Archives par mot-clé : logiciel

Mise à jour

Outils de production et chaînes industrielles

Focus sur deux axes principaux de vulnérabilités : Outils de production et chaînes industrielles, et évolutions des processus de gestion des actifs avec le télétravail

Si l’on se réfère à la source CVE Details, 2021 aura été l’année de la découverte du plus grand nombre de vulnérabilités logicielles, qu’il s’agisse de problèmes mineurs concernant des solutions logicielles de niche ou d’incidents critiques affectant des millions d’actifs informatiques. En parallèle, les entreprises auront dû gérer la sécurité sur les équipements distants, les services Cloud et les plateformes informatiques traditionnelles en raison du tumulte provoqué par la pandémie COVID-19.

En 2022, les entreprises seront contraintes de moderniser leurs processus pour gérer la sécurité. Cela implique notamment que l’équipe chargée de la sécurité IT endosse davantage de responsabilités dans d’autres domaines technologiques. Parmi les solutions, et elles sont nombreuses, se pencher sur les avantages d’un logiciel sur mesure.

Le télétravail a initié la nécessaire évolution des processus de gestion des actifs.

Avec le télétravail les équipes informatiques se sont adaptées aux nombreuses entreprises qui ont dû faire évoluer leurs pratiques opérationnelles en matière de sécurité alors que leurs employés achetaient de nouveaux équipements ou logiciels afin de pouvoir travailler à distance. Dans la panique, les programmes d’inventaire des actifs en place ont été ignorés et les équipes chargées des opérations et de la sécurité informatiques ont donc perdu la visibilité sur ce qui existait en raison des actifs qui n’étaient plus sur le réseau de l’entreprise. C’est donc la sécurité en général qui a souffert de cette situation.

Aujourd’hui, les employés se sont installés dans la routine du télétravail. Cependant, les entreprises restent dans le même mode urgence lorsqu’il s’agit de sécurité, plutôt que d’envisager cette dernière comme faisant partie intégrante des opérations quotidiennes de l’entreprise. Croiser des employés, dans des chambres d’hôtes, d’hôtel et ne pas faire attention à leur cyber est un risque qu’il n’est plus possible d’ignorer. Les « logeurs » doivent prendre en compte leur sécurité informatique. Un vecteur qui rassurera les futurs clients. Il existe du logiciel pour chambre d’hôtes qui font parfaitement l’affaire.

La sécurité est mise à mal lorsque l’entreprise ne dispose pas d’un inventaire des actifs actualisé qui indique les points d’extrémité existants, à savoir ceux qui restent sur le réseau de l’entreprise et ceux à distance. En 2022 ces entreprises seront mises en difficulté car certaines comptent sur un retour à la normale qui ne se produira sans doute pas. Les équipes doivent donc repenser leurs stratégie et processus pour prendre en charge en priorité leurs collaborateurs distants et appliquer la même approche aux différents sites de l’entreprise.

Les inventaires des actifs sont précis … et alors ?

Cette nouvelle priorité accordée à une gestion universelle, homogène et permanente des actifs est l’objectif que toutes les équipes de sécurité devraient se fixer. Cependant, la réalité de la conception et des responsabilités organisationnelles peut poser un frein, pourtant l’évolution vers le télétravail oblige à réviser les processus de gestion des mises à jour et de déploiement des correctifs.

Cela ne concerne pas tant la technologie que le mode de collaboration des équipes pour gérer les correctifs et les mises à jour des activités opérationnelles. Pour les plus grandes entreprises, cette tâche peut s’avérer difficile lorsqu’elle implique plusieurs équipes, et si il y a plusieurs entités à gérer avec différentes parties prenantes sur les décisions.

Les entreprises peuvent faire bouger les lignes en se penchant notamment sur l’intérêt de l’informatique pour l’activité de l’entreprise. Par exemple, faire de la sécurité une priorité métier est un sujet évoqué depuis des décennies. L’augmentation des attaques par ransomware et les coûts élevés associés, obligera les entreprises à prendre ce sujet à-bras-le-corps tandis que les décideurs définiront davantage d’objectifs pour garantir la sécurité de leurs systèmes. Aussi, responsabiliser les dirigeants notamment au déploiement des mises à jour permet de promouvoir cette approche de la gestion des risques métier.

 

Les machines et réseaux industriels devront s’aligner sur la sécurité informatique

Cette année, Gartner prévoit que les cyberattaquants se serviront des environnements à technologie d’exploitation (OT) comme armes pour cibler les humains d’ici 2025. Il est à craindre que cela arrive plus tôt, dès 2022. Le décès d’un nouveau-né en 2021 a par exemple été attribué à une attaque par ransomware contre un hôpital américain, dont l’ensemble de l’informatique était hors service. Davantage d’attaques ciblant des systèmes OT auront lieu et toucheront des infrastructures critiques si ces systèmes ne sont pas protégés de manière appropriée.

Or, les environnements OT reposent généralement sur des technologies obsolètes. Coûteux et devant durer des années, nombre de ces actifs présentent des failles de sécurité connues mais jamais corrigées, notamment parce que mettre à l’arrêt la chaîne de production pour appliquer un correctif peut coûter plusieurs millions d’euros en perte de productivité. De plus, il n’existe pas toujours de correctifs pour des failles qui affectent des équipements en fin de vie.

La protection de ces systèmes s’est traditionnellement appuyée sur l’air gapping, une mesure de sécurité qui permet notamment d’isoler complètement un réseau de l’Internet public. Aujourd’hui, les entreprises ne peuvent plus se passer de cette option car elles souhaitent exploiter en temps réel les données fournies par leurs systèmes pour mieux se positionner face à la concurrence, et ce malgré les risques liés à l’interconnexion de toujours plus de réseaux OT. En outre, de récentes recherches indiquent l’existence de nouveaux modes opératoires destinés à établir une passerelle avec les mesures d’air gapping si bien que s’en remettre aux seuls modèles de sécurité traditionnels ne suffit plus.

Des années durant, la technologie d’exploitation a été totalement tenue à l’écart de l’IT, au point que les équipes informatiques avaient du mal à comprendre ce qui était utilisé et à identifier les menaces. Dans la pratique, la sécurité OT a une décennie de retard par rapport à la sécurité informatique en matière de conception de bonnes pratiques et de processus. En 2022, la soif de données et les risques d’attaque contraindront à investir davantage pour renforcer cet aspect.

Les équipes en charge de la sécurité informatique seront sollicitées pour s’investir dans ce domaine car ce sont elles qui comprennent le mieux le paysage évolutif des menaces. L’entière collaboration de toutes les équipes sera requise, conditionnée par une vision globale de l’ensemble des actifs connectés, qu’il s’agisse du Cloud et des conteneurs qui peuvent être mis à jour en quelques secondes ou d’actifs OT déployés depuis des années et qui n’évolueront pas dans l’immédiat.

Définir les processus et les pratiques de sécurité qui prendront en compte tous ces actifs exigera de mettre en place une stratégie de gestion des risques adaptée. La même approche ne pourra pas être appliquée partout et définir des priorités sera indispensable au succès de cette stratégie. Il s’agira d’un travail nécessaire pour prévenir d’autres incidents comme les cyberattaques lancées contre l’opérateur américain d’oléoducs Colonial Pipeline et des établissements de santé.

En 2022, les attaques par ransomware affecteront plus souvent les actifs OT. Les cyberassureurs sont en train de revoir leur couverture concernant les attaques par ransomware afin que les entreprises ne puissent plus se reposer sur leur police d’assurance pour la prise en charge des frais. En lieu et place, les entreprises devront reconnaître l’existence de risques métier et les résoudre au lieu de se contenter de les consigner dans un registre et de faire le gros dos pour qu’une violation ne se produise pas. (Paul Baird, CTSO UK, Qualys)

backdoor, Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Justice, Paiement en ligne, ransomware, Securite informatique

Des experts en sécurité paient les ransomwares et facturent leurs clients

Des experts en sécurité informatique annonçaient posséder une technologie pour déchiffrer le ransomware SamSam. Il s’avère qu’ils payaient les maîtres chanteurs pour récupérer les fichiers. Ils facturaient ensuite les clients piégés.

Deux entreprises spécialisées dans la sécurité informatique annonçaient posséder une technologie capable de déchiffrer les fichiers pris en otage par le ransomware SamSam.

Il s’avère que ces experts de la cybersécurité payaient les auteurs du rançonnage. Les sociétés facturaient ensuite les clients piégés.

C’est ProPublica qui a mené une enquête sur ce phénomène. Les entreprises, Proven Data Recovery et MonsterCloud, annonçaient être capable de déchiffrer les fichiers pris en otage par le ransomwate SamSam.

Samsam, une attaque informatique qui avait perturbé le port de San Diego ou encore les ville d’Atlanta (11 millions de dollars), de Newark, des hôpitaux (dont celui d’Epinal en France) … Au USA, le Hollywood Presbyterian Medical Center avait avoué avoir payé pour récupérer ses données.

SamSam (MSIL/Samas) s’attaque aux serveurs  JBoss obsolète. Pour déchiffrer une machine, cela coute 1.7 Bitcoin (BTC). Samsam aurait été créé par deux pirates Iraniens.

Payer pour mieux déchiffrer ?

De nombreuses sociétés agissent de la sorte, l’indiquent à leurs clients. Elles agissent de la sorte par facilité et permettre de retrouver les données ! Pour MonsterCloud et Proven Data Recovery, c’est différent. Elles affirmaient avoir la technologie pour déchiffrer les informations prises en otage. Proven Data Recovery indique que cela était nécessaire, quand par exemple la santé/vie de patients pouvaient être mis en danger.

Comme l’indiquait en mars 2019 l’ANSSI, SamSam cible des entreprises estimées très rentables, appartenant à des secteurs d’activités variés, ainsi que des entités publiques à même de payer un montant conséquent en guise de rançon.

Les deux pirates Iraniens ne peuvent plus être payés par bitcoin, du moins via une entreprise américaine. L’Oncle Sam a mis sous embargo le moindre commerce avec ce pays et des entreprises américaines ou basées aux USA, faisant commerce avec les Etats-Unis. Bilan, plus possible de payer !

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, santé

Trois logiciels destinés aux dentistes vulnérables aux pirates informatiques

Base de données vulnérables et manipulation possible pour 3 logiciels destinés aux dentistes.

Outils professionnels vulnérables ! Le CERT de l’Université américaine Carnegie Mellon vient d’annoncer la découverte de problèmes informatiques dans trois logiciels destinés aux dentistes souffraient de failles informatiques qui donneraient un accès aux données sauvegardées via ces outils professionnels. Des fuites qui concernent aussi les patients.

Parmi les failles, des injections SQL qui ouvrent les portes aux informations gardées par les bases de données. Sont concernés deux logiciels de gestion de dossiers dentaires : Dentsply Sirona et Open Dental. Ce dernier est très mignon, j’ai pu tester la chose chez un dentiste ami Belge, il n’y a pas de mot de passe pour accéder à l’outil de gestion MySQL (sic!).

Le troisième logiciel montré par la roulette du CERT, le Dexis Imaging Suite 10. L’éditeur vient de conseiller à ses utilisateurs de mettre à jour les informations d’identification de la base de données. Bref, lisez le mode d’emploi et changez les accès, les urls, …

L’ampleur du problème semble énorme. Des milliers de dentistes utiliseraient l’outil en question, dont des clients gouvernementaux américains comme des cliniques de la marine ou encore de l’US Air Force.

Open Dental, en tant que logiciel libre et open-source, est disponible pour quiconque souhaite le télécharger. 4000 cabinets dentaires l’utiliseraient.

Justin Shafer, l’auteur des trois découvertes, est un spécialiste de l’informatique « dentaire ». Ce Texan avait fait les manchettes de la presse US, l’année dernière, après que le FBI se soit invité chez lui, pour l’arrêter, après avoir divulgué une faille dans le logiciel Dentrix.

Base de données, Cybersécurité, Entreprise, ID, Identité numérique, Justice, loi, Mise à jour, Particuliers

Google en sait plus sur les enfants que leurs propres parents

De plus en plus d’écoles publiques utilisent les outils gratuits de Google. Bilan, le géant américain de l’Internet en sait plus sur les enfants que les parents d’élèves.

L’inquiétude monte chez certains parents d’élèves américains. Mais soyons honnêtes, il est trop tard. Dans de nombreuses écoles publiques à travers le pays, Google est devenu, techniquement, un collecteur de données légitime, un « school official » pour la loi US. Il faut dire aussi que l’attrait des enseignants à exploiter les suites gratuites de logiciels Google se fait de plus en plus grand.

Logiciels comme Picasa et autres ordinateurs bon marché dont l’OS tourne sous Chrome. La domination croissante de la société suscite de graves inquiétudes chez certains défenseurs de la vie privée qui prétendent que Google utilise des données sur les étudiants pour son propre bénéfice.

La loi américaine exige que les écoles obtiennent le consentement écrit des parents avant de partager des informations personnelles sur les enfants. Mais il y a une exception qui a de quoi inquiéter, aux USA, mais aussi en France et partout dans le monde. Le partage des données avec un « school official » est autorisé aux USA à la condition ou ce dernier a un « intérêt éducatif légitime« . Seulement, le Ministère de l’Éducation a interprété et a modifié la loi au cours des dernières années de manière à permettre maintenant à presque tout individu ou organisation, qui indique proposer une « fonction éducative« , de devenir un « school official« . Bilan, Google et ses outils s’invitent dans les établissements et engrangent des milliards de données sur les élèves et leurs « comportements » numériques sans que les établissements, ni les parents, ne puissent contrôler les informations sauvegardées. De son côté, Google rappelle qu’il est fermement engagé à protéger et sécuriser la vie privée des élèves. (WP)

Android, Cyber-attaque, Cybersécurité, Entreprise, Espionnae, Fuite de données, Identité numérique, Leak, Logiciels, Microsoft, Particuliers, Piratage, Propriété Industrielle, Smartphone, Virus

Detekt, le logiciel anti espion

3 commentaires

Amnesty International a diffusé, ce 20 novembre, un outil permettant aux victimes d’espionnage de détecter les manœuvres de surveillance gouvernementales. L’utilisation et le commerce de technologies de surveillance des télécommunications se sont développés de manière exponentielle ces dernières années.

La Coalition contre l’exportation illégale de technologies de surveillance, dont Amnesty International est membre, estime que le commerce mondial des technologies de surveillance représente 4 milliards d’euros par an, et qu’il est en expansion. Detekt propose donc de voir si votre ordinateur, votre smartphone ou votre tablette sont surveillés. Le fonctionnement est assez simple. Plusieurs versions sont téléchargeables sur le site officiel de l’opération resistsurveillance.org. La version PC, par exemple, demande d’être exécutée en mode Administrateur, connexion web coupée. Attention, nous avons remarqué que les PC sous Windows 8.1 se retrouvaient avec un message d’alerte leur indiquant l’impossibilité d’utiliser Detekt.

1 – Télécharger Detekt
2 – Exécuter le logiciel en mode « Administrateur ».
3 – Choisissez la langue (le Français n’est pas présent).
4 – Cliquez sur le bouton « Scan ».
5 – Attendre entre 30 et 45 minutes.
6 – Découvrez si vous avez un espion dans votre machine.

Si un espion est découvert dans votre PC, dites vous qu’il est malheureusement trop tard. Nous ne pouvons que vous conseiller de changer d’ordinateur très rapidement. Ensuite, réfléchissez à comment le piège s’est installé dans votre machine (mail, liens, Facebook, Twitter clé USB, smartphone, baladeur mp3, …). Ne reconnectez plus cette machine au web. Bloquez son wifi/Bluetooth. Analysez les documents contenus dans la machine en question. Qu’est ce que le pirate/espion a pu intercepter, lire, copier, modifier. Alertez vos contacts. Il est préférable à ce niveau de crier au feu que d’attendre que tout le monde soit bruler pour s’inquiéter. N’hésitez surtout jamais à déposer plainte et alerter les autorités compétentes, surtout si vous êtes dans une entreprise.

Entreprise, Logiciels, Piratage

Piratage : 1 million € en france pour 2012

L’utilisation des logiciels piratés a coûté plus d’1 million d’euros aux entreprises françaises en 2012

Les actions juridiques et judiciaires intentées par BSA | The Software Alliance ont ciblé plus d’une centaine d’entreprises de l’hexagone ; le total des réparations / indemnisations versées pour utilisation non conforme de licences logicielles dépasse le million d’euros, une somme qui correspond à environ 12% du montant global versé par les entreprises en Europe (9 millions €).

Ce montant inclut à la fois les dommages et intérêts liés aux infractions constatées, ainsi que les coûts additionnels liés à la mise en conformité du parc de logiciels des entreprises concernées se retrouvant dans l’obligation de racheter les licences logicielles pour pouvoir continuer à les utiliser.

Augmentation de 50% du nombre d’actions en 1 an !

A travers la publication de ses chiffres annuels, la BSA souhaite attirer l’attention des entreprises sur les risques juridiques et financiers ; elle veut surtout les sensibiliser à la nécessité d’une gestion rigoureuse des licences de logiciel, y compris dans une optique de rationalisation et d’optimisation des portefeuilles d’actifs logiciels.

Au final, sur 2012, le nombre d’entreprises visées a augmenté de 50% en France par rapport à l’année 2011 ; et ce coût d’utilisation de logiciels sans licence pour les entreprises en France de plus d’1 million d’euros en 2012, représente près de 12% du montant global collecté dans la zone Europe, qui s’élève pour sa part à 9 millions d’euros.

Les secteurs de l’Architecture et du Design en première ligne…

Pour bien prendre la mesure du problème, on citera à titre d’exemple le cas d’une entreprise française à qui le non-respect de la règlementation vis-à-vis des licences logicielles a coûté près de 200 000 € en 2012. Notons qu’en n’acquittant pas le coût des licences, cette société allégeait artificiellement ses charges et s’aménageait ainsi frauduleusement un avantage compétitif vis-à-vis des entreprises de son secteur d’activité.

Par ailleurs, on note que toujours en 2012, l’utilisation de logiciels sans licence a touché en premier lieu le secteur de l’Architecture et du Design avec un total de près 370 000 € ; suivent le secteur de l’Industrie (281 000 €) et celui de l’Ingénierie (180 000 €). C’est également le cas pour ce qui concerne la zone européenne avec respectivement pour ces 3 secteurs 1,162 million €, 615 400 € et 584 000 € versés.

BSA | The Software Alliance : avant tout l’éducation !

« Le piratage de logiciels expose ainsi les entreprises à des risques financiers et d’image importants, sans compter les menaces liées à la sécurité, qui peuvent s’avérer d’autant plus pénalisants en période de crise économique. Ces chiffres démontrent bien que les entreprises françaises et européennes ont encore besoin d’être informées sur les risques encourus en matière d’utilisation de logiciels illégaux », déclare ainsi François Rey, Président de la BSA en France.

« Bien entendu, certaines entreprises ne prévoient pas d’utiliser de façon intentionnelle des logiciels sans licence. Cependant, chaque société doit avoir conscience de l’importance de gérer correctement ses actifs logiciels afin de s’assurer qu’elle a le bon nombre de licences. Et justement, la BSA participe actuellement en France aux travaux de l’AFNOR visant à élaborer un guide d’application de la norme applicable en matière de Gestion des Actifs Logiciels (SAM, pour Software Asset Management) ; il s’agit de permettre aux entreprises de réduire les risques et de diminuer les coûts globaux liés à leur système d’Information », ajoute-t-il.

La BSA encourage le signalement de cas de piratage de logiciels concernant toute entreprise utilisant des logiciels sans licence, ou tout individu ou organisation vendant de façon illégale des logiciels sur Internet, par exemple. Des rapports confidentiels peuvent être effectués sur www.bsa.org. Le site web de la BSA fournit également des guides et des données qui peuvent aider les entreprises à s’assurer qu’elles agissent bien efficacement et légalement. Plus d’information et d’outils relatifs à la règlementation en matière de logiciels sont disponibles sur www.bsa.org.