), planification des changements d’ip (toutes les 5 minutes, une nouvelle adresse, un nouveau serveur, un nouveau pays, par exemples).

Très pratique, vous pouvez choisir les applications qui ne peuvent se connecter qu’avec un VPN (mails…). L’application pour iPhone et Android est très intuitive. Bref, avec 929 serveurs basés dans plus de 190 pays, HMA met à disposition 125688 adresses IP. Cette société propose une option TV et console de jeux. Fonctionne sur PC, MAC, Android, iOS. Surf anonyme et sécurisé pour votre smartphone et tablette, téléchargez et testez HideMyAss!

VyprVPN, comme son cousin HideMyAss, offre un système de chiffrement. OpenVPN, et par une invention maison, le Chameleon (256 bits). Il utilise le protocole OpenVPN 256 bits, et permet de brouiller les métadonnées pour éviter le Deep Packet Inspection (DPI), les blocages… Ici aussi, vous pouvez définir les applications qui se lanceront uniquement avec un VPN. L’appli VyprVPN peut aussi être configurée de manière à s’allumer dès qu’une connexion wi-fi non sécurisée est détectée.

Nouveau, l’outil pour smartphone et tablette permet de bloquer les contenus et espaces numériques que votre mobile souhaiterait visiter sans votre accord (pub, redirection, lancement de programme malveillant…). Plus de 200.000 adresses IP, quelques 800 serveurs. Compter 10€ par mois, sans obliger de souscrire à un abonnement. VyprVPN propose une option TV, console de jeux et routeur. Fonctionne sur PC, MAC, Android, iOS. Surf anonyme et sécurisé pour votre smartphone et tablette – Téléchargez et testez VyprVPN.

Retrouvez plusieurs autres solutions gratuites et payantes d’application et VPN pour un surf anonyme et sécurisé pour votre smartphone et tablette sur zataz.com.

Chiffrement, cryptage, Cybersécurité, Linux

Ring, un système de communication distribué et sécurisé Open Source

Savoir-faire Linux annonce le lancement de la version Beta de Ring, un système de communication distribué et sécurisé Open Source.

Depuis quelques mois, Ring, un logiciel libre sous licence GPLv3, développé par les équipes de Savoir-faire Linux, crée une effervescence dans le milieu mondial du logiciel libre, des hackers et de la cybersécurité, bien qu’il en soit à ses tous premiers balbutiements. Plusieurs opérateurs Internet et industriels des télécommunications, et même l’industrie du développement durable commencent également à s’y intéresser de près.

Présenté en plénière au FOSDEM2016 à Bruxelles il y a quelques semaines, il constituera l’événement de ce week-end simultanément à la conférence FOSSASIA de Singapour et surtout à Boston, au cours de la conférence LibrePlanet, organisée par la célèbre Free Software Foundation, qui fêtera pour l’occasion son 30ème anniversaire.

Ring, le nouveau Skype ou Hangout Open Source
Ring permet d’établir une communication chiffrée vidéo, audio, texte de très haute qualité entre deux ou plusieurs personnes où qu’elles soient dans le monde. Il est disponible pour les plate-formes Linux, Windows, Mac/OSX, Android et d’ici quelques mois sur iOS. Il est distribué avec les sources sous licence GPLv3.

Pour de nombreux  spécialistes, ce logiciel pourrait constituer un jalon dans l’histoire de l’Internet. Mais  Cyrille Béraud, Président de Savoir-faire Linux, reste prudent : « Je voudrais rappeler que la version que nous présentons aujourd’hui est une version Beta, c’est-à-dire que Ring est encore un logiciel jeune, qui reste fragile et qui, dans de nombreuses situations, fonctionnera de manière imparfaite. Ceci étant dit, il s’améliore chaque jour et dans un environnement standard et pour un usage domestique, il fonctionne déjà très bien ».

Ring, une plateforme de communication décentralisée et distribuée
Le concept essentiel de Ring est la décentralisation. Avec Ring, plus besoin d’opérateurs, plus besoin de serveurs à gérer, plus de coûts associés à chaque appel et surtout, Ring offre beaucoup de liberté et de sécurité.

« Techniquement, nous nous sommes appuyés sur des technologies déjà bien éprouvées : ffmpg/libav, GnuTLS, Pjsip, etc., mais concernant l’innovation au cœur de Ring, nous avons utilisé le concept des DHT, Distributed Hash Tables. Pour cela, nous avons développé notre propre librairie, OpenDHT, disponible sur github, en introduisant des innovations importantes qui, conjointement avec les protocoles ICE et SIP, permettent ainsi de traverser les routeurs et les pare-feux, de localiser, d’une manière certaine un utilisateur, même s’il se trouve dans un réseau privé, et d’établir, un canal de communication  sécurisé, de n’importe où dans le monde.» précise Cyrille Béraud. Dans un contexte professionnel, c’est une flexibilité et des économies importantes pour de très nombreuses entreprises. Pour tous, c’est la possibilité de communiquer librement et gratuitement où que l’on soit, en toute sécurité« . indique Cyrille Béraud.

De part cette propriété et du fait que Ring utilise des standards ouverts et reconnus, cette plateforme permet d’esquisser un véritable système universel de communication non-hiérarchique sur Internet, en permettant non seulement une communication entre deux personnes, mais plus généralement, entre deux ou une multitude d’objets sur Internet. « De ce point de vue, les innovations que nous avons mises à disposition à travers Ring, ouvrent de nombreuses possibilités et applications industrielles ou grand public. Nous avons déjà dans notre laboratoire, plusieurs prototypes basés sur des plateformes embarquées très légères qui, à partir de Ring, s’interconnectent avec des systèmes domotiques ou des systèmes d’acquisition de données. C’est assez spectaculaire et très prometteur.

Pour compléter ce tour d’horizon, il faut indiquer aussi que Ring fonctionne en mode dégradé et même complètement coupé d’Internet. « Imaginez un village isolé en Afrique ou en Inde avec une connexion fragile à Internet. En cas de coupure d’accès au Net, le système distribué de Ring se rétracte sur les nœuds qu’il peut contacter et continue de fonctionner. Dans l’exemple du village coupé du monde, les habitants peuvent continuer à communiquer entre eux. Ring, de ce point vue, peut participer à un développement durable et contribuer au développement de l’économie et de la démocratie de pays ayant des infrastructures de communication peu développées. »

Base de données, Chiffrement, Cloud, Cybersécurité, Emploi, Entreprise, Fuite de données, Mise à jour, Patch

Les angles morts créés par le trafic chiffré SSL

Le chiffrement SSL/TLS est largement utilisé pour garantir la confidentialité des communications vers les serveurs internes et externes. Malheureusement, cette confidentialité s’applique également aux solutions de sécurité en les aveuglant et de ce fait en empêchant l’inspection du trafic réseau. Ce qui augmente les risques encourus. Le cabinet Gartner prévoit ainsi qu’en 2017, plus de la moitié des attaques réseau menées contre les entreprises utiliseront le trafic chiffré afin de contourner les mécanismes de contrôle.

Les flux chiffrés étant de plus en plus utilisé par les pirates informatiques, intéressons-nous aux cinq erreurs les plus fréquemment commises en matière d’inspection des communications réseau :

La négligence. Selon Gartner, les entreprises sont nombreuses à ignorer le manque d’efficacité de leurs systèmes de protection en profondeur. Ainsi, la plupart des organisations n’ont pas mis en place de politique formelle de sécurisation des flux chiffrés. Moins de 50% des entreprises équipées de passerelles Web sécurisées (SWG) s’en servent pour déchiffrer le trafic Web sortant. Enfin, moins de 20% des organisations équipées d’un pare-feu, d’un système de prévention des intrusions (IPS) ou d’une appliance de gestion unifiée des menaces (UTM) analysent le contenu des flux lorsqu’ils sont chiffrés.

Le manque de précision. Les entreprises gaspillent de l’argent dans toutes sortes de solutions : IDS/IPS (systèmes de détection/prévention d’intrusion), DLP (solutions de prévention contre la perte de données), pare-feu de nouvelle génération, outils d’analyse de logiciels malveillants, etc. Bien que ces solutions répondent à une variété de problématiques, l’inspection du trafic SSL n’y est tout au plus présente qu’en tant que fonctionnalité optionnelle, et se limite à fournir une visibilité sur les communications Web/HTTPS. De plus, ces fonctionnalités étant tellement consommatrice de ressources, les entreprises doivent déployer plusieurs appliances supplémentaires afin de prendre en charge l’inspection d’un trafic SSL. Cette méthode s’avère  couteuse, problématique sur le plan opérationnel et souvent incomplète.

Le manque de cohérence. Le manque de cohérence dans le déploiement des politiques de déchiffrement du trafic sur les différentes solutions de sécurité utilisées est souvent problématique pour les services chargés de la sécurité informatique. La complexité des réglementations en matière de confidentialité des données est généralement identifiée comme étant un obstacle aux prises de décisions par les départements juridiques, RH ou de conformité. En outre, le manque de communication avec les employés et souvent source de mécontentement (« Pourquoi mes flux sont-ils inspectés ? ») et annihile souvent l’aboutissement des efforts de déchiffrement de ce type.

S’appuyer sur une protection insuffisante. Les logiciels malveillants utilisent le trafic SSL pour commettre leurs méfaits. Ainsi, selon Gartner, l’omniprésent botnet Zeus utilise les communications SSL/TLS pour se mettre à jour après une première infection par e-mail. Par ailleurs, notre centre de recherche Blue Coat Research Labs a constaté que le cheval de Troie Dyre utilisait souvent des mécanismes de commande et de contrôle (C2C) malfaisants tels qu’Upatre pour communiquer secrètement avec ses serveurs de contrôle et de commandement.

Se laisser perturber par l’évolution de l’environnement. L’adoption rapide d’applications et de services cloud étend et complique considérablement les environnements informatiques, accélère le développement du trafic SSL/TLS chiffré, et augmente l’exposition aux risques de piratage. Les applications modernes telles que les médias sociaux, les solutions de stockage de fichier, les moteurs de recherche et les logiciels cloud s’appuient de plus en plus sur ces protocoles pour communiquer. Il est vivement recommandé de superviser et d’analyser ces applications et services, à la recherche de contenu et d’activité malveillants. La généralisation de l’utilisation de ces applications rend encore plus critique la mise en place d’une politique de déchiffrement permettant d’identifier ce qui peut l’être ou ce qui doit rester chiffré.

Voici quatre recommandations pour combler les lacunes vis-à-vis de la sécurité de votre réseau :

1.     Identifier la volumétrie et prévoir son augmentation : évaluez le pourcentage et le volume de trafic réseau chiffré par SSL dans votre organisation.

2.     Évaluez le risque que le trafic ne soit pas inspecté : partagez des informations et collaborez avec vos collègues en dehors des services informatiques (départements RH, juridiques, conformité) ; étudiez et affinez vos stratégies d’entreprise sur le plan de la confidentialité et de la conformité ; et créez un plan d’action commun afin de gérer toute vulnérabilité.

3.     Renforcez votre infrastructure de sécurité réseau en assurant une gestion complète du trafic chiffré : renforcez vos solutions existantes (pare-feu de nouvelle génération, IDS/IPS, antivirus, DLP, outils d’analyse de malware/sandbox et autres logiciels d’analyse de la sécurité) en leur donnant la possibilité de détecter toutes les menaces (même celles issues du trafic précédemment chiffré) et de les traiter comme il se doit.

4.     Supervisez, affinez et appliquez vos stratégies : supervisez, affinez et mettez en œuvre vos stratégies relatives aux applications et au trafic chiffrés entrant et sortant de votre réseau. (par Par Dominique Loiselet, Directeur Général de Blue Coat France)

Chiffrement, cryptage, Cybersécurité

Ne confondons plus confidentialité avec sécurité

Depuis début octobre 2015, Twitter a décidé de chiffrer les échanges de messages privés entre ses utilisateurs, en expliquant que cela augmente la sécurité. A chaque fois qu’un géant de l’Internet, Google en tête, passe en trafic SSL, le message est « c’est pour améliorer la sécurité ». Mais l’utilisation de flux chiffrés est-elle un véritable vecteur d’amélioration de la sécurité des systèmes d’informations ?

N’est-ce pas plutôt, et comme l’indique l’ANSSI dans son document Recommandation de Sécurité concernant l’analyse des flux HTTPS « Une technologie conçue pour protéger en confidentialité et en intégrité les communications de bout en bout ».

La confidentialité consiste dans « le fait de s’assurer que l’information n’est seulement accessible qu’à ceux dont l’accès est autorisé » selon la définition de l’Organisation Internationale de Normalisation (ISO). La sécurité, elle, correspond à l’absence de menaces, ou à la mise en place de stratégie et d’outils pour réduire très significativement ces menaces.

Le chiffrement du trafic rend pratiquement impossible l’interception des échanges par une personne non autorisée et améliore de ce fait la confidentialité. Et ce de bout en bout, entre le site Internet et l’ordinateur ou le terminal mobile. Mais si le site web est infecté, alors les codes malicieux qui vont transiter sur le réseau ne pourront plus être détecté par les systèmes de sécurité de l’entreprise déployés dans l’infrastructure. En voulant améliorer la confidentialité, le développement des trafics chiffrés ouvre en fait une brèche béante de sécurité

L’Arcep vient d’annoncer qu’à la mi-2015, la part de trafic chiffré vue par les FAI en France représenterait près de 50% contre 5% en 2012. De ce fait, et sur la moitié des trafics internet, la sécurité de l’entreprise ne pourra reposer que sur les capacités d’analyse et de détection déployées après le tunnel chiffré. C’est-à-dire sur le périphérique. Dans la grande majorité des cas, il s’agit d’un simple agent d’antivirus, ce qui est loin d’être suffisant vu la complexité des menaces actuelles. Les pirates l’ont bien compris, et on estime que 80% des attaques complexes utilisent désormais les connections chiffrées pour pénétrer le système informatique des entreprises.

Cela crée une situation paradoxale pour les employés, qui demandent, et à juste titre, à la fois la confidentialité des échanges, la sécurisation des informations sensibles et la protection contre les attaques de type Ransomware. Ne confondons pas confidentialité et sécurité… ça n’est pas la même chose. Ces deux besoins fondamentaux peuvent paraître antinomiques, mais il est désormais possible, avec des solutions de Sécurisation des Flux chiffrés (Encrypted Trafic Management) de faire quelles se complètent pour renforcer la sécurité du système d’information. (Par Dominique Loiselet, Directeur
Général de Blue Coat France.)

Android, Chiffrement, cryptage, Cybersécurité, Mise à jour, Patch, Smartphone, Téléphonie

Google renforce son action pour le chiffrement des courriels

Google a décidé de resserrer la sécurité de ses utilisateurs en avertissant de l’arrivée d’un courriel non chiffré… mais ne corrige pas un bug plutôt gênant.

Google a ajouté une nouvelle fonctionnalité à Gmail qui a pour mission d’informer les utilisateurs chaque fois qu’un courriel non chiffré atterrit dans votre boîte de réception. Cette nouvelle fonction est destinée à freiner les attaques en ligne qui peuvent viser des fournisseurs de messageries. Pour développer cette fonctionnalité, Google a signé un partenariat avec les Universités du Michigan et de l’Illinois. Une sécurité qui résulte d’une recherche sur l’évolution de la sécurité des courriers électroniques depuis 2013.

Pendant ce temps…
Depuis les paramètres de Gmail via un ordinateur, une chercheuse en informatique à trouvé le moyen de modifier le nom qui apparaîtra dans le courriel envoyé. Pour prouver sa découverte, Yan Zhu, la chercheuse, a modifié son nom d’affichage en yan «  »security@google.com ». Les guillemets supplémentaires dans son identité ont provoqué un bug de traitement de l’information. Un moyen qui pourrait piéger des internautes pensant recevoir un courriel de Google, par exemple.

Le bug ne vise que l’application Android. Yan Zhu a alerté l’équipe de sécurité Google. Cette dernière n’a pas estimé qu’il était important de corriger.

Base de données, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, Sauvegarde

Chiffrement des données en natif pour MariaDB

MariaDB colmate les failles de sécurité des données grâce à la contribution de Google sur le chiffrement des bases de données Open Source.

MariaDB Corporation, leader reconnu des solutions de bases de données Open Source garantissant haute disponibilité, évolutivité et performances élevées, annonce sa nouvelle version MariaDB 10.1 RC, une version supervisée par la Fondation MariaDB qui fournit un chiffrement natif des bases de données, facile à déployer, sans sacrifice de performances, ni d’augmentation des coûts. Avec la mise à jour de MariaDB 10.1, les utilisateurs de MySQL et de MariaDB peuvent entièrement chiffrer leurs bases de données sans aucune modification des applications ni dégradation des performances globales. Les bases de données et applications commerciales peuvent également migrer vers MariaDB 10.1 pour permettre aux entreprises de chiffrer et de protéger leurs bases de données ainsi que les données qui y sont stockées ; pour une infime partie du coût total de possession actuel. MariaDB 10.1 intègre également des améliorations en termes d’évolutivité, de haute disponibilité, de performances et d’interopérabilité pour les applications critiques.

Étant donné le coût de réaction et de remédiation des failles de données qui atteint 3,8 millions de dollars au niveau mondial ainsi que le coût moyen par enregistrement compromis estimé à 154 dollars, chiffrer ses données est un impératif majeur. Les pilleurs de données ont évolué et leurs techniques sont désormais plus sophistiquées. Si l’on ajoute à cela la croissance exponentielle des données sensibles que doivent gérer les entreprises, que ce soit dans des environnements distribués, sur site ou dans le Cloud, le coût lié à l’utilisation de systèmes de sécurité périmétrique n’est plus une option viable.

Traditionnellement, les fournisseurs de SGBD ont enrichi leurs offres avec des extensions tierces pour chiffrer les bases de données, mais leur coût élevé, leurs besoins en maintenance ainsi que leur impact sur les performances en font une solution qui n’est plus viable sur le long terme pour la plupart des entreprises. En intégrant à la version MariaDB 10.1 le chiffrement natif des bases de données fourni par Google, MariaDB facilite la création d’une protection de sécurité multicouche.

« La sécurité des données est essentielle, mais le coût, les problèmes de performances et les défis de déploiement ont toujours été des obstacles à une adoption plus massive du chiffrement des données » déclare Garrett Bekker, analyste en chef de la division Sécurité d’entreprise chez 451 Research. « Le chiffrement natif et transparent des données intégré à MariaDB 10.1 résout les problèmes d’adoption rencontrés par les CISO et CIO qui cherchent à adopter les meilleures pratiques en matière de sécurité des données. »

« Nous sommes ravis de mettre MariaDB 10.1 à la disposition de la communauté Open Source avec des fonctionnalités de chiffrement de données fournies par Google, » déclare Otto Kekäläinen, CEO de la Fondation MariaDB, « Avec cette toute dernière version, MariaDB offre la base de données Open Source la plus évolutive, fiable et sécurisée actuellement disponible sur le marché ».

Sécurité – Les avantages par rapport à d’autres bases de données Open Source :

  • Chiffrement des données au repos : chiffrement au niveau des instances et des tables avec support des clés tournantes (contribution Google)
  • Validation des mots de passe
  • Contrôle d’accès à base de profils (profil par défaut) renforcé et optimisé

Haute disponibilité – Les améliorations apportées en termes de disponibilité élevée offrent une solution hors pair avec une intégration totale de Galera Cluster.

Montée en charge – le renforcement comprend :

  • Réplication parallèle optimiste : toutes les transactions sont considérées comme exécutées en parallèle pour renforcer les performances de réplication maître-esclave
  • Exécution de déclencheurs par l’esclave lors de l’utilisation de réplication
  • Améliorations spécifiques de WebScaleSQL

Performances accrues :

  • Délai d’attente des requêtes
  • Améliorations apportées à InnoDB, qu’il s’agisse du nettoyage multi-thread ou de la compression des pages pour FusionIO/nvmfs
  • Amélioration de l’optimiseur et EXPLAIN JSON, EXPLAIN ANALYZE (avec FORMAT=JSON)

Interopérabilité renforcée :

  • Support JSON/BSON pour le moteur CONNECT

MariaDB a été positionnée par Gartner dans la catégorie Leaders du Magic Quadrant pour les systèmes de gestion de bases de données opérationnels. »

Disponibilité

MariaDB 10.1 RC est disponible immédiatement en téléchargement ; sa disponibilité générale est prévue pour début octobre.

Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Propriété Industrielle

Le chiffrement pour protéger sa propriété intellectuelle

Dans une étude publiée fin 2014, le spécialiste de la sécurité Kasperky Lab, soulignait que près de 20 % des entreprises industrielles ont subi un vol de propriété intellectuelle. S’il existe un cadre juridique et des solutions qui permettent de protéger sa propriété intellectuelle sur un marché local et à l’international, l’espionnage industriel n’en reste pas moins une réalité.

Ces mesures juridiques sont le plus souvent complétées par des solutions de protection physique (vidéosurveillance, alarmes, etc.) et informatique. Pourtant, l’évolution permanente des technologies, des terminaux et des applications complexifie la mise en œuvre d’une sécurité efficace.

Que ce soit le fait d’un employé peu scrupuleux qui profite d’un mauvais paramétrage ou de permissions d’accès trop étendues aux données sensibles ou d’une attaque extérieure qui exploitera une faille, une mise à jour oubliée ou une attaque ciblée, comment garantir que vos données sont à l’abri ? Comment faire en sorte que même piratés, les plans ou la formule de votre prochain produit stratégique ne puissent être exploités ?

Car une entreprise peut protéger le périmètre de son système d’information autant qu’elle veut, elle sera forcément victime d’une attaque dans un avenir plus ou moins proche. Or que ce passera-t-il si les protections ne fonctionnent pas ? Comment garantir la confidentialité des données relatives à la propriété intellectuelle même en cas de vol ?

Le contrôle des permissions et des accès : une bonne gouvernance est essentielle

Au delà des protections classiques que l’on retrouve au sein des entreprises (pare-feu, antivirus, proxy, etc.), l’une des premières choses à faire lorsque l’on souhaite garder le contrôle des données sensibles, c’est de mettre en place une bonne gouvernance des données. Cela consiste à définir qui a le droit d’accéder à quelles données et de pouvoir contrôler l’historique des accès, des modifications et les changements d’emplacement de ces dernières.

Le contrôle des permissions d’accès et surtout le suivi de ces accès permet d’avoir un premier niveau d’alerte en cas de mouvements suspects, que ceux-ci soient le fait d’un employé indélicat ou d’un pirate ayant réussit à pénétrer le système. Nous avons chaque jour des preuves que cela est possible.

L’autre solution consiste à protéger les données elles-mêmes afin de les rendre inexploitables en l’état en cas de piratage.

Protéger la données elle-même : le chiffrement

Le chiffrement reste une valeur sûre pour protéger des données de manière efficace. Comme le définit Wikipedia « Le chiffrement est un procédé de cryptographie grâce auquel on souhaite rendre la compréhension d’un document impossible à toute personne qui n’a pas la clé de (dé)chiffrement. ». Le chiffrement présente donc un réel intérêt pour les entreprises qui souhaitent protéger des données telles que celles liées à leur propriété intellectuelle pour les rendre illisibles, même (et surtout) en cas de vol. Il faudrait en effet déployer des efforts considérables et utiliser un matériel sophistiqué tel qu’un supercalculateur, pour avoir une chance de déchiffrer des données chiffrées obtenues de manière frauduleuse.

Une fois chiffrées, les données ne peuvent être lues que par les personnes ayant la clé pour pouvoir le faire et ce, où qu’elles sont stockées. Qu’elles soient sur le réseau de l’entreprise, dans le cloud, sur une clé USB ou qu’elles soient échangées par email ou tout autre moyen. Les données chiffrées resteront constamment protégées. L’entreprise sera ainsi la seule à pouvoir accéder au contenu des fichiers, garantissant ainsi leur totale sécurité.

Il convient toutefois de choisir sa solution de chiffrement avec soin. Mieux vaut éviter les solutions de chiffrement non validées ou gratuites dont la fiabilité n’est pas complètement garantie. Idéalement, une entreprise devra porter son choix vers une solution certifiée par des organismes reconnus tel que l’ANSSI (Agence nationale de la sécurité des systèmes d’information).

Ensuite, il faut que cette solution garantisse à l’entreprise, et uniquement à l’entreprise, la totale responsabilité en ce qui concerne la gestion des clés. Le chiffrement doit se faire sur votre système avec la clé conservée en interne.

Si vous décidez d’opter pour le chiffrement et que vous restez maître de vos clés, alors la sécurité de votre propriété intellectuelle sera pleinement garantie.

Dans une récente étude, l’institut Ponemon révélait que « 33 % des entreprises françaises disposent d’une stratégie de chiffrement ». On peut s’étonner que le nombre d’utilisateurs soit si faible alors que la protection des données n’a jamais été aussi importante. Mais soyons positif cela laisse une bonne marge de progression. (‎Par Xavier Dreux, Responsable Marketing chez Prim’X)