Archives par mot-clé : connexion

BYOD, Cybersécurité, DDoS, Entreprise, IOT, Piratage

Piratage inédit de caméras de surveillance connectées

La société américaine Sucuri a mis en lumière un piratage inédit de caméras de surveillance connectées permettant de mener des attaques par déni de services contre des entreprises.

La société américaine Sucuri a mis en lumière un piratage inédit de caméras de surveillance connectées (25 000 caméras concernées dont 2% estimé en France), destiné à créer un réseau de botnet (machines zombies utilisées à l’insu de leur propriétaire) permettant de mener des attaques par déni de services contre des entreprises. Ce cas met une nouvelle fois en avant la problématique de sécurité des objets connectés. Ce n’est pas la premiére fois que le problème des caméras Ip est dénoncé. Lire les articles à ce sujet ICI et LA. Peter Gyöngyösi, Responsable produits chez BalaBit IT Security, fournisseur européen de solutions de sécurité contextuelle indique à ce sujet que « Les coûts de fabrication priment toujours sur la sécurité : Ce cas de piratage de 25 000 caméras de surveillance démontre une nouvelle fois la problématique de la sécurité des objets connectés de notre quotidien ». Cette fois, les conséquences ne ciblent pas directement les utilisateurs, le piratage n’aura donc clairement pas la même portée que celui d’un fabricant de jouets comme Vtech ou le piratage de babyphones, mis en lumière il y a quelques mois par exemple.

En effet, dans ce cas les criminels ont piraté des objets connectés pour utiliser leur puissance au sein d’un réseau de machines zombies- botnet (utilisées donc à l’insu de leur propriétaire) en vue de mener des attaques par déni de services contre des entreprises (envoi simultanée de milliers de requêtes dans le but de saturer les serveurs au sein des entreprises).

Même s’il fait moins parler, ce cas démontre l’importance d’un engagement fort des fabricants d’objets connectés en matière de sécurité. Car aujourd’hui, le développement d’objets connectés est une véritable aubaine pour les cybercriminels. Et malheureusement, aujourd’hui nous constatons qu’il est encore utopique de penser que la sécurité sera un jour une priorité dans la conception des objets connectés grand public.

Aujourd’hui, objets connectés signifient des développements très rapides, des objectifs de coûts les plus bas possibles, tout en conservant une expérience utilisateur simple, rapide et agréable. Et clairement, personne ne veut se compliquer la tâche avec des problèmes de sécurité complexes lorsqu’il s’agit d’utiliser un objet connecté. Ceci n’est pas une fatalité et il faut espérer que les choses vont changer, les fabricants doivent prendre de vraies mesures de sécurité et mettre en place des politiques de sécurité plus strictes. Rappelons que dans ce cas mis en lumière par la société Sucuri, le piratage a été permis par une simple faille présente dans un système commun utilisé par toutes les caméras. Une simple mise à jour aurait donc suffi à empêcher le piratage.

A noter que le 14 juin, Imperva Incapsula a neutralisé une attaque par déni de service distribué (DDoS) à 470 gigabits par seconde (Gbit/s), la plus intense enregistrée à ce jour.

Android, Chiffrement, cryptage, Cybersécurité, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, ios, Particuliers, Sécurité, Smartphone, Téléphonie, VPN

Wifi gratuit, protégez votre connexion

Alors que la mairie de Paris a annoncé du wifi « haut débit » gratuit sur les Champs-Élysées, cette explosion récente des connexions wifi gratuites et publiques représente une véritable aubaine pour les utilisateurs. Il est tellement pratique de se connecter gratuitement à un réseau Wi-Fi dans un café, dans un parc ou dans un aéroport que cela en devient un réflexe, dès lors que notre appareil nous le suggère. Mais est-ce totalement sûr ? Quels sont les risques ? Comment se connecter à un réseau public en toute sécurité ?

Wifi gratuit ? Votre meilleur ennemi ! En général, les réseaux Wi-Fi que l’on trouve dans les lieux publics ne sont pas bien protégés. Ils se basent souvent sur des protocoles de chiffrement trop simples ou parfois pas chiffrés du tout. Les pirates peuvent ainsi accéder à chacune des informations que vous envoyez sur Internet : e-mails importants, données de carte bancaire, voire données d’identification permettant d’accéder à votre réseau d’entreprise. Une fois que les pirates disposent de ces renseignements, ils peuvent accéder à vos systèmes en votre nom, diffuser des programmes malveillants, ou facilement installer des logiciels infectés sur votre ordinateur si le partage de fichiers a été activé.

Quelques bons gestes à respecter face à un Wifi gratuit

D’abord, utilisez un réseau privé virtuel (VPN). Un VPN est indispensable lorsque vous accédez à une connexion non sécurisée, comme un point d’accès wifi. Même si un pirate réussit à se placer en plein milieu de votre connexion, les données qui s’y trouvent seront chiffrées, donc illisibles. Mails, mots de passe, ou simplement ce que vous visitez ne seront pas lisibles. J’utilise moi même plusieurs dizaines de VPN différents. Je peux vous proposer de tester Hide My Ass, ou encore VyprVPN. Un test de VPN disponibles pour votre ordinateur, tablette ou encore smartphone dans cet article. Dernier conseil, même si vous ne vous êtes pas activement connecté à un réseau, le matériel wifi équipant votre ordinateur, votre téléphone portable, votre tablette continuent de transmettre des informations. Bref, désactivez la fonctionnalité wifi si vous ne l’utilisez pas.

Activez l’option « Toujours utiliser HTTPS » sur les sites Web que vous visitez fréquemment ou qui nécessitent de saisir des données d’identification. Les pirates ne savent que trop bien que les utilisateurs utilisent les mêmes identifiants et mots de passe pour les forums, leur banque ou leur réseau d’entreprise.

Pour finir, lorsque vous vous connectez à Internet dans un lieu public, via un Wifi gratuit il est peu probable que vous souhaitiez partager quoi que ce soit. Dans ce cas, vous pouvez désactiver les options de partage dans les préférences système. (Kaspersky)

Chiffrement, cryptage, Cybersécurité, ID, Identité numérique, Mise à jour, Particuliers, Patch, RFID, Vie privée

Maison connectée : le défi de la protection de l’identité

Fin mai se tenait à Paris la Connected Conference, un rendez-vous devenu incontournable pour tous les acteurs du Monde Connecté où de grands acteurs de l’industrie ont été invités à s’exprimer (Nest, Alcatel-Lucent, Lego). C’est en se rendant à l’intérieur de leur «Maison Connectée» créée pour l’événement que l’on pouvait prendre la mesure du phénomène: de l’ampoule, aux serrures en passant par les thermostats, tout sera connecté.

Il est nécessaire que les industriels développent des appareils se focalisant sur l’identité de l’utilisateur et créent un protocole de sécurité simple et uniforme, à travers les appareils, les applications, et les réseaux. Cependant, comment être sûrs que ces appareils soient assez sécurisés au vue de leur nombre et diversité et de la croissance exponentielle des applications multi-plateformes ?

Des défis à ne pas négliger
Les technologies biométriques s’installent peu à peu dans notre quotidien, mais ce n’est que tout récemment qu’elles ont fait leur entrée dans nos maisons. Au-delà des nombreux avantages que peut offrir la maison connectée pour nous faciliter la vie (praticité, automatisation des processus, optimisation des coûts…), elle soulève de nombreuses questions, notamment en matière de confidentialité et de sécurité des données. « Avec de nouveaux points d’entrées dans nos foyers, les pirates peuvent facilement s’immiscer dans notre quotidien, connaitre nos habitudes et pirater nos données »

Les appareils connectés d’ores et déjà disponibles à la vente offrent des services au top de la technologie, mais dont la sécurité est souvent sacrifiée à la fonctionnalité : la plupart d’entre eux ne disposent pas, par exemple, de mécanismes de réponse en cas de piratage de leurs équipements. Avec ces nouveaux points d’entrées dans nos foyers, les hackers peuvent facilement s’immiscer dans notre quotidien, connaitre nos habitudes et pirater nos données. Nous entendons trop souvent parler de cyber attaques, de vols de données confidentielles pour ne pas s’interroger, à juste titre, sur les menaces pesant sur les appareils enregistrant notre quotidien, nos habitudes, nos préférences, notre intimité.

Il est ainsi nécessaire que les industriels développent des appareils se focalisant sur l’identité de l’utilisateur et créent un protocole de sécurité simple et uniforme, à travers les appareils, les applications, et les réseaux. Ainsi, le thermostat intelligent devra être en mesure d’ordonner à votre lave-linge quand commencer un programme d’une autre marque, via un réseau Wi-Fi dont on connaît que trop bien la vulnérabilité. Certes ces appareils ne représentent pas des données confidentielles mais les caméras de surveillance la porte du garage, les baby-phones,… nombreux sont les objets sensés nous rassurer et que des hackers pourraient utiliser contre nous.

La biométrie, une option gagnante
La biométrie, c’est l’identification d’une personne par une partie de son corps (main, œil, doigt, visage) pour accéder à un service ; en d’autres termes, c’est un excellent moyen pour s’authentifier ou se connecter à tous types d’appareils. « Il devient urgent que les industriels s’attachent à travailler conjointement avec des professionnels de la sécurité des identités numériques »

Dans la maison intelligente du futur, la biométrie et par extension toutes les technologies nécessitant l’identité de l’utilisateur pour commander un service seront utilisées. Le téléphone portable sera l’objet central de la maison connectée. Depuis ce dernier, les utilisateurs pourront contrôler tous les aspects de leur maison et de leurs appareils ménagers grâce à l’authentification biométrique. Le management de l’identification et de l’authentification sera la clef pour les contrôler. Il est ainsi maintenant possible de mettre en route certains objets à distance : faire chauffer de l’eau, contrôler la température d’un four depuis notre voiture, tout est possible ! De plus en plus diversifié, le marché de l’IoT doit veiller à uniformiser ses offres s’il ne veut pas basculer dans la complexité. L’industrie a besoin de créer un accès simplifié et sécurisé pour permettre aux différents objets connectés de marques concurrentes de communiquer entre eux.

Nous pouvons facilement imaginer qu’à l’avenir, tout ce qui requiert une connexion par identification ou authentification pourrait être contrôlé par la biométrie : thermostats, compteurs intelligents, interrupteurs… Dans le futur, nous pourrons rendre nos foyers aussi connectés que nous le souhaitons !

L’internet des Objets offre de nombreux avantages mais soulève à la fois de nombreuses inquiétudes en terme de connexion et d’accès. Il devient urgent que les industriels s’attachent à travailler conjointement avec des professionnels de la sécurité des identités numériques pour garantir un accès sécurisé afin de protéger de manière optimale des données hautement confidentielles.

BYOD, Chiffrement, Cloud, cryptage, Entreprise, Fuite de données

De l’importance de la formation des employés dans la sécurité en entreprise

Forrester montre que les Européens sont maintenant plus connectés que jamais, la plupart possédant deux terminaux au moins. Puisque l’utilisation des terminaux personnels sur le lieu de travail continue de croître, la formation des employés va devenir essentielle. Beaucoup d’habitudes prises lors de l’utilisation de ces appareils personnels représentent un danger pour les entreprises, donc les employés doivent comprendre l’importance de sécuriser les données. Ils sont la plus grande menace en termes de fuites de données. Le fait que Dropbox soit actuellement utilisé dans 95% des entreprises du Fortune 500 signifie que, dès à présent, une part énorme des données professionnelles sont vulnérables.

Malheureusement pour les responsables informatiques, il ne suffit pas d’installer une solution mobile sécurisée pour protéger les données. En plus de devoir mettre en œuvre un changement technologique, les entreprises doivent également lancer un changement culturel au sein du lieu de travail. Les employés doivent avoir une meilleure connaissance du moment où les données  professionnelles sont en sécurité ou non. Un des plus grands enjeux que les organisations doivent affronter est l’envoi par les employés des documents d’entreprise sensibles sur leur messagerie personnelle. Une fois qu’un document est divulgué, il n’est plus sous le contrôle de l’organisation, sa sécurité ne peut plus donc être contrôlée.

Dropbox est un cauchemar pour les départements informatiques car il génère un stockage dans le Cloud et la synchronisation des dossiers hors des entreprises. Dropbox fourni un service pratique pour les employés, mais a eu un grand nombre d’intrusions médiatisées. On en retrouve notamment en 2012 lorsque des mots de passe volés ont été utilisés pour accéder à un certain nombre de comptes Dropbox, ou encore lorsqu’en 2011 Dropbox avait éteint la fonction mot de passe, laissant toutes les données stockées sans aucune protection. Cependant, malgré ces failles médiatisées, les employés continuent d’utiliser ce service pour stocker des données sensibles. Des recherches récentes effectuées par Spiceworks Research ont constatées que 40% des employés dans l’informatique utilisent Dropbox, ou ont l’intention d’utiliser Dropbox en tant que service approuvé de partage de fichiers pour leur entreprise.

IBM a récemment interdit l’usage de Dropbox, d’iCloud et le transfert d’emails professionnels par leurs employés vers leur boite d’emails personnelle. La raison de cela est qu’il s’est avéré que ses employés avaient un manque de connaissances énorme sur ce qui constitue un risque actuellement.

Les trois raisons les plus importantes pour lesquelles les employés deviennent une menace de sécurité sont :
– L’utilisation de programmes non-autorisés sur des appareils ou du matériel d’entreprise
– Le transfert de dossiers entre les ordinateurs professionnels et personnels afin de travailler de chez soi
– La mauvaise utilisation des mots de passe – le partage de mots de passe ou l’utilisation du même mot de passe pour les applications professionnelles et personnelles

Les gens trouveront toujours un moyen d’utiliser l’appareil ou l’application qu’ils veulent, en dépit des conséquences sur la sécurité. Pour cette raison ils doivent être formés à utiliser la technologie d’une manière nouvelle qui puisse assurer aussi la sécurité des données. Les entreprises doivent faire quelques concessions, bien sûr. La connaissance – des appareils et applications – est vitale et elles doivent assurer la formation sur la sécurité des données et sur les bonnes pratiques autour de la sécurité de l’information. Si on offre une meilleure expérience d’utilisation en toute sécurité aux employés, alors ils sont moins enclins à trouver des moyens pour les contourner. Combiné à des recommandations de sécurité, les entreprises peuvent mettre en place une mobilité sécurisée sans employer une stratégie de contrôle fort.

Une approche “conteneur” de la sécurité mobile supprime la grande majorité des possibilités de fuites de données. Les employés peuvent exploiter au maximum un terminal pendant leur temps personnel et peu importe ce qu’ils font avec, les données d’entreprise sensibles resteront compartimentées en toute sécurité au sein de l’appareil. Pour poursuivre notre exemple concernant le partage de fichier, Box a une application sécurisée via une plateforme de sécurisation professionnelle. Celle-ci est contenue dans un compartiment sécurisé, afin de prévenir toute fuite de données, mais permet un accès aux documents professionnels à tout moment et de partout. (Par Florian Bienvenu, VP Europe Centrale et Europe du Sud de Good Technology)